Windows イベント ログの監査ポリシーを構成する

Microsoft Defender for Identity の検出は、特定の Windows イベント ログ エントリを使用して検出を強化し、特定のアクション (NTLM ログオン、セキュリティ グループの変更など) を実行したユーザーに関する追加情報を提供します。

正しいイベントを監査して Windows イベント ログに含めるには、ドメイン コントローラーに、特定の Windows サーバー高度な監査ポリシーを設定する必要があります。 高度な監査ポリシーが正しく設定されていないと、イベント ログに欠落が生じ、Defender for Identity のカバレッジが不完全になる可能性があります。

この記事では、Defender for Identity センサーに必要な高度な監査ポリシーと、特定のイベントの種類に対するその他の構成を設定する方法について説明します。

詳細については、Windows ドキュメントの「Microsoft Defender for Identity を使用したイベント コレクション」および「詳細なセキュリティ監査ポリシー」を参照してください。

PowerShell を使用して現在の構成でレポートを生成する

前提条件: Defender for Identity PowerShell コマンドを実行する前に、Defender for Identity PowerShell モジュールをダウンロードしたことを確認してください。

新しいイベント ポリシーと監査ポリシーの作成を開始する前に、次の PowerShell コマンドを実行して、現在のドメイン構成のレポートを生成することをお勧めします。

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

ここで:

  • パス は、レポートを保存するパスを指定します。
  • モード では、ドメインモードと LocalMachine モードのどちらを使用するかを指定します。 ドメインモードでは、設定はグループ ポリシー オブジェクトから収集されます。 LocalMachine モードでは、設定はローカル コンピューターから収集されます。
  • OpenHtmlReport は、レポートの生成後に HTML レポートを開きます

たとえば、レポートを生成してデフォルトのブラウザーで開くには、次のコマンドを実行します。

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

詳細については、DefenderforIdentity PowerShell リファレンスを参照してください。

ヒント

Domain モード レポートには、ドメイン のグループ ポリシーとして設定された構成のみが含まれます。 ドメイン コントローラーでローカルに設定が定義されている場合は、Test-MdiReadiness.ps1 スクリプトも実行することをお勧めします。

ドメイン コントローラーの監査を構成する

ドメイン コントローラーを使用する場合は、高度な監査ポリシーの設定と、特定のイベントやイベントの種類 (ユーザー、グループ、コンピューターなど) の追加設定を更新する必要があります。 ドメイン コントローラーの監査の構成には次が含まれます。

高度な監査ポリシー設定を構成する

この手順では、ドメイン コントローラーの高度な監査ポリシーを、Defender for Identity の必要に応じて変更する方法について説明します。

  1. サーバーにドメイン管理者としてログインします。

  2. [サーバー マネージャー]>[ツール]>[グループ ポリシー管理] の順に移動して、グループ ポリシー管理エディターを開きます。

  3. [ドメイン コントローラー組織単位] を展開し、[デフォルトのドメイン コントローラー ポリシー] を右クリックして、[編集] を選択します。 次に例を示します。

    Screenshot of the Edit domain controller policy dialog.

    Note

    デフォルトのドメイン コントローラー ポリシーまたは専用の GPO を使用してこれらのポリシーを設定します。

  4. 開いたウィンドウから、[コンピューター構成]>[ポリシー]>[Windows 設定]>[セキュリティ設定] の順に進み、有効にするポリシーに応じて、次の操作を行います。

    1. [詳細な監査ポリシー構成]>[監査ポリシー] に進みます。 次に例を示します。

      Screenshot of the Advanced Audit Policy Configuration dialog.

