インフラ技術&サービスでお客様のビジネスを
バックアップします。

  • contact
  • menu
03-5946-840003-5946-8400平日 10:00 - 18:00
ENGLISH
close

Azure Managed Service Column <Azure運用コラム>

アカウントを保護する Microsoft Defender for Identity とは?ハイブリット環境における有効な仕組み、機能、設定方法を解説

Category: 入門編

2023.03.07

Microsoft Defender for Identityの概要、機能、ライセンス、メリットについて。

昨今アカウントが盗用され、企業の機密情報が漏えいするセキュリティインシデントが急増しています。企業アカウントは、重要な機密情報が含まれていることから、盗用されることにより大きな被害を受けるリスクがあります。

このような背景から、エンドポイントのセキュリティ対策ソリューションとして、Microsoft 365 Defender が注目されています。Microsoft 365 Defender は目的に合わせて様々な機能を持っています。

本記事ではアカウント保護機能に特化した Microsoft Defender for Identity について機能、構成要素、ライセンス、メリットなどについて解説します。

Azure 導入について相談する

1. Microsoft が提供する Microsoft 365 Defender とは

Microsoft が提供する Microsoft 365 Defender とは

図版出典:Microsoft 公式サイト

Microsoft 365 Defender は、 Microsoft が提供するクラウドベースのセキュリティソリューションです。サイバー攻撃の脅威が組織に及ぶのを自動的に防ぎ、攻撃を発生前に阻止、自動的な調査や修復など、一連の対処を実現します。

まずは Microsoft 365 Defender に含まれる4つの製品について解説し、本記事のメインテーマである for Identity がどこに位置付けられているかを見ていきます。

Microsoft Defender for Endpoint

デバイス情報を収集し一元的に管理することで、現在どのデバイスでインシデントが発生しているかの確認、修復を行うことができる機能です。

Microsoft Defender for Cloud Apps

ログの収集、 API コネクタ、リバースプロキシなど、さまざまなデプロイモードをサポートするクラウドアクセスセキュリティブローカー ( CASB )の役割を提供します。

Microsoft Defender for Office365

主な機能は「電子メールに対する脅威の保護」です。巧妙ななりすましメール、スパムメール、フィッシングメール、メールに添付された悪意のあるファイルをブロックします。

Microsoft Defender for Identity

本記事で紹介する Active Directory のトラフィックを収集・分析し侵害の検出・予防するクラウドベースのセキュリティソリューションです。オンプレミスの Active Directory にも対応し、ハイブリットに高度な脅威、侵害された ID 、および悪意のあるアクションの識別、検出、調査が可能です。

2. Microsoft Defender for Identity とは

概要

Microsoft Defender for Identity (以下、 for Identity )は以前、 Azure Advanced Threat Protection ( Azure ATP ) と呼ばれていました。

for Identity は、組織で管理しているドメインを外部からの攻撃や ID 漏洩、不正活動から保護する機能を持っています。利用することで、クラウドとオンプレミスのハイブリッド環境での高度な攻撃を検出することができます。

導入する際は、オンプレミスの Active Directory にセンサーと呼ばれる小さな監視ツールをインストールし、ネットワークで実行されたコマンドや発行されたイベント情報をクラウド側に提供します。

クラウド側ではそれらの情報を企業内のセキュリティ情報として分析し、 AI や機械学習を用いてアクセス分析、ユーザーの挙動、エンティティの動作、アクティビティを監視し、 Active Directory に格納されているユーザー ID と資格情報を保護する仕組みです。

構成要素

for Identity を構成するコンポーネントについて解説します。

Microsoft 365 Defender ポータル

for Identity センサーから受信したデータを表示し、ネットワーク環境内の脅威を監視、管理、調査するポータル機能です。

Defender for Identity センサー

ドメインコントローラー、 AD FS に直接インストールするセンサーです。センサーにより、ネットワークトラフィックと認証イベントを直接監視できます。

Defender for Identity クラウドサービス

Microsoft のインテリジェントセキュリティグラフ( ISG )に接続され、センサーから収集した挙動、エンティティの動作、アクティビティを監視し、脅威判定を行う Azure インフラストラクチャ上で実行されるクラウドサービスです。

Defender for Identity クラウドサービス

図版出典:Microsoft 公式サイト

機能

for Identity が提供する機能について解説します。

Defender for Identity 専用センサーによる監視

オンプレ環境の Active Directory にインストールする監視ツールです。組織ドメインのネットワークトラフィックやイベントを監視し、主に以下のデータをクラウド側に送信する機能を持ちます。

