Microsoft Defender for Identity の前提条件Microsoft Defender for Identity prerequisites

この記事では、Microsoft Defender for IdentityMicrosoft Defender for Identity を環境に正しくデプロイするための要件について説明します。This article describes the requirements for a successful deployment of Microsoft Defender for IdentityMicrosoft Defender for Identity in your environment.

注意

リソースおよび容量を計画する方法については、Defender for IdentityDefender for Identity の容量計画に関するページを参照してください。For information on how to plan resources and capacity, see Defender for IdentityDefender for Identity capacity planning.

Defender for IdentityDefender for IdentityDefender for IdentityDefender for Identity クラウド サービスによって構成されており、それは Defender for IdentityDefender for Identity ポータルと Defender for IdentityDefender for Identity センサーで構成されています。Defender for IdentityDefender for Identity is composed of the Defender for IdentityDefender for Identity cloud service, which consists of the Defender for IdentityDefender for Identity portal and the Defender for IdentityDefender for Identity sensor. Defender for IdentityDefender for Identity の各コンポーネントの詳細については、「Defender for IdentityDefender for Identity のアーキテクチャ」を参照してください。For more information about each Defender for IdentityDefender for Identity component, see Defender for IdentityDefender for Identity architecture.

Defender for IdentityDefender for Identity によって、オンプレミスの Active Directory ユーザーまたは Azure Active Directory に同期されたユーザー (あるいは両方) が保護されます。Defender for IdentityDefender for Identity protects your on-premises Active Directory users and/or users synced to your Azure Active Directory. AAD ユーザー専用に構成された環境を保護するには、AAD Identity Protection に関するページをご覧ください。To protect an environment made up of only AAD users, see AAD Identity Protection.

Defender for IdentityDefender for Identity のインスタンスを作成するには、グローバル管理者およびセキュリティ管理者が少なくとも 1 人いる AAD テナントが必要です。To create your Defender for IdentityDefender for Identity instance, you'll need an AAD tenant with at least one global/security administrator. Defender for IdentityDefender for Identity の各インスタンスによって、複数の Active Directory フォレスト境界と、Windows 2003 以上のフォレスト機能レベル (FFL) がサポートされます。Each Defender for IdentityDefender for Identity instance supports a multiple Active Directory forest boundary and Forest Functional Level (FFL) of Windows 2003 and above.

この前提条件ガイドは、Defender for IdentityDefender for Identity を正しくデプロイするために必要なものがすべて確実に用意できるように、次のセクションに分けられています。This prerequisite guide is divided into the following sections to ensure you have everything you need to successfully deploy Defender for IdentityDefender for Identity.

開始する前に:インストールを開始する前に収集しておくべき情報、準備しておく必要のあるアカウントとネットワーク エンティティについて説明します。Before you start: Lists information to gather and accounts and network entities you'll need to have before starting to install.

Defender for IdentityDefender for Identity ポータル: Defender for IdentityDefender for Identity ポータルのブラウザーの要件について説明します。Defender for IdentityDefender for Identity portal: Describes Defender for IdentityDefender for Identity portal browser requirements.

Defender for IdentityDefender for Identity センサー: Defender for IdentityDefender for Identity センサーのハードウェアとソフトウェアの要件の一覧を示します。Defender for IdentityDefender for Identity sensor: Lists Defender for IdentityDefender for Identity sensor hardware, and software requirements.

Defender for IdentityDefender for Identity スタンドアロン センサー: Defender for IdentityDefender for Identity スタンドアロン センサーは専用サーバーにインストールされており、ネットワーク トラフィックを受信するには、ドメイン コントローラーでポート ミラーリングを構成する必要があります。Defender for IdentityDefender for Identity standalone sensor: The Defender for IdentityDefender for Identity Standalone Sensor is installed on a dedicated server and requires port mirroring to be configured on the domain controller to receive network traffic.

注意

Defender for IdentityDefender for Identity スタンドアロン センサーの場合、複数の検出のためにデータを提供する Windows イベント トレーシング (ETW) のログ エントリのコレクションはサポートされません。Defender for IdentityDefender for Identity standalone sensors do not support the collection of Event Tracing for Windows (ETW) log entries that provide the data for multiple detections. 環境全体を対象にするには、Defender for IdentityDefender for Identity センサーを展開することをお勧めします。For full coverage of your environment, we recommend deploying the Defender for IdentityDefender for Identity sensor.

開始する前にBefore you start

このセクションでは、Defender for IdentityDefender for Identity のインストールを始める前に用意する必要があるアカウントとネットワーク エンティティに関する情報に加えて、収集する必要のある情報の一覧を示します。This section lists information you should gather as well as accounts and network entity information you should have before starting Defender for IdentityDefender for Identity installation.

