Microsoft Defender for Identity(以下MDI)とは、オンプレミスの Active Directory Domain Service(以下、AD)のシグナルを使用して、高度な脅威、侵害された ID、および組織に向けられた悪意のあるアクティビティを特定、検出、調査するクラウドベースのセキュリティ ソリューションです。
本記事では、2023年6月時点のMDIをセンサーインストール型で構成する際の前提条件および注意事項について記載します。
センサーインストール型とセンサーサーバー型
MDIの構成パターンとしては、センサーインストール型とセンサーサーバー設置型の2種類があります。
センサーインストール型はすべてのMDI監視対象ADにMDIセンサーをインストールする方式で、オンプレミス環境に追加でサーバーを立てる必要がないというメリットがあります。
一方、センサーサーバー設置型はオンプレミス環境に追加でMDI用のサーバーを立てる必要がありますが、お客様のセキュリティポリシー上ADからMDIクラウドサービスへのアウトバウンド通信が不可である場合に利用することが出来ます。
今回は、センサーインストール型で構成する場合の前提条件について説明します。
MDI利用前提条件(センサーインストール型)
ライセンス
Enterprise Mobility + Security E5 (EMS E5/A5)、Microsoft 365 E5 (M365 E5/A5/G5)、または Microsoft 365 E5/A5/G5 Security のいずれかを監視対象ADに参加するユーザーに割り当てる必要があります。
OS・ハードウェア
MDIセンサーインストール対象ADのOS・ハードウェア要件は以下となります。
| No. | 項目 | 内容 |
| 1 | OSバージョン | Windows Server 2012以降であること。 |
| 2 | ディスク | 6GB以上(推奨は10GB以上)であること。 |
| 3 | CPU | 2コア以上であること。 |
| 4 | メモリ | 6GB以上であること。 |
| 5 | 電源オプション(消費電力調整) | 「高パフォーマンス」が選択されていること。 |
| 6 | 時刻同期間隔 | 5分以内であること。 |
| 7 | ネットワークアダプタ | MDIセンサーインストール対象ADにNpcapドライバーがインストールされていること。※NpcapドライバーはMDIセンサーインストール時に自動的にインストールされる。 |
通信要件
MDIを利用するのに必要となる通信要件は以下となります。
| プロトコル | ポート | From | To | 用途 |
| SSL | 443(TCP) | MDIセンサーをインストールしているADサーバー | Defender for Identity Cloud Service | MDI センサーがインストールされた AD にて MDI クラウドサービスへの通信を行うために利用する。 |
| (*.atp.azure.com) | ||||
| DNS | 53(TCP/UDP) | MDIセンサーをインストールしているADサーバー | DNSサーバー(全台) | MDIのアラートの検知および、関連する情報を取得するために使用する。 ※左記ポートが構成されていない場合、MDI にそのポートに関連する以下のようなアラート検知に関する情報が連携されない。 (例)偵察と検出アラート - ネットワーク マッピングによる偵察 (DNS) (外部 ID 2007) |
| Netlogon | 445(TCP/UDP) | MDIセンサーをインストールしているADサーバー | 監視対象ADに参加しているすべてのクライアント端末・メンバーサーバー | SAM-Rのアクセスに利用する。 |
| RADIUS | 1813(UDP) | RADIUSサーバー | MDIセンサーをインストールしているADサーバー | VPN統合を利用しない場合不要。 ※通常の VPN 接続からの逸脱を検出した場合にアラートを通知する機能。 |
| SSL | 444(TCP) | MDIセンサーサービス ※ADサーバーで実行されるプログラムを指す=ADサーバー |
センサーアップデートサービス ※ADサーバーで実行されるプログラムを指す=ADサーバー |
MDI センサー サービスとセンサー アップデーター サービスが通信を行う際に利用する。 (センサーのバージョンの確認やセンサーのアップデートに利用される) |
| (localhost) | ||||
| RPC経由のNTLM | 135(TCP) | MDIセンサーをインストールしているADサーバー | 監視対象ADに参加しているすべてのクライアント端末・メンバーサーバー | なりすましの脅威を検知するために利用する。 また、ネットワーク名前解決にあたってDNSプロトコルを利用して得た情報を補完するために利用する。補完することでMDIの検知・アラート情報の精度が向上する。 |
| NetBIOS | 137(UDP) | MDIセンサーをインストールしているADサーバー | 監視対象ADに参加しているすべてのクライアント端末・メンバーサーバー | |
| RDP | 3389(TCP) | MDIセンサーをインストールしているADサーバー | 監視対象ADに参加しているすべてのクライアント端末・メンバーサーバー | |
※対象のポートが構成されていない場合、MDI にそのポートを利用して得られる情報が連携されず、アラートやエンティティの情報が正しく検出されない可能性があるため、必要な通信要件はすべて構成することをMicrosoftは推奨しています。
MDI管理ポータルへのアクセス時のwebブラウザー要件
HTML5準拠のWebブラウザーを利用する必要があります。
(例:Edge,Google Chrome)
