Microsoft Defender for IdentityMicrosoft Defender for Identity の概要What is Microsoft Defender for IdentityMicrosoft Defender for Identity?

Microsoft Defender for IdentityMicrosoft Defender for Identity (旧称: Azure Advanced Threat Protection、Azure ATP とも呼ばれる) はクラウドベースのセキュリティ ソリューションであり、オンプレミスの Active Directory シグナルを利用して、組織を対象とする高度な脅威、侵害された ID、および悪意のあるインサイダーによるアクションの識別、検出、調査を行います。Microsoft Defender for IdentityMicrosoft Defender for Identity (formerly Azure Advanced Threat Protection, also known as Azure ATP) is a cloud-based security solution that leverages your on-premises Active Directory signals to identify, detect, and investigate advanced threats, compromised identities, and malicious insider actions directed at your organization.

Defender for IdentityDefender for Identity を利用することで、ハイブリッド環境での高度な攻撃を検出するために苦労している SecOp アナリストやセキュリティ専門家は、以下のことができます。Defender for IdentityDefender for Identity enables SecOp analysts and security professionals struggling to detect advanced attacks in hybrid environments to:

  • 学習ベースの分析を使用してユーザー、エンティティの動作、アクティビティを監視しますMonitor users, entity behavior, and activities with learning-based analytics
  • Active Directory に格納されているユーザー ID と資格情報を保護しますProtect user identities and credentials stored in Active Directory
  • ユーザーの疑わしいアクティビティおよび kill チェーン全体での高度な攻撃を識別して調査しますIdentify and investigate suspicious user activities and advanced attacks throughout the kill chain
  • 高速なトリアージのためにシンプルなタイムラインで明確なインシデント情報を提供しますProvide clear incident information on a simple timeline for fast triage

ユーザーの動作とアクティビティを監視してプロファイリングしますMonitor and profile user behavior and activities

Defender for IdentityDefender for Identity では、ネットワーク全体でユーザーのアクティビティと情報 (アクセス許可やグループ メンバーシップなど) を監視し、各ユーザーの行動ベースラインを作成します。Defender for IdentityDefender for Identity monitors and analyzes user activities and information across your network, such as permissions and group membership, creating a behavioral baseline for each user. その後、Defender for IdentityDefender for Identity で、適応型の組み込みインテリジェンスによって異常が識別され、不審なアクティビティやイベントに関する分析情報がユーザーに提供され、組織に対する高度な脅威、侵害されたユーザー、インサイダーの脅威が明らかにされます。Defender for IdentityDefender for Identity then identifies anomalies with adaptive built-in intelligence, giving you insights into suspicious activities and events, revealing the advanced threats, compromised users, and insider threats facing your organization. Defender for IdentityDefender for Identity の独自のセンサーにより組織のドメイン コントローラーが監視されて、すべてのデバイスからのすべてのユーザー アクティビティに関する包括的なビューが提供されます。Defender for IdentityDefender for Identity's proprietary sensors monitor organizational domain controllers, providing a comprehensive view for all user activities from every device.

ユーザーの ID を保護して攻撃対象領域を減らすProtect user identities and reduce the attack surface

Defender for IdentityDefender for Identity を使用すると、ID の構成と推奨されるセキュリティのベスト プラクティスに関する貴重な分析情報が得られます。Defender for IdentityDefender for Identity provides you invaluable insights on identity configurations and suggested security best-practices. Defender for IdentityDefender for Identity のセキュリティ レポートとユーザー プロファイル分析を使用することで、組織の攻撃対象領域を大幅に削減でき、これにより、ユーザーの資格情報を侵害したり攻撃を進めたりするのが困難になります。Through security reports and user profile analytics, Defender for IdentityDefender for Identity helps dramatically reduce your organizational attack surface, making it harder to compromise user credentials, and advance an attack. Defender for IdentityDefender for Identity の視覚的な横移動パスは、攻撃者が組織内を横方向に移動して機密性の高いアカウントを侵害する方法を正確にすばやく理解するのに役立ち、そのようなリスクを事前に防止するのを支援します。Defender for IdentityDefender for Identity's visual Lateral Movement Paths help you quickly understand exactly how an attacker can move laterally inside your organization to compromise sensitive accounts and assists in preventing those risks in advance. Defender for IdentityDefender for Identity のセキュリティ レポートは、クリアテキストのパスワードを使用して認証を行っているユーザーとデバイスを特定するのに役立ち、組織のセキュリティ体制とポリシーを向上させるための追加の分析情報を提供します。Defender for IdentityDefender for Identity security reports help you identify users and devices that authenticate using clear-text passwords and provide additional insights to improve your organizational security posture and policies.

