Microsoft Defender for Identity のセキュリティ アラート ラボの概要
特定の Defender for Identity アラートをテストする必要がありますか。 Defender for Identity アラートの例と、それらをトリガーする方法については、「Microsoft Defender for Identityの攻撃シミュレーション」を参照してください。
Defender for Identity 環境を設定し、いくつかのアラートでテストする方法を学習したいとお考えですか。 その場合は、続けてこの概要をお読みください。
Defender for Identity のセキュリティ アラート ラボ
Microsoft Defender for Identity セキュリティ アラート ラボの概要の目的は、ネットワークに対する疑わしいアクティビティや潜在的な攻撃を識別して検出する Defender for Identity の機能を説明することです。 この 4 つの部分から成るラボでは、Defender for Identity の "個別の" 検出をテストするための動作環境をインストールして構成する方法を説明します。 このラボで注目するのは、Defender for Identity の "シグネチャ" に基づく機能です。 高度な機械学習、ユーザー、またはエンティティに基づく動作の検出には、実際のネットワーク トラフィックによる最大 30 日の学習期間が必要であるため、ラボにはこれらの検出は含まれません。
ラボのセットアップ
この 4 回シリーズの 1 番目のラボでは、Defender for Identity の個別の検出をテストするためのラボを作成する手順を説明します。 このラボには、ラボを設定してそのプレイブックを完了するために必要な、コンピューター、ユーザー、ツールについての情報が含まれます。 手順では、ラボ用のドメイン コントローラーとワークステーションのセットアップおよび他の管理タスクに慣れていることを前提にしています。 推奨されるラボのセットアップに近ければ近いほど、Defender for Identity のテスト手順に容易に従うことができます。 ラボのセットアップが完了したら、テスト用の Defender for Identity セキュリティ アラート プレイブックを使用します。
偵察プレイブック
この 4 回シリーズの 2 番目のラボは、偵察プレイブックです。 偵察アクティビティを使用することで、攻撃者は、後で使用するための環境についての詳細な理解と完全なマッピングを得られます。 プレイブックでは、一般に利用可能なハッキングおよび攻撃ツールからの例を使用し、潜在的な攻撃から不審なアクティビティを識別して検出する Defender for Identity の機能の一部を示します。
横移動のプレイブック
横移動プレイブックは、4 回シリーズのラボの 3 番目です。 攻撃者は、横移動を行って、ドメインの支配を試みます。 このプレイブックを実行することで、ラボで行うシミュレートされた横移動から、Defender for Identity の横移動パスの脅威検出とセキュリティ アラート サービスが確認されます。
ドメインの支配プレイブック
4 回シリーズの最後のラボは、ドメイン支配プレイブックです。 ドメイン支配フェーズでは、攻撃者は既に、ドメイン コントローラーにアクセスするための正当な資格情報を獲得しており、永続的なドメイン支配を達成しようとしています。 いくつかの一般的なドメイン支配方法をシミュレートし、Defender for Identity のドメイン支配に重点を置いた脅威検出とセキュリティ アラート サービスを確認します。