Microsoft Defender for Endpoint を使用した Linux および macOS エンドポイントの保護

Microsoft Defender for Endpoint を使用した Linux および macOS エンドポイントの保護

2024 年 10 月 14 日

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Linux および macOS オペレーティング システム上で Microsoft Defender for Endpoint (MDE) を展開して構成する方法をガイドすることを目的としています。企業環境がますます多様化する中で、エンドポイント保護は Windows 環境を超えて行われます。 MDE は、脅威の検出と対応 (EDR) 機能を Windows 以外のプラットフォームに拡張し、組織のテクノロジー パーク全体にわたるセキュリティ体制とサイバー攻撃に対する堅牢な防御の統合ビューを提供します [1]。

はじめに

開発者、デザイナー、その他の専門家による企業環境での Linux および macOS デバイスの普及は、セキュリティ チームに新たな課題をもたらしています。これらのシステムは、脆弱性が低いと認識されていることが多いものの、ますます高度な攻撃の標的となっています。すべての主要なプラットフォームにまたがるエンドポイント セキュリティ ソリューションの必要性は、一貫した効果的なセキュリティ体制を維持するために非常に重要です。 Microsoft Defender for Endpoint は、Linux および macOS に高度な保護、検出、対応機能を提供し、集中管理のための Microsoft Defender XDR ポータルとシームレスに統合することで、このギャップを埋めます [2]。

この実用的なガイドでは、前提条件、Linux および macOS デバイスの MDE へのオンボード、セキュリティ ポリシーの構成、除外の管理、検出テストの実行、保護の検証のプロセスについて説明します。読者が異種環境で Microsoft Defender for Endpoint を展開して管理し、エンドポイントのセキュリティを強化し、企業のセキュリティ ポリシーへのコンプライアンスを確保できるように、段階的な手順、ターミナル コマンドの例と手順が提供されます。

Microsoft Defender for Endpoint が Linux および macOS にとって重要であるのはなぜですか?

  • 包括的な保護: Linux および macOS に次世代のウイルス対策、エンドポイント検出と対応 (EDR)、脆弱性管理、およびアクセス制御機能を提供します。
  • 統合された可視性: Microsoft Defender XDR ポータルですべてのエンドポイント (Windows、Linux、macOS、Android、iOS) のセキュリティの監視と管理を一元化します。
  • 高度な脅威検出: Microsoft の脅威インテリジェンスと機械学習を利用して、プラットフォーム固有の高度な脅威を特定して軽減します。
  • 迅速なインシデント対応: セキュリティ チームがすべてのプラットフォームにわたってセキュリティ インシデントを迅速かつ効果的に調査し、対応できるようにします。
  • コンプライアンスとガバナンス: オペレーティング システムに関係なく、すべてのエンドポイントがセキュリティ ポリシーと規制に準拠していることを確認します。
  • Microsoft エコシステムの統合: Microsoft Sentinel や Microsoft Intune などの他の Microsoft ソリューションと統合して、総合的なセキュリティ アプローチを実現します。

前提条件

Linux および macOS に Microsoft Defender for Endpoint を展開するには、次のものが必要です。

  1. ライセンス: Microsoft Defender for Endpoint ライセンス (例: Microsoft 365 E5、セキュリティ アドオンを備えた Microsoft 365 E3、または MDE スタンドアロン ライセンス) [3]。
  2. 管理アクセス: Microsoft Defender XDR ポータル (「https://security.microsoft.com」) の「セキュリティ管理者」または「グローバル管理者」のロールを持つアカウント。
  3. Root/Sudo アクセス: インストールと構成のためのターゲット デバイスに対する Root (Linux) または sudo (macOS) 権限。
  4. ネットワーク接続: デバイスは、通信と定義の更新のために MDE サービス エンドポイントに接続する必要があります。
  5. サポートされているオペレーティング システム: サポートされている Linux および macOS ディストリビューションの特定のバージョンについては、Microsoft のドキュメントを確認してください [4]。

ステップバイステップ: Linux および macOS での MDE のオンボーディングと構成

両方のプラットフォームのオンボーディング プロセスと基本設定について説明します。

1. Microsoft Defender for Endpoint でのデバイスのオンボーディング

オンボーディング プロセスには、Microsoft Defender XDR ポータルから統合パッケージを取得し、それをデバイスに展開することが含まれます。

  1. Microsoft Defender X ポータルにアクセスします。DR:

    • ブラウザを開いて「https://security.microsoft.com」に移動します。 ※必要な権限を持つアカウントでログインしてください。

  2. オンボーディング パッケージを入手:

