自動調査と対応で侵害されたユーザー アカウントに対処する
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Microsoft Defender for Office 365プラン 2 には、強力な自動調査と対応 (AIR) 機能が含まれています。 このような機能により、セキュリティ運用チームが脅威に対処する多くの時間と労力を節約できます。 この記事では、AIR 機能のファセットの 1 つである、侵害されたユーザー セキュリティ プレイブックについて説明します。
侵害されたユーザー セキュリティ プレイブックを使用すると、organizationのセキュリティ チームは次のことが可能になります。
- 侵害されたユーザー アカウントの検出を高速化します。
- アカウントが侵害された場合の侵害の範囲を制限する。そして
- 侵害されたユーザーに対して、より効果的かつ効率的に対応します。
侵害されたユーザー アラート
ユーザー アカウントが侵害されると、非定型または異常な動作が発生します。 たとえば、フィッシングメッセージやスパム メッセージは、信頼されたユーザー アカウントから内部的に送信される場合があります。 Defender for Office 365は、Office 365内の電子メール パターンとコラボレーション アクティビティでこのような異常を検出できます。 この場合、アラートがトリガーされ、脅威軽減プロセスが開始されます。
侵害されたユーザーを調査して対応する
ユーザー アカウントが侵害されると、アラートがトリガーされます。 また、場合によっては、そのユーザー アカウントがブロックされ、organizationのセキュリティ運用チームによって問題が解決されるまで、それ以上の電子メール メッセージを送信できなくなります。 その他の場合は、自動調査が開始され、セキュリティ チームが実行する必要がある推奨アクションが発生する可能性があります。
重要
次のタスクを実行するには、適切なアクセス許可が必要です。 詳細については、「 AIR 機能を使用するために必要なアクセス許可」を参照してください。
この短いビデオでは、自動調査と応答 (AIR) と侵害されたユーザー アラートを使用して、Microsoft Defender for Office 365でユーザーの侵害を検出して対応する方法について説明します。
制限付きユーザーの表示と調査
制限付きユーザーの一覧に移動するためのオプションがいくつかあります。 たとえば、Microsoft Defender ポータルでは、コラボレーションEmail & Review>Restricted Users>に移動できます。 次の手順では、 アラート ダッシュボードを使用したナビゲーションについて説明します。これは、トリガーされた可能性のあるさまざまな種類のアラートを表示する良い方法です。
https://security.microsoft.comでMicrosoft Defender ポータルを開き、[インシデント] & アラート>Alerts に移動します。 または、[アラート] ページに直接移動するには、https://security.microsoft.com/alerts を使用します。
[ アラート ] ページで、期間とユーザー制限付き メールの送信という名前のポリシーで結果をフィルター処理します。
![制限付きユーザー用にフィルター処理されたMicrosoft Defender ポータルの [アラート] ページ](media/m365-sc-alerts-page-with-restricted-user.png)
名前をクリックしてエントリを選択すると、[メールの送信を 制限されたユーザー ] ページが開き、詳細が表示され、確認できます。 [アラートの 管理 ] ボタンの横にある [
その他のオプション ] をクリックし、[ 制限付きユーザーの詳細の表示 ] を選択して [ 制限付きユーザー ] ページに移動します。そこで、 制限付きユーザーを解放できます。
![制限付きユーザー用にフィルター処理されたMicrosoft Defender ポータルの [アラート] ページ](media/m365-sc-alerts-page-with-restricted-user.png#lightbox)
![[ユーザーがメールの送信を制限された] ページ](media/m365-sc-alerts-user-restricted-from-sending-email-page.png#lightbox)
自動調査の詳細を表示する
自動調査が開始されると、その詳細と結果は、Microsoft Defender ポータルのアクション センターで確認できます。
詳細については、「 調査の詳細を表示する」を参照してください。
以下の点にご注意ください。
アラートを確認します。 ご存知のように、侵害が検出されなくなるほど、organization、顧客、パートナーに広範な影響とコストが発生する可能性が大きくなります。 脅威を軽減するには、特にユーザーのアカウントが侵害された場合に、早期検出とタイムリーな対応が重要です。
自動化は、セキュリティ運用チームを支援します。 自動調査と対応機能により、侵害されたユーザーを早期に検出し、セキュリティ運用チームが脅威を修復するためのアクションを実行できます。 これに関するヘルプが必要ですか? 「 アクションの確認と承認」を参照してください。