はじめに
MicrosoftのDefender Seriesでは、Microsoftの脅威インテリジェンスに基づいて、さまざまな悪性サイトへのアクセスをブロックしてくれますが、独自にブロックルールを追加したり、特定のサイトは許可したい場合があります。
そんなときは、Indicator機能を使うことで、URLやIPアドレス、ファイルハッシュ値に関するカスタムルールを作成することができます。
そんなIndicatorを使う場合の制約事項について調べたことをまとめておきます。
制約事項
CIDR表記は使用できない
Classless Inter-Domain Routing (CIDR) notation for IP addresses is not supported.
内部IPは定義できない
Only external IPs can be added to the indicator list. Indicators cannot be created for internal IPs.
Encrypted URLはEdgeのみ対応
Encrypted URLs (full path) can only be blocked on first party browsers (Internet Explorer, Edge) Encrypted URLS (FQDN only) can be blocked outside of first party browsers (Internet Explorer, Edge)
なお、暗号化されていないURLについては、フルパスを制御できます。
Full URL path blocks can be applied on the domain level and all unencrypted URLs
ルールの適用に最大2時間かかる
There may be up to 2 hours of latency (usually less) between the time the action is taken, and the URL and IP being blocked.
ファイルハッシュの制御にはDefender AVが使用される
This feature is available if your organization uses Microsoft Defender Antivirus (in active mode) and Cloud-based protection is enabled. The Antimalware client version must be 4.18.1901.x or later.
ファイルハッシュの制御はWindows 10 1703以降が必要
Supported on devices with Windows 10, version 1703 or later, Windows Server 2016 and 2019.
以上