    • 左側のナビゲーション ペインで、設定 > エンドポイントを選択します。
    • 「デバイス管理」で、統合を選択します。
    • セクション「1.」統合プロセスを開始するオペレーティング システムを選択し、「Linux Server」または「macOS」を選択します。
    • セクション `2.デプロイメント方法を選択し、手動インストールの場合は「ローカル スクリプト」を選択し、大規模なデプロイメントの場合は「構成管理ツール」 (Linux の場合は Puppet、Ansible、macOS の場合は Intune、JAMF など) を選択します。
    • 「統合パッケージのダウンロード」をクリックします。

1.1. Linux でのオンボーディング (手動)

  1. 前提条件のインストール: 必要なパッケージがインストールされていることを確認してください。ほとんどのディストリビューションでは、これには「curl」、「wget」、「gnupg」、「apt-transport-https」 (Debian/Ubuntu)、または「yum-utils」 (RHEL/CentOS) が含まれます。 「」バッシュ # Ubuntu/Debian の例 sudo apt-get アップデート sudo apt-get install -ycurl wget apt-transport-https gnupg

    RHEL/CentOS の例

    sudo yum install -ycurl wget yum-utils gnupg 「」

  2. Microsoft リポジトリの追加: これにより、ディストリビューションのパッケージ マネージャーを使用して MDE をインストールできるようになります。 「」バッシュ # Ubuntu/Debian の例 wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > パッケージ.microsoft.gpg sudo install -o root -g root -m 644packages.microsoft.gpg /etc/apt/trusted.gpg.d/ sudo sh -c 'echo "deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/ubuntu/22.04/prod jammy main" > /etc/apt/sources.list.d/microsoft-prod.list' sudo rm パッケージ.microsoft.gpg sudo apt-get アップデート

    RHEL/CentOS の例

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/prod.repo 「」

  3. MDE のインストール: mdatp パッケージをインストールします。 「」バッシュ # Ubuntu/Debian の例 sudo apt-get install -y mdatp

    RHEL/CentOS の例

    sudo yum install -y mdatp 「」

  4. オンボーディング パッケージを使用して MDE を構成します: ダウンロードした「WindowsDefenderATPOnboardingPackage.zip」ファイルを Linux サーバーにコピーし、解凍してオンボーディング スクリプトを使用します。 「」バッシュ # .zip ファイルを Linux サーバーにコピーします # scp WindowsDefenderATPOnboardingPackage.zip user@your_linux_server:~/

    WindowsDefenderATPOnboardingPackage.zip を解凍します -d mde_onboarding sudo mdatp オンボードの高レベル操作 --path mde_onboarding/MicrosoftDefenderATPOnboardingScript.sh 「」

  5. ステータスの確認: MDE が実行中でオンボードされているかどうかを確認します。 「」バッシュ mdatp の状態 「」

1.2. macOS でのオンボーディング (手動)

  1. MDE をインストール: ダウンロードした MicrosoftDefenderATPOnboardingPackage.zip ファイルを macOS デバイスにコピーします。解凍してください。 .pkg ファイル (例: wdav.pkg) が見つかります。

  2. パッケージをインストールします: .pkg インストーラーを実行します。 「」バッシュ sudo インストーラー -pkg wdav.pkg -target / 「」 ※画面の指示に従ってください。 「システム環境設定」 > 「セキュリティとプライバシー」で MDE にフルディスク アクセス許可とシステム拡張許可を付与する必要があります。

  3. オンボーディング パッケージを使用して MDE を構成する: オンボーディング スクリプトを使用します。 「」バッシュ # .zip ファイルを Mac にコピーする # .zip ファイルを解凍します sudo /Library/Application\ Support/Microsoft/Defender/uninstall/install.sh --install sudo /Library/Application\ Support/Microsoft/Defender/install.sh --onboard /path/to/MicrosoftDefenderATPOnboardingScript.sh 「」

    • 注意: オンボーディング スクリプトへの正確なパスは異なる場合があります。 .zip ファイルの内容を確認してください。

  4. ステータスの確認: MDE が実行中でオンボードされているかどうかを確認します。 「」バッシュ mdatp の状態 「」

2. セキュリティ ポリシーの構成 (Linux および macOS)

Linux および macOS 上の MDE のセキュリティ ポリシーは、JSON ファイル (手動/スクリプト展開用) または Intune、JAMF、Puppet、Ansible などのツールを通じて管理できます。

