次の方法で共有

Microsoft Defender for Office 365計画 2 の自動調査と対応 (AIR) の詳細と結果

ヒント

Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。

Microsoft Defender for Office 365 プラン 2 を持つ Microsoft 365 組織では、Defender for Office 365の自動調査と対応 (AIR) からのアクティブな調査と完了した調査の詳細は、Microsoft Defenderの [調査] ページで確認できます。ポータルをhttps://security.microsoft.com/airinvestigation。 調査の詳細により、最新の状態と (適切なアクセス許可を持つ) 保留中のアクションを承認する機能が提供されます。

ヒント

AIR の詳細と結果は、https://security.microsoft.com/incidents[調査] ページのMicrosoft Defender XDRでも確認できます。 詳細については、「 統合された調査」ページを参照してください。

はじめに把握しておくべき情報

  • AIR のアクセス許可とライセンス要件については、「AIR に 必要なアクセス許可とライセンス」を参照してください。

  • Email数は、調査時に計算されます。 調査ポップアップを開くと (基になるクエリに基づいて) 一部のカウントが再計算されます。

    次の電子メール数の値は調査時に計算され、変更されません。

    • [Email] タブでクラスターをEmailします。
    • 電子メール クラスターのポップアップに表示される電子メール数量の値。

    次の電子メール数の値は、調査の最初の分析後に受信された電子メール メッセージを反映しています。

    • 電子メール クラスターのポップアップの [Email] タブの下部に表示される電子メールの数。

    • エクスプローラーに表示される電子メールの数 (脅威エクスプローラー)

      たとえば、元の数が 10 個のメッセージを示す電子メール クラスターでは、調査分析フェーズの間にさらに 5 つのメッセージが届いた場合と、管理者が調査をレビューした場合に、合計 15 件のメール リストが表示されます。 同様に、以前の調査では、Microsoft Defender for Office 365 プラン 2 のデータは試用版の終了後 7 日後に期限切れになり、有料ライセンスの場合は 30 日後に期限切れになるため、Threat エクスプローラー クエリよりもメッセージ数が多くなる可能性があります。

      履歴と現在の電子メール メッセージの数は、次の情報を提供するために、さまざまなビューに表示されます。

      • 調査時の電子メール効果。
      • 現在の電子メールの効果は、修復の実行時までです。

  • 電子メールの場合、調査の一環としてボリュームの異常の脅威が表示される場合があります。 ボリュームの異常は、調査イベントの時間の前後で、以前の時刻と比較して同様の電子メール メッセージが急増したことを示します。 電子メール トラフィックの急増と、特定のメッセージ プロパティ (件名、メッセージ本文、送信者ドメイン、送信者 IP など) の類似性は、通常、電子メール攻撃の開始を示します。 ただし、一括メール、スパム、正当なメール キャンペーンは、通常、これらの同じメッセージ プロパティを共有します。

Defender for Office 365計画 2 における AIR からの調査

https://security.microsoft.comの Defender ポータルで、[Email &コラボレーション>Investigations] に移動します。 または、[ 調査 ] ページに直接移動するには、 https://security.microsoft.com/airinvestigationを使用します。

既定では、昨日と今日の調査の詳細が表示されますが、日付範囲は変更できます。

[ 調査] ページに次の情報が表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定では、使用可能なすべての列が選択されます。

  • ID: 調査の一意の ID。 [ [新しいウィンドウで開く ] を選択して、[調査の詳細の表示] セクションの説明に従 って調査の詳細 を開きます。
  • 状態: 使用可能な状態の値については、「 調査の状態の値」 セクションで説明されています。
  • 検出ソース: この値は常に Office365 です
  • 調査
  • Users
  • 移行に失敗したメールボックスの数です。
  • 最終変更時刻
  • 脅威の数
  • アクション数
  • 調査期間

エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。

  • [調査の種類 ] セクション: 次の値の 1 つ以上を選択します。
    • 手動調査
    • ユーザーが報告したメッセージ
    • Zapped ファイル
    • Zapped URL
    • URL 判定の変更
    • ユーザーが侵害された
  • [時間範囲 ] セクション: [ 開始日] と [ 終了日] の値を選択します。 データは過去 72 日間利用できます。
  • [状態 ] セクション: [ 調査の状態 の値] セクションで説明されている次の値の 1 つ以上を選択します。
    • 開始中
    • 実行中
    • 脅威が見つかりません
    • システムによって終了されました
    • 保留中のアクション
    • 脅威が検出されました
    • 修復済み
    • 部分的に修復
    • ユーザーによって終了
    • Failed
    • 調整によってキューに入れられます
    • スロットルによって終了

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。

[ 検索 ] ボックスを使用して、ページ上の情報を検索します。 ボックスにテキストを入力し、Enter キーを押します。

Export を使用して、表示される情報を CSV ファイルに保存します。 既定のファイル名は [調査 - Microsoft Defender.csv] で、既定の場所はローカルのダウンロード フォルダーです。 エクスポートされたレポートがその場所に既に存在する場合は、ファイル名がインクリメントされます (たとえば、調査 - Microsoft Defender (1).csv)。

調査の状態の値

調査の 状態 の値は、分析とアクションの進行状況を示します。 調査が実行されると、[ 状態] の値が更新され、脅威が検出されたかどうか、およびアクションが承認されたかどうかを示します。

調査で使用される Status 値については、次の一覧で説明します。

  • 失敗: 少なくとも 1 つの調査アナライザーで、正常に完了できない問題が発生しました。

    修復アクションが承認された後に調査が失敗した場合、修復アクションは引き続き成功している可能性があります。 詳細については、 調査の詳細を参照してください

  • 脅威が見つかりません: 調査が完了し、脅威が特定されませんでした (侵害されたユーザー アカウント、電子メール メッセージ、URL、またはファイル)。

    悪意のあるものが見逃された (偽陰性) と思われる場合は、Threat エクスプローラー (エクスプローラー) を使用してアクションを実行できます。

  • 部分的に調査された (以前は 脅威が見つかりました): 自動調査で問題が検出されましたが、問題を解決するための特定の修復アクションはありません。 何らかの種類のユーザー アクティビティが特定されたが、クリーンアップ アクションが使用できない場合に発生します。 例には、次のいずれかのユーザー アクティビティが含まれます。

    • データ損失防止 (DLP) イベント。
    • 異常を送信する電子メール。
    • マルウェアを送信しました。
    • フィッシングを送信しました。
    • 調査の結果、何もすることが見つかりませんでした。 以下に例を示します。
      • 修復する悪意のある URL、ファイル、電子メール メッセージはありません。
      • 修正するメールボックス アクティビティはありません (転送ルールや委任をオフにするなど)。

    悪意のあるものが見逃された (偽陰性) と思われる場合は、Threat エクスプローラー (エクスプローラー) を使用してアクションを実行できます。

  • 部分的に修復: 調査によって修復アクションが発生し、一部が承認されて完了しました。 その他のアクションは引き続き 承認待ちです

  • 保留中のアクション: 調査で脅威 (悪意のあるメール、悪意のある URL、危険なメールボックス設定など) が検出され、脅威を修復するためのアクションが 承認を待っています

    保留中のアクションの一覧は、調査の実行時に増加する可能性があります。 調査の詳細を表示 して、他の項目がまだ完了待ちかどうかを確認します。

  • 調整によってキューに入れる: 調査がキューに保持されています。 他の調査が完了すると、キューに入った調査が開始されます。 調整は、サービス パフォーマンスの低下を回避するのに役立ちます。

    保留中のアクションでは、実行できる新しい調査の数を制限できます。 保留中の アクションを承認または拒否してください。

  • 修復済み: 調査が完了し、すべての修復アクションが承認されました (完全に修復されました)。

    承認済みの修復アクションには、アクションの実行を妨げるエラーが発生する可能性があります。 修復アクションが正常に完了したかどうかにかかわらず、調査の状態は変わりません。 詳細については、 調査の詳細を参照してください

  • 実行中: 調査プロセスが進行中です。 この状態値は、保留中の アクション が承認されたときにも発生します。

  • 開始中: 調査がトリガーされ、実行の開始を待機しています。

  • システムによって終了: 調査が停止しました。 以下に例を示します。

    • 保留中のアクションの有効期限が切れています (最大 1 週間使用できます)。
    • アクションが多すぎます。 たとえば、悪意のある URL をクリックするユーザーが多すぎると、すべてのアナライザーを実行する調査機能を超える可能性があるため、調査は停止します。

