macOS のネットワーク保護

適用対象:

• エンドポイント プラン 1 の Microsoft Microsoft Defender XDR
• Microsoft Microsoft Defender XDR for Endpoint Plan 2
• Microsoft Defender XDR

概要

Microsoft ネットワーク保護は、インターネット ベースのイベントからデバイスの攻撃面を減らすのに役立ちます。 これにより、従業員がアプリケーションを使用して、次をホストする可能性のある危険なドメインにアクセスできなくなります。

• フィッシング詐欺
• 悪用
• インターネット上の他の悪意のあるコンテンツ

ネットワーク保護により、SmartScreen Microsoft Defender XDRの範囲が広がり、低評判ソースへの接続を試みるすべての送信 HTTP トラフィックがブロックされます。 送信 HTTP トラフィックのブロックは、ドメインまたはホスト名に基づいています。

Availability

macOS 用のネットワーク保護は、最小要件を満たすMicrosoft Defender for Endpointオンボードされた macOS デバイスすべてに対して使用できるようになりました。 現在構成されているすべての Network Protection ポリシーと Web Threat Protection ポリシーは、ネットワーク保護がブロック モード用に構成されている macOS デバイスに適用されます。

macOS 用の Network Protection をロールアウトするには、次のアクションをお勧めします。

• Createネットワーク保護のテストに使用できる少数のデバイス セットのデバイス グループです。
• ネットワーク保護がブロック モードの macOS デバイスを対象とする Web 脅威保護、侵害のカスタム インジケーター、Web コンテンツ フィルタリング、Microsoft Defender for Cloud Apps適用ポリシーの影響を評価します。
• このデバイス グループに監査またはブロック モード ポリシーを展開し、問題や壊れたワークストリームがないことを確認します。
• ロールアウトされるまで、ネットワーク保護を大規模なデバイス セットに段階的にデプロイします。

現在の機能

• ドメインと IP に対する侵害のカスタム インジケーター。
• Web コンテンツ フィルタリングのサポート:
  • Microsoft Defender ポータルで作成されたポリシーを使用して、デバイス グループを対象にした Web サイト カテゴリをブロックします。
  • ポリシーは、macOS 用の Microsoft Edge Chromiumなど、ブラウザーに適用されます。
• 高度なハンティング - ネットワーク イベントはマシン タイムラインに反映され、セキュリティ調査を支援するために Advanced Hunting でクエリ可能です。
• Microsoft Defender for Cloud Apps
  • シャドウ IT 検出 - organizationで使用されているアプリを特定します。
  • アプリケーションをブロックする - アプリケーション全体 (Slack やFacebookなど) がorganizationで使用されないようにブロックします。
• ネットワーク保護と並行またはサイド バイ サイドの企業 VPN:
  • 現時点では、VPN の競合は特定されません。
  • 競合が発生した場合は、このページの下部に表示されているフィードバック チャネルを通じてフィードバックを提供できます。

既知の問題

• ブロック/警告 UX はカスタマイズ可能ではなく、他の外観の変更が必要な場合があります。 (お客様からのフィードバックを収集して、さらなる設計の改善を推進しています)
• VMware の "アプリごとのトンネル" 機能には、アプリケーションの互換性に関する既知の問題があります。 (この非互換性により、"アプリごとのトンネル" を通過するトラフィックをブロックできなくなる可能性があります)。
• Blue Coat Proxy には、アプリケーションの互換性に関する既知の問題があります。 (この非互換性により、ブルー コート プロキシとネットワーク保護の両方が有効になっている場合、関連のないアプリケーションでネットワーク 層がクラッシュする可能性があります)。

重要事項

• [切断] ボタンを使用して、システム環境設定からのネットワーク保護を制御することはお勧めしません。 代わりに、mdatp コマンド ライン ツールまたは JAMF/Intune を使用して、macOS のネットワーク保護を制御します。
• macOS Web 脅威保護の有効性を評価するには、Microsoft Edge for macOS (Safari など) 以外のブラウザーで試してみることをお勧めします。 Microsoft Edge for macOS には、評価する Mac ネットワーク保護機能が有効になっているかどうかに関係なく有効になっている組み込みの Web 脅威保護があります。

注:

現在、Microsoft Edge for macOS では、Web コンテンツのフィルター処理、カスタム インジケーター、またはその他のエンタープライズ機能はサポートされていません。 ただし、ネットワーク保護が有効になっている場合、ネットワーク保護によって Microsoft Edge for macOS にこの保護が提供されます。

