セキュリティ

Microsoft Defender Vulnerability Management add-onを試してみた

Microsoft Defender for Endpointのadd-onで、Microsoft Defender
Vulnerability Managementがパブリックプレビューで公開されました。

Microsoft Defender Vulnerability Managementとは

MDEの脆弱性管理に加えて、以下のような機能が提供されます。

  • セキュリティベースライン評価
  • ブラウザ拡張機能の評価
  • デジタル証明書の評価
  • ネットワーク共有評価
  • 脆弱なアプリケーションのブロック
  • 管理されていないエンドポイントの脆弱性評価

MDEP2ライセンスを持っている場合は、こちらの機能を利用するために、$2/Month/Userが別途費用として必要になります。
単体ライセンスとしても提供されるようで、その場合には$3/Month/Userとなるようです。

※セミナー資料より引用(許可を頂いて掲載しております)

Microsoft Defender Vulnerability Management Add-on Public Preview Trial を有効化する

  1. Microsoft 365 Defender管理ページを開きます。
  2. 「デバイスのインベントリ」を開きます。
  3. 【脆弱性の管理機能をアップグレードする】をクリックします。
  4. 【続ける】をクリックします。
  5. 【無料トライアル】をクリックします。
  6. 【続行】をクリックします。
  7. Microsoft365管理センターにリダイレクトされます。

ライセンスを割り当てる

ユーザーライセンスであるため、利用するユーザーへライセンスを割り当てる必要があります。

  1. 「ユーザー」➝「アクティブなユーザー」をクリックします。
  2. ライセンスを割り当てるユーザーをクリックします。
  3. 「ライセンスとアプリ」タブを選択します。
  4. 「Microsoft Defender Vulnerability Management Add-on」にチェックを入れ、【変更の保存】をクリックします。

4時間くらい気長に待つ

Microsoft 365あるあるですが、有効化してからしばらく待つ必要があります。
設定項目がでてこないなと思って、再度設定を確認していたら
ユーザーのライセンスに、「Microsoft Defender Vulnerability Management」というのが増えていたので、管理者にはこのライセンスを付与しておきます。

それでも表示されてこなかったので、気長に待っていましたが、
大体4時間程度経過したくらいで、Microsoft 365 Defenderのメニューに追加されてきました。

Microsoft Defender Vulnerability Management Add-onメニュー等追加されたことを確認する

Add-onが展開されると、Advanced Huntingテーブルに以下のようなテーブルが増えます。

  • DeviceTVMBrowserExtensions
  • DeviceTVMBrowserExtensionsKB

一番わかり易いメニューは、「脆弱性の管理」に「ベースラインの評価」という項目が増えるので、こちらが表示されてくればadd-onが有効になっています。

脆弱なアプリをブロックしてみる

こちらの機能を利用するには、以下の前提条件があります

  • 最新の更新を適用した Windows 10 1809 以降
  • Defender AV Active Mode
  • Cloud Protection の有効化
  • Allow or Block File の有効化

Firefoxの脆弱性のあるバージョンをブロックする

わかりやすくするために、Firefoxの脆弱性のあるバージョン(59.0等)を一度インストールします。
(実環境では脆弱性のあるバージョンは利用しないようにしましょう)

  1. 「脆弱性の管理」➝「推奨事項」➝「セキュリティに関する推奨事項」に表示されてくるまでしばらく時間がかかるので、表示されてくるまで待ちます。
  2. Firefoxの更新が表示されてきたら、その項目をクリックします。
  3. 【修復の要求】をクリックします。
  4. 修復期日の日付を設定し、【次へ】をクリックします。
  5. 「ブロック」を選択し、ユーザーに表示されるメッセージに警告文を入力し、【次へ】をクリックします。
  6. 設定内容を確認し、問題がなければ【送信】をクリックします。
  7. 【完了】をクリックします。

これも通常数分以内で反映と表示はされていましたが、設定が適用されるまで1時間以上かかる場合もあるようです。

対象端末で古いFirefoxを起動して確認する

  1. 対象端末でFirefoxを起動します。
  2. 以下のようにダイアログが表示されます。

通知センターに表示されないほうのダイアログは正直もうちょっと違う文言で表示してほしいですね。
これだとFirefox自体にウイルスがあったのか?と認識してしまいそうです。
今後のアップデートに期待したいところです。

どこにブロック設定が登録されるのか

MDEで誤検知したファイル等を登録する際にも利用しますが、「設定」➝「エンドポイント」➝「指標」(英語表記だとindicator)にハッシュ値が登録されます。

デジタル証明書アセスメントを見て見よう

クライアントにインストールされている証明書一覧を表示することも可能になります。

  1. 「脆弱性の管理」➝「在庫」➝「証明書」タブを選択します。

金融機関のクライアント証明書がそろそろ切れそう等もMDEの管理画面から確認ができそうですね

まとめ

Public Previewなので、微妙なところもあったりしますが、MDE1つのエージェントでセキュリティに関する強化がどんどんできるのは嬉しいことですね。
ベースラインコントロールやブラウザ拡張機能についても、確認していきたいと思います。

今回トライアルした、脆弱性のあるバージョンのブロックはMacではまだ利用できないようです。
Macでも同様の機能が利用できるようになるとさらに使い勝手がよくなりそうですね。

hikky

東京生まれ埼玉育ち情シスの人たち大体友達
スタートアップの情シスなどをしています。
カラオケやUFOキャッチャーが趣味です