ウイルス対策制御用の JSON ファイルによる設定例を使用してみましょう。

  1. JSON 構成ファイルの作成: 必要な設定を含む mdatp_config.json ファイルを作成します。 ```json { 」ウイルス対策エンジン": { "有効": true、 「スキャン」: { "クイックスキャン": { "有効": true、 「スケジュール」: { "タイプ": "毎日", "時間": "02:00" } }、 "フルスキャン": { 「有効」: false } }、 "リアルタイム保護": { "有効": true、 "scanOnAccess": true、 "scanOnModify": true }、 「除外」: [ { "パス": "/var/log", "タイプ": "ディレクトリ" }、 { "パス": "/opt/app/data.db", "タイプ": "ファイル" } 】 }、 "クラウドサービス": { "有効": true、 "診断レベル": "フル" } } 「」

    • この例では、リアルタイム保護を有効にし、毎日のクイック スキャンを構成し、ログ ディレクトリとデータベース ファイルの除外を設定します。

  2. 構成を適用します: mdatp config コマンドを使用します。 「」バッシュ sudo mdatp config set --path mdatp_config.json 「」

  3. 適用された構成を確認します: アクティブな構成を確認できます。 「」バッシュ mdatp config get --json 「」

一元管理のヒント (Intune/JAMF)

  • Microsoft Intune (macOS): macOS の場合、Intune は MDE の展開と管理に推奨されるツールです。構成プロファイルを作成して MDE パッケージを展開し、セキュリティ設定 (リアルタイム保護、除外など) を構成できます。

  • 構成管理ツール (Linux): Linux の場合、Puppet、Ansible、Chef などのツールは、大規模な MDE 展開と構成管理を自動化するために一般的に使用されます。

3. 除外の管理

除外は、正規のアプリケーションとの競合を回避したり、I/O 負荷の高いシステムのパフォーマンスを向上させるために重要です。ただし、セキュリティ上のギャップが生じないよう注意して使用する必要があります。

  1. コマンドライン経由で除外を追加します (Linux/macOS): 「」バッシュ # ファイルを削除する sudo mdatp 除外追加 --path /path/to/file.log --type file

    ディレクトリを削除する

    sudo mdatp exclusion add --path /path/to/directory --type directory

    拡張子で削除

    sudo mdatp 除外 add --extension .tmp --type 拡張子 「」

  2. 除外のリストを表示: 設定された除外を確認します。 「」バッシュ mdatp除外リスト 「」

  3. 除外を削除: 不要になった場合は除外を削除します。 「」バッシュ sudo mdatp 除外削除 --path /path/to/file.log 「」

検証とテスト

ソリューションが期待どおりに機能することを確認するには、Linux および macOS での MDE 保護を検証することが不可欠です。

1. Microsoft Defender XDR ポータルでステータスを確認する

  1. Microsoft Defender XDR ポータル (https://security.microsoft.com) で、アセット > デバイス に移動します。
  2. オンボードの Linux および macOS デバイスがリストに表示され、それらの「健全性ステータス」が「アクティブ」であることを確認します。
  3. デバイスをクリックして、「保護ステータス」や「セキュリティに関する推奨事項」などの詳細を表示します。

2. ウイルス対策検出テスト (EICAR)

EICAR (欧州コンピュータウイルス対策研究所) テスト ファイルを使用して、ウイルス対策が正しく機能しているかどうかを確認します。

  1. EICAR ファイルの生成: 次の内容を正確に含むテキスト ファイルを作成します (余分なスペースや改行は含まれません)。 「」 X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* 「」

    • Linux: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com
    • macOS: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com

  2. 検出の監視: リアルタイム保護が有効になっている場合、MDE は EICAR ファイルを直ちに検出してブロックする必要があります。

  3. MDE ポータルでアラートを確認する: Microsoft Defender XDR ポータルで、インシデントとアラート > アラート に移動します。 Linux/macOS デバイス上の EICAR 検出に関連するアラートが表示されるはずです。

3. EDR検知テスト(攻撃シミュレーション)

Microsoft はスクリプトを提供しています攻撃シナリオをシミュレートし、MDE の EDR 機能を検証します。

  1. Linux の場合: Linux 用の MDE 検出テスト スクリプトをダウンロードして実行します。 「」バッシュ カール -o ~/mde_linux_test.sh https://aka.ms/LinuxMDEtest chmod +x ~/mde_linux_test.sh ~/mde_linux_test.sh 「」

  2. macOS の場合: macOS 用の MDE 検出テスト スクリプトをダウンロードして実行します。 「」バッシュ カール -o ~/mde_macos_test.sh https://aka.ms/macMDEtest chmod +x ~/mde_macos_test.sh ~/mde_macos_test.sh 「」

  3. MDE ポータルでアラートを確認する: スクリプトを実行した後、インシデントとアラート > アラート で Microsoft Defender XDR ポータルを確認します。 「不審なコマンドが実行されました」や「不審なスクリプト アクティビティ」など、シミュレートされたアクティビティに関連するアラートが表示されます。

