Microsoft社のAzureドキュメントを見ながら勉強し理解した内容を共有する。サクッと読んでからMicrosoft社のドキュメントを読むと少し理解が早いかもしれない。(逆に混乱したらすみません)
昔の日本語ドキュメントサイトに比べて最近は本当に改善されて読みやすくなったので、もっと深く理解したいと思った方はページ最後に参照リンクを貼っておくのでそちらを参照されたし。
Microsoft Defender for Identityとは
組織で管理しているADドメインを外部のサイバー攻撃の脅威やID漏洩や内部関係者の不正活動から保護するためのサービス。オンプレAD・Azure AD・Defender for Identity・Cloud App Security等様々なサービスが情報連携し、不正アクセスや怪しい挙動を検知し、サービス管理者へその内容や推奨対応内容といった情報を提供する。
オンプレADの情報は、サーバーにセンサーと呼ばれる小さな監視ツールをインストールし、ネットワークで実行されたコマンドや発行されたイベント情報をAzure側に提供する。
Azure側ではそれらの情報を企業内のセキュリティ情報の1つとして分析し、AIや機械学習を用いて情報の中で怪しい行動等が記録されていないかどうかを判断し、リストやグラフでビジュアルな情報として管理者権限のあるユーザーへ提供する。
Microsoft Defender for Identityの特長
以下3つの機能を持って組織を保護する。
機能1:Microsoft Defender for Identity 専用センサー
- オンプレADにインストールする小さな監視ツールであり、組織ドメインのネットワークトラフィックやイベントを監視し、Azure側に送信する。
機能2:Microsoft Defender for Identity ユーザープロファイル分析
- 攻撃者のキルチェーン等、破壊行動の予兆と見られるアクティビティの危険性を検知する。
機能3:Microsoft Defender for Identity セキュリティレポート
- クリアテキストのパスワード等、危険な認証を行うユーザーやデバイスを特定する。
- 組織のセキュリティやポリシーの見直しのための有益な情報を提供する。
サイバー攻撃のキルチェーンとは
キルチェーンとは、サイバー攻撃を行う際に攻撃者が慣例的に行うであろう行動パターンのこと。Microsoft Defender for Identityでは、これらの攻撃パターンを識別して怪しい挙動をイベント情報やログから検出する。
※恥ずかしながら全く知らなかったのでとても勉強になった。
マイクロソフト社のサイトでは、実際の攻撃のキルチェーンを想定したWindowsサーバーでの実際の操作をビデオで見せてくれるので見たほうがいい。全編英語だが、日本語の字幕もあると言えばあるが、英語で理解できる方なら英語で見たほうがわかりやすいかも。。
一般的には以下のような行動パターンを「キルチェーン」といい、攻撃者の定番とも言える鼓動パターンだそうだ。
特にやばいのは「6.潜伏活動」だが、攻撃者はここに至るまでにかなり慎重に動く場合があるらしい。最初のアカウントの奪取後にここまでに至るステップで数ヶ月以上もかける場合があるという。それに比べて実際の情報の盗み取りや破壊行動は一瞬であり、痕跡もきれいに消されるという事だから、ここに至る前になんとか防御して置かなければならない。
- 偵察(SNS等オンライン情報を用いた標的(企業/人)の事前調査)
- 武器化(標的型攻撃メールの送付)
- デリバリー(コマンド&コントロールサーバーとの通信の確立)
- エクスプロイト(内部行動による情報収集)
- 侵入(高い権限を持つPCへの侵入や高い権限のあるIDの取得)
- 潜伏活動(情報の盗み取り、改ざん、破壊)
- 痕跡の消去(追跡情報の削除)
参考情報:

Microsoftのビデオで紹介されていたキルチェーンの4つのカテゴリ
MSのビデオでは、実際にWindowsサーバーでのコマンド発行を行いながら、キルチェーンを実践して見せてくれる。その内容は以下のステップであり、かなり具体的な内容となっている。
※Microsoft Defender for Identityで検出できる事象が以下であると理解した。
1.偵察(Reconnaissance)
- セキュリティプリンシパル(LDAP)の偵察
- アカウントの列挙
- ユーザーグループメンバーシップの列挙
- ユーザー&IPの列挙
- ホストとサーバー名の列挙
2.資格情報の侵害(Compromized Credentials)
- ブルートフォースの試み
- VPN接続の確認
- HoneyTokenアカウントの確認
3.横移動(Lateral movement)
- Pass-the-Ticket
- Overpass-the-hash
4.ドメイン支配(Domain Dominance)
- メモリのTicketを使ったセッション乗っ取り
- DCのコピー or シャドウ
- リモートコード実行
- サービス起動
- グループメンバーの不正な書き換え
Microsoft Defender for Identityを構成する手順
ビデオを見て驚愕した後は、これらの行動をどのようにMicrosoft Defender for Identityで防御するか、その機能を確認する。
※確認すると言っても、ライセンスがないのでドキュメントベースで理解するしかない。。開発者ライセンス的な、サンドボックス的な、エンジニアフレンドリーな環境を準備してほしい。。
大きな流れとしては、Azure側でMicrosoft Defender for Identityを有効化、オンプレADにセンサーをダウンロード/インストール、センサーーAzure間のネットワークを設定、Azure 側管理画面で監視設定といった感じ。
- Microsoft Defender for Identity管理ポータルでインスタンスを生成する。
- Microsoft Defender for IdentityポータルでオンプレADのサービスアカウントを指定する。
- 全てのDCにMicrosoft Defender for Identityセンサーをインストールする。
- VPNソリューションと統合する
- 設計フェーズでリストされた機密アカウントを除外する
- センサーがSAM-Rプロトコルを使用したコールを実行できるようにアクセス許可を構成する
- Microsoft Cloud App Securityとの統合を設定
- Microsoft 365 Defender との統合を設定
Microsoft Defender for Identityのアーキテクチャ
Microsoft Learnのサイトの絵が一番わかりやすかったのでリンクしておく。

言葉の定義が分からなかったモノは調べて下方にまとめておく。
SAM-Rプロトコルとは
Security Account Manager Remoteプロトコルの略で、ユーザーとグループを管理しているストア、もしくはディレクトリを管理する機能を提供する。

Microsoft Defender for Identityセンサーはこのプロトコルを使用してADの情報を取得するため、アクセス許可が必要となる。
ポートミラーリングとは
あるポートが送受信するデータを同時に別のポートから送出する機能。
ミラーポートを監視することで、モニターポート(監視対象のポート)で送受信されるデータを全て受け取ることができる。

SIEMとは
Security Information and Event Managementで、セキュリティ機器やネットワーク機器からログを収集し、時系列などで相関分析する事によってセキュリティインシデントを自動的に発見するためのソリューション。

例えば、特定の端末からサーバールームにあるサーバーへのアクセスがあった場合、通常はサーバールームへの入室ログがあるはずが、それがない状態でサーバーへのアクセスがあると異常な挙動と判断できる。
SIEMの特長
- 相関分析のために関連ログを一括管理
- 相関分析によるインシデントの早期発見
- 通知による早期対策
まとめ
この記事ではMicrosoft Defender for Identityの概要について簡単に学習したことをまとめた。
引き続き、Microsoft Defender for Identityについて学習を継続し、もう少し深く理解した内容を個別にまとめて、今後の記事で共有していく。
コメント