Microsoft Defender for Identity (以下 MDI)とは、企業のオンプレミスActive Directory(以下 AD) 環境を保護するための、クラウドベースのセキュリティソリューションです。
オンプレミスのActive Directory ID とクラウドID 双方のシグナルを利用して、組織に向けられた高度な脅威をより適切に特定、検出、調査することが可能です。
本記事では、MDI センサーインストール時に発生しがちな、「正常性の問題」の解決方法について記載します。
正常性の問題とは
Microsoft Defender for Identity センサーの正常性の問題とは、Microsoft Defender for Identity のサービスが正常に動作していない、または構成に問題がある状態を指します。
今回は、「ディレクトリサービスの高度な監査が有効になっていません」という問題の解決方法について記載します。
正常性の問題「ディレクトリサービスの高度な監査が有効になっていません」の解決方法
- センサーをインストールしたサーバーにローカル管理者でログオンする
- スタートメニューより、[サーバーマネージャー] を起動する
- [ツール] > [グループポリシー管理]を選択する
- [グループポリシーの管理]を展開し、[Default Domain Controllers Policy] を右クリックし、[編集]を選択する
- [コンピューターの構成] > [ポリシー] > [Windowsの設定] > [セキュリティの設定] >[監査ポリシーの詳細な構成] > [監査ポリシー]の順に選択する
- [アカウントログオン]をダブルクリックする
- [サブカテゴリ]で[資格情報の確認の監査]をダブルクリックする
- [次の監査イベントを構成する]、[成功]、[失敗]にチェックを入れる
- [適用]、[OK]をクリックし、設定を保存する
- 以下の設定項目で、手順6~9を繰り返す
※○=手順6にて選択する項目、■=手順7以降で設定する[サブカテゴリ]
- [アカウントの管理]
- ユーザー アカウントの管理の監査
- セキュリティ グループの管理の監査
- 配布グループの管理の監査
- コンピューター アカウントの管理の監査
- [DSアクセス]
- ディレクトリ サービス アクセスの監査
- ディレクトリ サービスの変更の監査
- [システム]
- セキュリティ システムの拡張の監査
- [アカウントの管理]
- [コマンドプロンプト]を管理者権限で起動し、以下のコマンドを実行してポリシーを適用する
gpupdate/force
まとめ
今回は、MDIセンサーインストール時に発生しがちな正常性の問題の解決方法について記載しました。
同様の事象が発生した際は、ぜひ本記事をご活用ください。
執筆担当者プロフィール
德島 花梨(日本ビジネスシステムズ株式会社)
通信・サービス本部 クラウドインテグレーション部に所属。Microsoft 365 セキュリティ製品に携わっています。MARVEL映画を見るのが好きです。
担当記事一覧