ドメイン コントローラーでのセンサーのデプロイを検証する

センサーが動作していることをチェックするには、次の手順に従います。

注:

ドメイン コントローラーでセンサーを初めてアクティブ化するときに、センサーが [センサー] ページに[実行中] と表示されるまでに最大で 1 時間かかる場合があります。 その後のアクティブ化は 5 分以内に表示されます。

ID セキュリティ ダッシュボードを確認する

  1. Defender ポータルで [ID>Dashboard] 選択し、表示されている詳細を確認します。 環境からの期待される結果を確認します。 詳細については、「 Identity Security ダッシュボード」を参照してください。

Defender ポータルでエンティティ データを確認する

  1. Defender ポータルで、[ 資産] > [デバイス] を選択し、新しいセンサーのマシンを選択します。 Defender for Identity イベントがデバイス タイムラインに表示されることを確認します。

  2. [アセット] > [ユーザー] を選択し、新しくオンボードされたドメインのユーザーに対して [チェック] を選択します。 また、グローバル検索を使用して特定のユーザーを検索することもできます。 ユーザーの詳細ページに[概要]、[organizationで観察]、[タイムライン] の各データが含まれることを確認します。

  3. グローバル検索を使用してユーザー グループを検索するか、グループの詳細が表示されるユーザーまたはデバイスの詳細ページからピボットします。 グループ メンバーシップの詳細、グループ ユーザー、およびグループ タイムライン データを確認します。

    グループ タイムラインでイベント データが見つからない場合は、手動で作成する必要がある場合があります。 たとえば、Active Directory のグループにユーザーを追加して削除します。

詳細については、「 資産の調査」を参照してください。

高度なハンティング テーブルのデータを確認する

  1. Defender ポータルの [高度なハンティング ] ページで、次のクエリを実行して、予想されるテーブルにデータが表示されることを確認します。

    IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

詳細については、Microsoft Defender ポータルでの高度なハンティングに関するページを参照してください。

ID セキュリティ体制管理 (ISPM) の推奨事項をテストする

テスト環境で危険な動作をシミュレートして、サポートされている評価をトリガーし、期待どおりに表示されることを確認することをお勧めします。 例:

  1. Active Directory 構成を非準拠状態に設定し、準拠状態に戻すことで、セキュリティで 保護されていないドメイン 構成に関する新しい推奨事項を解決します。 たとえば、次のコマンドを実行します。

    非準拠状態を設定するには

    Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}

    準拠状態に戻すには:

    Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}

    ローカル構成をチェックするには:

    Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota

  2. Microsoft セキュア スコア で、[推奨されるアクション] を選択して、新しい [セキュリティで保護されていないドメイン構成の解決] の推奨事項をチェックします。 Defender for Identity 製品で推奨事項をフィルター処理することもできます。

詳細については、「Microsoft Defender for Identityのセキュリティ体制評価」を参照してください。

アラート機能をテストする

テスト環境で危険なアクティビティをシミュレートして、アラートが期待どおりにトリガーされることを確認します。 例:

  1. アカウントに honeytoken アカウントとしてタグを付け、アクティブ化されたドメイン コントローラーに対して honeytoken アカウントにサインインしてみてください。

  2. ドメイン コントローラーに不審なサービスを作成します。

  3. ワークステーションからサインインした管理者として、ドメイン コントローラーでリモート コマンドを実行します。

  4. 予想されるアラートが Defender ポータルに表示されることを確認します。

詳細については、「Microsoft Defender XDRでの Defender for Identity セキュリティ アラートの調査」を参照してください。

修復アクションをテストする

テスト ユーザーに対する修復アクションをテストします。 例:

  1. Defender ポータルで、テスト ユーザーのユーザーの詳細ページに移動します。

  2. [オプション] メニューから、使用可能な修復アクションのいずれかを選択します。

  3. Active Directory で期待されるアクティビティを確認します。

詳細については、「Microsoft Defender for Identityの修復アクション」を参照してください。

次の手順

詳細については、「Microsoft Defender for Identity センサーの管理と更新」を参照してください。

  • Last updated on