  • Microsoft 365 ポータル経由で直接 Enterprise Mobility + Security E5 (EMS E5/A5)、Microsoft 365 E5 (M365 E5/A5/G5)、または Microsoft 365 E5/A5/G5 Security のライセンスを取得するか、クラウド ソリューション パートナー (CSP) のライセンス モデルを使用します。Acquire a license for Enterprise Mobility + Security E5 (EMS E5/A5), Microsoft 365 E5 (M365 E5/A5/G5) or Microsoft 365 E5/A5/G5 Security directly via the Microsoft 365 portal or use the Cloud Solution Partner (CSP) licensing model. スタンドアロンの Defender for IdentityDefender for Identity ライセンスも使用できます。Standalone Defender for IdentityDefender for Identity licenses are also available.

  • Defender for IdentityDefender for Identity センサーをインストールしようとしているドメイン コントローラーを確認し、Defender for IdentityDefender for Identity クラウド サービスにインターネット経由で接続されていることを確認します。Verify the domain controller(s) you intend to install Defender for IdentityDefender for Identity sensors on have internet connectivity to the Defender for IdentityDefender for Identity Cloud Service. Defender for IdentityDefender for Identity センサーでは、プロキシの使用がサポートされています。The Defender for IdentityDefender for Identity sensor supports the use of a proxy. プロキシの構成の詳細については、Defender for IdentityDefender for Identity のプロキシの構成に関するページを参照してください。For more information on proxy configuration, see Configuring a proxy for Defender for IdentityDefender for Identity.

  • 監視対象ドメイン内のすべてのオブジェクトに対する読み取りアクセス権がある、次のディレクトリ サービス アカウントのうちの少なくとも 1 つ。At least one of the following directory services accounts with read access to all objects in the monitored domains:

    • 標準 AD ユーザー アカウントとパスワード。A standard AD user account and password. Windows Server 2008 R2 SP1 を稼働しているセンサーに必要です。Required for sensors running Windows Server 2008 R2 SP1.

    • グループ管理サービス アカウント (gMSA)。A group Managed Service Account (gMSA). Windows Server 2012 以降が必要です。Requires Windows Server 2012 or above.
      すべてのセンサーは、gMSA アカウントのパスワードを取得するためのアクセス許可を持っている必要があります。All sensors must have permissions to retrieve the gMSA account's password.
      gMSA アカウントの詳細については、グループ管理サービス アカウントの概要に関する記事をご覧ください。To learn about gMSA accounts, see Getting Started with Group Managed Service Accounts.

      次の表に、どの AD ユーザー アカウントがどのサーバー バージョンと共に使用できるかを示します。The following table shows which AD user accounts can be used with which server versions:

      アカウントの種類Account type Windows Server 2008 R2 SP1Windows Server 2008 R2 SP1 Windows Server 2012 以降Windows Server 2012 or above
      標準 AD ユーザー アカウントStandard AD user account はいYes はいYes
      gMSA アカウントgMSA account いいえNo はいYes

      注意

      • Windows Server 2012 以降を稼働しているセンサー コンピューターでは、gMSA アカウントを使用して、その強化されたセキュリティとパスワードの自動管理を利用することをお勧めします。For sensor machines running Windows Server 2012 and above, we recommend using a gMSA account for its improved security and automatic password management.
      • Windows Server 2008 R2 を稼働しているセンサーと Windows Server 2012 以降を稼働している複数のセンサーがある場合は、推奨される gMSA アカウントの使用に加え、標準 AD ユーザー アカウントも少なくとも 1 つ使用する必要があります。If you have multiple sensors, some running Windows Server 2008 R2 and others running Windows Server 2012 or above, in addition to the recommendation to use a gMSA account, you must also use at least one standard AD user account.
      • ドメイン内のさまざまな組織単位 (OU) にカスタム ACL を設定している場合は、それらの OU に対する読み取りアクセス許可が選択したユーザーに付与されていることを確認します。If you have set custom ACLs on various Organizational Units (OU) in your domain, make sure that the selected user has read permissions to those OUs.
  • Defender for IdentityDefender for Identity スタンドアロン センサーで Wireshark を実行している場合は、Wireshark のキャプチャを停止した後で Defender for IdentityDefender for Identity センサー サービスを再起動します。If you run Wireshark on Defender for IdentityDefender for Identity standalone sensor, restart the Defender for IdentityDefender for Identity sensor service after you've stopped the Wireshark capture. センサー サービスを再起動しない場合、センサーはトラフィックのキャプチャを停止します。If you don't restart the sensor service, the sensor stops capturing traffic.

