Microsoft Defender for Endpoint on MacOSでWeb保護を試してみた

Microsoft Defender for Ednpont(以下MDE)のネットワーク保護とWeb保護がmacOSとLinuxでパブリックプレビューになったので試してみました。

前提条件

この機能を利用するためには以下の要件を満たしている必要があります。

• macOS11(BigSur)以上であること
• MDEバージョン 101.78.13以上であること
• 必要ライセンスが適用されていること
  • Microsoft Defender for Endpoint Plan 1
  • Microsoft Defender for Endpoint Plan 2
  • Microsoft Defender for Business

InsiderPreviewチャンネルに変更する

MDM等を利用して、更新プログラムチャンネルを変更する場合

Jamf等のMDMを利用している場合には、Microsoft Auto Update(以下MAU)の構成を以下のように変更して配布してください。
下記はサンプルなので、必要な設定をこちらのdocsを参照し、設定してください。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>ChannelName</key>
    <string>Preview</string>
    <key>HowToCheck</key>
    <string>AutomaticDownload</string>
    <key>EnableCheckForUpdatesButton</key>
    <true/>
    <key>DisableInsiderCheckbox</key>
    <false/>
    <key>SendAllTelemetryEnabled</key>
    <true/>
</dict>
</plist>

GUIのMAUで更新プログラムチャンネルを変更する場合

GUIのMAUを利用する場合には、以下の手順でプレビューチャンネルを指定します。

open /Library/Application\ Support/Microsoft/MAU2.0/Microsoft\ AutoUpdate.app

1. 【詳細設定】をクリックします。
   
2. 更新プログラムチャンネルから「最新チャンネル（プレビュー版）」を選択します。
   
3. 【OK】をクリックします。
   

MDEをアップデートする

1. MAUの画面で、【更新】または【すべて更新】をクリックします。
   
2. 以下のコマンドを実行し、バージョン更新されたことを確認します。

mdatp health --field app_version
"101.78.13"

バージョンが、101.78.13以上であることを確認します。

MDEのNetwork Protection設定を有効にする

1. Jamf等のMDMを利用している場合には、以下のplistファイルを対象端末へ配布します。
   MDE構成を別なところで定義している場合には、すでに定義済みの構成を変更するかテスト用のスコープを設定するのがいいと思います。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0"> 
<dict> 
    <key>networkProtection</key> 
    <dict> 
        <key>enforcementLevel</key> 
        <string>block</string> 
    </dict> 
</dict> 
</plist>

1. 構成プロファイルを配布した端末上で以下のコマンドを実行し、設定が反映されたことを確認します。

mdatp health | grep network_protection
network_protection_status                   : "started"
network_protection_enforcement_level        : "block"

Webコンテンツフィルター設定をする

1. Microsoft Defenderの管理ページを開きます。
2. 「設定」➝【エンドポイント】をクリックします。
   
3. 「Webコンテンツのフィルター処理」➝【アイテムを追加】をクリックします。
   
4. ポリシー名を入力し、【次へ】をクリックします。
   
5. アクセスを禁止したいカテゴリにチェックを入れます
   
6. このフィルタ設定を特定のデバイスグループにだけ適用したい場合には、対象のグループを選択し、【次へ】をクリックします。
   
7. 設定内容を確認し、問題なければ【保存】をクリックします。
   
8. ポリシーが適用されるまで、最大2時間かかる場合があるため少し待ちます。

禁止カテゴリへアクセスできないことを確認する

1. ブラウザで適当なサイトへアクセスします。
   ここでは、宝くじ購入サイト(https://www.takarakuji-official.jp/)へアクセスしてみます。
2. MDEの通知で、以下のような通知が表示されることと、ブラウザのアクセスがブロックされることを確認します。
   
   サイトへのアクセスもできません。
   

気になったこと

まだパブリックプレビューのため、設定したマシンでは若干表示につっかかるような感じがありますが、さらなるアップデートで解消されるのではないかと思います。
docsにも記載があるのですが、現段階ではブロックしたという警告画面をカスタマイズすることができません。
MDEの通知を見逃した場合には、なんでアクセスできないんだ？と問い合わせがくる可能性がありますね。

まとめ

MDEエージェントのみでmacOSやLinuxでもWebコンテンツフィルターや、Web脅威保護ができるようになったことはとてもよいですね。
今回こちらのアップデートがされたことで、タイムライン上のURL表示がmacOSでも可能になっていました。（今まではグローバルIPのみが表示されていた）
そのため、以下のようなKQLで特定したいサイトにアクセスをしているデバイスを見つけ出すというのもmacOS等に範囲を広げて確認することができます。

let partialRemoteUrlToDetect = "takarakuji-official.jp";
DeviceNetworkEvents  
| where Timestamp > ago(7d)
and RemoteUrl has partialRemoteUrlToDetect
| top 10 by Timestamp

タイムライン上で確認しても、URL表示となっています。

MDEのアップデートで、今後macOSのデータをMDA(旧MCAS)連携等が今後できるようになってくれるとさらに幅が広がりそうですね。