  • ドメイン コントローラーから Windows イベント
  • VPN プロバイダーからの 認証情報
  • Active Directory ドメインからユーザーやコンピューターに関するデータ
  • ネットワークトラフィックに関するデータ( Kerberos 認証、 NTLM 認証、 DNS クエリなど)
  • Active Directory の情報 (構造、サブネット、サイト)
  • エンティティの情報 (名前、メール アドレス、電話番号など)
  • Defender for Identity クラウド サービスの関連データ

Defender for Identity ユーザープロファイル分析

攻撃ライフサイクルの各段階でクラウドを活用した分析とインテリジェンスを利用し、ユーザーの ID を安全に保護します。攻撃者のキルチェーン等、破壊行動の予兆と見られるアクティビティの危険性を検知します。

Defender for Identity セキュリティアラート

センサーによって検出された疑わしいアクティビティと、各脅威に関与するユーザーとデバイスについて通知する機能です。アラートには、関連するユーザーとコンピューターへの直接リンクが含まれ、調査を簡潔に行えます。

Defender for Identity セキュリティレポート

危険な認証を行うユーザーやデバイスを特定し、組織のセキュリティやポリシーの見直しのための有益な情報を提供するレポート機能です。

ライセンス

Microsoft 365 ポータル経由で以下のライセンスを取得するか、クラウドソリューション パートナー( CSP )のライセンスモデルを使用することで利用可能です。

  • Enterprise Mobility + Security E5 ( EMS E5 / A5 )
  • Microsoft 365 E5 ( M365 E5 / A5 / G5 )
  • Microsoft 365 E5 / A5 / G5 Security

ライセンス要件の詳細については、公式サイトをご参照ください。

3. Microsoft Defender for Identity のメリット

ここまで for Identity 構成要素、機能について解説してきました。本章では for Identity のメリットを紹介します。

個人データの検索と特定が可能

あらゆる規模の組織で、オンプレミスのアプリやサービスが組織に危険をもたらす可能性があるかどうかを完全に確認し安全性を担保するのは困難です。

for Identity は、検索バーを使用して、 Microsoft 365 Defender ポータルから識別可能な個人データを検索できます。特定のユーザーまたはコンピューターを検索し、エンティティを選択してユーザーまたはコンピューターのプロファイルページに移動し包括的な詳細情報を確認することができます。

関連するアプリとデータ連携が可能

for Identity は、個人ユーザーデータを Microsoft Defender for Cloud Appsの中でも共有することができます。

組織の Active Directory 内のユーザーのオブジェクトに加えられた変更は、 Defender for Identity にも反映されます。組織の Active Directory からユーザーが削除されると、 for Identity も自動的に削除されます。

このように各種サービスや環境間にまたがって情報連携が自動的に行われるため、広範囲にわたる ID 管理を実現します。

Azure のセキュリティベンチマークに準拠

Azure セキュリティベンチマークとは、 Azure 上のクラウドソリューションをセキュリティで保護する方法に関する推奨事項がまとめられています。

またクラウド環境でのワークロード、データ、サービスのセキュリティを強化するのに役立つ規範的なベストプラクティスと推奨事項が提供されます。 for Identity は Azure セキュリティベンチマークバージョン 2.0 が適用されています。

4.まとめ

本記事では for Identityの機能、構成要素、ライセンス、メリットについて解説してきました。 for Identity は Active Directory のトラフィックを収集、分析し、侵害された ID、悪意あるアクションの識別、検出、調査を行うことが可能です。企業のアカウントの管理が大きな課題となっている近年において、重要なソリューションです。導入が難しく感じられる場合、詳細については専門家への相談をお勧めします。

Azure の導入を相談したい

Azure導入支援サービス

Azure 導入支援サービス

Microsoft Azure 導入の具体的な方法の検討や技術検証を専門家にサポートいたします。

詳しくはこちら
Free

資料ダウンロード

課題解決に役立つ詳しいサービス資料はこちら

資料ダウンロード

  • Azure導入支援・構築・運用サービス総合カタログ

    Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
    Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。

    ダウンロード

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Azure導入個別相談会(無料)

Tag: Microsoft Defender for Identity

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

03-5946-840503-5946-8405平日 10:00 - 18:00
03-5946-840503-5946-8405平日 10:00 - 18:00
single.php