サイバー攻撃 kill チェーン全体で不審なアクティビティと高度な攻撃を識別するIdentify suspicious activities and advanced attacks across the cyber-attack kill-chain

通常、攻撃は、低い特権のユーザーなどの任意のアクセス可能なエンティティに対して開始された後、攻撃者が機密性の高いアカウント、ドメイン管理者、機密性の高いデータなどの貴重な資産にアクセスするまで、すばやい横断的な移動が続けられます。Typically, attacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets – such as sensitive accounts, domain administrators, and highly sensitive data. Defender for IdentityDefender for Identity を使用すれば、サイバー攻撃 kill チェーン全体のソースでこのような高度な脅威を識別できます。Defender for IdentityDefender for Identity identifies these advanced threats at the source throughout the entire cyber-attack kill chain:

偵察Reconnaissance

悪意のあるユーザーおよび攻撃者による情報取得の試みを識別します。Identify rogue users and attackers' attempts to gain information. 攻撃者は、さまざまな方法を使用して、ユーザー名、ユーザーのグループ メンバーシップ、デバイスやリソースなどに割り当てられた IP アドレスに関する情報を検索しています。Attackers are searching for information about user names, users' group membership, IP addresses assigned to devices, resources, and more, using a variety of methods.

資格情報の侵害Compromised credentials

ブルート フォース攻撃、失敗した認証、ユーザー グループ メンバーシップの変更、その他の方法を使用することによるユーザー資格情報の侵害の試みを識別します。Identify attempts to compromise user credentials using brute force attacks, failed authentications, user group membership changes, and other methods.

水平方向の活動Lateral movements

Pass-the-Ticket、Pass-the-Hash、Overpass-the-Hash などの手段を用いて、ネットワークの横断的移動により機密性の高いユーザーを制御しようとする試みを検出します。Detect attempts to move laterally inside the network to gain further control of sensitive users, utilizing methods such as Pass the Ticket, Pass the Hash, Overpass the Hash and more.

ドメインの支配Domain dominance

ドメイン コントローラーでのリモート コード実行、および DC シャドウ、悪意のあるドメイン コントローラーのレプリケーション、ゴールデン チケット アクティビティなどの手段により、ドメインの支配が達成された場合に、攻撃者の動作を強調表示します。Highlighting attacker behavior if domain dominance is achieved, through remote code execution on the domain controller, and methods such as DC Shadow, malicious domain controller replication, Golden Ticket activities, and more.

アラートとユーザー アクティビティを調査するInvestigate alerts and user activities

Defender for IdentityDefender for Identity は一般的なアラート ノイズを減らすように設計されており、関連のある重要なセキュリティ アラートのみを、シンプルなリアルタイムの組織攻撃タイムラインで提供します。Defender for IdentityDefender for Identity is designed to reduce general alert noise, providing only relevant, important security alerts in a simple, real-time organizational attack timeline. Defender for IdentityDefender for Identity の攻撃タイムライン ビューでは、スマート分析のインテリジェンスを利用して、簡単に問題に集中し続けることができます。The Defender for IdentityDefender for Identity attack timeline view allows you to easily stay focused on what matters, leveraging the intelligence of smart analytics. Defender for IdentityDefender for Identity を使用すると、脅威をすばやく調査し、組織全体のユーザー、デバイス、ネットワーク リソースに関する分析情報を得ることができます。Use Defender for IdentityDefender for Identity to quickly investigate threats, and gain insights across the organization for users, devices, and network resources. Microsoft Defender for Endpoint とのシームレスな統合により、オペレーティング システムでの高度な永続的脅威に対する検出と保護が追加されて、強化されたセキュリティの新しいレイヤーが提供されます。Seamless integration with Microsoft Defender for Endpoint provides another layer of enhanced security by additional detection and protection against advanced persistent threats on the operating system.

