Threat Defense for Active Directory (TDAD) 機能が動作していることを確認するために、実行可能なコマンドやスクリプトのサンプルを知りたい。
TDAD が展開され有効になっていることを確認するために、いくつかの点をチェックすることができます。ポリシーで [監視または監査モードでのみ実行する] が有効の場合、エンドポイントで確認できることは少なくなります。
まず、TDAD ポリシーが適用されたデバイスグループ内のエンドポイントに難読化マスクが適用されていることを確認します。コマンドプロンプトから次のコマンドを使用して、難読化の有無を確認します。
net group /dom "domain admins"
net group /dom "domain computers"
これらのコマンドは両方とも、本物と偽物のオブジェクトが混在したマスク出力を返します。
次に、コンピュータのリストから 4 つの偽のオブジェクトを選択し、それぞれに対して ping を実行します。3 回目以降ポリシーが適用され、[疑わしいプロセスのリスクを緩和します] が有効の場合、アクティブシェルはほとんどのコマンドを許可しなくなります。さらに、クラウドコンソールで警告とインシデントが生成されます。"Deception Lateral Movement" のようなイベントや "TDAD Domain Computer Ping Scan" のようなインシデントを探してみてください。
その他に実行できるテスト:
runas /u:Your_DC_Name\FakeUser_Name notepad.exe
(プロンプトには任意のパスワードを入力することができます)。
net use z: \\FakeComputer_Name\C$ /user:Your_DC_Name\FakeUser_Name <password>
dir \\FakeComputer_Name\c$
追加の情報については、オンプレミス版 TDAD の文書 Endpoint Threat Defense for Active Directory Documentation を参照してください。