セキュリティのヒントとベスト プラクティス

  • 集中管理: 構成管理ツール (Intune、JAMF、Puppet、Ansible) を使用して MDE を大規模に展開および管理し、ポリシーの一貫性を確保します。
  • MDE を最新の状態に保つ: 最新の脅威から確実に保護するために、MDE クライアントとセキュリティ定義が常に最新であることを確認します。
  • 除外を慎重に管理: セキュリティ ギャップが生じるのを避けるために、除外を確認して最小限に抑えます。すべての除外とその正当性を文書化します。
  • SIEM/SOAR 統合: MDE アラートをセキュリティ情報およびイベント管理 (SIEM) または Microsoft Sentinel などのセキュリティ オーケストレーション、自動化、および対応 (SOAR) と統合して、可視性とインシデント対応を向上させます。
  • 継続的な監視: Linux および macOS エンドポイントのセキュリティ アラートと推奨事項について、Microsoft Defender XDR ポータルをアクティブに監視します。
  • ユーザー トレーニング: エンドポイント セキュリティの重要性と不審なアクティビティを報告する方法についてユーザーを教育します。
  • タンパープロテクション: Windows ではより顕著ですが、悪意のあるユーザーが Linux/macOS 上でも MDE 設定を無効にしたり変更したりすることを防ぐために、同等のコントロールが存在することを確認してください。

一般的なトラブルシューティング

  • MDE はインストール/オンボードされません: 前提条件 (ディストリビューション/OS バージョン、必要なパッケージ) を確認します。インストール ログにエラーがないか確認してください。オンボーディング パッケージが正しく、有効期限が切れていないことを確認してください。 Microsoft エンドポイントへのネットワーク接続を確認します。
  • MDE はポータルにレポートしません: mdatp health コマンドで、onboarded および healthy ステータスを確認してください。デバイスがインターネットおよび MDE サービスに接続されていることを確認します。通信をブロックしている可能性のあるプロキシまたはファイアウォールの設定を確認してください。
  • CPU/メモリの使用率が高い: MDE ログを確認して、使用率の高さを引き起こしている可能性のあるプロセスを特定します。構成された除外を確認します。スキャン設定を最適化します (例: フル スキャンをオフピーク時間にスケジュール設定します)。
  • 他のセキュリティ ソリューションとの競合: 他のウイ​​ルス対策ソリューションまたはエンドポイント セキュリティ ソリューションがインストールされている場合、競合が発生する可能性があります。 Microsoft では、MDE をインストールする前に他のソリューションを削除することをお勧めします。
  • 誤検知アラート: MDE が多数の誤検知アラートを生成している場合は、アラートをトリガーしたアクティビティを調査します。正当なプロセスまたはファイルの除外を追加するか (慎重に)、検出ポリシーを調整することを検討してください。
  • 権限の問題 (macOS): macOS では、「システム環境設定」 > 「セキュリティとプライバシー」で、すべてのシステム拡張機能とフルディスク アクセス権限が MDE に付与されていることを確認してください。

結論

Microsoft Defender for Endpoint は、Linux および macOS 環境に効果的に拡張できる次世代のエンドポイント セキュリティ ソリューションを提供します。脅威の保護、検出、対応を単一のプラットフォームに統合することで、組織はセキュリティ管理を簡素化し、テクノロジーパーク全体にわたるサイバー攻撃に対する態勢を強化できます。 MDE の利点を最大化するには、慎重な実装、適切なポリシー構成、継続的な監視が重要です。この実用的なガイドを使用すると、セキュリティ専門家は Linux および macOS エンドポイントを保護するための十分な準備を整え、安全性を確保できます。オペレーティング システムに関係なく、すべてのデバイスは、より安全で回復力のある企業環境に貢献します。

参考文献:

[1] Microsoft Learn。 Linux 上のエンドポイント用 Microsoft Defender。入手可能場所: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-linux [2] Microsoft Learn。 macOS 上の Microsoft Defender for Endpoint。入手可能場所: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-mac [3] Microsoft Learn。 Microsoft Defender for Endpoint のライセンス要件。入手可能場所: https://learn.microsoft.com/pt-br/defender-endpoint/licensing [4] Microsoft Learn。 Linux 上の Microsoft Defender for Endpoint の前提条件。入手可能場所: https://learn.microsoft.com/pt-br/defender-endpoint/linux-prerequisites [5] エイカー。 EICAR テスト ファイル。入手可能場所: https://www.eicar.org/download-anti-malware-testfile/