Microsoft Defender XDR を使用した Microsoft Defender for Identity のデプロイ
この記事では、Microsoft Defender for Identity の完全な展開プロセスの概要について、準備と展開の手順、特定のシナリオの追加手順などを含めて説明します。
Defender for Identity は、ゼロ トラスト戦略と、Microsoft Defender XDR を使用した Identity Threat Detection and Response (ITDR) または拡張検出および応答 (XDR) のデプロイの主要なコンポーネントです。 Defender for Identity では、ドメイン コントローラーや AD FS/AD CS および Entra Connect サーバーなどの ID インフラストラクチャ サーバーからのシグナルを使用して、特権エスカレーションや危険度の高いラテラル ムーブメントなどの脅威を検出し、セキュリティ チームによる修正のために、制約のない Kerberos 委任などの簡単に悪用される ID の問題に関するレポートを行います。
展開のクイック設定の概要については、「クイック インストール ガイド」を参照してください。
前提条件
開始する前に、セキュリティ管理者以上の Microsoft Defender XDR アクセス権限があり、次のいずれかのライセンスがあることを確認してください。
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Security
- Microsoft 365 F5 Security + Compliance*
- スタンドアロン Defender for Identity ライセンス
* いずれの F5 ライセンスにも、Microsoft 365 F1/F3 または Office 365 F3 と、Enterprise Mobility + Security E3 が必要です。
Microsoft 365 ポータルでライセンスを直接取得するか、クラウド ソリューション パートナー (CSP) ライセンス モデルを使用します。
詳細については、ライセンスとプライバシーに関する FAQ、およびDefender for Identity の役割とアクセス許可に関する記事を参照してください。
Microsoft Defender XDR を使い始める
このセクションでは、Defender for Identity へのオンボーディングの開始方法について説明します。
- Microsoft Defender ポータルにサインインします。
- ナビゲーション メニューから、[Incidents & alerts]\(インシデントとアラート\)、[ハンティング]、[アクション センター]、[脅威の分析] などの項目を選択して、オンボード プロセスを開始します。
その後、提示されたオプションを選択して、サポートされているサービス (Microsoft Defender for Identity など) を展開します。 Defender for Identity に必要なクラウド コンポーネントは、Defender for Identity の設定ページを開くと自動的に追加されます。
詳細については、以下を参照してください:
- Microsoft Defender XDR の Microsoft Defender for Identity
- Microsoft Defender XDR の概要
- Microsoft Defender XDR を有効にする
- サポートされているサービスの展開
- Microsoft Defender XDR を有効にするときによく寄せられる質問
重要
現在、Defender for Identity データ センターは、ヨーロッパ、英国、スイス、北米/中米/カリブ海地域、オーストラリア東部、アジア、インドに展開されています。 ワークスペース (インスタンス) は、Microsoft Entra テナントの地理的な場所に最も近い Azure リージョンに自動的に作成されます。 Defender for Identity ワークスペースは、一度作成されると移動できません。
計画と準備
Defender for Identity の展開は、次の手順に従って準備します。
すべての前提条件を満たしていることを確認します。
ヒント
Test-MdiReadiness.ps1 スクリプトを実行して、環境に必要な前提条件があるかどうかをテストすることをお勧めします。
Test-MdiReadiness.ps1 スクリプトへのリンクは、Microsoft Defender XDR の [ID] > [ツール] ページ (プレビュー) からも入手できます。
Defender for Identity をデプロイする
システムを準備したら、次の手順に従って Defender for Identity を展開します。
- Defender for Identity サービスへの接続を確認します。
- Defender for Identity センサーをダウンロードします。
- Defender for Identity センサーをインストールします。
- データの受信を開始するように Defender for Identity センサー を構成します。
デプロイ後の構成
次の手順に従って展開プロセスを完了します。
Windows イベント コレクションを構成します。 詳細については、「Microsoft Defender for Identity によるイベント収集」および「Windows イベント ログの監査ポリシーを構成する」を参照してください。
Defender for Identity の統合されたロールベースのアクセス制御 (RBAC) を有効にして構成します。
Defender for Identity で使用するディレクトリ サービス アカウント (DSA) を設定します。 DSA は一部のシナリオで省略可能ですが、完全なセキュリティ カバレッジのためにも Defender for Identity の DSA を構成することをお勧めします。 たとえば、DSA を構成すると、DSA は起動時にドメイン コントローラーに接続するために使用されます。 また、DSA は、ドメイン コントローラーに対して、ネットワーク トラフィック、監視対象イベント、監視対象 ETW アクティビティに表示されるエンティティに関するデータをクエリするために使用することもできます。
必要に応じて SAM へのリモート呼び出しを構成します。 この手順は省略可能ですが、Defender for Identity を使用して横方向の移動パスを検出できるよう、SAM-R へのリモート呼び出しを構成することをお勧めします。
ヒント
既定では、Defender for Identity センサーは、ポート 389 と 3268 で LDAP を使用してディレクトリに対してクエリを実行します。 ポート 636 および 3269 で LDAPS に切り替えるには、サポート ケースを開いてください。 詳細については、「Microsoft Defender for Identity サポート」を参照してください。
重要
AD FS/AD CS および Entra Connect サーバーに Defender for Identity センサーをインストールするには、追加の手順が必要です。 詳細については、「AD FS、AD CS および Entra Connect 用センサーを構成する」を参照してください。