    アクションが実行される前に調査が停止した場合は、脅威エクスプローラー (エクスプローラー) を使用して脅威を見つけて対処してみてください。

  • スロットルによって終了: 調査は、キューに長すぎる後に自動的に停止し、停止します。

    Threat エクスプローラー (エクスプローラー) から調査を開始できます。

Defender for Office 365 プラン 2 で AIR からの調査の詳細を表示する

https://security.microsoft.com/airinvestigation[調査] ページのエントリの [ID] 列の [新しいウィンドウで開く] を選択すると、調査の詳細が表示された新しいページが開きます。

ページのタイルは、[調査] ページの[調査 (名前)] の値です。 たとえば、クリックされた URL の判定が悪意のある - <URL> に変更されました

ページのサブタイトルには、調査の ID と状態が含まれています。 たとえば、 調査 #660b79 が完了しました - 修復済み

詳細ページの残りの部分には、調査に関する詳細情報を含む複数のタブが含まれています。 一部のタブは、すべての調査に共通しています。 その他のタブは、調査の性質と状態に基づいて使用できます。

タブについては、次のサブセクションで説明します。

Defender ポータルの調査の詳細ページのスクリーンショット。

調査の詳細の [調査グラフ] タブ

調査の詳細ページの [ 調査グラフ ] タブは、調査の現在の状態と結果を視覚的に表す既定のタブです。

[ 調査グラフ ] タブの [ 調査の概要 ] ウィンドウには、次の詳細が表示されます。

  • 調査の状態のタイム ライン セクション:
    • 開始
    • 終了: この値は、次の Status 値に対してのみ存在します。
      • 脅威なし
      • 部分的に修復
      • 修復済み
      • システムによって終了
      • スロットルにより終了しました
      • ユーザーによって終了
      • 脅威が見つかりました
      • Failed
    • Duration
    • 保留中の合計時間: この値は、最終的に承認または期限切れになった承認待ちの保留中のアクションを持つ調査にのみ表示されます。
  • 調査の詳細 セクション:
    • 状態: 調査の状態。 値が [脅威が見つかりません] の場合、セクションには他の値は存在しません。
    • アラートの重大度: 値 Low、**Medium、または High
    • カテゴリ: アラート カテゴリ。
    • 検出ソース: 通常、値はMDO

グラフ ウィンドウには、調査の要素とアクティビティの視覚的な表現が含まれています。 すべての調査に共通する要素もあれば、調査の性質と進捗状況に依存する要素もあります。

  • 受信したアラート: 関連するアラートを表示します。 [ ] を選択して、[ アラート ] タブに移動して詳細を確認します。

  • メールボックス: 関連するメールボックスを表示します。 [ ] を選択して、[ メールボックス ] タブに移動して詳細を確認します。

  • 分析されたエンティティ: 調査中に分析された関連エンティティの数と種類を示します。 以下に例を示します。

    • URL
    • 電子メール メッセージ
    • ファイル
    • Emailクラスター。これには、悪意のある数と修復された数が含まれる可能性があります。

    詳細については、[ ] を選択して [ エンティティ ] タブに移動します。

  • 証拠: 見つかったエンティティの数を示します。 [ ] を選択して、[ 証拠 ] タブに移動して詳細を確認します。

  • 承認待ち: 管理者が推奨される手動修復アクション (電子メール メッセージの論理的な削除など) を実行するのをシステムが待機している時間を示します。 [ ] を選択して、[保留中の アクション ] タブに移動して詳細を確認します。

    管理者がアクションを実行すると、この項目は [ユーザーの承認待ち] に置き換えられます。

  • [ユーザーの承認を待機しました]: 管理者が推奨される手動修復アクションを実行するのにかかった時間を示します。 [ ] を選択して、[保留中の アクション履歴 ] タブに移動して詳細を確認します。

  • 結果: この項目は調査が完了した後に使用でき、ページ上の次の場所に複製されます。

    • グラフの中央。 アイコンを選択して [ ログ ] タブに移動します。
    • ページ タイトル内。
    • [調査の概要] ウィンドウ> [Investigation の詳細] セクション>Status 値。

