hello, World
gonowayです。
Microsoft Defender ATP for Macが2019/6/28にgenerally availableとなりました。
そこで、Microsoft Defender ATP for Macどんなもんよ、と思っておさわりしてみました。
なお、情報は2019/7/18時点のものです。
結論
- Microsoft Defender ATP for Macが有している機能は、アンチマルウェア機能とWindows Defender Security Centerとの統合機能の2つ
- EDRとして期待する機能はない。
- (ふつーのWindows用の)Microsoft Defender ATPと比較しても、機能が劣る。
- Microsoft社が随時機能を拡充してくれることを期待。
詳細は以降に記載していきます。
前提
- 期間 : 2019/7/11 ~ 2019/7/18
- OSバージョン:macOS Mojave 10.14.5
- 利用ライセンス : Microsoft 365 E5
- 検証の対象となるデバイスは、Jamf管理下に置かれているmacOSとする。
- スクリプトによる単独オンボードは対象外
- JamfからMicrosoft Defender ATP for Macをばらまく方法については、以下のURLを参照のこと。
Microsoft Defender ATP for Macを使えるライセンス
- Windows 10 Enterprise E5
- Microsoft 365 E5
確認した項目
- Microsoft Defender ATP for Macの機能
- Windows10(1903)でできる機能との比較
- 端末のログイン状態による挙動の変化の観察
- ライセンス認証プロセス
Microsoft Defender ATP for Macの機能
Microsoft Defender ATP for Macの挙動を定義する構成ファイルの内容を見る限り、以下機能を有するものと考えられる。
- ウィルス対策機能
- クラウド提供の保護機能
ウィルス対策機能では、更に以下の機能を提供している。
- 好ましくないアプリケーションの検出/除外機能
- アーカイブ爆弾検出/除外機能
クラウド提供の保護機能は、検出したファイルのMicrosoftクラウド上での追加検査を行うものである。
Windows10(1903)でできる機能との比較
Windows用のMicrosoft Defender ATPと比較して、Microsoft Defender ATP for Macができることはまだまだ少ない。
取得できるデバイスの情報
| 機能 | for Windows | for Mac |
|---|---|---|
| タイムラインの取得 | あり | なし |
| セキュリティの推奨設定 | あり | なし |
| ソフトウェアインベントリの取得 | あり | なし |
| 検出した脆弱性の表示 | あり | なし |
インシデント対応時に利用できる対応機能
| 機能 | for Windows | for Mac |
|---|---|---|
| ライブレスポンスセッション | あり | なし |
| 検査パッケージの取得 | あり | なし |
| アンチウィルススキャンの実行 | あり | なし |
| アプリケーションの実行制限 | あり | なし |
| マシンのネットワーク分離 | あり | なし |
端末のログイン状態による挙動の変化の観察
オンボード後にユーザーを切り替えた状態でMicrosoft Defender ATP for Macが機能するかの確認を行い、動作することを確認した。
- 画面上のアイコンの状態は変わらなかった
- eicerテストウィルスの検知と通知が正常になされた
ライセンス認証プロセス
ライセンス認証は、オンボードを実行した際に以下条件で認証されることを確認した。
- デバイスが組織に所属しているか否か
- 既にオンボードしているmacOSの数が、組織が所有しているライセンス数に達しているか否か
デバイスが組織に所属しているか否か
- Jamf等のMDMによる配信であるかを以て判定しているものと推測される。
既にオンボードしているmacOSの数が、組織が所有しているライセンス数に達しているか否か
以下の確認結果から、既にオンボードしているmacOSの数が、組織が所有しているライセンス数に達しているか否かを条件にしていると推測される。
- MS365 E5ライセンスを割り当てていないユーザーが所有するmacOSがオンボードできたこと
- MS365 E5ライセンスを5所有しているのに対して、6台目のmacOSがJamf配信にてオンボード失敗していること
ライセンス数量5で今回の検証を模した図を以下に示す。
あとがき
現時点ではまだまだ。今後の動きに期待。 大型アップデートがあれば、更新します。たぶん。
