Microsoft Defender for Identity を使用して高度な攻撃を検出する

Microsoft Defender for Identity を使用して高度な攻撃を検出する

2024 年 7 月 14 日

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Microsoft Defender for Identity (MDI) を使用する方法をガイドすることを目的としています。MDI は、オンプレミスの Active Directory 信号を利用して高度な脅威や侵害された ID を特定、検出、調査するクラウド ベースのセキュリティ ソリューションです。 MDI は Microsoft 365 Defender スイートの不可欠な部分であり、ID 環境における不審なアクティビティに対する重要な可視性を提供します [1]。

はじめに

ID は新しいセキュリティ境界です。最近のサイバー攻撃は、多くの場合、ユーザーと管理者の資格情報を侵害して、特権アクセスを取得し、横方向の移動を実行し、データを窃取することを目的としています。従来のネットワーク セキュリティ ソリューションでは、多くの場合、こうした高度な戦術を検出するには十分ではありません。 Microsoft Defender for Identity は、ドメイン コントローラーのネットワーク トラフィックとイベント ログを監視して、Pass-the-Hash、Pass-the-Ticket、ネットワーク偵察、特権昇格などの ID 攻撃を示す異常な動作を特定することで、このギャップを埋めます [2]。

この実践的なガイドでは、センサーの導入からアラートの分析、インシデントの調査まで、MDI の構成と使用方法について説明します。段階的な手順、検出例、および検証方法が提供され、読者が ID の保護を実装および強化して、Microsoft 環境におけるリスクを軽減し、高度な脅威への対応力を向上させることができます。

Microsoft Defender for Identity が重要なのはなぜですか?

  • アイデンティティベースの攻撃検出: Pass-the-Hash、Pass-the-Ticket、Golden Ticket、ネットワーク偵察、権限昇格などの ID 攻撃で使用される一般的な戦術、技術、および手順 (TTP) を特定します。
  • 包括的な可視性: ドメイン コントローラーとイベント ログからのネットワーク トラフィックを監視して、通常のユーザーの動作のプロファイルを構築し、異常を検出します。
  • Microsoft 365 Defender との統合: MDI アラートを他の Defender ソリューション (エンドポイント、Office 365、クラウド アプリ) からのシグナルと関連付けて、インシデントを統一的に表示します。
  • 動作分析: 機械学習と動作分析を使用して、従来のシグネチャでは気付かなかった脅威を検出します。
  • 誤検知の削減: Microsoft の脅威インテリジェンスと動作プロファイリングは、ノイズを遮断して実際の脅威に焦点を当てるのに役立ちます。

前提条件

Microsoft Defender for Identity を実装するには、次のものが必要です。

  1. ライセンス: Microsoft 365 E5 Security、Microsoft 365 E5、Enterprise Mobility + Security E5 ライセンス、または Defender for Identity スタンドアロン ライセンス [3]。
  2. 管理アクセス: Microsoft 365 Defender ポータル (https://security.microsoft.com) の「グローバル管理者」または「セキュリティ管理者」のロールを持つアカウント。
  3. Active Directory Local: 少なくとも 1 つのドメイン コントローラーを持つローカル Active Directory ドメイン。
  4. センサー用サーバー (オプションですが推奨): ドメイン コントローラーに直接インストールしたくない場合に、スタンドアロン MDI センサーをインストールするための Windows Server (2012 R2 以降) サーバー。ドメイン コントローラーにインストールされている場合、センサーは DC のリソースを使用します。
  5. ネットワーク接続: センサー サーバー (またはドメイン コントローラー) には、クラウド MDI サービス エンドポイント (TCP ポート 443) への送信接続が必要です。

ステップバイステップ: ID 用の Microsoft Defender の構成と使用

センサーの導入とアラート分析について説明します。

1. Microsoft 365 Defender ポータルへのアクセスと MDI の構成

  1. ブラウザを開いて「https://security.microsoft.com」に移動します。
  2. 必要な権限を持つアカウントでログインします。
  3. 左側のナビゲーション ペインで、設定 > アイデンティティを選択します。
  4. ID 設定ページに、MDI 環境のステータスが表示されます。まだセットアップされていない場合は、指示に従ってセットアップを開始してください。