    2. [監査ポリシー] で、次の各ポリシーを編集し、成功イベントと失敗イベントの両方に対して [次の監査イベントを構成する] を選択します。

      監査ポリシー サブカテゴリ トリガー イベント ID
      アカウント ログオン 資格情報の確認の監査 4776
      アカウント管理 コンピューター アカウント管理の監査 * 4741、4743
      アカウント管理 配布グループ管理の監査 4753、4763
      アカウント管理 セキュリティ グループ管理の監査 * 4728、4729、4730、4732、4733、4756、4757、4758
      アカウント管理 ユーザー アカウント管理の監査 4726
      DS アクセス ディレクトリ サービスの変更の監査 5136
      システム セキュリティ システム拡張機能の監査 * 7045
      DS アクセス ディレクトリ サービスへのアクセスの監査 4662 - このイベントでは、ドメイン オブジェクト監査を構成する必要もあります。

      Note

      * が付いているサブカテゴリでは、エラー イベントがサポートされていません。 ただし、将来実装される場合に備えて、監査目的でこれらを追加することをお勧めします。 詳細については、「コンピューター アカウント管理の監査」、「セキュリティ グループ管理の監査」、および「セキュリティ システム拡張機能の監査」を参照してください。

      たとえば、監査セキュリティ グループ管理を構成するには、アカウント管理[セキュリティ グループ管理の監査] をダブルクリックし、成功イベントと失敗イベントの両方に対して [次の監査イベントを構成する] を選択します。

      Screenshot of the Audit Security Group Management dialog.

  5. 管理者特権でのコマンド プロンプトから、gpupdate を入力します。

  6. GPO を使用してポリシーを適用した後、新しいイベントは、[Windows ログ] ->[セキュリティ] のイベント ビューアーに表示されます。

コマンド ラインから監査ポリシーをテストする

コマンド ラインから監査ポリシーをテストするには、次のコマンドを実行します。

auditpol.exe /get /category:*

詳しくは、auditpol リファレンス ドキュメント を参照してください。

PowerShell を使用して監査ポリシーを構成、取得、テストする

PowerShellを使用して監査ポリシーを構成するには、次のコマンドを実行します。

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

ここで:

  • モード では、ドメインモードと LocalMachine モードのどちらを使用するかを指定します。 ドメインモードでは、設定はグループ ポリシー オブジェクトから収集されます。 LocalMachine モードでは、設定はローカル コンピューターから収集されます。

  • [構成] では、設定する構成設定を指定します。 All を使用してすべての構成を設定します。

  • CreateGpoDisabled は、GPO が作成されて無効のままになっているかどうかを指定します。

  • SkipGpoLink は、GPO リンクが作成されないように指定します。

  • Force は、構成が設定されていること、または現在の状態を検証せずに GPO が作成されることを指定します。

PowerShell を使用して監査ポリシーを表示またはテストするには、必要に応じて次のコマンドを実行します。 Get-MDIConfiguration コマンドを使用して、現在の値を表示します。 Test-MDIConfiguration コマンドを使用して、値が正しく構成されているかどうかに関する true または false 応答を取得します。

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

ここで:

  • モード では、ドメインモードと LocalMachine モードのどちらを使用するかを指定します。 ドメインモードでは、設定はグループ ポリシー オブジェクトから収集されます。 LocalMachine モードでは、設定はローカル コンピューターから収集されます。

  • [構成] では、取得する構成を指定します。 All を使用してすべての構成を取得します。

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

ここで:

  • モード では、ドメインモードと LocalMachine モードのどちらを使用するかを指定します。 ドメインモードでは、設定はグループ ポリシー オブジェクトから収集されます。 LocalMachine モードでは、設定はローカル コンピューターから収集されます。

  • [構成] では、テストする構成を指定します。 All を使用してすべての構成をテストします。

詳細については、次の DefenderForIdentity PowerShell リファレンスを参照してください。

NTLM 監査を構成する

このセクションでは、イベント ID 8004 を監査するために必要な、追加の構成手順について説明します。

Note

  • Windows イベント 8004 を収集するドメイン グループ ポリシーは、ドメイン コントローラーにのみ適用する必要があります。
  • Defender for Identity Sensor によって Windows イベント 8004 が解析されると、Defender for Identity NTLM 認証アクティビティは、サーバーからアクセスされたデータで強化されます。
  1. 上に記載した最初の手順に従って、[グループ ポリシーの管理] を開き、[デフォルトのドメイン コントローラーのポリシー]>[ローカル ポリシー]>[セキュリティ オプション] の順に移動します。

