Microsoft Defender for Identity とは

Microsoft Defender for Identity (旧称: Azure Advanced Threat Protection、Azure ATP とも呼ばれる) はクラウドベースのセキュリティ ソリューションであり、オンプレミスの Active Directory シグナルを利用して、組織を対象とする高度な脅威、侵害された ID、および悪意のあるインサイダーによるアクションの識別、検出、調査を行います。

Defender for Identity を利用することで、ハイブリッド環境での高度な攻撃を検出するために苦労している SecOp アナリストやセキュリティ専門家は、以下のことができます。

  • 学習ベースの分析を使用してユーザー、エンティティの動作、アクティビティを監視します
  • Active Directory に格納されているユーザー ID と資格情報を保護します
  • ユーザーの疑わしいアクティビティおよび kill チェーン全体での高度な攻撃を識別して調査します
  • 高速なトリアージのためにシンプルなタイムラインで明確なインシデント情報を提供します

ユーザーの動作とアクティビティを監視して分析する

Defender for Identity では、ネットワーク全体でユーザーのアクティビティと情報 (アクセス許可やグループ メンバーシップなど) を監視し、各ユーザーの行動ベースラインを作成します。 その後、Defender for Identity で、適応型の組み込みインテリジェンスによって異常が識別され、不審なアクティビティやイベントに関する分析情報がユーザーに提供され、組織に対する高度な脅威、侵害されたユーザー、インサイダーの脅威が明らかにされます。 Defender for Identity の独自のセンサーにより組織のドメイン コントローラーが監視されて、すべてのデバイスからのすべてのユーザー アクティビティに関する包括的なビューが提供されます。

ユーザーの ID を保護して攻撃対象領域を減らす

Defender for Identity を使用すると、ID の構成と推奨されるセキュリティのベスト プラクティスに関する貴重な分析情報が得られます。 Defender for Identity のセキュリティ レポートとユーザー プロファイル分析を使用することで、組織の攻撃対象領域を大幅に削減でき、これにより、ユーザーの資格情報を侵害したり攻撃を進めたりするのが困難になります。 Defender for Identity の視覚的な横移動パスは、攻撃者が組織内を横方向に移動して機密性の高いアカウントを侵害する方法を正確にすばやく理解するのに役立ち、そのようなリスクを事前に防止するのを支援します。 Defender for Identity のセキュリティ レポートは、クリアテキストのパスワードを使用して認証を行っているユーザーとデバイスを特定するのに役立ち、組織のセキュリティ体制とポリシーを向上させるための追加の分析情報を提供します。

ハイブリッド環境での AD FS の保護

Active Directory フェデレーション サービス (AD FS) は、現在のインフラストラクチャによるハイブリッド環境での認証に関して重要な役割を果たします。 Defender for Identity により、AD FS でのオンプレミスの攻撃が検出され、AD FS によって生成された認証イベントへの可視性が提供されることにより、環境内の AD FS が保護されます。 詳細については、「Active Directory フェデレーションサービス (AD FS) の「Microsoft Defender for Identity」を参照してください。

サイバー攻撃 kill チェーン全体で不審なアクティビティと高度な攻撃を識別する

通常、攻撃は、低い特権のユーザーなどの任意のアクセス可能なエンティティに対して開始された後、攻撃者が機密性の高いアカウント、ドメイン管理者、機密性の高いデータなどの貴重な資産にアクセスするまで、すばやい横断的な移動が続けられます。 Defender for Identity を使用すれば、サイバー攻撃 kill チェーン全体のソースでこのような高度な脅威を識別できます。

偵察

悪意のあるユーザーおよび攻撃者による情報取得の試みを識別します。 攻撃者は、さまざまな方法を使用して、ユーザー名、ユーザーのグループ メンバーシップ、デバイスやリソースなどに割り当てられた IP アドレスに関する情報を検索しています。

資格情報の侵害

ブルート フォース攻撃、失敗した認証、ユーザー グループ メンバーシップの変更、その他の方法を使用することによるユーザー資格情報の侵害の試みを識別します。

水平方向の活動

Pass-the-Ticket、Pass-the-Hash、Overpass-the-Hash などの手段を用いて、ネットワークの横断的移動により機密性の高いユーザーを制御しようとする試みを検出します。

ドメインの支配

ドメイン コントローラーでのリモート コード実行、および DC シャドウ、悪意のあるドメイン コントローラーのレプリケーション、ゴールデン チケット アクティビティなどの手段により、ドメインの支配が達成された場合に、攻撃者の動作を強調表示します。

アラートとユーザー アクティビティを調査する

Defender for Identity は、一般的なアラート ノイズを減らすように設計されています。これにより、シンプルなリアルタイムの組織攻撃タイムラインで、関連のある重要なセキュリティ アラートのみが提供されます。 Defender for Identity の攻撃タイムライン ビューでは、スマート分析のインテリジェンスを利用して、簡単に問題に集中し続けることができます。 Defender for Identity を使用すると、脅威をすばやく調査し、組織全体のユーザー、デバイス、ネットワーク リソースに関する分析情報を得ることができます。 Microsoft Defender for Endpoint とのシームレスな統合により、オペレーティング システムでの高度な永続的脅威に対する検出と保護が追加されて、強化されたセキュリティの新しいレイヤーが提供されます。

Defender for Identity に関するその他のリソース

無料試用版の使用開始

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Defender for Identity ロードマップ

Defender for Identity の今後のロードマップを参照してください

Microsoft Tech Community で Defender for Identity をフォローする

https://aka.ms/MDIcommunity

Defender for Identity Yammer コミュニティに参加する

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Defender for Identity ブログ

Defender for Identity ブログ

Defender for Identity 製品ページにアクセスする

https://www.microsoft.com/microsoft-365/security/identity-defender

Defender for Identity アーキテクチャについてさらに学習する

Defender for Identity のアーキテクチャ

よく寄せられる質問

Defender for Identity に関してよく寄せられる質問

ビデオを見る

Defender for Identity でセキュリティ体制を強化する - 既知の不適切なプラクティスを特定して事前に解決し、環境をより正常な状態に保ち、不適切なアクターに対する回復力を高めます。 YouTube 動画をご覧ください。

Defender for Identity でのインシデント調査 - Defender for Identity での ID とドメイン コントローラーを対象とする高度な脅威の検出、調査、および対応方法について学習します。 Defender for Identity のアラートから開始し、その情報がインシデントにどのように関連付けられているか、Defender for Identity によってキャプチャされた情報を使用して脅威を探す方法、問題が大きくなる前にインシデントを修正するための自動インシデント対応を開始する方法について説明します。 YouTube 動画をご覧ください。

次の内容

Microsoft 365 Defender を使用した Microsoft Defender for Identity のデプロイ」で作業を開始する

参照