    以下に例を示します。

    • 修復

    • システムによって終了:

    • 脅威が見つかりません

    • 部分的に調査

      一部の結果では、レビューが必要な場合があります。 [証拠] タブと [エンティティ] タブを使用して、潜在的な問題を手動で調査して修復します。

    • 部分的に修復

      問題により、一部の悪意のあるエンティティの修復が阻止されました。 [証拠] タブと [エンティティ] タブを使用して、潜在的な問題を手動で調査して修復します。

調査の詳細ページの [調査グラフ] タブのスクリーンショット。

調査の詳細の [アラート] タブ

調査の詳細ページの [ アラート ] タブに、調査に関連するアラートが表示されます。

使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定の列には、アスタリスク *でマークされます。

  • アラート名*
  • タグ*
  • 過酷*
  • インシデント名*
  • インシデント ID*
  • 地位*
  • カテゴリ*
  • 影響を受ける資産
  • User*
  • サービス ソース*
  • 検出ソース
  • 調査の状態*
  • 最後のアクティビティ*
  • 分類*
  • 決定
  • 割り当て先*

行の [アラート名 ] の値をクリックすると、アラートの詳細ページに移動します。 この詳細ページは、https://security.microsoft.com/alerts[アラート] ページの対応するエントリの [アラート名] の値をクリックする場合と同じです。 詳細については、「 アラートの分析」を参照してください。

最初の列の横にある [アラート名] の値または [チェック] ボックス以外の行内の任意の場所をクリックすると、アラートの詳細ポップアップが開きます。 この詳細ポップアップは、[アラート名] の値以外の行内の任意の場所をクリックする場合や、https://security.microsoft.com/alertsの [アラート] ページの対応するエントリの最初の列の横にある [チェック] ボックスをクリックする場合と同じです。

アラートの詳細ポップアップの上部で使用できるアクションは、アラートの性質に応じて、https://security.microsoft.com/alertsの [アラート] ページの対応するアラートの詳細ポップアップで使用できるアクションと同じアクションが含まれます。 たとえば、配信後に削除された悪意のある URL を含むメッセージEmailという名前のアラートでは、アラートの詳細ポップアップで次のアクションを使用できます。

  • [アラート ページを開く]: [アラート] ページのエントリの [アラート名] 値をクリックしたときと同じ詳細ページhttps://security.microsoft.com/alerts開きます。 詳細については、「 アラートの分析」を参照してください。

  • アラートの管理: インシデントの詳細を表示および変更できる [アラートの管理 ] ポップアップを開きます。 詳細については、「アラートの 管理」を参照してください。

  • エクスプローラーでメッセージを表示する: アラート ID でフィルター処理された [すべての電子メール] ビューでエクスプローラー (脅威のエクスプローラー) を開きます。 脅威エクスプローラーのすべてのメール ビューの詳細については、「Threat エクスプローラー のすべてのメール ビュー」を参照してください。

  • その他のアクション>アラートを別のインシデントにリンクする: 開いた 別のインシデント ポップアップへのアラートのリンク で、次のオプションを構成します。

    • 以下の値のうちの一つを選択します:
      • 新しいインシデントを作成する
      • 既存のインシデントへのリンク: 表示される [ インシデント名または ID ] ボックスに値の入力を開始して、既存のインシデントを検索して選択します。
    • コメント: 省略可能なコメントを入力します。

    [ アラートを別のインシデントにリンク する] ポップアップが完了したら、[保存] を選択 します

  • その他のアクション>[アラートの調整]: [ アラートの調整] ポップアップを開きます。 詳細については、「 アラートを調整するためのルール条件の作成」の「手順 3 以降」を参照してください。

  • その他のアクション>Defender エキスパートに問い合わせ。 Ask Defender Experts ポップアップを開きます。 詳細については、「 必要に応じてエキスパートと共同作業する」を参照してください。

調査の詳細の [メールボックス] タブ

調査の詳細ページで、 調査の一 環としてメールボックスが検査された場合は、[メールボックス] タブを使用できます。

使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定では、使用可能なすべての列が選択されます。

  • Username
  • リスク レベル
  • リスク要素
  • 危険なアクティビティ
  • Upn

最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックすると、メールボックスの詳細ポップアップが開き、次の情報が表示されます。

