セキュリティチームの ぐっちー です。本日はmacOSにおけるMicrosoft DefenderのSignature VersionをJamf Proの拡張属性を利用して取得する方法をまとめたいと思います。
はじめに
Microsoft DefenderのSignature Versionについてですが、WindowsであればMicrosoft 365セキュリティセンターから比較的容易に確認することができます(本記事 下段の補足参照)。一方、macOSにおいては仕様上対応していないため、代替案をまとめたいと思います。
対応方針
macOSにおけるMicrosoft Defender ATP のSignature Versionは個別の端末にて、/usr/local/bin/mdatp healthのコマンドを叩くことで、取得することは可能です。
しかし、社内の全ての端末で個別にコマンドを実行するわけにもいかないので、今回はこれをJamf Proの拡張属性として収集する方針とします。
前提条件
本手順を実施するには、以下が必要となります。
- Jamf Proのライセンス
- Jamf Proの管理者権限
手順
1. 拡張属性を登録する
拡張属性とは、コマンドの結果をインベントリに登録することができる機能です。拡張属性に設定したコマンドはデフォルトでは1週間ごとに、更新(再実行)され、設定は最小で15分まで短縮することができます。
- [右上のネジのマーク] > [コンピュータ管理] > [拡張属性]を押下する。
- [新規]ボタンを押下し、新しい拡張属性を作成する。
表示名は任意に選択できるので、
MDfE - Signature Versionなどわかりやすいものを設定しておく。 - データタイプは
Stringを選択する。 - インベントリ表示は
Extension Attributesを選択する。 - 入力タイプは
Scriptを選択する。 - 言語は
Shellを選択し、現在のSignature Versionを取得する場合は以下のスクリプトを記入する。(定義した変数にSignature Versionを入れて出力するものです。)
- Jamf Proの管理画面から[コンピューター] > [ポリシー] > [新規] を選択する。
- [オプション]タブ> [General]欄を選択し、以下を設定します。
表示名は任意に選択できるので、
MDfE Updateなどわかりやすいものを設定しておく。 - トリガーを任意のタイミングに設定します。
[Scope]タブを選択し、アップデートを実施したい端末を選択します。 [オプション]タブの[ファイルとプロセス] を選択し、[コマンドを実行] 欄に、mdatp definitions update を入力し、保存するとトリガーに設定したタイミングでコマンドを実行することができます。
Windows におけるSignature Versionの確認方法
Windows におけるSignature VersionはMicrosoft 365 セキュリティセンターで以下のように取得することができます。
- Microsoft 365 セキュリティセンターで [Advanced Hunting] を選択する。
- [Queries] > [Shared Queries] > [Community] > [Genaral Queries] > [MD AV Signature and Platform Version]の順に選択した後に表示されるクエリを実行する。
- 表示されている「AVSigVersion」が現在の、Microsoft Defender のSignature Versionとなります。
終わりに
macOSにおけるMicrosoft DefenderのSignature Versionの取得がMicrosoft 365 セキュリティセンターでできなかったため、代替案をまとめてみました。Microsoft 365 セキュリティセンターは日々進化しているので、アップデートがあった場合には、またブログに書きたいと思います。
