Microsoft Defender XDR を使用した Microsoft Defender for Identity のデプロイ
この記事では、Microsoft Defender for Identity の完全な展開プロセスの概要について、準備と展開の手順、特定のシナリオの追加手順などを含めて説明します。
Defender for Identity はゼロ トラスト戦略、および ID 脅威検出と対応 (ITDR) つまり Microsoft Defender XDR を使用した拡張検出と応答 (XDR) 展開の主要なコンポーネントです。 Defender for Identity では、Active Directory シグナルを使用して特権エスカレーションなどの突然のアカウント変更やリスクの高い横方向の移動を検出し、セキュリティ チームによる修正のために、安全でない Kerberos 委任などの簡単に悪用可能な ID の問題について報告します。
展開のクイック設定の概要については、「クイック インストール ガイド」を参照してください。
前提条件
開始する前に、セキュリティ管理者以上の Microsoft Defender XDR アクセス権限があり、次のいずれかのライセンスがあることを確認してください。
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Security
- Microsoft 365 F5 Security + Compliance*
- スタンドアロン Defender for Identity ライセンス
* いずれの F5 ライセンスにも、Microsoft 365 F1/F3 または Office 365 F3 と、Enterprise Mobility + Security E3 が必要です。
Microsoft 365 ポータルでライセンスを直接取得するか、クラウド ソリューション パートナー (CSP) ライセンス モデルを使用します。
詳細については、ライセンスとプライバシーに関する FAQ、およびDefender for Identity の役割とアクセス許可に関する記事を参照してください。
Microsoft Defender XDR を使い始める
このセクションでは、Defender for Identity へのオンボーディングの開始方法について説明します。
- Microsoft Defender ポータルにサインインします。
- ナビゲーション メニューから、[Incidents & alerts]\(インシデントとアラート\)、[ハンティング]、[アクション センター]、[脅威の分析] などの項目を選択して、オンボード プロセスを開始します。
その後、提示されたオプションを選択して、サポートされているサービス (Microsoft Defender for Identity など) を展開します。 Defender for Identity に必要なクラウド コンポーネントは、Defender for Identity の設定ページを開くと自動的に追加されます。
詳細については、以下を参照してください:
- Microsoft Defender XDR の Microsoft Defender for Identity
- Microsoft Defender XDR の概要
- Microsoft Defender XDR を有効にする
- サポートされているサービスの展開
- Microsoft Defender XDR を有効にするときによく寄せられる質問
重要
現在、Defender for Identity のデータ センターは、ヨーロッパ・英国・北米・中央アメリカ・カリブ・オーストラリア東部・アジアに配置されています。 ワークスペース (インスタンス) は、Microsoft Entra テナントの地理的な場所に最も近い Azure リージョンに自動的に作成されます。 Defender for Identity ワークスペースは、一度作成されると移動できません。
計画と準備
Defender for Identity の展開は、次の手順に従って準備します。
すべての前提条件を満たしていることを確認します。
ヒント
Test-MdiReadiness.ps1 スクリプトを実行して、環境に必要な前提条件があるかどうかをテストすることをお勧めします。
Test-MdiReadiness.ps1 スクリプトへのリンクは、Microsoft Defender XDR の [ID] > [ツール] ページ (プレビュー) からも入手できます。
Defender for Identity をデプロイする
システムを準備したら、次の手順に従って Defender for Identity を展開します。
- Defender for Identity サービスへの接続を確認します。
- Defender for Identity センサーをダウンロードします。
- Defender for Identity センサーをインストールします。
- データの受信を開始するように Defender for Identity センサー を構成します。
デプロイ後の構成
次の手順に従って展開プロセスを完了します。
Windows イベント コレクションを構成します。 詳細については、「Microsoft Defender for Identity によるイベント収集」および「Windows イベント ログの監査ポリシーを構成する」を参照してください。
Defender for Identity の統合されたロールベースのアクセス制御 (RBAC) を有効にして構成します。
Defender for Identity で使用するディレクトリ サービス アカウント (DSA) を設定します。 DSA は一部のシナリオで省略可能ですが、完全なセキュリティ カバレッジのためにも Defender for Identity の DSA を構成することをお勧めします。
必要に応じて SAM へのリモート呼び出しを構成します。 この手順は省略可能ですが、Defender for Identity を使用して横方向の移動パスを検出できるよう、SAM-R へのリモート呼び出しを構成することをお勧めします。
重要
AD FS サーバーまたは AD CS サーバーに Defender for Identity センサーをインストールするには、追加の手順が必要です。 詳細については、「AD FS と AD CS のセンサーを構成する」を参照してください。