ネットワーク名前解決とは

ネットワーク名解決 (NNR) は、機能の主要な Microsoft Defender for Identity コンポーネントです。 Defender for Identityは、ネットワーク トラフィック、イベント、および ETW にWindowsアクティビティをキャプチャします。通常、これらのアクティビティには IP データが含まれる。

NNR を使用すると、生のアクティビティ (IP アドレスを含む) と、各アクティビティに関係する関連する Defender for Identity コンピューターとの間で相互に関連付けできます。 生のアクティビティに基づいて、コンピューターを含むエンティティをプロファイルし、疑わしいアクティビティの Defender for Identity セキュリティ アラートを生成します。

IP アドレスをコンピューター名に解決するため、Defender for Identity センサーにより次の方法を使用して IP アドレスが検索されます。

主な方法:

  • RPC 経由の NTLM (TCP ポート 135)
  • NetBIOS (UDP ポート 137)
  • RDP (TCP ポート 3389) - Client hello の最初のパケットのみ

セカンダリ メソッド:

  • IP アドレスの逆引き DNS 参照を使って DNS サーバーに対してクエリを実行する (UDP 53)

最良の結果を得る場合は、少なくとも 1 つの主要な方法を使用することをお勧めします。 IP アドレスの逆引き DNS 参照は、次の場合にのみ実行されます。

  • プライマリ メソッドからの応答はありません。
  • 2 つ以上の主要なメソッドから返された応答に競合があります。

注意

どのポートでも認証は実行されません。

Defender for Identity では、ネットワーク トラフィックに基づいてデバイスオペレーティング システムが評価され、決定されます。 コンピューター名を取得した後、センサーは Active Directory をチェックし、TCP フィンガープリントを使用して、同じコンピューター名を持つ関連付けされたコンピューター オブジェクトが存在 Defender for Identity する場合に確認します。 TCP フィンガープリントを使用すると、登録されていない Windows 以外のデバイスを特定し、調査プロセスを支援することができます。 センサーが Defender for Identity 相関関係を検出すると、センサーによって IP がコンピューター オブジェクトに関連付けされます。

名前を取得できなかった場合、IP による未解決コンピューター プロファイル が、その IP および関連する検出アクティビティを使って作成されます。

未解決のコンピューター プロファイル。

NNR データは次の脅威を検出するために重要です。

  • なりすましの可能性 (pass-the-ticket)
  • DCSync 攻撃の可能性 (ディレクトリ サービスのレプリケーション)
  • ネットワーク マッピングの偵察 (DNS)

アラートが真陽性 (TP) または偽陽性 (FP) かどうかを判断する機能を向上させるために、コンピューターの名前付けの解決の確実性の程度が各セキュリティ アラートの証拠に含まれています。 Defender for Identity

たとえば、コンピューター名が 高い確実度 で解決されると、結果として得られるセキュリティ アラートが 真陽性 すなわち TP となり信頼性が向上します。

証拠には、IP が解決された時刻、IP、およびコンピューター名が含まれます。 解決の確実度が 低い ときは、その情報を使用し、その時点でどのデバイスが IP のソースであるかを調査して確認します。 デバイスを確認した後で、次の例のように、アラートが 誤検知 すなわち FP であると判別できます。

  • 個人情報の盗難 (pass-the-ticket) の疑い – 同じコンピューターに対してアラートがトリガーされました。

  • DCSync 攻撃 (ディレクトリ サービスのレプリケーション) の疑い – アラートがドメイン コントローラーからトリガーされました。

  • ネットワーク マッピングによる偵察 (DNS) – アラートが DNS サーバーからトリガーされました。

    証拠の確実性。

前提条件

プロトコル トランスポート ポート Device Direction
NTLM over RPC* TCP 135 ネットワーク上のすべてのデバイス 受信
NetBIOS* UDP 137 ネットワーク上のすべてのデバイス 受信
RDP* TCP 3389 ネットワーク上のすべてのデバイス 受信
DNS UDP 53 ドメイン コントローラー 送信

* これらの方法の 1 つが必要ですが、すべて使用することをお勧めします。

が理想的に動作し、環境が正しく構成されていることを確認するには、各センサーの解決状態を確認し、メソッドごとに正常性アラートを発行し、各メソッドを使用してアクティブな名前解決の成功率が低いセンサーの一覧を提供します。 Defender for Identity Defender for Identity Defender for Identity

注意

環境のニーズに合わせて でオプションの NNR メソッドを無効にするには、 Defender for Identity サポート呼び出しを開きます。

各正常性アラートには、メソッド、センサー、問題のあるポリシー、および構成に関する推奨事項の特定の詳細が表示されます。

成功率の低いネットワーク名解決 (NNR) アラート。

構成に関する推奨事項

  • RPC 上の NTLM:

    • 環境内のすべてのコンピューターで、センサーからの受信通信用に TCP ポート 135 が開 Defender for Identity いているか確認します。
    • 関連するポートへの通信を妨げる可能性があるため、ネットワーク構成 (ファイアウォール) をすべてチェックします。
  • NetBIOS:

    • 環境内のすべてのコンピューターで、センサーからの受信通信用に UDP ポート 137 Defender for Identity が開いているか確認します。
    • 関連するポートへの通信を妨げる可能性があるため、ネットワーク構成 (ファイアウォール) をすべてチェックします。
  • RDP:

    • 環境内のすべてのコンピューターで、センサーからの受信通信用に TCP ポート 3389 Defender for Identity が開いているか確認します。
    • 関連するポートへの通信を妨げる可能性があるため、ネットワーク構成 (ファイアウォール) をすべてチェックします。

    注意

    カスタマイズされた RDP ポートはサポートされていません。

  • 逆引き DNS:

    • センサーが DNS サーバーに到達できることと、逆引き参照ゾーンが有効になっていることを確認します。

関連項目