  • NIC チーミング アダプターが構成されたマシンに Defender for IdentityDefender for Identity センサーをインストールしようとすると、インストール エラーが表示されます。If you attempt to install the Defender for IdentityDefender for Identity sensor on a machine configured with a NIC Teaming adapter, you'll receive an installation error. NIC チーミングが構成されたマシンに Defender for IdentityDefender for Identity センサーをインストールする場合は、「Defender for IdentityDefender for Identity センサーの NIC チーミングの問題」を参照してください。If you want to install the Defender for IdentityDefender for Identity sensor on a machine configured with NIC teaming, see Defender for IdentityDefender for Identity sensor NIC teaming issue.

  • Deleted Objects コンテナーの推奨事項:ユーザーには Deleted Objects コンテナーに対する読み取り専用アクセス許可が必要です。Deleted Objects container Recommendation: User should have read-only permissions on the Deleted Objects container. このコンテナーに対する読み取り専用アクセス許可により、Defender for IdentityDefender for Identity で Active Directory からのユーザーの削除を検出できます。Read-only permissions on this container allow Defender for IdentityDefender for Identity to detect user deletions from your Active Directory. Deleted Objects コンテナーに対する読み取り専用アクセス許可の構成については、「View or Set Permissions on a Directory Object」(ディレクトリ オブジェクトに対するアクセス許可を表示または設定する) の記事の「Changing permissions on a deleted object container」(削除されたオブジェクト コンテナーに対するアクセス許可を変更する) を参照してください。For information about configuring read-only permissions on the Deleted Objects container, see the Changing permissions on a deleted object container section of the View or Set Permissions on a Directory Object article.

  • 省略可能な ハニートークン:ネットワーク アクティビティを持たないユーザーのユーザー アカウント。Optional Honeytoken: A user account of a user who has no network activities. このアカウントは、Defender for IdentityDefender for Identity ハニートークン ユーザーとして構成されます。This account is configured as a Defender for IdentityDefender for Identity Honeytoken user. ハニートークンの使用方法の詳細については、除外とハニートークン ユーザーの構成に関するページを参照してください。For more information about using Honeytokens, see Configure exclusions and Honeytoken user.

  • 省略可能: スタンドアロン センサーを展開するときは、Windows イベントDefender for IdentityDefender for Identity に転送して、Defender for IdentityDefender for Identity の認証ベースの検出、機密性の高いグループへの追加、および疑わしいサービス作成の検出を、さらに強化する必要があります。Optional: When deploying the standalone sensor, it's necessary to forward Windows events to Defender for IdentityDefender for Identity to further enhance Defender for IdentityDefender for Identity authentication-based detections, additions to sensitive groups, and suspicious service creation detections. これらのイベントは、Defender for IdentityDefender for Identity センサーによって自動的に受信されます。Defender for IdentityDefender for Identity sensor receives these events automatically. Defender for IdentityDefender for Identity スタンドアロン センサーでは、これらのイベントは SIEM から受信できるほか、ドメイン コントローラーからの Windows イベント転送を設定することで受信できます。In Defender for IdentityDefender for Identity standalone sensor, these events can be received from your SIEM or by setting Windows Event Forwarding from your domain controller. 収集されたイベントにより、ドメイン コントローラーのネットワーク トラフィック経由では利用できない追加情報が Defender for IdentityDefender for Identity に提供されます。Events collected provide Defender for IdentityDefender for Identity with additional information that isn't available via the domain controller network traffic.

Defender for Identity ポータルの要件Defender for Identity portal requirements

Defender for IdentityDefender for Identity ポータルへはブラウザーを使用してアクセスし、次のブラウザーと設定がサポートされています。Access to the Defender for IdentityDefender for Identity portal is via a browser, supporting the following browsers and settings:

  • TLS 1.2 がサポートされているブラウザー。例:A browser that supports TLS 1.2, such as:

    • Microsoft EdgeMicrosoft Edge
    • Internet Explorer バージョン 11 以降Internet Explorer version 11 and above
    • Google Chrome 30.0 以降Google Chrome 30.0 and above
  • 最低画面解像度 (幅) 1700 ピクセルMinimum screen width resolution of 1700 pixels

  • ファイアウォールとプロキシで開くもの - Defender for IdentityDefender for Identity クラウド サービスと通信するには、ファイアウォールとプロキシで *.atp.azure.com ポート 443 を開く必要があります。Firewall/proxy open - To communicate with the Defender for IdentityDefender for Identity cloud service, *.atp.azure.com port 443 must be open in your firewall/proxy.

    注意

    また、Azure サービス タグ (AzureAdvancedThreatProtection) を使用して、Defender for IdentityDefender for Identity へのアクセスを有効にすることもできます。You can also use our Azure service tag (AzureAdvancedThreatProtection) to enable access to Defender for IdentityDefender for Identity. サービス タグの詳細については、「仮想ネットワーク サービス タグ」を参照するか、サービス タグのファイルをダウンロードしてください。For more information about service tags, see Virtual network service tags or download the service tags file.