2. ID センサー用の Microsoft Defender のダウンロードとインストール

MDI センサーは dom コントローラーに直接取り付けることができます。inium または専用サーバー (スタンドアロン センサー)。

  1. Microsoft 365 Defender ポータルで、設定 > ID > センサー に移動します。
  2. [センサーの追加] をクリックします。

  3. 「アクセス キー」をコピーし、「センサー インストール パッケージ」をダウンロードします。

  4. センサーをインストールするサーバー (ドメイン コントローラーまたは専用サーバー) 上で、次の手順を実行します。

    • インストール パッケージ (「Azure Advanced Threat Protection Sensor Setup.exe」) を実行します。
    • ウィザードの指示に従ってください。プロンプトが表示されたら、「アクセス キー」を貼り付けます。
    • スタンドアロン センサーに関する注意: スタンドアロン センサーをインストールする場合は、ドメイン コントローラーからスタンドアロン センサーのネットワーク インターフェイスにネットワーク トラフィックを送信するように、ネットワーク スイッチでポート ミラーリングが構成されていることを確認してください。

  5. インストール後、センサーは MDI ポータルの センサー ページに「実行中」と表示されるはずです。

3. センサー設定の構成

最適な検出を確実に行うためにセンサー設定を構成することが重要です。

  1. Microsoft 365 Defender ポータルで、設定 > ID > センサー に移動します。
  2. センサーをクリックして設定を編集します。
  3. 以下を確認して構成します。
    • ドメイン コントローラー: 関連するすべてのドメイン コントローラーがリストされていることを確認します。
    • 同期アカウント: 複数の Active Directory フォレストがある場合は、フォレストごとに同期アカウントを構成します。
    • 除外: (注意が必要) 正当であり、誤検知を生成することがわかっているエンティティまたはアクティビティの除外を構成します。

4. セキュリティ警告の分析

MDI は、不審なアクティビティまたは悪意のあるアクティビティを検出するとアラートを生成します。これらのアラートは、Microsoft 365 Defender ポータルに表示されます。

  1. Microsoft 365 Defender ポータルの左側のナビゲーション ウィンドウで、インシデントとアラート > アラート を選択します。
  2. 「サービス」 = 「Microsoft Defender for Identity」 でアラートをフィルターします。
  3. アラートをクリックすると、次のような詳細が表示されます。
    • 説明: 攻撃の性質を説明します。
    • 影響を受けるエンティティ: 関係するユーザー、コンピュータ、およびリソース。
    • 攻撃タイムライン: 一連のイベントを視覚的に表現したもの。
    • 推奨されるアクション: アラートを調査して修正する手順。

5. インシデントの調査

MDI は、インシデント全体で関連するアラートを関連付け、攻撃の統一されたビューを提供します。

  1. Microsoft 365 Defender ポータルの左側のナビゲーション ウィンドウで、インシデントとアラート > インシデント を選択します。
  2. インシデントをクリックすると、すべてのアラートと関連エンティティ、および完全な攻撃履歴が表示されます。
  3. カスタム KQL (Kusto Query Language) クエリの「高度なハンティング」などの調査ツールを使用して分析を深めます。

検証とテスト

MDI が脅威を正しく検出し、アラートを生成していることを確認するには、MDI を検証することが不可欠です。

1. Pass-the-Hash (PtH) 攻撃のシミュレーション

PtH 攻撃をシミュレートするには、ドメイン コントローラーとクライアント コンピューターを備えたテスト環境が必要です。このテストは細心の注意を払い、管理された環境でのみ実行する必要があります。

  1. クライアント コンピュータで、Mimikatz などのツールを使用して、特権ユーザー (「管理者」など) の NTLM ハッシュを抽出します。
    • コマンド (例、昇格された権限が必要): ```cmd 特権::デバッグ sekurlsa::logonパスワード 「」
  2. 取得したハッシュを使用して、実際のパスワードを使用せずにネットワーク上の別のコンピュータへの認証を試みます。
    • コマンド (例、昇格された権限が必要): ```cmd sekurlsa::pth /user:Administrator /domain:mydomain.com /ntlm:HASH_DO_ADMIN /run:cmd.exe 「」
  3. 数分間待ちます。
  4. Microsoft 365 Defender ポータルで、Microsoft Defender for Identity からの「不審な横方向の動き (Pass-the-Hash)」または同様のアラートを確認します。

