Microsoft Defender for Identity
Microsoft Defender for Identity は、Active Directory 環境を監視し、サイバー攻撃や内部脅威を検出・調査・対応するセキュリティソリューションです。
インストールには E5 ライセンスが必要です。事前準備が整ったら、Securityページ、設定、ID、センサー、センサーの追加でインストール可能です。
https://security.microsoft.com
センサーの追加で、インストーラーのダウンロードをし、Active Directoryがインストールされているサーバへ格納します。
インストール中に表示されたアクセスキーを貼り付けて画面の通り進めば完了となります。
サービス名 AATPSensor
表示名 Azure Advanced Threat Protection Sensor
アラートもメニューから簡単調整できます。
NSG
https://learn.microsoft.com/ja-jp/defender-for-identity/deploy/prerequisites-sensor-version-2
Azure VMにセンサーをインストールし、NSGを設定している場合は以下のポートを設定します。
単一のドメインの場合
| 方向 | ポート | プロトコル | 宛先 | 備考 |
| 送信 | 443 | TCP | *.atp.azure.com | Defender for Identityセンサーアクセス |
| 受信 | 53 | TCP/UDP | DNS | |
| 受信 | 445 | TCP/UDP | Netlogon | |
| 受信 | 1813 | UDP | RADIUS | |
| 受信 | 444 | TCP | Defender for Identity センサーサービス | |
| 受信 | 135 | TCP | Defender for Identity センサー | |
| 受信 | 137 | UDP | Defender for Identity センサー | |
| 受信 | 3389 | TCP | Defender for Identity センサー |
複数のフォレストの場合
| 方向 | ポート | プロトコル | 宛先 | 備考 |
| 送信 | 443 | TCP | *.atp.azure.com | Defender for Identityセンサーアクセス |
| 受信 | 389 | TCP/UDP | | LDAP |
| 受信 | 636 | TCP | | LDAPS |
| 受信 | 3268 | TCP | | LDAPからGC |
| 受信 | 3269 | TCP | | LDAPSからGC |