Defender for IdentityDefender for Identity のアーキテクチャの図

注意

既定では、最大 200 個のセンサーが Defender for IdentityDefender for Identity でサポートされます。By default, Defender for IdentityDefender for Identity supports up to 200 sensors. さらに多くのセンサーをインストールしたい場合は、Defender for IdentityDefender for Identity のサポートにお問い合わせください。If you want to install more sensors, contact Defender for IdentityDefender for Identity support.

Defender for Identity のネットワーク名前解決 (NNR) の要件Defender for Identity Network Name Resolution (NNR) requirements

ネットワーク名前解決 (NNR) は、Defender for IdentityDefender for Identity の機能の主要なコンポーネントです。Network Name Resolution (NNR) is a main component of Defender for IdentityDefender for Identity functionality. IP アドレスをコンピューター名に解決するため、Defender for IdentityDefender for Identity センサーにより次の方法を使用して IP アドレスが検索されます。To resolve IP addresses to computer names, Defender for IdentityDefender for Identity sensors look up the IP addresses using the following methods:

  • RPC 経由の NTLM (TCP ポート 135)NTLM over RPC (TCP Port 135)
  • NetBIOS (UDP ポート 137)NetBIOS (UDP port 137)
  • RDP (TCP ポート 3389) - Client hello の最初のパケットのみRDP (TCP port 3389) - only the first packet of Client hello
  • IP アドレスの逆引き DNS 参照を使って DNS サーバーに対してクエリを実行する (UDP 53)Queries the DNS server using reverse DNS lookup of the IP address (UDP 53)

最初の 3 つの方法を機能させるには、Defender for IdentityDefender for Identity センサーからネットワーク上のデバイスに対して、関連するポートを受信用に開く必要があります。For the first three methods to work, the relevant ports must be opened inbound from the Defender for IdentityDefender for Identity sensors to devices on the network. Defender for IdentityDefender for Identity と NNR の詳細については、Defender for IdentityDefender for Identity の NNR ポリシーに関するページを参照してください。To learn more about Defender for IdentityDefender for Identity and NNR, see Defender for IdentityDefender for Identity NNR policy.

最良の結果を得るには、すべての方法を使用することをお勧めします。For the best results, we recommend using all of the methods. これが不可能な場合は、DNS 参照の方法と、その他の方法の少なくとも 1 つを使用する必要があります。If this isn't possible, you should use the DNS lookup method and at least one of the other methods.

Defender for Identity センサーの要件Defender for Identity sensor requirements

ここでは、Defender for IdentityDefender for Identity センサーの要件の一覧を示します。This section lists the requirements for the Defender for IdentityDefender for Identity sensor.

全般General

Defender for IdentityDefender for Identity センサーでは、次の表に示すように、ドメイン コントローラーまたは Active Directory フェデレーション サービス (AD FS) サーバーへのインストールがサポートされています。The Defender for IdentityDefender for Identity sensor supports installation on domain controllers or Active Directory Federation Services (AD FS) servers, as shown in the following table.

オペレーティング システムのバージョンOperating system version デスクトップ エクスペリエンス搭載サーバーServer with Desktop Experience Server CoreServer Core Nano ServerNano Server サポートされているインストールSupported installations
Windows Server 2008 R2 SP1Windows Server 2008 R2 SP1 適用なしNot applicable ドメイン コントローラーDomain controller
Windows Server 2012Windows Server 2012 適用なしNot applicable ドメイン コントローラーDomain controller
Windows Server 2012 R2Windows Server 2012 R2 適用なしNot applicable ドメイン コントローラーDomain controller
Windows Server 2016Windows Server 2016 ドメイン コントローラー、AD FSDomain controller, AD FS
Windows Server 2019*Windows Server 2019* ドメイン コントローラー、AD FSDomain controller, AD FS

* KB4487044 以降の累積的な更新プログラムが必要です。* Requires KB4487044 or newer cumulative update. システム ディレクトリ内の ntdsai.dll ファイルのファイルバージョンが 10.0.17763.316 よりも古い場合、この更新プログラムなしで Server 2019 にインストールされているセンサーは自動的に停止されます。Sensors installed on Server 2019 without this update will be automatically stopped if the file version of the ntdsai.dll file in the system directory is older than 10.0.17763.316.

ドメイン コントローラーは、読み取り専用ドメイン コントローラー (RODC) を指定できます。The domain controller can be a read-only domain controller (RODC).

ドメイン コントローラーおよび AD FS で実行されているセンサーとクラウド サービスの通信を可能にするには、ファイアウォールとプロキシで *.atp.azure.com へのポート 443 を開く必要があります。For sensors running on domain controllers and AD FS to communicate with the cloud service, you must open port 443 in your firewalls and proxies to *.atp.azure.com. AD FS ファームにインストールする場合は、各 AD FS サーバー、または少なくともプライマリ ノードにセンサーをインストールすることをお勧めします。If you're installing on an AD FS farm, we recommend installing the sensor on each AD FS server, or at least on the primary node.