  2. [セキュリティ オプション] で、指定されたセキュリティ ポリシーを次のように構成します。

    セキュリティ ポリシーの設定 Value
    ネットワーク セキュリティ: NTLM を制限する: リモート サーバーに対する送信 NTLM トラフィック すべて監査
    ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証を監査する すべて有効にする
    ネットワーク セキュリティ: NTLM を制限する: 着信 NTLM トラフィックを監査する すべてのアカウントの監査を有効にする

たとえば、リモート サーバーへの送信 NTLM トラフィックを構成するには、セキュリティ オプション[ネットワーク セキュリティ: NTLM の制限: リモート サーバーへの送信 NTLM トラフィック] をダブルクリックし、[すべて監査] を選択します。

Screenshot of the Audit Outgoing NTLM traffic to remote servers configuration.

ドメイン オブジェクト監査を構成する

イベント 4662 などのオブジェクト変更のイベントを収集するには、ユーザー、グループ、コンピューターなどに対するオブジェクト監査も構成する必要があります。 この手順では、Active Directory ドメイン で監査を有効にする方法について説明します。

重要

イベント収集を有効にする前に、監査ポリシーを確認および検証してドメイン コントローラーが必要なイベントを記録するように構成されていることを確認します。 正しく構成されている場合、この監査はサーバーのパフォーマンスに対する影響を最小限に抑える必要があります。

  1. Active Directory ユーザーとコンピューター コンソールに進みます。

  2. 監査するドメインを選択します。

  3. 表示メニューを選択し、高度な機能を選択します。

  4. ドメインを右クリックして、[プロパティ] を選択します。 次に例を示します。

    Screenshot of the container properties option.

  5. セキュリティ タブを選択し、[詳細設定] を選択します。 次に例を示します。

    Screenshot of the advanced security properties dialog.

  6. [セキュリティの詳細設定][監査] タブ、[追加] の順に選択します。 以下はその例です。

    Screenshot of the Advanced Security Settings Auditing tab.

  7. [プリンシパルの選択] を選択します。 次に例を示します。

    Screenshot of the Select a principal option.

  8. [選択するオブジェクト名を入力してください] に「Everyone」と入力し、[名前の確認]>[OK] の順に選択します。 次に例を示します。

    Screenshot of the Select everyone settings.

  9. [監査エントリ] に戻ります。 次の選択を行います。

    1. 種類で [成功] を選択します。

    2. 適用先で [子孫ユーザー オブジェクト] を選択します。

    3. アクセス許可で下方向にスクロールし、[すべてクリア] ボタンを選択します。 次に例を示します。

      Screenshot of selecting Clear all.

    4. 上方向にスクロールし、[フル コントロール] を選択します。 すべてのアクセス許可が選択されています。

    5. [コンテンツの一覧][すべてのプロパティの読み取り][読み取りアクセス許可] のアクセス許可の選択を解除し、[OK] を選択します。 これにより、すべてのプロパティ設定が書き込みに設定されます。 次に例を示します。

      Screenshot of selecting permissions.

      これで、トリガーされると、ディレクトリ サービスに関連するすべての変更が 4662 イベントとして表示されるようになります。

  10. 上の手順を繰り返します。ただし、[適用先] では次のオブジェクトの種類を選択します。

    • 子孫グループ オブジェクト
    • 子孫コンピューター オブジェクト
    • 子孫 msDS-GroupManagedServiceAccount オブジェクト
    • 子孫 msDS-ManagedServiceAccount オブジェクト

Note

すべての子孫オブジェクト」に対する監査アクセス許可の割り当ても同様に機能しますが、必要なのは最後のステップで説明されているオブジェクトの種類のみです。

Active Directory フェデレーション サービス (AD FS) の監査を構成する

  1. [Active Directory ユーザーとコンピューター] コンソールに進み、ログオンを有効にするドメインを選択します。

  2. [プログラム データ] > [Microsoft] > [ADFS] の順に移動します。 次に例を示します。

    Screenshot of an ADFS container.

