Microsoft Defender for Endpointを使って、macOSのお手軽ネットワークプロテクションを試してみる。

こんにちは。mediba Advent Calendar 2022 18日目担当の @mediba_nagane です。
テクノロジー統合ユニットで、社内インフラ・セキュリティ周りを見ています。

セキュリティについて

セキュリティはこれを行えば必ず安全といったものはなく、基本的な考えとして多層的に防御をすることが肝心です。
コロナ過となって久しいですが、リモートを中心とした働き方へにおいては、これまでのオフィス内の境界に閉じたセキュリティだけではなく、よりエンドポイントのセキュリティにも目を向けて強化していかねばなりません。

今回はそのような背景から、エンドポイントセキュリティにフォーカスして、
みんな大好き Microsoft Defender for Endpoint（MDfE）にて、待望の新機能がパブリックプレビューとなった為、試していきたいと思います。
皆様の参考になれば幸いです。

Microsoft Defender for Endpoint（MDfE）って？

• Microsoft が開発したEDR
• Windows, macOS, Linux, iOS, Android 等マルチプラットフォームに対応
• 2021 Gartner Magic Quadrant EndpointProtection部門で、CrowdStrikeと並び Leader として高く評価された。
• 利用するにはライセンス Microsoft Defender for Endpoint P1 / P2が必要
  • Microsoft 365 E3 / E5 に含まれる。

WindowsのEDRは数多くありますが、マルチプラットフォーム対応、かつ実運用に耐える製品は多くない中、着実にシェアを伸ばしています。
特にMicrosoftのライセンスを既に購入している企業の場合、他のEDRを新たに導入するよりもコストバリューを享受して構築できると思います。

macOSにおけるネットワークプロテクション

少し前ですが 2022/8に macOS , Linux 用のネットワーク保護 WebProtection がパブリックプレビューとなりました。
この機能は、悪意のある通信先へのアクセスをブロックをする基本機能ですが、やっとmacOS にも降ってきました。(Windowsの機能提供は以前から有り)

かつて、MDfEがリリースされた直後はMicrosoft が開発元ということもあり、macOSに関して手薄な印象がありましたが、最近は着実に機能が拡充されてきている印象があります。
治外法権になりがちな、macOSのセキュリティ管理に頭を悩ませている管理者も多いと思いますが、そのような企業にとっては、かなり嬉しい機能リリースではないでしょうか。

実行要件

• macOS 11（Big Sur）以上
• MDE product version: 101.78.13 以上
• パブリックプレビューということもあり、更新チャンネルは InsiderSlow / InsiderFast として設定が必要
  • どちらにしているかわからない場合は mdatp health --field release_ring で確認可能
  • InsiderSlow / InsiderFast への更新チャンネルの変更は、コマンドでも可能 ですが、組織全体への適用はしんどいので、Intune / Jamf 等を利用して展開してください。

事前確認

まずは、設定前の挙動確認のため、お使いの macOS から Safari / Chrome / Firefox 等お好きなブラウザで接続確認をしてみましょう。
今回は、サクッと検証したいので、Microsoft の提供するテストページ https://smartscreentestratings2.net/ を利用して正しくブロックできるか検証をしていきます。

まずは、適用前の状態

表示に問題ないですね。

では、続いてネットワーク保護の有効化をしていきます。

設定

有効化のモードは2種類あり、ユースケースによっていずれかのモードにとしてください。

• block
  • 悪意あるWebサイトへの接続を防止する。
• audit
  • 悪意あるWebサイトへの接続は防止されませんが、記録は残ります。
  • 業務的な影響を与えず、まずは検証を行いたい場合は、こちらを選択するとよいでしょう。

今回はブロックモードにて検証していきます。
設定内容についてmacOSの各デバイスへの展開も、Intune / Jamf で構成可能ですが、今回はコマンドにて手動適用します。
status が started となったら問題無く設定が完了しています。

% mdatp config network-protection enforcement-level --value block
% mdatp health --field network_protection_status
"started"

検証

先程の https://smartscreentestratings2.net/ のページは、テスト確認用ページとして、あらかじめブロック対象として組み込まれているため、
個別にブロック設定を投入しておく必要はありません。再度ブラウザで確認していきます。

ちゃんとブロックされてますね。
もちろんSafari以外のChromeやFirefoxでもブロックされています。

もし、独自にカスタムインジケータとしてブロック対象を設定する場合は以下の手順で可能です。

• Microsoft 365 Defenderより管理ダッシュボード
  • [ 設定 ] > [ エンドポイント ] > [ 指標 ] 　
  • タブから [ URL/ドメイン ] アイテムの追加
  • 応答操作をブロックの実行として登録することで追加が可能です。

ブロックされた履歴は、Microsoft 365 Defender からも アラート画面からもしっかり確認できます。
まだパブリックプレビューだからか、OSがサポート対象外で検出されているのがアレですが。

以上、非常に簡単にネットワークプロテクションの機能を試すことができました。

年末年始の折、セキュリティ対応が遅くなりがちで攻撃者から狙われやすくなる時期です。
しっかりと対策を備え、気持ちよく年明けを迎えたいですね。
では、皆さん素敵なセキュリティライフを！

参考

• https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/network-protection-and-web-protection-for-macos-and-linux-is-now/ba-p/3601576
• https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/network-protection-macos?view=o365-worldwide
• https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/indicator-ip-domain?view=o365-worldwide

宣伝

現在、medibaではメンバーを大・大・大募集しています。

medibaの募集求人ページから応募され入社が決定すると、お祝い金として30万円をプレゼントするキャンペーンを実施中です！！

リモート環境を充実するためディスプレイやマイクを買いそろえるも良し。スキル習熟のために自己研鑽に使うも良し。使途は完全自由です。
→　募集・応募ページ

いきなり応募だとちょっとハードルが高い・・でも興味がある方は、カジュアル面談も行っていますので、まずはお話してみませんか？
→　カジュアル面談

※お祝い金は、試用期間（3か月）を経て、雇用が継続した場合に支給させて頂きます。