Windows イベント コレクションの構成

Microsoft Defender for Identity の検出は、特定の Windows イベント ログ エントリに依存して検出を強化し、NTLM ログオン、セキュリティ グループの変更、類似のイベントなどの特定のアクションを実行したユーザーに関する追加情報を提供します。 正しいイベントが監査され、Windows イベント ログに含まれるようにするには、ドメイン コントローラーで高度な監査ポリシーの設定を正しく行う必要があります。 高度な監査ポリシーの設定が正しくないと、必要なイベントがイベント ログに記録されず、Defender for Identity の対象範囲が不完全になる可能性があります。

脅威の検出機能を強化するため、Defender for Identity を使用するには、次の Windows イベントを Defender for Identity によって構成および収集する必要があります。

関連する Windows イベント

Active Directory フェデレーション サービス (AD FS) イベントの場合

  • 1202 - フェデレーション サービスは、新しい資格情報を検証しました
  • 1203 - フェデレーション サービスは、新しい資格情報を検証できませんでした
  • 4624 - アカウントが正常にログオンしました
  • 4625 - アカウントがログオンに失敗しました

その他のイベントの場合

  • 4662 - オブジェクトに対して操作が実行されました
  • 4726 - ユーザー アカウントの削除
  • 4728 - グローバル セキュリティ グループへのメンバーの追加
  • 4729 - グローバル セキュリティ グループからのメンバーの削除
  • 4730 - グローバル セキュリティ グループの削除
  • 4732 - ローカル セキュリティ グループへのメンバーの追加
  • 4733 - ローカル セキュリティ グループからのメンバーの削除
  • 4741 - コンピューター アカウントの追加
  • 4743 - コンピューター アカウントの削除
  • 4753 - グローバル配布グループの削除
  • 4756 - ユニバーサル セキュリティ グループへのメンバーの追加
  • 4757 - ユニバーサル セキュリティ グループからのメンバーの削除
  • 4758 - ユニバーサル セキュリティ グループの削除
  • 4763 - ユニバーサル配布グループの削除
  • 4776 - ドメイン コントローラーによるアカウントの資格情報の検証の試行 (NTLM)
  • 7045 - 新しいサービスのインストール
  • 8004 - NTLM 認証

監査ポリシーを構成する

ドメイン コントローラーの高度な監査ポリシーを変更するには、次の手順を使用します。

  1. サーバーに ドメイン管理者 としてログインします。

  2. グループ ポリシー管理エディターを、 [サーバー マネージャー] > [ツール] > [グループ ポリシー管理] から開きます。

  3. [ドメイン コントローラーの組織単位] を展開して、 [既定のドメイン コントローラー ポリシー] を右クリックし、 [編集] を選択します。

    注意

    既定のドメイン コントローラー ポリシーまたは専用の GPO を使用して、これらのポリシーを設定できます。

    ドメイン コントローラー ポリシーの編集。

  4. 開いたウィンドウで [コンピューターの構成] > [ポリシー] > [Windows 設定] > [セキュリティ設定] の順に移動し、有効にするポリシーに応じて次の処理を実行します。

    高度な監査ポリシーの構成の場合

    1. [高度な監査ポリシーの構成] > [監査ポリシー] の順に移動します。 高度な監査ポリシーの構成。

    2. [監査ポリシー] で、次の各ポリシーを編集し、 [次の監査イベントを構成する][成功][失敗] の両方のイベントに選択します。

      監査ポリシー サブカテゴリ トリガーされるイベント ID
      アカウント ログオン 資格情報の確認の監査 4776
      アカウント管理 コンピューター アカウントの管理の監査 4741、4743
      アカウント管理 配布グループの管理の監査 4753、4763
      アカウント管理 セキュリティ グループの管理の監査 4728、4729、4730、4732、4733、4756、4757、4758
      アカウント管理 ユーザー アカウントの管理の監査 4726
      DS アクセス ディレクトリ サービス アクセスを監査します。 4662 - このイベントでは、オブジェクトの監査を構成する必要もあります。
      システム セキュリティ システムの拡張の監査 7045

