Microsoft Defender for Identity について
Microsoft Defender for Identity (以前の Azure Advanced Threat Protection (Azure ATP とも呼ばれます)) は、クラウドベースのセキュリティ ソリューションです。 Defender for Identity は、オンプレミスの Active Directory のシグナルを使用して、組織に向けられた高度な脅威、侵害された ID、悪意のある内部関係者のアクションを識別、検出、調査するためのものです。 Defender for Identity を利用することで、ハイブリッド環境での高度な攻撃を検出するために苦労している SecOp アナリストやセキュリティ専門家は、以下のことができます。
- 学習ベースの分析を使用してユーザー、エンティティの動作、アクティビティを監視します
- Active Directory に格納されているユーザー ID と資格情報を保護します
- キル チェーン全体で疑わしいユーザー アクティビティと高度な攻撃を特定して調査する
- 高速なトリアージのためにシンプルなタイムラインで明確なインシデント情報を提供します
Defender for Identity のプロセス フロー
Defender for Identity は、次のコンポーネントから構成されます。
Defender for Identity ポータル - Defender for Identity ポータルでは、Defender for Identity インスタンスを作成できるほか、Defender for Identity センサーから受信したデータが表示され、ご利用のネットワーク環境内の脅威を監視、管理、調査することができます。
Defender for Identity センサー - Defender for Identity センサーは、次のサーバーに直接インストールできます。
- ドメイン コントローラー: センサーではドメイン コントローラーのトラフィックが直接監視されるので、専用のサーバーを用意したりポート ミラーリングを構成したりする必要はありません。
- Active Directory フェデレーション サービス (AD FS): センサーは、ネットワーク トラフィックと認証イベントを直接監視します。
Defender for Identity クラウド サービス - Defender for Identity クラウド サービスは Azure インフラストラクチャ上で動作し、現在、米国、ヨーロッパ、アジアにデプロイされています。 Defender for Identity クラウド サービスは、Microsoft のインテリジェント セキュリティ グラフに接続されます。