  • 判定
  • 表示名
  • 通常の電子メール アドレス
  • UPN
  • オブジェクト ID
  • リスク レベル
  • リスク要素

[ユーザーの詳細] を選択して、Microsoft Defender XDRの [ユーザー エンティティ] ページを開きます。 詳細については、Microsoft Defender XDRのユーザー エンティティ ページに関するページを参照してください。

調査の詳細の [証拠] タブ

調査の詳細ページの [ 証拠 ] タブには、分析された疑わしいエンティティと分析の結果が表示されます。

使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定の列には、アスタリスク *でマークされます。

  • 最初の表示*
  • 実体*
  • 評決*
  • 修復の状態*
  • 状態の詳細
  • 影響を受けた資産*
  • 検出元*
  • Threats

エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。

  • エンティティ: ボックスにエンティティ名の一部またはすべてを入力します。
  • 判定: 選択できる値は、タブの [判定値 ] の値によって異なります。
  • 検出元: 選択できる値は、タブの [検出元 ] の値によって異なります。

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。

最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックすると、詳細ポップアップが開きます。 ポップアップで使用できる内容は、証拠の性質 (電子メール メッセージ、ファイル、URL など) によって異なります。

調査の詳細の [エンティティ] タブ

調査の詳細ページの [ エンティティ ] タブには、調査中に検出および分析されたさまざまな種類のエンティティに関する詳細が表示されます。

調査の詳細ページの [エンティティ] タブのスクリーンショット。

[ エンティティ ] タブは、ビューの選択ウィンドウ (概要ビューと各エンティティの種類のビュー) と、そのビューの対応する詳細テーブルによって整理されます。

  • 証拠の概要 ビュー: これは既定のビューです。

    使用可能な列ヘッダーをクリックすると、詳細テーブルのエントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定では、使用可能なすべての列が選択されます。

    • エンティティの種類 (この値の選択を解除できません): インシデントに応じて、ビューの選択ウィンドウと同じ値が含まれます。 以下に例を示します。

      • ファイル
      • URL
      • Email申請
      • メール
      • IP アドレス
      • Email クラスター

      次の列は、各エンティティの種類 (行) の数を示しています。

      • 合計
      • 修復済み
      • 悪意
      • 疑わしい
      • 検証
      • 脅威なし
      • 不明
      • 見つかりません
      • 修復されない
      • 部分的に修復

    [エンティティの種類] 列の横にある [チェック] ボックス以外の行内の任意の場所をクリックすると、選択ページ (電子メールなど) から関連ビューに移動します。

  • ファイル ビュー: 使用可能な列ヘッダーをクリックすると、詳細テーブルのエントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定の列には、アスタリスク *でマークされます。

    • 評決*
    • 修復の状態*
    • 状態の詳細
    • ファイル パス*
    • ファイル名* (この値の選択を解除することはできません)
    • デバイス*

  • URL ビュー: 使用可能な列ヘッダーをクリックすると、詳細テーブルのエントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定では、使用可能なすべての列が選択されます。

    • 判定
    • 修復の状態
    • 住所 (この値の選択を解除することはできません)

    最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックすると、次の情報を含む詳細ポップアップが開きます。

    • 元の URL
    • 検出 セクション
    • [ドメインの詳細 ] セクション
    • [登録者の連絡先情報 ] セクション
    • URL の普及率 (過去 30 日間) セクション

    URL に対する次のアクションは、ポップアップでも使用できます。

    • URL ページを開く
    • 分析のために送信する
    • インジケーターの管理
    • エクスプローラーで表示
    • 検出する

  • Email申請ビュー: 使用可能な列ヘッダーをクリックして、詳細テーブルのエントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定では、使用可能なすべての列が選択されます。

    • 判定
    • 修復の状態
    • 件名
    • Sender
    • [受信者]
    • [レポート作成者]
    • レポートの種類

    最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックすると、次の情報を含む詳細ポップアップが開きます。

    • Email申請の詳細セクション

    メール送信の Go ハント アクションは、ポップアップでも使用できます。

  • 電子メール ビュー: 使用可能な列ヘッダーをクリックすると、詳細テーブルのエントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定では、使用可能なすべての列が選択されます。