.NET Framework 4.7 以降がインストールされていない場合、インストールの間に .NET Framework 4.7 がインストールされ、サーバーの再起動が必要になる可能性があります。During installation, if .NET Framework 4.7 or later isn't installed, the .NET Framework 4.7 is installed and might require a reboot of the server. 再起動が既に保留中になっている場合も、再起動が必要になることがあります。A reboot might also be required if there is a restart already pending.

注意

ディスク領域は少なくとも 5 GB 必要で、10 GB が推奨値です。A minimum of 5 GB of disk space is required and 10 GB is recommended. これには、Defender for IdentityDefender for Identity バイナリ、Defender for IdentityDefender for Identity ログ、パフォーマンス ログに必要な領域が含まれます。This includes space needed for the Defender for IdentityDefender for Identity binaries, Defender for IdentityDefender for Identity logs, and performance logs.

サーバーの仕様Server specifications

Defender for IdentityDefender for Identity センサーを使用するには、ドメイン コントローラーに最低でも 2 コアと 6 GB の RAM が装備されている必要があります。The Defender for IdentityDefender for Identity sensor requires a minimum of 2 cores and 6 GB of RAM installed on the domain controller. 最適なパフォーマンスを得るため、Defender for IdentityDefender for Identity センサーが実行されているコンピューターの 電源オプション高パフォーマンス に設定します。For optimal performance, set the Power Option of the machine running the Defender for IdentityDefender for Identity sensor to High Performance.

Defender for IdentityDefender for Identity センサーは、さあーバーによって送受信されるネットワーク トラフィックの量、およびインストールされているリソースの量に応じて、さまざまな負荷やサイズのドメイン コントローラーまたは AD FS サーバーに展開できます。Defender for IdentityDefender for Identity sensors can be deployed on domain controller or AD FS servers of various loads and sizes, depending on the amount of network traffic to and from the servers, and the amount of resources installed.

Windows オペレーティング システム 2008R2 および 2012 の場合、マルチプロセッサ グループ モードでは Defender for IdentityDefender for Identity センサーはサポートされません。For Windows Operating systems 2008R2 and 2012, the Defender for IdentityDefender for Identity sensor isn't supported in a Multi Processor Group mode. マルチプロセッサ グループ モードの詳細については、トラブルシューティングに関するページをご覧ください。For more information about multi-processor group mode, see troubleshooting.

注意

仮想マシンとして実行する場合は、常にすべてのメモリを仮想マシンに割り当てる必要があります。When running as a virtual machine, all memory is required to be allocated to the virtual machine at all times.

Defender for IdentityDefender for Identity センサーのハードウェア要件の詳細については、Defender for IdentityDefender for IdentityAzure ATP の容量計画に関するページを参照してください。For more information about the Defender for IdentityDefender for Identity sensor hardware requirements, see Defender for IdentityDefender for Identity capacity planning.

時刻の同期Time synchronization

センサーおよびセンサーをインストールするドメイン コントローラーは、それぞれの時刻をお互いに 5 分以内に同期する必要があります。The servers and domain controllers onto which the sensor is installed must have time synchronized to within five minutes of each other.

ネットワーク アダプターNetwork adapters

Defender for IdentityDefender for Identity センサーを使用すると、すべてのドメイン コント ローラーのネットワーク アダプターでローカル トラフィックが監視されます。The Defender for IdentityDefender for Identity sensor monitors the local traffic on all of the domain controller's network adapters.
デプロイ後は、Defender for IdentityDefender for Identity ポータルを使用して、監視対象のネットワーク アダプターを変更します。After deployment, use the Defender for IdentityDefender for Identity portal to modify which network adapters are monitored.

センサーは Broadcom ネットワーク アダプターのチーミングが有効な Windows 2008 R2 を実行しているドメイン コントローラーではサポートされていません。The sensor isn't supported on domain controllers running Windows 2008 R2 with Broadcom Network Adapter Teaming enabled.

ポートPorts

次の表では、Defender for IdentityDefender for Identity センサーで必要な最小限のポートを示します。The following table lists the minimum ports that the Defender for IdentityDefender for Identity sensor requires:

