AD セキュリティもクラウドで管理! Microsoft Defender for Identity のオンボードまで

AD セキュリティもクラウドで管理! Microsoft Defender for Identity のオンボードまで

今回は Microsoft Defender for Identity (旧サービス名:Azure Advanced Threat Protection) の紹介とオンボードまでを紹介します。

Microsoft Defender for Identity とは

Microsoft Defender for Identity はオンプレ AD の資格情報に対するセキュリティ脅威を検出・識別するためのクラウドベースソリューションです。オンプレ AD を狙ったセキュリティ攻撃(なりすましや盗難、AD の脆弱性をつく攻撃など)を検知しアラートを上げることができるので、AD のセキュリティを向上させることができます。

「オンプレ AD を対象としているのにクラウド?」と思われるかもしれません。クラウドから AD を直接監視することはできないので、監視対象となる AD もしくは AD が存在するサブネットに対してセンサーという通信監視のためのモジュールを展開します。

センサーの仕込み方は2種類あります。追加で仮想マシンの構築が要らない MSDI センサーの方が展開が楽です。センサーからクラウドへデータを送信するために、どちらの場合もインターネット接続が必要です。

  • MSDI センサー:ドメインコントローラーにインストールする。
  • MSDI スタンドアロンセンサー:ドメインコントローラーとは別の仮想マシンにインストールする。
    • ドメインコントローラーの通信をポートミラーリングして受信する必要あり
    • Microsoft .NET Framework 4.7 以降がインストールされている必要あり

前提条件

  • ATP ライセンス(EMS E5 に内包)
  • グローバル管理者もしくはセキュリティ管理者ロール

Microsoft Defender for Identity をオンボードしてみる

インスタンスの作成

Microsoft Defender for Identity は次の URL から管理できます。旧称の Azure ATP 感が残っていますがいずれは変わったり統合されたりするのかもしれません。

https://portal.atp.azure.com/

最初にアクセスすると次のような画面が表示されます。[作成]をクリックしてしばらく待ちます。

Azure AD テナントを利用している地域から一番近い場所(ヨーロッパ、英国、北米、中央アメリカ、カリブおよびアジアのいずれか)のデータセンターにインスタンスが作成されます。少し時間をおいて Microsoft Defender for Identity ポータルが表示されます。基本的にこの画面から操作していきます。

インスタンスを作成すると、自動的に Azure AD グループが作成されます。センサーの管理のため、Administrator グループにユーザーを追加しておきます。

インスタンスの作成はここまでで完了です。

AD への接続

[構成]>[ディレクトリサービス]をクリックします。監視対象の AD オブジェクト情報を読み取るため、AD の一般ユーザー情報かグループ管理サービスアカウントの情報を入力する必要があります。

MSDI センサーのインストール

AD にインストールするための MSDI センサーをダウンロードします。[構成]>[センサー]をクリックし、[ダウンロード]をクリックします。

同時に[アクセスキー]の情報を控えておきます。これはセンサーのセットアップ時に必要になります。

AD にダウンロードしたファイルを展開し、[Azure ATP Sensor Setup]というアプリケーションファイルを実行します。

インストーラーが起動したら[Microsoft Defender for Identity Sensor 2.0.0 のインストール]画面で、利用する言語を選択して[次へ]をクリックします。

[センサーの展開タイプ]画面にて、インストール方式を選択し(今回の場合は AD なので「センサー」)[次へ]をクリックします。

[センサーの構成]画面にて、先ほどポータルに表示されていた[アクセスキー]を入力し、[インストール]をクリックします。

しばらくインストールに時間がかかるので待ちます。正常にインストールが完了したら[完了]をクリックしてインストーラーを終了します。

動作確認

正常にセンサーをインストールできていると、Microsoft Defender for Identity ポータルにてインストール先のドメインコントローラーが表示されます。

しばらく経つと攻撃らしき挙動の検知が上がってくる場合があります。(画像はAzure AD Connect による同期処理が攻撃の疑いありとして検知されています)