    • 判定
    • 修復の状態
    • 受信日Email (この値の選択を解除することはできません)
    • 配信状態
    • 件名
    • Sender
    • [受信者]

    最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックすると、次の情報を含む詳細ポップアップが開きます。

    • Email詳細セクション

    [電子メールの詳細] を選択して、Defender for XDR のEmail エンティティ ページを表示します。

    ポップアップでは、電子メール メッセージに対する次のアクションも使用できます。

    • 検出する
    • エクスプローラーで開く

  • IP アドレス ビュー: 使用可能な列ヘッダーをクリックして、詳細テーブルのエントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定では、使用可能なすべての列が選択されます。

    • 判定
    • 修復の状態
    • 住所 (この値の選択を解除することはできません)

    最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックすると、次の情報を含む詳細ポップアップが開きます。

    • IP の詳細 セクション
    • 検出 セクション
    • [organization デバイス] セクションで観察される IP

    ポップアップでは、IP アドレスに対する次のアクションも使用できます。

    • [IP アドレスを開く] ページ
    • インジケーターの追加
    • クラウド アプリの IP 設定を開く
    • アクティビティ ログで調査する
    • 検出する

  • Emailクラスター ビュー: 使用可能な列ヘッダーをクリックして、詳細テーブルのエントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定では、使用可能なすべての列が選択されます。

    • 判定
    • 修復の状態
    • メール クラスター名 (この値の選択を解除することはできません)
    • Threats
    • メール数
    • Malware
    • フィッシング
    • 信頼度の高いフィッシング
    • スパム
    • 配信済み
    • ぽんこつ
    • 交換
    • ブロック済み
    • メールボックス
    • メールボックスにありません
    • オンプレミス/外部
    • ボリュームの異常

    最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックすると、次の情報を含む詳細ポップアップが開きます。

    • Email クラスターの詳細セクション
    • [脅威] セクション
    • [最新の配送場所] セクション
    • [元の配送場所] セクション

    ポップアップでは、電子メール クラスターに対する次のアクションも使用できます。

    • 検出する
    • エクスプローラーで開く

調査の詳細の [ログ] タブ

調査の詳細ページの [ ログ ] タブには、調査中に実行されたすべてのアクションが表示されます。

使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定の列には、アスタリスク *でマークされます。

  • ID
  • アクションの種類
  • アクション*
  • 地位*
  • デバイス名*
  • 説明*
  • コメント
  • 作成された時間
  • 実行開始時刻*
  • 期間*
  • 保留中の期間
  • キューに入った期間

Export を使用して、表示される情報を CSV ファイルに保存します。 既定のファイル名は AirLogs.csv、既定の場所はローカルのダウンロード フォルダーです。 エクスポートされたレポートがその場所に既に存在する場合は、ファイル名がインクリメントされます (たとえば、AirLogs (1).csv)。

最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックすると、次の情報を含む概要ポップアップが開きます。

  • 状態
  • Create
  • 実行の開始
  • Duration
  • 説明

ヒント

詳細ポップアップを残さずに他のエントリの詳細を表示するには、ポップアップの上部にある Previous 項目次の項目 を使用します。

調査の詳細の [保留中の承認] タブ

調査の詳細ページの [ 保留中の承認 ] タブには、承認の完了を待機している保留中のアクション (メッセージの論理的な削除など) が表示されます。

[ 保留中の承認 ] タブは、ビューの選択ウィンドウ (アクションの種類ごとのビュー) と、そのビューの対応する詳細テーブルによって整理されます。

  • 論理的な削除メール: 使用可能な列ヘッダーをクリックして、詳細テーブルのエントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定の列には、アスタリスク *でマークされます。
    • 調査 ID
    • 最初の表示
    • 詳細
    • メール数
    • Malware
    • フィッシング
    • 高信頼フィッシング
    • スパム
    • 配信済み
    • ぽんこつ
    • 交換
    • ブロック済み
    • メールボックス
    • メールボックスにありません
    • オンプレミス/外部
    • メールボックス
    • エンティティの型
    • 脅威の種類
    • 件名

