Microsoft Defender for Endpoint リムーバブルストレージの制御

Microsoft Defender for Endpoint リムーバブルストレージの制御 Microsoft Defender for Endpoint Customer
Acceleration Team (CAT) Senior Product Manager 青木祐二 (Twitter: @yujiao217)

アジェンダ • Microsoft 365 Defender と Defender for Endpoint •
Defender for Endpoint リムーバブルストレージ制御概要 • Defender for Endpoint リムーバブルストレージ制御 (Windows) • Defender for Endpoint リムーバブルストレージ制御 (macOS) • まとめ

Microsoft 365 Defender と Defender for Endpoint

Microsoft 365 Defender Automated end-user security Endpoints Microsoft Defender for
Endpoint Email & Docs Microsoft Defender for Office 365 Apps & Cloud Apps Microsoft Defender for Cloud Apps Identities Microsoft Defender for Identity AAD Identity Protection Multi-platform coverage Android

CENTRALIZED CONFIGURATION AND ADMINISTRATION APIS AND INTEGRATION ENDPOINT DETECTION &
RESPONSE ASSET DISCOVERY AUTOMATED SELF HEALING NEXT GENERATION PROTECTION ATTACK SURFACE REDUCTION Threats are no match. Microsoft Defender for Endpoint MICROSOFT THREAT EXPERTS THREAT & VULNERABILITY MANAGEMENT

Delivering endpoint security across platforms Endpoints and servers Mobile device
OS Network devices Cisco Juniper Networks HP Enterprise Palo Alto Networks Virtual desktops Azure Virtual Desktop

Defender for Endpoint のリムーバブルストレージ制御

Defender for Endpoint リムーバブルストレージ制御 • リムーバブルストレージに対する「読み取り」「書き込み」「実行」の制御および監査機能を提供 • Microsoft
Defender for Endpoint (MDE) にオンボードした Windows および macOS デバイスで利用可能 • MDE P1 / P2 で利用可能。但し一部機能 (Advanced Hunting など)は P2 でのみ利用可能 • 設定の配布 • Microsoft Intune または Group Policy で実施 (Windows) • Microsoft Intune または Jamf で実施 (macOS) USB 外部記憶装置 WPD (Windows Portable Device) CD/DVD リーダー

リムーバブルストレージ制御シナリオ例 • リムーバブルストレージの利用は、基本「読み取り」のみ但し、特定の登録済みデバイス（シリアル、特定ハードウエア）については「書き込み」を許可 • リムーバブルストレージの利用は、基本認めない但し、特定のグループ（ユーザー、デバイス）に対しては、「読み取り」「書き込み」を許可

Defender for Endpoint リムーバブルストレージ制御 (Windows)

デモ (ユーザーエクスペリエンス)

動作要件

リムーバブルストレージ制御動作要件 • MDE にオンボードした Windows 10 または Windows 11
• Microsoft Defender プラットフォームバージョン 4.18.2103.3 以降 • プラットフォームのバージョンアップによりに機能を追加 • 最新バージョンを利用することを推奨 • Microsoft Defender が Active Mode / Passive Mode いずれでも動作

ポリシーの展開

リムーバブルストレージアクセス制御展開方法 • 下記いずれかにより、MDE にオンボードしたデバイスへポリシーを適用 No 製品設定特徴
1 Microsoft Intune Intune User Interface Attack Surface Reduction Device Control ポリシー • Intune ポータルからデバイスコントロールポリシーを展開 • ポリシー作成を行うと、Intune が XML を自動作成するため、XML の編集は不要 • 一部の機能が利用可能 2 Microsoft Intune Intune OMA-URI 構成プロファイル (カスタムプロファイル) • Intune ポータルから OMA-URI のカスタムプロファイルを展開 • XML の定義、カスタマイズが必要 • 全ての機能が利用可能 3 Group Policy • グループポリシーで XML を展開 • XML の定義、カスタマイズが必要 • 全ての機能が利用可能

リムーバブルストレージ制御 (Intune User Interface)

デモ (Intune User Interface)

ポリシー展開手順 (Intune User Interface) • 以下の設定を Microsoft Intune ポータルから実施 No
設定内容設定箇所 1 対象のリムーバブルデバイスグループの作成エンドポイントセキュリティ/ 攻撃面の減少 / 再利用可能な設定（プレビュー） 2 デバイスコントロールポリシーの作成 & グループへの適用エンドポイントセキュリティ/ 攻撃面の減少 / 概要 / デバイスコントロールポリシー

リムーバブルストレージアクセス制御展開方法 • 下記いずれかにより、MDE にオンボードしたデバイスへポリシーを適用 No 製品設定特徴
1 Microsoft Intune Intune User Interface Attack Surface Reduction Device Control ポリシー • Intune ポータルからデバイスコントロールポリシーを展開 • ポリシー作成を行うと、Intune が XML を自動作成するため、XML の編集は不要 • 一部の機能が利用可能 2 Microsoft Intune Intune OMA-URI 構成プロファイル (カスタムプロファイル) • Intune ポータルから OMA-URI のカスタムプロファイルを展開 • XML の定義、カスタマイズが必要 • 全ての機能が利用可能 3 Group Policy • グループポリシーで XML を展開 • XML の定義、カスタマイズが必要 • 全ての機能が利用可能

Intune OMA-URI と Intune Use Interface 機能差 • Intune OMA-URI
を利用するほうが、利用できる機能が多い • Intune OMA-URI のみで提供される機能の利用には、XML の記述が必要 Deploy and manage Removable Storage Access Control using Intune | Microsoft Learn

