🦔

Microsoft Defender for Businessを試す

2022/11/22に公開

サマリー

Microsoft Defender for Businessを単体(スタンドアローン)で契約、Intune登録無しで使用してみました。個人ユースです。


セットアップ

0. 環境

  • Microsoft Defender for Business (試用版)
  • MacBookAir 10,1 (8-Core GPU, 16GB)
  • MacOS 13.0.1(22A400)

注:同一コンテナにてApps for Businessサブスクリプションを契約していますが、このサブスクリプションにはMicrosoft DefenderやIntuneが含まれず、影響はありません。

1. 購入

管理センターのマーケットプレースから直接購入できます。コンテナを作成していない場合、公式サイトから購入と同時に作成します。

注:既にライセンスを取得している場合の表示

2. ライセンスの割り当て

管理センター/ユーザーから、対象ユーザーにライセンスを付与します。


3. オンボーディングの開始

Microsoft 365 セキュリティ にアクセスし、設定/エンドポイント/デバイス管理/オンボーディングと辿り、インストール対象のOSを選択します。
私の環境では、ライセンスを初めて購入してからエンドポイント項目が表示されるまでに、15分程度かかりました。


4. パッケージのダウンロード

展開方法で「ローカルスクリプト」を選択し、インストールパッケージとオンボードパッケージをダウンロードします。



5. インストール

インストールパッケージ(wdav.pkg)を開き、指示に従ってインストールします。管理者権限が必要です。
途中、システム拡張がブロックされた旨が表示されますが、次のステップでまとめて変更するため、一旦無視します。



6. 各権限の許可

システム設定App/プライバシーとセキュリティ/詳細から、Microsoft Defenderを許可します。
ネットワークトラフィックのフィルタリングを求めるポップアップが表示された場合、「許可」を選択します。

システム設定App/プライバシーとセキュリティ/フルディスクアクセスから、Microsoft Defenderを許可します。


7. ライセンスの適用

ターミナルにて、以下のコマンドを実行します。管理者権限が必要です。

sudo bash -x MicrosoftDefenderATPOnboardingMacOs.sh


8. デバイスの再起動

変更内容の適用のため、デバイスを再起動します。
再起動を行わない場合、Microsoft Defenderの動作が不安定となる場合があります。

9. オンボードの確認

ターミナルにて、以下のコマンドを実行します。

curl -o ~/Downloads/eicar.com.txt https://www.eicar.org/download/eicar.com.txt

通知を受信し(通知を許可している場合)、ダウンロードにファイルが保存されていないことを確認します。

Defenderを開き、保護の履歴/検疫済みの脅威に表示されていることを確認します。

Microsoft 365 セキュリティにアクセスし、インシデントが表示されていることを確認します。表示されるまでには、数分程度かかる場合があります。


使用感

クライアントGUI

とてもシンプルな構成で、機能としてはスキャンの操作/確認、保護の履歴(検出された脅威など)、各機能の有効/無効化、データベースの手動更新程度です。

負荷

通常時(スキャンを実行していない状態):CPU 1%程度、メモリ 270MB程度

アクティビティモニタのスクリーンショット

スキャン実行中(クイックスキャン):CPU 200%程度、メモリ270MB程度

アクティビティモニタのスクリーンショット

セキュリティセンター/攻撃ストーリー

攻撃の状況がグラフで表示され、影響を受けるデバイス, ユーザーや脅威の詳細を確認できます。また、担当者の割り当てやステータスの管理が可能です。

セキュリティセンター/推奨事項

デバイスのOSやインストールされているソフトウェアに存在する脆弱性の詳細を確認できます。また、必要に応じて修復を開始、そのアクティビティを管理できます。


あとがき

機能を確認せずに契約してみたのですが、月330円のサービスとは思えない素晴らしさです。
電子機器に疎い友人のPCにも、Microsoft Defender for BusinessとChrome Remote Desktopをインストールしておけば、最低限のセキュリティ対策(自動検出/隔離+手動対応)が出来そうです。

参考にさせていただいた記事

Onboard Windows devices using a local script - Microsoft Learn
Manual deployment for Microsoft Defender for Endpoint on macOS - Microsoft Learn

GitHubで編集を提案

Discussion