Export を使用して、表示される情報を CSV ファイルに保存します。 既定のファイル名は AirActions.csv、既定の場所はローカルのダウンロード フォルダーです。 エクスポートされたレポートがその場所に既に存在する場合、ファイル名はインクリメントされます (たとえば、AirActions (1).csv)。

最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックすると、次の情報を含む詳細ポップアップが開きます。

  • Email クラスターの詳細セクション
    • 判定
    • 修復の状態
    • メール数
    • 名前
    • ボリュームの異常
    • クエリ時間
  • [脅威 ] セクション:
    • 脅威: 電子メール クラスターで検出された脅威を要約します。 たとえば、「 MaliciousUrl, HighConfPhish, Volume anomaly 」のように入力します。
    • 電子メール クラスターで見つかった次の脅威の種類の数。
      • Malware
      • フィッシング
      • 高信頼フィッシング
      • スパム
  • [最新の配信場所 ] セクション: 電子メール クラスター内のメッセージの次の配信場所の数。
    • メールボックス
    • メールボックスにありません
    • オンプレミス/外部
  • [元の配信場所 ] セクション: 電子メール クラスター内のメッセージの次の元の配信場所の数。
    • 配信済み
    • ぽんこつ
    • 交換
    • ブロック済み

ポップアップでは、電子メール メッセージに対する次のアクションも使用できます。

  • 検出する
  • エクスプローラーで開く

承認Reject については、次のサブセクションで説明します。

調査の詳細の [保留中の承認] タブでアクションを承認する

調査の詳細ページの [保留中の承認] タブで、最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックして、保留中のアクションを選択します。

開く詳細ポップアップには、保留中のアクション ( 電子メールの論理的な削除など) の名前が付けられます。 ポップアップの情報を読み取り、次のいずれかの値を選択します。

  • 承認します。
  • 拒否します。

ヒント

調査のすべてのアクションを承認または拒否すると、完全に閉じられます ( [状態] の値が 修復されます)。 調査のすべてのアクションを承認または拒否しなかった場合、完全には閉じられません ( [状態] の値は 部分的に修復されたままになります)。

すべてのアクションを承認する必要はありません。 推奨されるアクションに同意しない場合、またはorganizationで特定の種類のアクションが選択されていない場合は、アクションを拒否するか、アクションを実行しないでください。

調査の詳細の [保留中のアクション履歴] タブ

調査の詳細ページの [ 保留中のアクション履歴 ] タブには、完了した保留中のアクションが表示されます。

使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定では、使用可能なすべての列が選択されます。

  • アクションの種類
  • 待機時間
  • エンティティ
  • 状態
  • 処理者
  • Time

Export を使用して、表示される情報を CSV ファイルに保存します。 既定のファイル名は AirActions.csv、既定の場所はローカルのダウンロード フォルダーです。 エクスポートされたレポートがその場所に既に存在する場合、ファイル名はインクリメントされます (たとえば、AirActions (1).csv)。

行の [エンティティ ] 値をクリックすると、詳細ポップアップが開き、電子メール クラスターに関する次の情報が表示されます。

  • Email クラスターの詳細セクション
  • [脅威] セクション
  • [最新の配送場所] セクション
  • [元の配送場所] セクション

ポップアップでは、電子メール クラスターに対する次のアクションも使用できます。

  • 検出する
  • エクスプローラーで開く

最初の列の横にある [チェック] ボックス以外の行内の任意の場所をクリックするか、[エンティティ] の値をクリックすると、次の情報を含むアクション履歴の詳細ポップアップが開きます。

  • [概要 ] セクション:
    • 状態
    • Create
    • 実行の開始
    • 説明

特定の種類のアラートは、Microsoft 365 で自動調査をトリガーします。 詳細については、「 脅威管理アラート ポリシー」を参照してください。

  1. Microsoft 365 Defender ポータルのhttps://security.microsoft.comで、[アクション] & 申請>[アクション センター] に移動します。 または、 アクション センター ページに直接移動するには、 https://security.microsoft.com/action-center/を使用します。
  2. [ アクション センター ] ページで、[ 保留中] タブまたは [履歴 ] タブを使用してアクションを見つけます。
  3. [調査 ID] 列のリンクを選択して、テーブルからアクション を選択 します。

調査の詳細ページが開きます。

次の手順