Defender for IdentityDefender for Identity の追加リソースAdditional resources for Defender for IdentityDefender for Identity

無料試用版の使用開始Start a free trial

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Microsoft Tech Community で Defender for IdentityDefender for Identity をフォローするFollow Defender for IdentityDefender for Identity on Microsoft Tech Community

https://aka.ms/MDIcommunity

Defender for IdentityDefender for Identity Yammer コミュニティに参加するJoin the Defender for IdentityDefender for Identity Yammer community

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Defender for IdentityDefender for Identity 製品ページにアクセスするVisit the Defender for IdentityDefender for Identity product page

https://www.microsoft.com/microsoft-365/security/identity-defender

Defender for IdentityDefender for Identity アーキテクチャについてさらに学習するLearn more about Defender for IdentityDefender for Identity architecture

Defender for IdentityDefender for Identity のアーキテクチャDefender for IdentityDefender for Identity Architecture

ビデオを見るWatch our videos

Defender for IdentityDefender for Identity でセキュリティ体制を強化する - 既知の不適切なプラクティスを特定して事前に解決し、環境をより正常な状態に保ち、不適切なアクターに対する回復力を高めます。YouTube 動画をご覧くださいBolster your security posture with Defender for IdentityDefender for Identity - Identify and proactively resolve known bad-practices, leaving your environment in a healthier state and more resilient to bad actors - watch the YouTube video

Defender for IdentityDefender for Identity でのインシデント調査 - Defender for IdentityDefender for Identity での ID とドメイン コントローラーを対象とする高度な脅威の検出、調査、および対応方法について学習します。Incident Investigation with Defender for IdentityDefender for Identity - Learn how to Detect, investigate, and respond to advanced threats targeting identities and domain controllers with Defender for IdentityDefender for Identity. Defender for IdentityDefender for Identity のアラートから開始し、その情報がインシデントにどのように関連付けられているか、Defender for IdentityDefender for Identity によってキャプチャされた情報を使用して脅威を探す方法、問題が大きくなる前にインシデントを修正するための自動インシデント対応を開始する方法について説明します。YouTube 動画をご覧くださいStarting with an alert in Defender for IdentityDefender for Identity we'll demonstrate how that information is correlated into an incident, how to hunt for threats using information captured by Defender for IdentityDefender for Identity and how we can initiate an automatic incident response to remediate the incident before it evolves into a bigger problem - watch the YouTube video

次の内容What's next?

Defender for IdentityDefender for Identity を次の 3 つのフェーズでデプロイすることをお勧めします。We recommend deploying Defender for IdentityDefender for Identity in three phases:

フェーズ 1Phase 1

  1. ご利用の主要な環境を保護するように Defender for IdentityDefender for Identity を設定します。Set up Defender for IdentityDefender for Identity to protect your primary environments. Defender for IdentityDefender for Identity の高速デプロイ モデルを使用すれば、組織の保護をすぐに開始できます。Defender for IdentityDefender for Identity's fast deployment model enables you to start protecting your organization today. Defender for IdentityDefender for Identity をインストールするInstall Defender for IdentityDefender for Identity
  2. 機密性の高いアカウントハニートークン アカウントを設定します。Set sensitive accounts and honeytoken accounts.
  3. レポートと横移動パスを確認します。Review reports and lateral movement paths.

フェーズ 2Phase 2

  1. 組織内のすべてのドメイン コントローラーとフォレストを保護します。Protect all the domain controllers and forests in your organization.
  2. すべてのアラートを監視し、水平方向の移動とドメインの支配アラートを調査します。Monitor all alerts – investigate lateral movement & domain dominance alerts.
  3. セキュリティ アラート ガイドを参考にして、脅威について理解し、潜在的な攻撃をトリアージします。Work with the Security Alert guide to understand threats and triage potential attacks.

フェーズ 3Phase 3

  1. Defender for IdentityDefender for Identity アラートを SecOp ワークフローに統合します。Integrate Defender for IdentityDefender for Identity alerts into your SecOp workflows.

参照See Also