プロトコルProtocol トランスポートTransport ポートPort 差出人From 終了To
インターネット ポートInternet ports
SSL (*.atp.azure.com)SSL (*.atp.azure.com) TCPTCP 443443 Defender for IdentityDefender for Identity センサーDefender for IdentityDefender for Identity sensor Defender for IdentityDefender for Identity クラウド サービスDefender for IdentityDefender for Identity cloud service
内部ポートInternal ports
DNSDNS TCP および UDPTCP and UDP 5353 Defender for IdentityDefender for Identity センサーDefender for IdentityDefender for Identity sensor DNS サーバーDNS Servers
Netlogon (SMB、CIFS、SAM-R)Netlogon (SMB, CIFS, SAM-R) TCP/UDPTCP/UDP 445445 Defender for IdentityDefender for Identity センサーDefender for IdentityDefender for Identity sensor ネットワーク上のすべてのデバイスAll devices on network
RADIUSRADIUS UDPUDP 18131813 RADIUSRADIUS Defender for IdentityDefender for Identity センサーDefender for IdentityDefender for Identity sensor
Localhost ポート*Localhost ports* センサー サービスのアップデーター用に必要Required for Sensor Service updater
SSL (localhost)SSL (localhost) TCPTCP 444444 センサー サービスSensor Service センサー アップデーター サービスSensor Updater Service
NNR ポート**NNR ports**
RPC 経由の NTLMNTLM over RPC TCPTCP ポート 135Port 135 Defender for IdentityDefender for Identity ネットワーク上のすべてのデバイスAll devices on network
NetBIOSNetBIOS UDPUDP 137137 Defender for IdentityDefender for Identity ネットワーク上のすべてのデバイスAll devices on network
RDPRDP TCPTCP 3389、Client hello の最初のパケットのみ3389, only the first packet of Client hello Defender for IdentityDefender for Identity ネットワーク上のすべてのデバイスAll devices on network

* 既定では、localhost から localhost へのトラフィックは、カスタム ファイアウォール ポリシーによってブロックされない限り、許可されます。* By default, localhost to localhost traffic is allowed unless a custom firewall policy blocks it.
** これらのポートのいずれかが必須ですが、すべてを開くことをお勧めします。** One of these ports is required, but we recommend opening all of them.

Windows イベント ログWindows Event logs

Defender for IdentityDefender for Identity の検出は、センサーによってドメイン コントローラーから解析される、特定の Windows イベント ログに依存しています。Defender for IdentityDefender for Identity detection relies on specific Windows Event logs that the sensor parses from your domain controllers. 正しいイベントが監査され、Windows イベント ログに含まれるようにするには、ドメイン コントローラーで高度な監査ポリシーを正確に設定する必要があります。For the correct events to be audited and included in the Windows Event log, your domain controllers require accurate Advanced Audit Policy settings. 正しいポリシーの設定について詳しくは、高度な監査ポリシーの確認に関するページをご覧ください。For more information about setting the correct policies, see, Advanced audit policy check. サービスの要求に従って Windows イベント 8004 が監査されるようにするには、お使いの NTLM 監査設定を確認してください。To make sure Windows Event 8004 is audited as needed by the service, review your NTLM audit settings.

AD FS サーバーで実行されているセンサーの場合は、監査レベルを 詳細 に構成します。For sensors running on AD FS servers, configure the auditing level to Verbose. 監査レベルを構成する方法の詳細については、AD FS のイベント監査情報に関する記事を参照してください。For information on how to configure the auditing level, see Event auditing information for AD FS.

注意

センサーは、水平方向の活動のパス グラフを作成するため、ディレクトリ サービスのユーザー アカウントを使って、組織のエンドポイントで、SAM-R (ネットワーク ログオン) を使っているローカル管理者を照会します。Using the Directory service user account, the sensor queries endpoints in your organization for local admins using SAM-R (network logon) in order to build the lateral movement path graph. 詳しくは、「SAM-R ために必要なアクセス許可を構成」をご覧ください。For more information, see Configure SAM-R required permissions.

Defender for Identity スタンドアロン センサーの要件Defender for Identity standalone sensor requirements

ここでは、Defender for IdentityDefender for Identity スタンドアロン センサーの要件の一覧を示します。This section lists the requirements for the Defender for IdentityDefender for Identity standalone sensor.

注意

Defender for IdentityDefender for Identity スタンドアロン センサーの場合、複数の検出のためにデータを提供する Windows イベント トレーシング (ETW) のログ エントリのコレクションはサポートされません。Defender for IdentityDefender for Identity standalone sensors do not support the collection of Event Tracing for Windows (ETW) log entries that provide the data for multiple detections. 環境全体を対象にするには、Defender for IdentityDefender for Identity センサーを展開することをお勧めします。For full coverage of your environment, we recommend deploying the Defender for IdentityDefender for Identity sensor.

全般General

Defender for IdentityDefender for Identity スタンドアロン センサーでは、Windows Server 2012 R2 または Windows Server 2016 (Server Core を含む) が実行されているサーバーへのインストールがサポートされています。The Defender for IdentityDefender for Identity standalone sensor supports installation on a server running Windows Server 2012 R2 or Windows Server 2016 (Include server core). Defender for IdentityDefender for Identity スタンドアロン センサーは、ドメインまたはワークグループのメンバーであるサーバーにインストールできます。The Defender for IdentityDefender for Identity standalone sensor can be installed on a server that is a member of a domain or workgroup. Defender for IdentityDefender for Identity スタンドアロン センサーは、Windows 2003 以上のドメイン機能レベルを備えたドメイン コントローラーを監視するために使用できます。The Defender for IdentityDefender for Identity standalone sensor can be used to monitor Domain Controllers with Domain Functional Level of Windows 2003 and above.

