前回までの記事で、Microsoft Defender for Identity(以下MDI)の利用を開始するまでの必要最低限の作業は完了しました。
それぞれの環境に合わせた設計を行うことで、よりMDIを活用することが出来るため、今回はMDIの設計項目について説明します。
※Microsoftの製品はかなり速いスピードで仕様変更が発生することが多いため、随時公開情報をチェックしてください。
MDIの設計項目一覧
以下に、MDIの設計項目の一覧を記載します。
| No. | 大項目 | 小項目 | 概要 | 備考 |
| 1 | MDIセンサーバージョンアップ遅延 | - | MDIクラウドサービスが更新された72時間後にセンサーバージョンアップが適用される。 | センサー更新は無効化できず、自動でアップデートされる。 |
| 2 | アクションアカウント | - | MDI管理ポータル上でアクションアカウントを構成することで、アラート対象となったオンプレミスのAD ユーザーアカウントに対し修復アクション(ユーザーの無効化、ユーザー パスワードのリセット)をMDI管理ポータルから実行できる。 | |
| 3 | VPN | - | Microsoft365 Defenderポータル内ユーザープロファイル ページのIP アドレスや接続元の場所などにVPN 接続時における情報が追加される。さらに、ユーザーのVPN接続動作に対してMDIが機械学習を行い、通常の VPN 接続からの逸脱を検出した場合にアラートが通知される。 | |
| 4 | 学習期間を削除する | - | 一部のMDIアラートは、パターンを学習し、正当なアクティビティと疑わしいアクティビティを区別するため、学習期間を必要とする仕様となっている。 本項目では、学習期間を設けないという設定が可能。 |
|
| 5 | エンティティタグ | 機密 | 重要度の高いエンティティに対し機密タグを付与する。機密タグを付与することで機密性の高いユーザー・コンピューターとしてアラート検出が可能。 | Administrators、Schema Adminsなどは既定で機密タグが付与される仕様となっている。 |
| 6 | ハニートークン | おとり用のアカウント。MDIにてハニートークンアカウントの使用が試みられると、疑わしいアクティビティと判断する。 | ||
| 7 | Exchangeサーバー | 手動でExchange サーバーを機密としてタグ付けする。 | ||
| 8 | 除外 | グローバルに除外されたエンティティ | ユーザー、コンピューター、ドメインまたはIPアドレスを検出対象から手動で除外することができる。運用上発生するエラーや影響のない既知のイベントを除外することで、より緊急性の高いエラーや攻撃を認識しやすくすることが可能。 | |
| 9 | 検出ルールによる除外 | 検知しない検出ルール(例:ブルートフォース攻撃の疑い、アカウント列挙攻撃による偵察等)を指定する。 | ||
| 10 | 自動応答の除外 | アクションアカウントを利用してアラート対象となったオンプレミスのAD ユーザーアカウントに対し実行できる修復アクション(ユーザーの無効化、ユーザー パスワードのリセット) の対象外とするアカウントを指定する。 | ||
| 11 | 通知 | 正常性の問題の通知 | 正常性アラートのメール通知を受け取る受信者を設定する。 | |
| 12 | 警告通知 | 検出された新しいアラートのメール通知を受け取る受信者を設定する。 | ||
| 13 | Syslog通知 | MDI 管理ポータル上で指定したMDIセンサーを介して、MDI で発生したアラート(セキュリティ アラート、正常性アラート)をサード パーティ製のログ管理ソリューションに連携することが可能。 |
本記事では、この中から「MDIセンサーバージョンアップ遅延」、「ハニートークン」、「検出ルールによる除外」の3つをピックアップし、詳細を説明します。
MDIセンサーバージョンアップ遅延
MDIセンサーのバージョンアップとは
MDIセンサーのバージョンアップとは、センサーバージョンを最新に保つ機能です。
センサーバージョンを最新に保つことで、高いセキュリティレベルを維持することが可能となります。
更新の種類は、マイナーバージョン更新とメジャーバージョン更新の2種類があり、メジャーバージョン更新の場合はMicrosoft Windows Installerがインストールされます。