2. ネットワーク偵察のシミュレーション

  1. テスト マシンで、MDI が検出できるネットワーク検出コマンドを実行します。
    • コマンド (すべてのユーザーに対する LDAP クエリの例): cmd nltest /domain_trusts 「」 またはcmd dsquery ユーザー -制限 0 「」
  2. 数分間待ちます。
  3. Microsoft 36 ポータルを確認する5 Microsoft Defender for Identity からの「ネットワーク認識 (ユーザー/グループ列挙)」または同様のアラートを防御します。

セキュリティのヒントとベスト プラクティス

  • ドメイン コントローラーの完全なカバー範囲: すべてのドメイン コントローラーに MDI センサーをインストールして、認証トラフィックとログを完全にカバーします。
  • 適切なポート ミラーリング: スタンドアロン センサーの場合、関連するすべてのトラフィックをキャプチャするためにポート ミラーリングが正しく構成されていることを確認してください。
  • 継続的なアラート監視: Microsoft 365 Defender ポータルで MDI によって生成されたアラートをアクティブに監視し、即座に調査します。
  • SIEM/SOAR 統合: インシデント対応の自動化および他のセキュリティ データとの関連付けのために、MDI アラートを SIEM (例: Microsoft Sentinel) または SOAR と統合します。
  • Active Directory の衛生: 非アクティブなアカウントを削除し、最小特権の原則を適用し、特権アカウントを保護することにより、Active Directory をクリーンで安全に保ちます。
  • 特権アカウント保護: MDI と組み合わせて PIM (Privileged Identity Management) を実装し、特権アカウントをさらに保護します。
  • パッチとアップデート: MDI センサーをホストしているドメイン コントローラーとサーバーを最新のセキュリティ パッチで更新してください。

一般的なトラブルシューティング

  • センサーが「実行中」として表示されない: クラウド MDI サービス (ポート 443) へのセンサーのネットワーク接続を確認します。センサー サーバーのイベント ログで、インストールまたは通信エラーがないか確認してください。センサーサービスを再起動します。
  • アラートは生成されません: センサーが「実行中」かどうかを確認します。ドメイン コントローラーからのネットワーク トラフィックがスタンドアロン センサーに正しくミラーリングされていることを確認します (該当する場合)。検出を妨げている可能性のある除外設定が設定されていないか確認してください。
  • 誤検知アラート: アラートの詳細を調査します。ノイズを減らすために除外や設定を調整する必要がある場合がありますが、実際の脅威を無視しないように慎重に行ってください。
  • ドメイン コントローラーのパフォーマンスの問題: MDI センサーがドメイン コントローラーに直接インストールされており、パフォーマンスの問題がある場合は、ハードウェア要件を確認し、専用サーバーにスタンドアロン センサーをインストールすることを検討してください。
  • ドメイン同期の問題: 各 AD フォレストの同期アカウントが MDI 設定で正しく構成されていることを確認してください。

結論

Microsoft Defender for Identity は、組織の ID インフラストラクチャを標的とする高度な攻撃を防御するために不可欠なツールです。 MDI は、Active Directory への詳細な可視性を提供し、異常な動作をリアルタイムで検出することで、セキュリティ チームが横方向の移動、権限昇格、資格情報の侵害などの脅威を迅速に特定して対応できるようにします。 ID セキュリティのベスト プラクティスおよび他の Microsoft 365 Defender ソリューションとの統合と組み合わせた MDI の慎重な実装により、全体的なセキュリティ体制が大幅に強化されます。この実践的なガイドにより、セキュリティ専門家は Microsoft Defender for Identity を使用して最も貴重な ID を保護し、攻撃者の最も高度な戦術に対してより安全で回復力のある環境を確保できるようになります。

参考文献:

[1] Microsoft Learn。 Microsoft Defender for Identity とは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/defender-for-identity/what-is [2] Microsoft Learn。 Microsoft Defender for Identity の展開の概要。入手可能場所: https://learn.microsoft.com/pt-br/defender-for-identity/deploy/deploy-defender-identity [3] Microsoft Learn。 Microsoft Defender for Identity のライセンス要件。入手可能場所: https://learn.microsoft.com/pt-br/defender-for-identity/what-is#licensing-requirements