前提条件

• ライセンス: エンドポイント プラン 1 のMicrosoft Defender XDRまたはエンドポイント プラン 2 のMicrosoft Defender XDR (試用可能)
• オンボードされたマシン:
  • macOS の最小バージョン: 11
  • 製品バージョン 101.94.13 以降

デプロイ手順

エンドポイントのMicrosoft Defender XDR

Microsoft AutoUpdate を使用して最新の製品バージョンをインストールします。 Microsoft AutoUpdate を開くには、ターミナルから次のコマンドを実行します。

open /Library/Application\ Support/Microsoft/MAU2.0/Microsoft\ AutoUpdate.app

パブリック ドキュメントの手順に従って、organization情報を使用して製品を構成します。

ネットワーク保護は既定で無効になっていますが、次のいずれかのモード (強制レベルとも呼ばれます) で実行するように構成できます。

• 監査: 基幹業務アプリに影響を与えないことを確認したり、ブロックが発生する頻度を把握したりするのに役立ちます
• ブロック: ネットワーク保護により、悪意のある Web サイトへの接続が防止されます
• 無効: ネットワーク保護に関連付けられているすべてのコンポーネントが無効になっています

この機能は、手動、JAMF、またはIntuneのいずれかの方法でデプロイできます。 以降のセクションでは、これらの各メソッドについて詳しく説明します。

手動展開

適用レベルを構成するには、ターミナルから次のコマンドを実行します。

mdatp config network-protection enforcement-level --value [enforcement-level]

たとえば、ブロック モードで実行するようにネットワーク保護を構成するには、次のコマンドを実行します。

mdatp config network-protection enforcement-level --value block

ネットワーク保護が正常に開始されたことを確認するには、ターミナルから次のコマンドを実行し、"started" が出力されることを確認します。

mdatp health --field network_protection_status

JAMF デプロイ

JAMF のデプロイが成功するには、ネットワーク保護の適用レベルを設定するための構成プロファイルが必要です。 この構成プロファイルを作成した後、ネットワーク保護を有効にするデバイスに割り当てます。

適用レベルを構成する

注: ここに記載されている手順を使用して Mac 上のエンドポイントのMicrosoft Defender XDRを既に構成している場合は、前にデプロイした plist ファイルを以下の内容で更新し、JAMF から再デプロイします。

1. [コンピューターの>構成プロファイル] で、[オプション>アプリケーション] & [カスタム設定] を選択します
2. [ アップロード ファイル (PLIST ファイル)] を選択します
3. 優先ドメインを com.microsoft.wdav に設定する
4. 次の plist ファイルをアップロードする

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>networkProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>

デプロイのIntune

Intuneデプロイが成功するには、ネットワーク保護の適用レベルを設定するための構成プロファイルが必要です。 この構成プロファイルを作成した後、ネットワーク保護を有効にするデバイスに割り当てます。

Intuneを使用して適用レベルを構成する

注:

前の手順 (XML ファイルを使用) を使用して Mac でMicrosoft Defender for Endpointを既に構成している場合は、前のカスタム構成ポリシーを削除し、次の手順に置き換えます。

1. [デバイス構成の管理]> を開きます。 [プロファイル>の管理>Createプロファイル] を選択します。
2. [プラットフォーム] を [macOS] に、[プロファイルの種類] を [設定カタログ] に変更します。 [作成] を選択します。
3. プロファイルの名前を指定します。
4. [ 構成設定 ] 画面で、[ 設定の追加] を選択します。 [Microsoft Defender>ネットワーク保護] を選択し、[適用レベル] チェック ボックスをオンにします。
5. 適用レベルを ブロックに設定します。 [次へ] を選択します。
6. 構成プロファイルを開き、com.microsoft.wdav.xml ファイルをアップロードします。 (このファイルは手順 3 で作成されました)。
7. [OK] を選択します。
8. [割り当ての管理>] を選択します。 [ 含める ] タブで、ネットワーク保護を有効にするデバイスを選択します。

Mobileconfig のデプロイ

.mobileconfig ファイルを使用して構成を展開するには、Microsoft 以外の MDM ソリューションで使用することも、デバイスに直接配布することもできます。