アップデート内容として主に上げられるのは、バグ修正・今後増える可能性がある未知の攻撃に対する修正です。
アップデートが実施される場合、Microsoft公開情報 *1にて、アップデート内容や時期を確認することが可能です。
自動検知(アップデート実施前に管理者へメール通知する等)は現状実装されてませんが、URL*2をフィードリーダーにコピーして貼り付け、ページが更新されたときに通知を受け取るよう設定するという方法があります。
※Microsoft社の過去実績ベースでは、ページの更新タイミングはアップデート配信の2~5 営業日前。
バージョンアップ遅延の有効化要否について
MDIセンサーアップデートの内容から、アップデートが現行環境に予期せぬ影響を及ぼす可能性は低いと考えられます。
ですが、万が一アップデートによって不具合が発生した場合、遅延設定を有効化しているサーバーであれば即時のバージョンアップ適用を防止できます。
アップデート自体の停止は不可という仕様から72時間後には自動的にバージョンアップが適用されてしまいますが、72時間の間にMicrosoftによるバグ修正等の対応を享受できる可能性があります。
以下に、検証環境と本番環境が存在する会社を想定したバージョンアップ適用タイミングのパターン比較表を記載します。
| No. | 検証環境 | 本番環境 | 総評 |
| 1 | 遅延反映 | 遅延反映 | 本番環境・検証環境共に致命的な不具合発生バージョンの適用を回避できる可能性がある。 |
| 2 | 即時反映 | 即時反映 | 本番環境・検証環境共に致命的な不具合発生バージョンの適用を回避できない。 |
| 3 | 即時反映 | 遅延反映 | 本番環境に関しては致命的な不具合発生バージョンの適用を回避できる可能性がある。ただし、検証環境は致命的な不具合発生バージョンの適用を回避できない。また、検証環境だけ先にアップデートしたとしても、Microsoftが配信停止などの対応を行わない限り本番環境のバージョンアップは無効化することは出来ない。 |
上記の比較から、検証環境のみ即時反映にすることのメリットはないと考えられるため、検証環境・本番環境ともに遅延設定を行う方が、万が一のリスクに備えられることが分かります。
ハニートークン
ハニートークンアカウントとは、おとり用のアカウントを指しており、通常運用では利用されないアカウントを指定します。
ここではMDIによるハニートークン認証アクティビティの検知テスト方法を紹介します。
- MDI ポータルに管理者アカウントでサインインします。
- [エンティティ タグ]-[ハニートークン]にテスト用ハニートークンアカウントを指定していることを確認します。※ハニートークンアカウントの指定は、MDIセンサーを監視対象ADにインストール後可能になります。
- 監視対象ADにドメイン参加済みの端末に、 ハニートークンアカウントにてログインを試します。※パスワードは任意のもので良く、ログインに失敗した状態でも問題ありません。
-
Microsoft 365 Defenderの[インシデントとアラート]を確認し、ハニートークン認証アクティビティに関するアラートが表示されていれば完了です。
検出ルールによる除外
検出ルールによる除外の設定例を紹介します。
「"pass-the-ticket攻撃による個人情報の盗難"というアラートに関して、IPアドレス:「10.XX.XX.XX」が対象である場合はアラートを発砲しない。」というような除外設定が可能です。
以下に設定方法を記載します。
- MDI ポータルに管理者アカウントでサインインします。
- [アクションと除外]-[検出ルールによる除外]にて、[個人情報の盗難 (pass-the-ticket) の疑いがあります]を選択します。
- [IPアドレスを追加する]を選択します。
- [+IPアドレスを追加する]を選択します。
- 対象のIPアドレスを入力し、[追加]を選択します。
- [IPアドレスを追加する]を選択します。
- [IPアドレス]の欄に設定したIPアドレスが表示されていれば完了です。
さいごに
今回は、MDIをさらに活用するための設計項目を紹介しました。
MDIを最大限に活用して、さらなるセキュリティリスクの低下や運用担当者の負担軽減を目指しましょう。
