おれさまラボ

実際に手を動かして理解を深めるブログ。

Indicator使用時の制約事項

はじめに

MicrosoftのDefender Seriesでは、Microsoftの脅威インテリジェンスに基づいて、さまざまな悪性サイトへのアクセスをブロックしてくれますが、独自にブロックルールを追加したり、特定のサイトは許可したい場合があります。

そんなときは、Indicator機能を使うことで、URLやIPアドレス、ファイルハッシュ値に関するカスタムルールを作成することができます。

そんなIndicatorを使う場合の制約事項について調べたことをまとめておきます。

CIDR表記は使用できない

Classless Inter-Domain Routing (CIDR) notation for IP addresses is not supported.

参考:https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/indicator-ip-domain?view=o365-worldwide

内部IPは定義できない

Only external IPs can be added to the indicator list. Indicators cannot be created for internal IPs.

Encrypted URLはEdgeのみ対応

Encrypted URLs (full path) can only be blocked on first party browsers (Internet Explorer, Edge) Encrypted URLS (FQDN only) can be blocked outside of first party browsers (Internet Explorer, Edge)

参考:https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/indicator-ip-domain?view=o365-worldwide#before-you-begin

なお、暗号化されていないURLについては、フルパスを制御できます。

Full URL path blocks can be applied on the domain level and all unencrypted URLs

参考:https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/indicator-ip-domain?view=o365-worldwide#before-you-begin

ルールの適用に最大2時間かかる

There may be up to 2 hours of latency (usually less) between the time the action is taken, and the URL and IP being blocked.

参考:https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/indicator-ip-domain?view=o365-worldwide#before-you-begin

ファイルハッシュの制御にはDefender AVが使用される

This feature is available if your organization uses Microsoft Defender Antivirus (in active mode) and Cloud-based protection is enabled. The Antimalware client version must be 4.18.1901.x or later.

参考:https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/indicator-file?view=o365-worldwide#before-you-begin

ファイルハッシュの制御はWindows 10 1703以降が必要

Supported on devices with Windows 10, version 1703 or later, Windows Server 2016 and 2019.

参考:https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/indicator-file?view=o365-worldwide#before-you-begin

以上