スタンドアロン センサーとクラウド サービスの通信を可能にするには、ファイアウォールとプロキシで *.atp.azure.com へのポート 443 を開く必要があります。For your standalone sensor to communicate with the cloud service, port 443 in your firewalls and proxies to *.atp.azure.com must be open.

Defender for IdentityDefender for Identity スタンドアロン センサーでの仮想マシンの使用については、「ポート ミラーリングの構成」を参照してください。For information on using virtual machines with the Defender for IdentityDefender for Identity standalone sensor, see Configure port mirroring.

注意

ディスク領域は少なくとも 5 GB 必要で、10 GB が推奨値です。A minimum of 5 GB of disk space is required and 10 GB is recommended. これには、Defender for IdentityDefender for Identity バイナリ、Defender for IdentityDefender for Identity ログ、パフォーマンス ログに必要な領域が含まれます。This includes space needed for the Defender for IdentityDefender for Identity binaries, Defender for IdentityDefender for Identity logs, and performance logs.

サーバーの仕様Server specifications

最適なパフォーマンスを得るため、Defender for IdentityDefender for Identity スタンドアロン センサーが実行されているコンピューターの 電源オプション高パフォーマンス に設定します。For optimal performance, set the Power Option of the machine running the Defender for IdentityDefender for Identity standalone sensor to High Performance.

Defender for IdentityDefender for Identity スタンドアロン センサーでは、ドメイン コントローラーが送受信するネットワーク トラフィック量に応じて、複数のドメイン コントローラーの監視がサポートされます。Defender for IdentityDefender for Identity standalone sensors can support monitoring multiple domain controllers, depending on the amount of network traffic to and from the domain controllers.

注意

仮想マシンとして実行する場合は、常にすべてのメモリを仮想マシンに割り当てる必要があります。When running as a virtual machine, all memory is required to be allocated to the virtual machine at all times.

Defender for IdentityDefender for Identity スタンドアロン センサーのハードウェア要件の詳細については、Defender for IdentityDefender for Identity の容量計画に関するページを参照してください。For more information about the Defender for IdentityDefender for Identity standalone sensor hardware requirements, see Defender for IdentityDefender for Identity capacity planning.

時刻の同期Time synchronization

センサーおよびセンサーをインストールするドメイン コントローラーは、それぞれの時刻をお互いに 5 分以内に同期する必要があります。The servers and domain controllers onto which the sensor is installed must have time synchronized to within five minutes of each other.

ネットワーク アダプターNetwork adapters

Defender for IdentityDefender for Identity スタンドアロン センサーには、1 つ以上の管理アダプターと 1 つ以上のキャプチャ アダプターが必要です。The Defender for IdentityDefender for Identity standalone sensor requires at least one Management adapter and at least one Capture adapter:

  • 管理アダプター - 企業ネットワーク上の通信に使用されます。Management adapter - used for communications on your corporate network. センサーはこのアダプターを使用して、保護している DC にクエリを実行し、マシン アカウントに対して解決策を実行します。The sensor will use this adapter to query the DC it's protecting and performing resolution to machine accounts.

    このアダプターは、次の設定にしたがって構成する必要があります:This adapter should be configured with the following settings:

    • デフォルト ゲートウェイなどの静的 IP アドレスStatic IP address including default gateway

    • 優先および代替 DNS サーバーPreferred and alternate DNS servers

    • [この接続の DNS サフィックス] には、監視対象の各ドメインの DNS 名を指定する必要があります。The DNS suffix for this connection should be the DNS name of the domain for each domain being monitored.

      TCP/IP 詳細設定の DNS サフィックスの構成

      注意

      Defender for IdentityDefender for Identity スタンドアロン センサーがドメインのメンバーである場合、この構成を自動的に行うことができます。If the Defender for IdentityDefender for Identity standalone sensor is a member of the domain, this may be configured automatically.

  • キャプチャ アダプター - ドメイン コントローラーとの間のトラフィックのキャプチャに使用されます。Capture adapter - used to capture traffic to and from the domain controllers.