1. 次のペイロードを com.microsoft.wdav.xml.mobileconfig として保存します

   <?xml version="1.0" encoding="utf-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>com.microsoft.wdav</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender ATP settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender ATP configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender ATP configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>networkProtection</key>
                   <dict>
                       <key>enforcementLevel</key>
                       <string>block</string>
                   </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. 上記のファイルが正しくコピーされたことを確認します。 ターミナルから次のコマンドを実行し、OK が出力されることを確認します。

   plutil -lint com.microsoft.wdav.xml
   

機能を探索する方法

1. Web 脅威保護を使用して web 脅威からorganizationを保護する方法について説明します。

   • Web 脅威保護は、Microsoft Defender for Endpointの Web 保護の一部です。 ネットワーク保護を使用して、Web の脅威からデバイスを保護します。

2. カスタム インジケーターの種類のブロックを取得するには、侵害のカスタム インジケーター フローを実行します。

3. Web コンテンツのフィルター処理について調べる。

   注:

   ポリシーを削除したり、デバイス グループを変更したりすると、ポリシーの展開が遅れる可能性があります。 ヒント: デバイス グループでカテゴリを選択せずにポリシーを展開できます。 このアクションでは、ブロック ポリシーを作成する前にユーザーの動作を理解するのに役立つ監査専用ポリシーが作成されます。

   デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。

4. Microsoft Defender for Endpointと Defender for Cloud Apps を統合し、ネットワーク保護が有効な macOS デバイスにはエンドポイント ポリシーの適用機能があります。

   注:

   検出やその他の機能は、現在、これらのプラットフォームではサポートされていません。

シナリオ

次のシナリオがサポートされています。

Web の脅威に対する保護

Web 脅威保護は、エンドポイントのMicrosoft Defender XDRの Web 保護の一部です。 ネットワーク保護を使用して、Web の脅威からデバイスを保護します。 MacOS 用の Microsoft Edge や、Chrome や Firefox などの一般的な Microsoft 以外のブラウザーと統合することで、Web 脅威保護は Web プロキシなしで Web 脅威を停止します。 Web 脅威保護は、オンプレミスまたは離れている間にデバイスを保護できます。 Web 脅威保護は、次の種類のサイトへのアクセスを停止します。

• フィッシング サイト
• マルウェア ベクター
• サイトを悪用する
• 信頼されていないサイトまたは低評価サイト
• カスタム インジケーター リストでブロックされているサイト

詳細については、「Web 脅威からorganizationを保護する」を参照してください。

侵害のカスタム インジケーター

侵害インジケーター (IoCs) マッチングは、すべてのエンドポイント保護ソリューションで不可欠な機能です。 この機能により、SecOps は検出およびブロック (防止と応答) のインジケーターの一覧を設定できます。

エンティティの検出、防止、除外を定義するインジケーターを作成します。 実行するアクションと、アクションを適用する期間と、適用するデバイス グループのスコープを定義できます。

現在サポートされているソースは、Defender for Endpoint のクラウド検出エンジン、自動調査と修復エンジン、エンドポイント防止エンジン (Microsoft Defender ウィルス対策) です。

詳細については、「IP と URL/ドメインのCreateインジケーター」を参照してください。

Web コンテンツ フィルタリング

Web コンテンツのフィルター処理は、Microsoft Defender for EndpointとMicrosoft Defender for Businessの Web 保護機能の一部です。 Web コンテンツ フィルタリングを使用すると、organizationはコンテンツ カテゴリに基づいて Web サイトへのアクセスを追跡および規制できます。 これらの Web サイトの多く (悪意がなくても) は、コンプライアンス規制、帯域幅の使用、またはその他の懸念のために問題になる可能性があります。

特定のカテゴリをブロックするように、デバイス グループ全体でポリシーを構成します。 カテゴリをブロックすると、指定したデバイス グループ内のユーザーがカテゴリに関連付けられている URL にアクセスできなくなります。 ブロックされていないカテゴリの場合、URL は自動的に監査されます。 ユーザーは中断することなく URL にアクセスでき、アクセス統計情報を収集して、よりカスタム ポリシーの決定を作成できます。 表示しているページ上の要素がブロックされたリソースを呼び出している場合、ユーザーにはブロック通知が表示されます。

Web コンテンツ フィルタリングは、ネットワーク保護 (Safari、Chrome、Firefox、Brave、Opera) によって実行されるブロックを含む主要な Web ブラウザーで使用できます。 ブラウザーのサポートの詳細については、「 前提条件」を参照してください。