Intune OMA-URI でのみ提供される機能機能機能概要 Enable or Disable Device control
デバイスコントロールの有効・無効 (Intune User Interface の場合は特に設定不要) Set Default Enforcement 既定で以下の拒否、許可を指定 (RemovableMediaDevices, CdRomDevices, WpdDevices, PrinterDevices) Control File level access ファイルレベルでのアクセス権を指定ファイル情報のログ取得が可能（ストレージにコピーされたファイル名、パスなど） Set location for a copy of the file ファイルがコピーされた場合、指定したパス（ローカルフォルダまたはネットワーク共有）にファイルを保存 File Parameter 指定したファイル（ファイル名、パス、拡張子）に対するコントロール (例) 指定した拡張子のファイルの実行を禁止 (例: EXE, CMD, DLL, LNKファイル) Network location 会社のネットワークに接続しているときだけ、リムーバブルストレージへのアクセス（読み取り、書き込み、実行）権限を与える

Intune (OMA-URI) / Group Policy の評価と準備 • Microsoft ドキュメント Deploy
and manage Removable Storage Access Control using Intune | Microsoft Learn Deploy and manage Removable Storage Access Control using group policy | Microsoft Learn • サンプルスクリプトのダウンロード mdatp-devicecontrol/Removable Storage Access Control Samples at main · microsoft/mdatp-devicecontrol (github.com) • XML エディタ (Visual Studio など) • PowerShell GUID コマンド (New-Guid)

リムーバブルストレージ制御サンプルスクリプト mdatp-devicecontrol/Removable Storage Access Control Samples at main ·
microsoft/mdatp- devicecontrol (github.com)

Policy XML ファイルリムーバブルストレージ制御アーキテクチャ • リムーバブルストレージのコントロールは XML 形式のファイルで定義 •
Group = 対象となるデバイス等の条件 • PolicyRule = デバイスに対するアクション • Intune User Interface の場合は、自動でXMLが作成される Group Group PolicyRule PolicyRule PolicyGroups PolicyRules

ポリシー適用の確認

ログ確認 (PowerShell) • Get-MpComputerStatus でポリシーの適用状況を確認

イベントログ • アプリケーションとサービスログ / Microsoft / Windows / Windows Defender
• ポリシーの内容 (XML) が確認可能

レジストリ • HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager

レポートとその他設定

デバイスコントロールレポート • デバイスコントロールに関するステータスをレポート • 6 時間間隔でレポートを更新

Advanced Hunting

マシンタイムライン – リムーバブルストレージ制御

ユーザー通知 • ユーザーへの通知 ON / OFF は設定により可能 • ポリシー名が通知メッセージに表示される •
メッセージのカスタマイズは非対応設定画面 (Intune User Interface) ユーザー通知メッセージ

Defender for Endpoint リムーバブルストレージ制御 (macOS)

リムーバブルストレージ制御動作要件 • Defender for Endpoint にオンボードした macOS 11 (Big
Sur) 以降 • 製品バージョン 102.34.20 以降 • ポリシーの展開 : Intune または Jamf を利用

リムーバブルストレージ制御主な機能 • リムーバブルストレージに対して、「読み取り」「書き込み」「実行」の制御と監査 • 特定のデバイス（ベンダーID、プロダクトID、シリアル番号）に対する制限 • 通知メッセージ
- 接続先URLのカスタマイズ

デモ (ユーザーエクスペリエンス)

macOS • Device Timeline (USB Mount / Unmount)

ポリシー適用状況確認 mdatp device-control removable-media policy list

まとめ

まとめ • Defender for Endpoint リムーバブルストレージの制御は Windows クライアント, macOS に対応
• Windows は展開方法によって、利用可能な機能が異なる • レポートやAdvanced Hunting により、利用状況の可視化も可能 • Device Control (プリンタなども含む）は今後も継続して機能を強化ぜひ検証、導入を進めていただければ幸いです • フィードバックをお待ちしています！

(参考情報) デバイスコントロール Title URL Microsoft Defender for Endpoint Device Control
Removable Storage Protection Microsoft Defender for Endpoint Device Control Removable Storage Protection | Microsoft Learn Microsoft Defender for Endpoint Device Control Removable Storage Access Control Microsoft Defender for Endpoint Device Control Removable Storage Access Control, removable storage media | Microsoft Learn Device control report Protect your organization's data with device control | Microsoft Learn Device Control for macOS Device control for macOS | Microsoft Learn Announcing new removable storage management features on Windows Microsoft Defender for Endpoint removable storage access control updates

Microsoft Defender for Endpoint / Microsoft 365 Defender 最新情報 •
Microsoft Defender for Endpoint Blog https://aka.ms/mdatpblog • What’s new in Microsoft Defender for Endpoint What's new in Microsoft Defender for Endpoint | Microsoft Learn • Microsoft 365 Defender Blog https://aka.ms/m365dblog

Microsoft Defender for Endpoint / Microsoft 365 Defender 最新情報 •
Microsoft 365 Defender Monthly News Title URL Monthly news - February 2023 Monthly news - February 2023 - Microsoft Community Hub Monthly news - January 2023 Monthly news - January 2023 - Microsoft Community Hub Monthly news - November 2022 Monthly news - November 2022 - Microsoft Community Hub Monthly news - October 2022 Monthly news - October 2022 - Microsoft Community Hub Monthly News – September 2022 Monthly news - September 2022 - Microsoft Community Hub Monthly News – August 2022 Monthly news - August 2022 - Microsoft Community Hub Monthly News – July 2022 Monthly news - July 2022 - Microsoft Community Hub Monthly News – June 2022 Monthly news - June 2022 - Microsoft Community Hub

Thank you

Microsoft Defender for Endpoint リムーバブルストレージの制御

Microsoft Defender for Endpoint リムーバブルストレージの制御

Other Decks in Technology

Featured

Transcript