オンプレミスの Active Directory への侵害を検知する Microsoft Defender for Identity（MDI）において、Active Directory 証明書サービス（AD CS）サーバーに対しても、MDI のセンサーを展開できるようになりました。
Microsoft Defender for Identity expands its coverage with new AD CS sensor! - Microsoft Community Hub

 

Defender for Identity（MDI）は、オンプレミスのドメインコントローラにセンサーをインストールし、Active Directory シグナルを使用して脅威や侵害を検出するソリューションです。
以前は、Azure ATP、その前は ATA と呼ばれていました。

 

Active Directory 証明書サービス（AD CS）は、公開鍵インフラストラクチャ（PKI）証明書を作成、管理する Windows Server の役割であり、これらの証明書は、ネットワーク上のユーザー、デバイス、アプリケーション間の信頼できる通信を確立するために使用されるため、ユーザー認証のパスワードと同等に重要です。

今回、この AD CS サーバーに対するセキュリティ強化として、センサーが新しく対応し、以下のような検出ができるようになりました。

　・ 非 DC のドメインコントローラー証明書の発行
　・ AD CS の監査ログの疑わしい無効化
　・ 証明書データベースの疑わしい削除
　・ AD CS 設定に対する疑わしい変更（近日公開予定）

また、セキュア スコア にも証明書に関する推奨事項が追加されるようです。

 

（参考）
新着情報 - Microsoft Defender for Identity | Microsoft Learn

センサーの管理と更新 - Microsoft Defender for Identity | Microsoft Learn