結論
Microsoft Defender for Endpoint (MDE) のネットワーク保護機能は QUIC プロトコルに対応していないが、ブラウザーの QUIC に関する設定を変更することで、Chrome のような、QUIC プロトコルを使用するブラウザーにおいてもMDE のネットワーク保護機能を適用できるようになる。
Microsoft 公開情報の抜粋
トラブルシューティングを開始する前に、使用されているブラウザーで QUIC プロトコルを
disabledに設定してください。QUIC プロトコルは、ネットワーク保護機能ではサポートされていません。
事象と対処方法
事象
MDE のインジケーターに google.com をブロック対象として登録。
しかし、以下のような動作の違いが発生した。
-
Edge:
google.comへのアクセスがブロックされる(期待通りの動作)。 -
Chrome:
google.comへのアクセスが許可されてしまう(期待と異なる動作)。
例: Defender ポータル:MDE の指標 (インジケーター) の設定画面
例: Edge(画面 左) と Chrome(画面 右) の挙動比較
原因
Chrome ブラウザで QUIC プロトコル が使用されていたことが原因。MDE のネットワーク保護機能ではサポートされておらず、MDE のインジケーターによる評価対象にならない。
対処方法
Chrome の設定から、QUIC プロトコルの使用を disabled に変更することで、通信方式が TCP に切り替わり、MDE のネットワーク保護機能の対象になる。
QUIC を無効化する手順
-
Chrome のアドレスバーに chrome://flags/#enable-quic を入力
-
Experimental QUIC protocol を Disabled に変更
-
Chrome を再起動
まとめ
MDE のネットワーク保護機能を適切に動作させるためには、ブラウザーで QUIC プロトコルを無効化することが重要です。
Chrome などのブラウザーを使用している場合は、QUIC が有効になっていないか確認し、必要に応じた設定を行うことで、組織のエンドポイントからのアクセスを期待通りの制御にしましょう。