ディレクトリサービスアカウント
MDIがドメインコントローラーに接続するために、ディレクトリサービスアカウント(以下DSA)と呼ばれるサービスアカウントを監視対象のAD上に作成する必要があります。
※DSAの種類と作成方法は別の記事で紹介します。
DSAへのアクセス許可
DSAへ以下4つのアクセス権を付与する必要があります。
※それぞれの設定方法は別の記事で紹介します。
| No. | 項目 | 内容 |
| 1 | サービスとしてログオン | 常時マシン上で継続動作するサービスやネットワークサービスの起動を許可する権限をDSAに付与する。 |
| 2 | ネットワーク経由でのアクセス | SAM-Rのアクセスを実施するため、DSAからドメイン内のコンピュータへのアクセスを許可する権限をDSAに付与する。 |
| 3 | AD内の全てのオブジェクトに対する読み取りアクセス許可 (削除済みオブジェクトコンテナー含む) |
AD内の全てのオブジェクトに対する読み取りアクセス許可(削除済みオブジェクトコンテナー含む)をDSAに付与する。 |
| 4 | SAMデータベースへのアクセス | 横移動パス検出を可能にするため、クライアント側でSAMをリモート呼び出しできるようDSAにアクセス権を付与する。 |
WIndowsイベントログ・オブジェクト監査
MDIで脅威を検知するために必要となるWindowsイベントログの設定は以下となります。
| No. | 大項目 | 項目 | 設定値 | 検知するイベントID | イベントビューア格納箇所 |
| 1 | アカウントログオン | 資格情報の確認の監査 | [次の監査イベントを構成する] を [成功] と [失敗] の両方のイベント選択 | 4776 | セキュリティ |
| 2 | アカウント管理 | コンピューター アカウントの管理の監査 | 4741、4743 | セキュリティ | |
| 3 | 配布グループの管理の監査 | 4753、4763 | セキュリティ | ||
| 4 | セキュリティ グループの管理の監査 | 4728、4729、4730、4732、4733、4756、4757、4758 | セキュリティ | ||
| 5 | ユーザー アカウントの管理の監査 | 4726 | セキュリティ | ||
| 6 | DS アクセス | ディレクトリ サービス アクセス監査 | 4662 | セキュリティ | |
| 7 | ディレクトリ サービスの変更の監査 | 5136 | セキュリティ |
| No. | 大項目 | 項目 | 設定値 | 検知するイベントID | イベントビューア表示箇所 |
| 8 | システム | セキュリティ システムの拡張の監査 | [次の監査イベントを構成する] を [成功] と [失敗] の両方のイベント選択 | 7045 | セキュリティ |
| 9 | セキュリティオプション | ネットワーク セキュリティ: NTLM を制限する: リモート サーバーに対する送信 NTLM トラフィック | すべて監査する | 8004 | アプリケーションとサービスログ-Windows-NTLM |
| 10 | ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証を監査する | すべて監査する | |||
| 11 | ネットワーク セキュリティ:NTLM を制限する:受信 NTLM トラフィックを監査する | すべてのアカウントに対して監査を有効にする |
※下記の理由から記載のWindowsイベントログを全て設定する必要があります。
- 設定漏れがあった場合、MDIにて正しい構成ではないと判断され正常性アラートが発生する仕様になっている。
- 設定漏れがあった場合、不審なアクティビティ検知に必要な情報を取得できないため、一部脅威の検知が不可となる。
※現行のWindowsイベントログ設定からMDIを利用するために追加でWindowsイベントログを設定する場合、現行よりも取得するログが増えることになるため、ログ監視システムの容量に影響がないかを考慮する必要があります。
以下に、Windowsイベントログ設定をDefault Domain Controllers Policyにて設定する場合の手順を記載します。
■No.1~No.8の設定方法
- 監視対象ADサーバーに管理者アカウントでサインインします。
- [サーバー マネージャー] > [ツール] > [グループポリシーの管理] > [フォレスト] > [ドメイン] > [ドメイン名] > [Domain Controllers] の順に選択します。
- [Default Domain Controllers Policy]にて右クリックし、[編集]を選択します。
- [コンピュータの構成] > [ポリシー] > [Windowsの設定] > [セキュリティの設定] > [監査ポリシーの詳細な構成] > [監査ポリシー]の順に選択します。
- [アカウントログオン]、[アカウントの管理]、[詳細追跡]、[DSアクセス]、[ログオン/ログオフ]、[オブジェクトアクセス]、[ポリシーの変更]、[特権の使用]、[システム]、[グローバルオブジェクトアクセスの監査]を上記表に記載の[設定値]通りに設定します。
■No.9~No.10の設定方法
- 監視対象ADサーバーに管理者アカウントでサインインします。
- [サーバー マネージャー] > [ツール] > [グループポリシーの管理] > [フォレスト] > [ドメイン] > [ドメイン名] > [Domain Controllers] の順に選択します。
- [Default Domain Controllers Policy]にて右クリックし、[編集]を選択します。
- [コンピュータの構成] > [ポリシー] > [Windowsの設定] > [セキュリティの設定] > [ローカルポリシー] > [セキュリティオプション]の順に選択します。
