Defender for Endpoint の通信要件

はじめに

Defender for Endpoint の導入にあたって、接続を許可する必要があるFQDNのリストが公開されています。

ドキュメント

上記ドキュメントにある、「商用顧客向けの Microsoft Defender for Endpoint の URL リスト」を確認します。

「Microsoft Defender URLs」のシートがDefender for Endpointの通信先です。
H列～L列にOS毎のフラグがあるため、導入するOSの列で「Yes」となっているFQDNを許可すればよいです。

また、G列にRequired/Optionalのフラグがあります。
Requiredは必ず許可する必要があります。Optinalはその名の通りオプションで、
Defender for Endpointの利用機能などによって必要有無が変わると思いますが
問題がなければすべて許可しておくのが良いと思います。

これに加えて、もう一つ重要な点があります。
B列のGeographyです。
WW/US/EU/UKに分かれています。

ファイアウォールで、地理列が WW であるすべての URL を開きます。 地理列が WW ではない行の場合は、特定のデータの場所の URL を開きます。 データの場所の設定を確認するには、「Microsoft Defender for Endpoint のデータ保存場所の確認とデータ保持設定の更新」を参照してください

ドキュメントにもこの欄の説明が書かれているのですが、少し分かりにくいです。
この文の意図は、WWは全員必ず許可する。
それ以外については、自分のデータが保存されている地域（US or EU or UK）を確認して、その地域の行のFQDNを許可する、という意味です。

つまり、自分のデータが保存されている地域がUSであれば、WWとUSの行のFQDNを許可すれば良い、ということになります。

次に、自分のデータが保存されている地域については、Microsoft 365 Defender Portalで確認できます。

Microsoft 365 Defender Portal にて、設定 > Microsoft 365 Defenderのページを確認します。
Microsoft 365 Defender Portalを開いて、該当の表示がない場合は、ログインしているアカウントに権限がついていません。
Azure ADでセキュリティ閲覧者、セキュリティ管理者などの権限を付与すれば確認できます。

私の環境では、USとなっていることが確認できます。

さいごに

Defender for Endpoint の通信要件として提供されているファイルの見方を説明しました。
当初、地域に関する部分の意図が分からず、WWだけ許可してハマったのでメモとして残しておきます。

また、ドキュメントにページにおいてあるFQDNのリストですが、時々更新されています。
一番後ろのシートに更新履歴があります。
いきなり使えなくなるような変更をすることはないと思いますが、時々確認して許可リストを更新する必要がありそうです。