Jamf Proの拡張属性を使用すると、追加のインベントリ情報を取得することが出来ます。
(例えば充電回数、再起動を実施していない日数、AppleIDのログイン有無及びIDなど)
今回はこの機能を使って、Microsoft Defender for Endpoint(以下MDfE)をインストールしているPCに対して「スキャンの最終日時」と「フルディスクアクセスの許可有無」を取得してみたいと思います。
Jamf Proを利用している方
Microsoft Defender for Endpointを利用している方
情報セキュリティ部門の方
ISMS審査前に社内PCの状況をチェックをしたい人
実施する背景(目的)
各mac端末のMDfEに対して、定期的なスキャンスケジュールの設定と必要な権限を付与していますが、過去ISMS審査時にたまたま正しく動作していない端末があったこと、また最近macOS 13 Venturaのアップデートでフルディスクアクセスが外れてしまうバグが発生することがあるため、チェック出来るようにしてみました。
ステータス取得方法(コマンド)
MDfEをコマンドで操作(確認)する方法はこちらのMicorosoft公式ページを参照ください。
設定手順
Jamf Proから以下の通り実施
1.JamfProにアクセス
2. 画面右上「設定⚙」>[ コンピュータ管理 ]タブ>「拡張属性」クリック
3.「+新規」クリック、設定画面にて以下項目を記入
| 表示名 | お好み |
| 説明 | 任意 |
| データタイプ | String |
| インベントリ方法 | お好み |
| 入力タイプ | Script |
4.コマンド入力欄に以下から使用したいソースコードをコピー貼りつけして「保存」クリック
◎最後にスキャンした時間を確認したい場合
#!/bin/sh
MDfE_LastScan=$(/usr/local/bin/mdatp scan list | grep "Scan Start Time:" | tail -1 | sed -e 's/^[^:]*://' | tr -d ','| sed 's/at//g')
MDfE_LastScan_String=$(printf %s $MDfE_LastScan)
MDfE_LastScan_Date=$(LANG=c date -j -f "%b%d%Y%r" $MDfE_LastScan_String "+%Y/%m/%d %R")
echo "<result>$MDfE_LastScan_Date </result>"
◎フルディスクアクセスの設定状況を確認したい場合
#!/bin/sh
Chk_MDfE_FullDiskAccess=$(/usr/local/bin/mdatp health --field full_disk_access_enabled)
echo "<result>$Chk_MDfE_FullDiskAccess</result>"
適用確認
拡張属性の項目が検索時表示されるように設定しましょう。
1.JamfProにアクセス
2. 画面右上「設定⚙」>[ コンピュータ管理 ]タブ>「イベントリ表示」クリック
3. 画面右下「編集」をクリックして先程作成した項目にチェック>「保存」クリック
4. コンピュータの検索を行い各項目にパラメーターが表示されたことを確認(以下例)
反映までに時間かかります。
データ取得で苦労したこと
「フルディスクアクセス」のほうは特に問題なかったんですが、「スキャンの最終日時」は検索結果が複数出たり、日付フォーマットが見にくかったため、dateコマンドで表示変更するところが苦労しました。
参考にしたサイト
参考にしたサイトはこちらです。あわせてご確認下さい。
まとめ
今回は表示のみでしたが、スマートグループと組み合わせれば、未実施端末へスキャン実行させたり、ユーザーに設定変更を依頼するためメッセージ(ポップアップ)を表示したりすることも出来ます。(色々試してみて下さい)
もし質問・誤り等あればTwitterDM等でご連絡いただければ幸いです。
コメント