  3. [ADFS] を右クリックし、[プロパティ] をクリックします。

  4. [セキュリティ] タブに移動し、[詳細] > [高度なセキュリティ設定] > [監査] タブ > [追加] > [プリンシパルの選択] の順に選択します。

  5. [選択するオブジェクト名を入力してください] で「Everyone」と入力します。

  6. [名前の確認] > [OK] の順に選択します。

  7. [監査エントリ] に戻ります。 次の選択を行います。

    • 種類で [すべて] を選択します。
    • [適用先] で [このオブジェクトとすべての子孫オブジェクト] を選択します。
    • アクセス許可で下方向にスクロールし、[すべてクリア] を選択します。 上方向にスクロールし、[すべてのプロパティの読み取り] と [すべてのプロパティの書き込み] を選択します。

    次に例を示します。

    Screenshot of the auditing settings for ADFS.

  8. [OK] を選択します。

Active Directory 証明書サービス (AD CS) の監査を構成する

Active Directory 証明書サービス (AD CS) が構成された専用サーバーを使用している場合は、次のように監査を構成して、専用アラートとセキュア スコア レポートを表示してください。

  1. AD CS サーバーに適用するグループ ポリシーを作成します。 編集して、次の監査設定を構成します。

    1. [コンピューターの構成]、[ポリシー]、[Windows 設定]、[セキュリティ設定]、[高度な監査ポリシー]、[構成]、[監査ポリシー]、[オブジェクト アクセス]、[監査証明書サービス]の順にダブルクリックします。

    2. 構成する監査イベントで [成功] と [失敗] を選択します。 次に例を示します。

      Screenshot of the Group Policy Management Editor.

  2. 次のいずれかの方法を使用して、証明機関 (CA) の監査を構成します。

    • コマンド ラインを使用して CA 監査を構成するには、次のコマンドを実行します。

      certutil –setreg CA\AuditFilter 127 
      
      net stop certsvc && net start certsvc
      
    • GUI を使用して CA 監査を構成するには:

      1. スタート -> 証明機関 (MMC デスクトップ アプリケーション) を選択します。 CA 名を右クリックし、[プロパティ] を選択します。 次に例を示します。

        Screenshot of the Certification Authority dialog.

      2. [監査] タブを選択し、監査するすべてのイベントを選択して、[適用] を選択します。 次に例を示します。

        Screenshot of the Properties Auditing tab.

Note

Active Directory 証明書サービスの開始と停止イベント監査を構成すると、大規模な AD CS データベースを処理するときに再起動の遅延が発生する可能性があります。 データベース から無関係なエントリを削除することを検討してください。または、この特定の種類のイベントを有効にしないようにします。

構成コンテナーの監査を構成する

  1. [開始] > [実行] の順に選択して ADSI エディターを開きます。 ADSIEdit.msc を入力して [OK] を選択します。

  2. アクション メニューで [接続先] を選択します。

  3. 接続設定ダイアログ ボックスの [既知の名前付けコンテキストを選択する] で、[構成] >[OK] の順に選択します。

  4. 構成 コンテナーを展開して、"CN=Configuration,DC=..." で始まる構成 ノードを表示します。

  5. 構成ノードを右クリックし、[プロパティ] を選択します。 次に例を示します。

    Screenshot of the Configuration node properties.

  6. [セキュリティ] タブ > [詳細設定] の順に選択します。

  7. [セキュリティの詳細設定] で [監査] タブ > [追加] の順に選択します。

  8. [プリンシパルの選択] を選択します。

  9. [選択するオブジェクト名を入力してください] に「Everyone」と入力し、[名前の確認]>[OK] の順に選択します。

  10. [監査エントリ] に戻ります。 次の選択を行います。

    • 種類で [すべて] を選択します。
    • [適用先] で [このオブジェクトとすべての子孫オブジェクト] を選択します。
    • アクセス許可で下方向にスクロールし、[すべてクリア] を選択します。 上方向にスクロールし、[すべてのプロパティを書き込む] を選択します。

    次に例を示します。

    Screenshot of the auditing settings for the Configuration container.

  11. [OK] を選択します。

レガシ構成

重要

Defender for Identity では、1644 イベントのログ記録が不要になります。 このレジストリ設定を有効にしている場合は、削除できます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

詳細については、「Windows セキュリティ監査」を参照してください。

次のステップ