      たとえば、 [セキュリティ グループの管理の監査] を構成するには、 [アカウント管理][セキュリティ グループの管理の監査] をダブルクリックして、 [次の監査イベントを構成する][成功][失敗] の両方のイベントに選択します。

      セキュリティ グループの管理の監査。

  5. 管理者特権でのコマンド プロンプトから gpupdate /force を入力します。

  6. GPO を使用して適用すると、新しいイベントが Windows イベント ログ に表示されます。

注意

グループ ポリシーを使用するのではなく、ローカル セキュリティ ポリシーを使用する場合は、 [アカウント ログオン][アカウント管理] 、および [セキュリティ オプション] の監査ログをローカル ポリシーに追加してください。 高度な監査ポリシーを構成する場合は、必ず監査ポリシー サブカテゴリの設定を強制してください。

イベント ID 8004

イベント ID 8004 を監査するには、追加の構成手順が必要です。

注意

  • Windows イベント 8004 を収集するドメイン グループ ポリシーは、ドメイン コントローラーに対して のみ 適用する必要があります。
  • Windows イベント 8004 が Defender for Identity センサーによって解析されると、Defender for Identity の NTLM 認証アクティビティが、アクセスされたサーバーのデータを使って強化されます。
  1. 上記の手順に従って [グループ ポリシーの管理] を開き、 [既定のドメイン コントローラー ポリシー] に移動します。

  2. [ローカル ポリシー] > [セキュリティ オプション] の順に移動します。

  3. [セキュリティ オプション] で、指定したセキュリティ ポリシーを次のように構成します

    セキュリティ ポリシーの設定
    ネットワーク セキュリティ: NTLM を制限する: リモート サーバーに対する送信 NTLM トラフィック すべて監査する
    ネットワーク セキュリティ: NTLM を制限する: このドメイン内の NTLM 認証を監査する すべて有効にする
    ネットワーク セキュリティ:NTLM を制限する:受信 NTLM トラフィックを監査する すべてのアカウントに対して監査を有効にする

    たとえば、 [リモート サーバーに対する送信 NTLM トラフィック] を構成するには、 [セキュリティ オプション] で、 [ネットワーク セキュリティ: NTLM を制限する:リモート サーバーに対する送信 NTLM トラフィック] をダブルクリックし、 [すべて監査する] を選択します。

    リモート サーバーに対する送信 NTLM トラフィックを監査する。

オブジェクトの監査を構成する

4662 イベントを収集するには、ユーザー オブジェクトに対してオブジェクトの監査を構成する必要もあります。 Active Directory ドメイン内のすべてのユーザー、グループ、コンピューターで監査を有効にする方法の例を次に示しますが、OU (組織単位) でスコープを設定することもできます。

注意

必要なイベントが記録されるようドメイン コントローラーが適切に構成されていることを確認するため、お使いの監査ポリシーを確認および検証してから、イベント コレクションを有効にすることが重要です。

  1. [Active Directory ユーザーとコンピューター] コンソールに移動します。

  2. 監査する必要があるユーザー、グループ、またはコンピューターを含むドメインまたは OU を選択します。

  3. コンテナー (ドメインまたは OU) を右クリックし、 [プロパティ] を選択します。

    コンテナーのプロパティ。

  4. [セキュリティ] タブに移動し、 [詳細設定] を選択します。

    セキュリティの詳細プロパティ。

  5. [セキュリティの詳細設定] で、 [監査] タブを選択します。 [追加] を選択します。

    [監査] タブを選択します。

  6. [プリンシパルの選択] をクリックします。

    プリンシパルの選択。

  7. [選択するオブジェクト名を入力してください] の下に、「Everyone」と入力します。 その後、 [名前の確認] を選択し、 [OK] を選択します。

    全員を選択します。

  8. その後、 [監査エントリ] に戻ります。 次のように選択します。

    • [種類][成功] を選択します。
    • [適用対象][子孫ユーザー オブジェクト] を選択します。
    • [アクセス許可] で、 [フル コントロール] を選択します。 すべてのアクセス許可が選択され、トリガーされると、4662 イベントとして表示されます。 その後、一覧表示読み取り のアクセス許可をオフにすることができます。Defender for Identity ではディレクトリ サービスへの変更のみが検出されるためです。