レポートの詳細については、「 Web コンテンツのフィルター処理」を参照してください。

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps/クラウド アプリ カタログは、エンドポイントのMicrosoft Defender XDRを使用してアクセスするときにエンド ユーザーに警告を表示し、監視対象としてマークするアプリを識別します。 監視対象アプリの下に一覧表示されているドメインは、後でエンドポイントのMicrosoft Defender XDRに同期されます。

10 から 15 分以内に、これらのドメインは[Action=Warn を使用したインジケーター > URL/ドメイン] の下のMicrosoft Defender XDRに一覧表示されます。 適用 SLA 内 (この記事の最後の詳細を参照) では、エンド ユーザーが次のドメインにアクセスしようとすると警告メッセージが表示されます。

エンド ユーザーが監視対象ドメインにアクセスしようとすると、Defender for Endpoint によって警告が表示されます。

• ユーザーは、ブロックされたアプリケーションの名前 (例: Blogger.com) を含むオペレーティング システムによって表示される、次のトースト メッセージを伴うプレーンなブロック エクスペリエンスを取得します。

  

エンド ユーザーが ブロックを検出した場合、ユーザーには次の 2 つの解決策があります。

ユーザー バイパス

• トースト メッセージエクスペリエンスの場合: [ブロック解除] ボタンを押します。 Web ページを再読み込みすることで、ユーザーはクラウド アプリを続行して使用できます。 (このアクションは、次の 24 時間に適用され、その後、ユーザーはもう一度ブロックを解除する必要があります)

ユーザー教育

• トースト メッセージエクスペリエンスの場合: トースト メッセージ自体を押します。 エンド ユーザーは、Microsoft Defender for Cloud Appsでグローバルに設定されたカスタム リダイレクト URL にリダイレクトされます (このページの下部にある詳細情報)

注:

アプリごとの追跡バイパス** – Microsoft Defender for Cloud Appsの [アプリケーション] ページで、警告をバイパスしたユーザーの数を追跡できます。

付録

エンド ユーザー教育センター SharePoint サイト テンプレート

多くの組織では、Microsoft Defender for Cloud Appsによって提供されるクラウド 制御を利用し、必要に応じてエンド ユーザーに制限を設定するだけでなく、次について教育および指導することも重要です。

• 特定のインシデント
• なぜそれが起こったのか
• この決定の背後にある考え方は何ですか?
• ブロック サイトの検出を軽減する方法

予期しない動作に直面すると、ユーザーにできるだけ多くの情報を提供することで混乱が軽減される可能性があります。これは、何が起こったかについて説明するだけでなく、次回クラウド アプリを選択して仕事を完了する際の意識を高める教育にもなります。 たとえば、この情報には次のものが含まれます。

• インターネットとクラウドの使用に関する組織のセキュリティとコンプライアンスのポリシーとガイドライン
• 使用する承認済み/推奨クラウド アプリ
• 使用する制限付き/ブロックされたクラウド アプリ

このページでは、organizationで基本的な SharePoint サイトを使用することをお勧めします。

知っておくべき重要な事項

1. アプリ ドメインが反映され、エンドポイント デバイスで更新されるまでに、 監視対象としてマークされた後、最大で 2 時間 (通常は少ない) かかる場合があります。
2. 既定では、organizationのすべてのオンボード エンドポイントに対して、Microsoft Defender for Cloud Apps ポータルで [監視済み] としてマークされたすべてのアプリとドメインに対してアクションが実行されます。
3. 完全な URL は現在サポートされていないため、完全な URL が [Microsoft Defender for Cloud Apps] の下に表示されている場合、Microsoft Defender for Cloud AppsからエンドポイントのMicrosoft Defender XDRに送信されることはありません。したがって、監視対象のアプリでは、ユーザーはアクセス試行に関して警告を受け取りません (たとえば、drive.google.com がサポートされている間、google.com/drive はサポートされていません)。

サード パーティ製ブラウザーでエンド ユーザー通知が表示されない場合 トースト メッセージの設定を確認します。

関連項目

• Mac 上のエンドポイントのMicrosoft Defender XDR
• エンドポイントのMicrosoft Defender XDRと Microsoft Microsoft Defender XDR for Cloud Apps の統合
• Microsoft Edge の革新的な機能について知る
• ネットワークを保護する
• ネットワーク保護を有効にする
• Web 保護
• インジケーターの作成
• Web コンテンツ フィルタリング

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。