Microsoft Defender for Identityをパイロットしてデプロイする
適用対象:
- Microsoft Defender XDR
この記事では、organizationでMicrosoft Defender for Identityをパイロットしてデプロイするためのワークフローについて説明します。 これらの推奨事項を使用して、Microsoft Defender XDRを使用してエンド ツー エンド ソリューションの一部としてMicrosoft Defender for Identityをオンボードします。
この記事では、運用環境の Microsoft 365 テナントがあり、この環境でMicrosoft Defender for Identityのパイロットとデプロイを行っていることを前提としています。 この方法では、パイロット中に構成した設定とカスタマイズが 、完全なデプロイに対して維持されます。
Defender for Identity は、侵害によるビジネス上の損害を防止または軽減することで、ゼロ トラスト アーキテクチャに貢献します。 詳細については、Microsoft ゼロ トラスト導入フレームワークの侵害によるビジネス上の損害の防止または軽減に関する記事を参照してください。
Microsoft Defender XDRのエンド ツー エンドのデプロイ
これは、インシデントの調査や対応など、Microsoft Defender XDRのコンポーネントをデプロイするのに役立つシリーズの 6 の記事 2 です。
このシリーズの記事は、エンドツーエンドデプロイの次のフェーズに対応しています。
| 段階 | リンク |
|---|---|
| A. パイロットを開始する | パイロットを開始する |
| B. Microsoft Defender XDR コンポーネントのパイロットとデプロイ |
-
Defender for Identity をパイロットして展開する (この記事) - Defender for Office 365をパイロットしてデプロイする - Defender for Endpoint のパイロットとデプロイ - Microsoft Defender for Cloud Appsのパイロットとデプロイ |
| C. 脅威の調査と対応 | インシデントの調査と対応を実践する |
Defender for Identity のワークフローをパイロットしてデプロイする
次の図は、IT 環境に製品またはサービスをデプロイするための一般的なプロセスを示しています。
まず、製品またはサービスを評価し、organization内でどのように機能するかを評価します。 次に、テスト、学習、カスタマイズのために、運用環境インフラストラクチャの適切な小さなサブセットを使用して、製品またはサービスをパイロットします。 その後、インフラストラクチャ全体またはorganizationがカバーされるまで、デプロイのスコープを徐々に増やします。
運用環境で Defender for Identity をパイロットして展開するためのワークフローを次に示します。
次の手順を実行します。
- Defender for Identity インスタンスを設定する
- センサーのインストールと構成
- センサーを使用してマシンでイベント ログとプロキシの設定を構成する
- Defender for Identity が他のコンピューター上のローカル管理者を識別できるようにする
- 機能を試す
デプロイ ステージごとに推奨される手順を次に示します。
| デプロイ ステージ | 説明 |
|---|---|
| 評価 | Defender for Identity の製品評価を実行します。 |
| パイロット | 運用環境でセンサーを使用するサーバーの適切なサブセットに対して手順 1 ~ 5 を実行します。 |
| 完全な展開 | 残りのサーバーに対して手順 2 から 4 を実行し、パイロットを超えてすべてのサーバーを含めます。 |
ハッカーからorganizationを保護する
Defender for Identity は、独自の強力な保護を提供します。 ただし、Microsoft Defender XDRの他の機能と組み合わせると、Defender for Identity は共有シグナルにデータを提供し、攻撃を阻止するのに役立ちます。
サイバー攻撃の例と、Microsoft Defender XDRのコンポーネントが検出と軽減にどのように役立つかを次に示します。
Defender for Identity は、Active Directory Domain Services (AD DS) ドメイン コントローラーと、Active Directory フェデレーション サービス (AD FS) (AD FS) と Active Directory Certificate Services (AD CS) を実行しているサーバーからシグナルを収集します。 これらのシグナルを使用してハイブリッド ID 環境を保護します。これには、侵害されたアカウントを使用してオンプレミス環境内のワークステーション間を横方向に移動するハッカーからの保護が含まれます。
Microsoft Defender XDRは、すべてのMicrosoft Defenderコンポーネントからの信号を関連付けて、完全な攻撃ストーリーを提供します。
Defender for Identity アーキテクチャ
Microsoft Defender for IdentityはMicrosoft Defender XDRと完全に統合されており、オンプレミスの Active Directory ID からのシグナルを利用して、お客様に向けられた高度な脅威をより適切に特定、検出、調査するのに役立ちますorganization。
セキュリティ運用 (SecOps) チームがハイブリッド環境全体で最新の ID 脅威検出と対応 (ITDR) ソリューションを提供できるように、Microsoft Defender for Identityをデプロイします。
- プロアクティブな ID セキュリティ体制の評価を使用して侵害を防止する
- リアルタイム分析とデータ インテリジェンスを使用して脅威を検出する
- 明確で実用的なインシデント情報を使用して、疑わしいアクティビティを調査する
- 侵害された ID に対する自動応答を使用して、攻撃に対応します。 詳細については、「Microsoft Defender for Identityとは」を参照してください。
Defender for Identity は、Microsoft Entra ID テナントに同期されたオンプレミスの AD DS ユーザー アカウントとユーザー アカウントを保護します。 Microsoft Entra ユーザー アカウントのみで構成される環境を保護するには、「Microsoft Entra ID 保護」を参照してください。
次の図は、Defender for Identity のアーキテクチャを示しています。
この図について:
- AD DS ドメイン コントローラーと AD CS サーバーにインストールされているセンサーは、ログとネットワーク トラフィックを解析し、分析とレポートのためにMicrosoft Defender for Identityに送信します。
- センサーは、サード パーティの ID プロバイダーの AD FS 認証を解析することもできます。また、フェデレーション認証 (図の点線) を使用するようにMicrosoft Entra IDが構成されている場合も解析できます。
- Microsoft Defender for Identityは、Microsoft Defender XDRにシグナルを共有します。
Defender for Identity センサーは、次のサーバーに直接インストールできます。
- AD DS ドメイン コントローラー。 センサーは、専用サーバーやポート ミラーリングの構成を必要とせずに、ドメイン コントローラーのトラフィックを直接監視します。
- AD FS サーバー/AD CS サーバー。 センサーは、ネットワーク トラフィックと認証イベントを直接監視します。
Defender for Identity のアーキテクチャの詳細については、「Microsoft Defender for Identity アーキテクチャ」を参照してください。
手順 1: Defender for Identity インスタンスを設定する
Defender ポータルにサインインして、サポートされているサービス (Microsoft Defender for Identityなど) のデプロイを開始します。 詳細については、「Microsoft Defender XDRの使用を開始する」を参照してください。
手順 2: センサーをインストールする
Defender for Identity では、オンプレミスの ID とネットワーク コンポーネントが環境に Defender for Identity センサーをインストールするための最小要件を満たしていることを確認するための前提条件となる作業が必要です。
環境の準備ができていることを確認したら、容量を計画し、Defender for Identity への接続を確認します。 準備ができたら、オンプレミス環境のドメイン コントローラー、AD FS、AD CS サーバーで Defender for Identity センサーをダウンロード、インストール、構成します。
| 手順 | 説明 | 詳細情報 |
|---|---|---|
| 1 | 環境が Defender for Identity の前提条件を満たしていることを確認します。 | Microsoft Defender for Identity の前提条件 |
| 2 | 必要なMicrosoft Defender for Identityセンサーの数を決定します。 | Microsoft Defender for Identity の容量を計画する |
| 3 | Defender for Identity サービスへの接続を確認する | ネットワーク アクティビティを確認する |
| 4 | Defender for Identity センサーをダウンロードしてインストールする | Defender for Identity のインストール |
| 5 | センサーを構成する | Microsoft Defender for Identity センサーの設定を構成する |
手順 3: センサーを使用してマシンでイベント ログとプロキシ設定を構成する
センサーをインストールしたマシンで、検出機能を有効にして強化するように Windows イベント ログ収集を構成します。
| 手順 | 説明 | 詳細情報 |
|---|---|---|
| 1 | Windows イベント ログ収集を構成する |
Microsoft Defender for Identityを含むイベント コレクション Windows イベント ログの監査ポリシーを構成する |
手順 4: Defender for Identity が他のコンピューター上のローカル管理者を識別できるようにする
横移動パス (LMP) 検出Microsoft Defender for Identityは、特定のマシン上のローカル管理者を識別するクエリに依存します。 これらのクエリは、Defender for Identity Service アカウントを使用して SAM-R プロトコルで実行されます。
Windows クライアントとサーバーで Defender for Identity アカウントが SAM-R を実行できるようにするには、ネットワーク アクセス ポリシーに記載されている構成済みのアカウントに加えて、Defender for Identity サービス アカウントを追加するために、グループ ポリシーを変更する必要があります。 ドメイン コントローラーを除くすべてのコンピューターにグループ ポリシーを適用してください。
これを行う方法については、「sam-R を構成して、Microsoft Defender for Identityで横移動パスの検出を有効にする」を参照してください。
手順 5: 機能を試す
Defender for Identity ドキュメントには、さまざまな攻撃の種類を特定して修復するプロセスについて説明する次の記事が含まれています。
- 不審なユーザー、グループ、デバイスなど、資産を調査する
- Microsoft Defender for Identityを使用した LMP の理解と調査
- セキュリティ アラートについて
詳細については、以下を参照してください:
SIEM 統合
Defender for Identity を Microsoft の統合セキュリティ運用プラットフォームまたは汎用セキュリティ情報およびイベント管理 (SIEM) サービスの一部としてMicrosoft Sentinelと統合して、接続されたアプリからのアラートとアクティビティを一元的に監視できます。 Microsoft Sentinelを使用すると、organization全体のセキュリティ イベントをより包括的に分析し、プレイブックを構築して効果的かつ即時に対応できます。
Microsoft Sentinelには、XDR データ コネクタ用のMicrosoft Defenderが含まれています。これは、Defender for Identity を含むDefender XDRからすべての信号をMicrosoft Sentinelに取り込みます。 Defender ポータルの統合セキュリティ操作プラットフォームを、エンドツーエンドのセキュリティ操作 (SecOps) の 1 つのプラットフォームとして使用します。
詳細については、以下を参照してください:
次の手順
SecOps プロセスに以下を組み込みます。
Microsoft Defender XDRのエンド ツー エンドデプロイの次の手順
パイロットを使用してMicrosoft Defender XDRのエンド ツー エンドのデプロイを続行し、Defender for Office 365をデプロイします。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。