- [セキュリティオプション]を上記表に記載の[設定値]通りに設定します。
また、上記表のNo.6に記載しているイベントID[4662]の前提作業として、以下のオブジェクト監査の設定も必要となります。以下を設定することで、監査する対象・操作を指定することが出来ます。
| No. | 大項目 | 設定値 |
| 1 | オブジェクト監査 ・子ユーザーオブジェクト ・子グループ オブジェクト ・子コンピューター オブジェクト ・子 msDS-GroupManagedServiceAccount オブジェクト ・子 msDS-ManagedServiceAccount オブジェクト ※子:選択されたオブジェクト自身とその下位階層にある関連オブジェクトすべてを指す |
[コンテンツの一覧表示]、[読み取りアクセス許可]、および [すべてのプロパティの読み取り] アクセス許可以外をオン (すべての [プロパティ]が [書き込み] のみオンに設定される) |
| 2 | ・ADFS監査 ・このオブジェクトとすべての子オブジェクト |
[ すべてのプロパティの読み取り ] と [ すべてのプロパティの書き込み] をオン |
| 3 | 構成コンテナー | [ すべてのプロパティの書き込み] をオン |
※Exchange Server群がある環境の場合、Exchange Server監査も設定する必要がありますが、本記事では触れていません。
【参考情報】Windows イベント コレクションの構成 - Microsoft Defender for Identity | Microsoft Learn
■No.1の設定方法
- 監視対象ADサーバーに管理者アカウントでサインインします。
- [サーバー マネージャー] > [ツール] > [Active Directoryユーザーとコンピューター] > [表示] を順に選択します。
- [拡張機能]にチェックが入っていることを確認します。
- [サーバー マネージャー] > [ツール] > [Active Directoryユーザーとコンピューター]の順に選択します。
- [ドメイン]にて右クリックし、[プロパティ]を選択します。
- [セキュリティ] > [詳細設定] > [監査] > [追加]の順に選択します。
- [プリンシパルの選択]にて[EveryOne]を設定します。
- [種類]にて[成功]を選択します。
- [適用先]にて[子ユーザーオブジェクト]を選択します。
- [ アクセス許可] で下にスクロールし、[ すべてクリア ] ボタンを選択します。
- 戻ってスクロールし、[ フル コントロール] を選択します。
- [内容の一覧表示]、[すべてのプロパティの読み取り]、[アクセス許可の読み取り] のアクセス許可をオフにします。
- [OK] を選択します。
※手順9にて適用先を以下に変更してそれぞれ作成するので、全部で5つの監査エントリを作成します。
・子グループ オブジェクト
・子コンピューター オブジェクト
・子 msDS-GroupManagedServiceAccount オブジェクト
・子 msDS-ManagedServiceAccount オブジェクト
■No.2の設定方法
- 監視対象ADサーバーに管理者アカウントでサインインします。
- [サーバー マネージャー] > [ツール] > [Active Directoryユーザーとコンピューター] の順に選択します。
- [ドメイン]にて右クリックし、[プロパティ]を選択します。
- [セキュリティ] > [詳細設定] > [監査] > [追加]の順に選択します。
- [プリンシパルの選択]にて[Everyone]を設定します。
- [種類]にて[すべて]を選択します。
- [適用先]にて[このオブジェクトとすべての子オブジェクト]を選択します。
- [ アクセス許可] で下にスクロールし、[ すべてクリア ] ボタンを選択します。
- 戻ってスクロールし 、[すべてのプロパティの読み取り]、[すべてのプロパティの書き込み] のアクセス許可をオンにします。
- [OK]を選択します。
■No.3の設定方法
- 監視対象ADサーバーに管理者アカウントでサインインします。
- [ファイル名を指定して実行] の順に選択し、「ADSIEdit.msc」と入力して、 [OK] を選択します。
- [操作] メニューの [接続] を選択します。
- [接続の設定] ダイアログ ボックスの [既知の名前付けコンテキストを選択する] で、 [構成] を選択し、 [OK] を選択します。
- [構成] コンテナーを展開し、 “CN=Configuration,DC=..." で始まる構成ノードを右クリックし、 [プロパティ] を選択します。
- 以下の順に選択します。
[セキュリティ] > [詳細設定] > [監査] > [追加] - 監査エントリ画面にて、[選択するオブジェクト名を入力してください] の下に「Everyone」と入力し、[名前の確認] を選択後 [OK] を選択します。
- [種類] で [すべて] を選択します。
- [適用対象] で[このオブジェクトとすべての子オブジェクト]を選択します。
- [ アクセス許可] で下にスクロールし、[ すべてクリア ] ボタンを選択します。
- 戻ってスクロールし [すべてのプロパティの書き込み] を選択します。
- [OK]を選択します。
おわりに
本記事で紹介したように、MDIを利用するために必要となる前提条件・作業は多数あります。
一つでも漏れてしまうと、MDI管理ポータル上でエラーが発生したり、MDIが十分に動作しなくなってしまう恐れがあるため、お客様の環境に必要なものはすべて設定いただければと思います。
次回は、DSAの種類やそれぞれの違いについて説明予定です。
