ドメイン コントローラーでの Defender for Identity センサーの展開を検証する

センサーが動作していることをチェックするには、次の手順に従います。 ドメイン コントローラーでセンサーを初めてアクティブ化するときに、最初のセンサーが [センサー] ページで [実行中] と表示されるまでに最大で 1 時間かかる場合があることに注意してください。 その後のアクティブ化は 5 分以内に表示されます。

ITDR ダッシュボードを確認する

  1. Defender ポータルで [ID>Dashboard] 選択し、表示されている詳細を確認して、環境からの期待される結果を確認します。

詳細については、「 Defender for Identity の ITDR ダッシュボードを操作する」を参照してください。

エンティティ ページの詳細を確認する

ドメイン コントローラー、ユーザー、グループなどのエンティティが想定どおりに設定されていることを確認します。

Defender ポータルで、次の詳細をチェックします。

  • デバイス エンティティ: [ 資産] > [デバイス] を選択し、新しいセンサーのマシンを選択します。 Defender for Identity イベントは、デバイス タイムラインに表示されます。

  • ユーザー エンティティ: 新しくオンボードされたドメインのユーザー> [Assets Users and チェック] を選択します。 または、[グローバル検索] オプションを使用して特定のユーザーを検索します。 ユーザーの詳細ページには、[概要]、[organizationで観察]、[タイムライン] のデータが含まれている必要があります。

  • グループ エンティティ: グローバル検索を使用してユーザー グループを検索するか、グループの詳細が表示されるユーザーまたはデバイスの詳細ページからピボットします。 グループ メンバーシップの詳細、グループ ユーザーの表示、およびグループ タイムライン データの詳細を確認します。

グループ タイムラインでイベント データが見つからない場合は、手動で作成する必要がある場合があります。 これを行うには、たとえば、Active Directory のグループにユーザーを追加したり、グループからユーザーを削除したりします。

詳細については、「 資産の調査」を参照してください。

高度なハンティング テーブルをテストする

  1. Defender ポータルの [高度なハンティング] ページで、次のサンプル クエリを使用して、環境に合わせて関連するテーブルにデータが表示されることをチェックします。

    IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

詳細については、Microsoft Defender ポータルでの高度なハンティングに関するページを参照してください。

ID セキュリティ体制管理 (ISPM) の推奨事項をテストする

テスト環境で危険な動作をシミュレートして、サポートされている評価をトリガーし、期待どおりに表示されることを確認することをお勧めします。 例:

  1. Active Directory 構成を非準拠状態に設定し、準拠状態に戻すことで、セキュリティで 保護されていないドメイン 構成に関する新しい推奨事項を解決します。 たとえば、次のコマンドを実行します。

    非準拠状態を設定するには

    Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}

    準拠状態に戻すには:

    Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}

    ローカル構成をチェックするには:

    Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota

  2. Microsoft Secure Score で、[推奨されるアクション] を選択して、新しい [セキュリティで保護されていないドメイン構成の解決] の推奨事項をチェックします。 Defender for Identity 製品で推奨事項をフィルター処理することもできます。

詳細については、「Microsoft Defender for Identityのセキュリティ体制評価」を参照してください。

アラート機能をテストする

テスト環境で危険なアクティビティをシミュレートして、アラート機能をテストします。 例:

  • アカウントに honeytoken アカウントとしてタグを付け、アクティブ化されたドメイン コントローラーに対して honeytoken アカウントにサインインしてみてください。
  • ドメイン コントローラーに不審なサービスを作成します。
  • ワークステーションからサインインした管理者として、ドメイン コントローラーでリモート コマンドを実行します。

詳細については、「Microsoft Defender XDRでの Defender for Identity セキュリティ アラートの調査」を参照してください。

修復アクションをテストする

テスト ユーザーに対する修復アクションをテストします。 例:

  1. Defender ポータルで、テスト ユーザーのユーザーの詳細ページに移動します。

  2. [オプション] メニューから、使用可能な修復アクションのいずれかを選択します。

  3. Active Directory で期待されるアクティビティを確認します。

詳細については、「Microsoft Defender for Identityの修復アクション」を参照してください。

次の手順

詳細については、「Microsoft Defender for Identity センサーの管理と更新」を参照してください。

  • Last updated on