はじめに
MicrosoftのDefender Seriesでは、Microsoftの脅威インテリジェンスに基づいて、さまざまな悪性サイトへのアクセスをブロックしてくれますが、独自にブロックルールを追加したり、特定のサイトは許可したい場合があります。
そんなときは、Indicator機能を使うことで、URLやIPアドレス、ファイルハッシュ値に関するカスタムルールを作成することができます。
たくさんのルールを管理していれば、重複や競合が発生する場合もあるので、その時の挙動を調べてまとめてみました。
重複するルールが存在する場合
- デバイスグループ、制御対象、アクションが、既存のルールと重複するルールを作成することはできません
- 有効期限、アラートの重大度、詳細が異なるルールがすでに存在する場合、既存のルールが上書きされます
競合するルールが存在する場合
- デバイスグループ、制御対象、アクションが、既存のルールと競合するルールは作成できます
- 優先順位は、URLの場合はロンゲストマッチが優先、ファイルハッシュの場合はいくつかの条件があります
競合が発生した場合の挙動については、以下記事も参考にしてください。
参考資料
以上