【Microsoft Defender for Identity】ID自動応答を活用する

以前の記事*1で、2023年4月時点のMicrosoft Defender for Identity（以下、MDI）の機能を紹介しました。

2024年6月時点でいくつか新機能の追加や既存機能の変更があったため、本記事ではその内の1つである[ID自動応答]について説明します。

ID自動応答とは自動攻撃の中断とも呼ばれ、進行中の攻撃を封じ込め、影響を受けるリソースに対してさまざまなアクションを自動で行う機能です。この機能は、MDIやMicrosoft Defender for Endpoint（以下、MDE）などのDefender製品にて利用可能です。

MDIの場合は攻撃の影響を受けるユーザーを無効化するアクションが実行され、MDEの場合は攻撃の影響を受けるデバイス/ユーザーをネットワークから分離するというアクションが実行されます。

ID自動応答は、個々のアラートに基づき発生するものではありません。個々のアラートの警告や通知を1つのインシデントレベルに集約させた結果、環境内でランサムウェアキャンペーンなどの高度な攻撃を検知し、さらに攻撃が進行中であった場合に実行されるものとなります。

なお、テナント単位での本機能自体の無効化は不可となります。

本記事では、MDIでのID自動応答である、ユーザーを無効化するアクションに焦点を当てて説明します。

ID自動応答の利用には、アクションアカウントと呼ばれるアカウントが必要です。MDIの場合、既定だと、MDIセンサーをインストールしたドメインコントローラーのLocalSystemアカウントを偽装し、アクションを実行します。

既定値は変更できるため、アクションアカウントとしてgMSA*2を作成し、必要なアクセス権を付与したうえで利用することも可能です。

ただし、gMSAで作成したDSA*3と同じアカウントを利用することは推奨されません。DSAにはオンプレミスADDSに対して読み取りアクセス許可のみが必要ですが、アクションアカウントにはユーザーアカウントに対する書き込みアクセス権が必要であるためです。

ユーザーの無効化アクションにおいては、特定のユーザーアカウントを除外することが出来ます。除外設定を行うには、グローバル管理者またはセキュリティ管理者権限を持つアカウントが必要です。また、Microsoft Defender XDRポータルで設定を行う必要があります。

以下より手順を記載します。

ID自動応答による自動アクション（ユーザーの無効化）以外にも、Microsoft Defender XDRポータルにて、グローバル管理者またはセキュリティ管理者権限をもつアカウントにて手動でアクションを実行することも可能です。

以下より手順を記載します。

Microsoft Defenderポータルにグローバル管理者またはセキュリティ管理者権限を持つアカウントでサインインします。
[設定]から[Microsoft Defender XDR]を選択します。
検索欄にて、アクション対象ユーザー名を入力します。※手動でのアクションは攻撃の対象でないアカウントでも実行可能です。
[ユーザー]を選択し、対象のユーザーを選択します。
3点リーダーを選択し、[ADでユーザーを無効にする]、[パスワードのリセットを強制する]のいずれかのアクションを選択します。以下より、ユーザーの無効化を選択した場合の手順を記載します。
再度[ ADでユーザーを無効にする]を選択します。
成功の通知を確認します。
ユーザーを再度有効にしたい場合は、3点リーダーを選択し、[ADでユーザーを有効にする]を選択します。