    重要

    • ドメイン コントローラーのネットワーク トラフィックの宛先として、キャプチャ アダプターのポート ミラーリングを構成します。Configure port mirroring for the capture adapter as the destination of the domain controller network traffic. 詳細については、「ポート ミラーリングの構成」を参照してください。For more information, see Configure port mirroring. 通常、ネットワーク チームや仮想化チームと連携してポート ミラーリングを構成する必要があります。Typically, you need to work with the networking or virtualization team to configure port mirroring.
    • デフォルト センサー ゲートウェイと DNS サーバーのアドレスなしで環境のルーティング不可能な静的 IP アドレス (/32 マスクを含む) を構成します。Configure a static non-routable IP address (with /32 mask) for your environment with no default sensor gateway and no DNS server addresses. 例: 10.10.0.10/32。For example, 10.10.0.10/32. これにより、キャプチャ ネットワーク アダプターが最大トラフィック量をキャプチャできるようになり、管理ネットワーク アダプターを使用して必要なネットワーク トラフィックが送受信されるようになります。This ensures that the capture network adapter can capture the maximum amount of traffic and that the management network adapter is used to send and receive the required network traffic.

ポートPorts

次の表では、Defender for IdentityDefender for Identity スタンドアロン センサーを使用するために管理アダプターで構成する必要がある最小限のポートを示します。The following table lists the minimum ports that the Defender for IdentityDefender for Identity standalone sensor requires configured on the management adapter:

プロトコルProtocol トランスポートTransport ポートPort 差出人From 終了To
インターネット ポートInternet ports
SSL (*.atp.azure.com)SSL (*.atp.azure.com) TCPTCP 443443 Defender for IdentityDefender for Identity センサーDefender for IdentityDefender for Identity Sensor Defender for IdentityDefender for Identity クラウド サービスDefender for IdentityDefender for Identity cloud service
内部ポートInternal ports
LDAPLDAP TCP および UDPTCP and UDP 389389 Defender for IdentityDefender for Identity センサーDefender for IdentityDefender for Identity Sensor ドメイン コントローラーDomain controllers
セキュリティで保護された LDAP (LDAPS)Secure LDAP (LDAPS) TCPTCP 636636 Defender for IdentityDefender for Identity センサーDefender for IdentityDefender for Identity Sensor ドメイン コントローラーDomain controllers
グローバル カタログ用 LDAPLDAP to Global Catalog TCPTCP 32683268 Defender for IdentityDefender for Identity センサーDefender for IdentityDefender for Identity Sensor ドメイン コントローラーDomain controllers
グローバル カタログ用 LDAPSLDAPS to Global Catalog TCPTCP 32693269 Defender for IdentityDefender for Identity センサーDefender for IdentityDefender for Identity Sensor ドメイン コントローラーDomain controllers
KerberosKerberos TCP および UDPTCP and UDP 8888 Defender for IdentityDefender for Identity センサーDefender for IdentityDefender for Identity Sensor ドメイン コントローラーDomain controllers
Netlogon (SMB、CIFS、SAM-R)Netlogon (SMB, CIFS, SAM-R) TCP および UDPTCP and UDP 445445 Defender for IdentityDefender for Identity センサーDefender for IdentityDefender for Identity Sensor ネットワーク上のすべてのデバイスAll devices on network
Windows タイムWindows Time UDPUDP 123123 Defender for IdentityDefender for Identity センサーDefender for IdentityDefender for Identity Sensor ドメイン コントローラーDomain controllers
DNSDNS TCP および UDPTCP and UDP 5353 Defender for IdentityDefender for Identity センサーDefender for IdentityDefender for Identity Sensor DNS サーバーDNS Servers
Syslog (省略可能)Syslog (optional) TCP/UDPTCP/UDP 514 (構成次第)514, depending on configuration SIEM サーバーSIEM Server Defender for IdentityDefender for Identity センサーDefender for IdentityDefender for Identity Sensor
RADIUSRADIUS UDPUDP 18131813 RADIUSRADIUS Defender for IdentityDefender for Identity センサーDefender for IdentityDefender for Identity sensor
Localhost ポート*Localhost ports* センサー サービスのアップデーター用に必要Required for Sensor Service updater
SSL (localhost)SSL (localhost) TCPTCP 444444 センサー サービスSensor Service センサー アップデーター サービスSensor Updater Service
NNR ポート**NNR ports**
RPC 経由の NTLMNTLM over RPC TCPTCP 135135 Defender for IdentityDefender for Identity ネットワーク上のすべてのデバイスAll devices on network
NetBIOSNetBIOS UDPUDP 137137 Defender for IdentityDefender for Identity ネットワーク上のすべてのデバイスAll devices on network
RDPRDP TCPTCP 3389、Client hello の最初のパケットのみ3389, only the first packet of Client hello Defender for IdentityDefender for Identity ネットワーク上のすべてのデバイスAll devices on network

* 既定では、localhost から localhost へのトラフィックは、カスタム ファイアウォール ポリシーによってブロックされない限り、許可されます。* By default, localhost to localhost traffic is allowed unless a custom firewall policy blocks it.
** これらのポートのいずれかが必須ですが、すべてを開くことをお勧めします。** One of these ports is required, but we recommend opening all of them.

注意

関連項目See Also