次の方法で共有


Microsoft Defender for Identity スタンドアロン センサーの前提条件

この記事では、Microsoft Defender for Identity スタンドアロン センサーをデプロイするための前提条件を示します。これは、メイン展開の前提条件とは異なります。

詳細については、「Microsoft Defender for Identity デプロイの容量を計画する」を参照してください。

重要

Defender for Identity スタンドアロン センサーの場合、複数の検出のためにデータを提供する Windows イベント トレーシング (ETW) のログ エントリのコレクションはサポートされません。 環境全体を対象にするには、Defender for Identity センサーを展開することをお勧めします。

スタンドアロン センサーの追加のシステム要件

スタンドアロン センサーは、Defender for Identity センサーの前提条件とは次のように異なります。

  • スタンドアロン センサーには、少なくとも 5 GB のディスク領域が必要です

  • スタンドアロン センサーは、ワークグループ内のサーバーにもインストールできます。

  • スタンドアロン センサーでは、ドメイン コントローラーが送受信するネットワーク トラフィック量に応じて、複数のドメイン コントローラーの監視がサポートされます。

  • 複数のフォレストを使用している場合、スタンドアロン センサー マシンは、LDAP を使用して、すべてのリモート フォレスト ドメイン コントローラーと通信できるようにする必要があります。

Defender for Identity スタンドアロン センサーでの仮想マシンの使用については、「ポート ミラーリングの構成」を参照してください。

スタンドアロン センサー用のネットワーク アダプター

スタンドアロン センサーには、次のネットワーク アダプターがそれぞれ少なくとも 1 つ必要です。

  • 管理アダプター - 企業ネットワーク上の通信に使用されます。 センサーは、このアダプターを使用して、保護とマシン アカウントへの解決の対象となる DC にクエリを行います。

    デフォルト ゲートウェイ、優先 DNS サーバー、代替 DNS サーバーなど、静的 IP アドレスで管理アダプターを構成します。

    この接続の DNS サフィックスは、監視対象のドメインごとにドメインの DNS 名にする必要があります。

    Note

    Defender for Identity スタンドアロン センサーがドメインのメンバーである場合、この構成を自動的に行うことができます。

  • キャプチャ アダプター - ドメイン コントローラーとの間のトラフィックをキャプチャするために使用されます。

    重要

    • キャプチャ アダプターのポート ミラーリングをドメイン コントローラー ネットワーク トラフィックの宛先として構成します。 通常、ポート ミラーリングを構成するには、ネットワーク チームまたは仮想化チームと協力する必要があります。
    • 既定のセンサー ゲートウェイも DNS サーバー アドレスも使用しない環境用に、ルーティング不可能な静的 IP アドレスを構成します (/32 マスクを使用)。 例: 10.10.0.10/32。 この構成により、ネットワーク キャプチャ アダプターがトラフィックの最大量をキャプチャできるとともに、管理ネットワーク アダプターを使用して必要なネットワーク トラフィックを送受信できるようになります。

Note

Defender for Identity スタンドアロン センサーで Wireshark を実行している場合は、Wireshark のキャプチャを停止した後で Defender for Identity センサー サービスを再起動します。 センサー サービスを再起動しない場合、センサーはトラフィックのキャプチャを停止します。

NIC チーミング アダプターが構成されたマシンに Defender for Identity センサーをインストールしようとすると、インストール エラーが表示されます。 NIC チーミングが構成されたマシンに Defender for Identity センサーをインストールする場合は、「Defender for Identity センサーの NIC チーミングの問題」を参照してください。

スタンドアロン センサーのポート

次の表では、Defender for Identity センサーのポートに加えて、Defender for Identity スタンドアロン センサーが管理アダプターに構成する必要がある追加のポートの一覧を示します。

Protocol トランスポート ポート ソース ターゲット
内部ポート
LDAP TCP と UDP 389 Defender for Identity センサー ドメイン コントローラー
Secure LDAP (LDAPS) TCP 636 Defender for Identity センサー ドメイン コントローラー
LDAP からグローバル カタログ TCP 3268 Defender for Identity センサー ドメイン コントローラー
LDAPS からグローバル カタログ TCP 3269 Defender for Identity センサー ドメイン コントローラー
Kerberos TCP と UDP 88 Defender for Identity センサー ドメイン コントローラー
Windows タイム UDP 123 Defender for Identity センサー ドメイン コントローラー
Syslog (オプション) TCP/UDP 514 (構成による) SIEM Server Defender for Identity センサー

Windows イベント ログの要件

Defender for Identity の検出は、センサーによってドメイン コントローラーから解析される、特定の Windows イベント ログに依存しています。 正しいイベントを監査して Windows イベント ログに含めるために、ドメイン コントローラーには正確かつ高度な Windows 監査ポリシー設定が必要です。

詳細については、Windows ドキュメントの「高度な監査ポリシーのチェック」と「高度なセキュリティ監査ポリシー」を参照してください。

次のステップ