    アクセス許可の選択。

  9. [OK] を選択します。 次に、上記の手順を繰り返しますが、 [適用対象][子孫グループ オブジェクト] を選択し、もう一度 [子孫コンピューター オブジェクト] を選択します。

特定の検出の監査

一部の検出では、特定の Active Directory オブジェクトを監査する必要があります。 これを行うには上記の手順に従いますが、監査するオブジェクトと含めるアクセス許可に関して以下の変更点があります。

ADFS オブジェクトの監査を有効にする

  1. [Active Directory ユーザーとコンピューター] コンソールにアクセスし、ログオンを有効にするドメインを選択します。

  2. [Program Data] > [Microsoft] > [ADFS] に移動します。

    ADFS コンテナー。

  3. [ADFS] を右クリックし、 [プロパティ] を選択します。

  4. [セキュリティ] タブに移動し、 [詳細設定] を選択します。

  5. [セキュリティの詳細設定] で、 [監査] タブを選択します。 [追加] を選択します。

  6. [プリンシパルの選択] をクリックします。

  7. [選択するオブジェクト名を入力してください] の下に、「Everyone」と入力します。 その後、 [名前の確認] を選択し、 [OK] を選択します。

  8. その後、 [監査エントリ] に戻ります。 次のように選択します。

    • [種類][すべて] を選択します。
    • [適用対象][このオブジェクトとすべての子オブジェクト] を選択します。
    • [アクセス許可] で、 [すべてのプロパティの読み取り][すべてのプロパティの書き込み] を選択します。

    ADFS の監査設定。

  9. [OK] を選択します。

Exchange オブジェクトの監査を有効にする

  1. ADSI エディターを開きます。 これを行うには、 [スタート][ファイル名を指定して実行] の順に選択し、「ADSIEdit.msc」と入力して、 [OK] を選択します。

  2. [操作] メニューの [接続] を選択します。

  3. [接続の設定] ダイアログ ボックスの [既知の名前付けコンテキストを選択する] で、 [構成] を選択し、 [OK] を選択します。

  4. [構成] コンテナーを展開します。 [構成] コンテナーの下に、 [構成] ノードが表示されます。 “CN=Configuration,DC=..." で始まります

  5. [構成] ノードを右クリックし、 [プロパティ] を選択します。

    構成ノードのプロパティ。

  6. [セキュリティ] タブに移動し、 [詳細設定] を選択します。

  7. [セキュリティの詳細設定] で、 [監査] タブを選択します。 [追加] を選択します。

  8. [プリンシパルの選択] をクリックします。

  9. [選択するオブジェクト名を入力してください] の下に、「Everyone」と入力します。 その後、 [名前の確認] を選択し、 [OK] を選択します。

  10. その後、 [監査エントリ] に戻ります。 次のように選択します。

    • [種類][すべて] を選択します。
    • [適用対象][このオブジェクトとすべての子オブジェクト] を選択します。
    • [アクセス許可] で、 [すべてのプロパティの書き込み] を選択します。

    構成の監査設定。

  11. [OK] を選択します。

イベント コレクションの構成

これらのイベントは、Defender for Identity センサーによって自動的に収集できます。Defender for Identity センサーが展開されていない場合は、次のいずれかの方法で Defender for Identity スタンドアロン センサーに転送できます。

注意

  • Defender for Identity スタンドアロン センサーの場合、複数の検出のためにデータを提供する Windows イベント トレーシング (ETW) のログ エントリのコレクションはサポートされません。 環境全体を対象にするには、Defender for Identity センサーを展開することをお勧めします。

関連項目