次の方法で共有


Microsoft 365 での自動調査の詳細と結果

ヒント

Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。

Microsoft Defender for Office 365自動調査が行われると、その調査に関する詳細は、自動調査プロセスの実行中と後に入手できます。 必要なアクセス許可がある場合は、Microsoft Defender ポータルでそれらの詳細を表示できます。 調査の詳細は、最新の状態と、保留中のアクションを承認する機能を提供します。

ヒント

Microsoft Defender ポータルの新しい統合された調査ページを確認してください。 詳細については、 (NEW!) を参照してください。統合された調査ページ

調査の状態

調査の状態は、分析と処理の進捗状況を示します。 調査が実行されると、状態の表示が変わり、脅威が検出されたかどうかと、処理が承認されているかどうかが示されるようになります。

状態 説明
開始中 調査がトリガーされ、実行の開始を待機しています。
実行中 調査プロセスが開始され、進行中です。 この状態は、保留中の アクション が承認されたときにも発生します。
脅威が見つかりません 調査が完了し、脅威 (ユーザー アカウント、電子メール メッセージ、URL、またはファイル) は特定されませんでした。

ヒント: 何かが見逃されたと思われる場合 (偽陰性など)、Threat エクスプローラーを使用してアクションを実行できます。

部分的に調査 自動調査で問題が見つかりましたが、これらの問題を解決するための特定の修復アクションはありません。

部分的に調査された状態は、何らかの種類のユーザー アクティビティが特定されたが、クリーンアップ アクションが使用できない場合に発生する可能性があります。 例には、次のいずれかのユーザー アクティビティが含まれます。

  • データ損失防止イベント
  • 異常を送信する電子メール
  • 送信されたマルウェア
  • 送信されたフィッシング

: この 部分的に調査された状態は 、「 脅威が見つかりました」というラベルが付けていました。

調査では、修復する悪意のある URL、ファイル、または電子メール メッセージが見つかりませんでした。また、転送ルールや委任をオフにするなど、修正するメールボックス アクティビティも見つかりませんでした。

ヒント: 何かが見逃されたと思われる場合 (偽陰性など)、Threat エクスプローラーを使用して調査してアクションを実行できます。

システムによって終了 調査が停止しました。 調査は、いくつかの理由で停止する可能性があります。
  • 調査の保留中のアクションの有効期限が切れています。 保留中のアクションは、1 週間の承認待ちの後にタイムアウトします
  • アクションが多すぎます。 たとえば、悪意のある URL をクリックするユーザーが多すぎる場合、すべてのアナライザーを実行する調査の能力を超える可能性があるため、調査は停止します

ヒント: アクションが実行される前に調査が停止した場合は、脅威エクスプローラーを使用して脅威を見つけて対処してみてください。
保留中のアクション 調査では、悪意のあるメール、悪意のある URL、危険なメールボックスの設定などの脅威と、その脅威が 承認を待っていることを修復するためのアクションが見つかりました。

[保留中のアクション] 状態は、対応するアクションを持つ脅威が見つかったときにトリガーされます。 ただし、調査の実行に伴い、保留中のアクションの一覧が増える可能性があります。 調査の詳細を表示して、他の項目がまだ完了待ちかどうかを確認します。

修復済み 調査が完了し、すべての修復アクションが承認されました (完全に修復されました)。

: 承認済みの修復アクションには、アクションの実行を妨げるエラーが発生する可能性があります。 修復アクションが正常に完了したかどうかにかかわらず、調査の状態は変わりません。 調査の詳細を表示します。

部分的に修復 調査の結果、修復アクションが発生し、承認されて完了したものもあります。 その他のアクションは引き続き 保留中です
Failed 少なくとも 1 つの調査アナライザーで、正常に完了できない問題が発生しました。

手記 修復アクションが承認された後に調査が失敗した場合、修復アクションは引き続き成功している可能性があります。 調査の詳細を表示します。

調整によってキューに入れられます 調査がキューに保持されています。 他の調査が完了すると、キューに入った調査が開始されます。 調整は、サービス パフォーマンスの低下を回避するのに役立ちます。

ヒント: 保留中のアクションでは、実行できる新しい調査の数を制限できます。 保留中のアクションを承認 (または拒否) してください。

スロットルによって終了 調査がキューに保持されすぎると、停止します。

ヒント: 脅威エクスプローラーから調査を開始できます。

調査の詳細を表示する

  1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。
  2. ナビゲーション ウィンドウで、[アクション] & 申請>[アクション センター] を選択します。
  3. [ 保留中] タブまたは [履歴 ] タブで、アクションを選択します。 ポップアップ ウィンドウが開きます。
  4. ポップアップ ウィンドウで、[ 調査ページを開く] を選択します。
  5. 調査の詳細については、さまざまなタブを使用します。

特定の種類のアラートは、Microsoft 365 で自動調査をトリガーします。 詳細については、 自動調査をトリガーするアラート ポリシーに関するページを参照してください。

  1. Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。
  2. ナビゲーション ウィンドウで、[ アクション センター] を選択します。
  3. [ 保留中] タブまたは [履歴 ] タブで、アクションを選択します。 ポップアップ ウィンドウが開きます。
  4. ポップアップ ウィンドウで、[ 調査ページを開く] を選択します。
  5. [ アラート ] タブを選択すると、その調査に関連付けられているすべてのアラートの一覧が表示されます。
  6. リストから項目を選択して、ポップアップ ウィンドウを開きます。 そこで、アラートに関する詳細情報を表示できます。

以下の点にご注意ください。

  • Emailカウントは調査の時点で計算され、調査ポップアップを開くと (基になるクエリに基づいて) 一部のカウントが再計算されます。

  • [Email] タブに電子メール クラスターに表示される電子メール数と、クラスターのポップアップに表示されるメール量の値は調査時に計算され、変更されません。

  • 電子メール クラスターのポップアップの [Email] タブの下部に表示される電子メールの数と、調査の初期分析後に受信した電子メール メッセージを反映エクスプローラーに表示される電子メール メッセージの数。

    したがって、元の量の 10 件のメール メッセージを示す電子メール クラスターでは、調査分析フェーズの間にさらに 5 つの電子メール メッセージが届いたときと、管理者が調査をレビューすると、合計 15 件のメール リストが表示されます。 同様に、Microsoft Defender for Office 365 プラン 2 のデータは試用版 エクスプローラーの場合は 7 日後、有料ライセンスの場合は 30 日後に期限切れになるため、古い調査では、クエリが示す数よりも多く表示され始める可能性があります。

    さまざまなビューでカウント履歴と現在のカウントの両方を表示することは、調査時の電子メールの影響と、修復が実行されるまでの現在の影響を示すために行われます。

  • 電子メールのコンテキストでは、調査の一環としてボリューム異常の脅威サーフェスが表示される場合があります。 異常な量の発生は、以前のタイムフレームと比べて、調査イベントの時間の前後に似たようなメール メッセージのスパイクがあったことを示します。 電子メール トラフィックの急増と特定の特性 (件名と送信者のドメイン、本文の類似性、送信者 IP など) は、電子メール キャンペーンまたは攻撃の開始に典型的です。 ただし、これらの特徴は多くの場合、バルク、スパム、および正当なメール キャンペーンでも同様にみられます。

  • ボリュームの異常は潜在的な脅威を表し、ウイルス対策エンジン、爆発、または悪意のある評判を使用して識別されるマルウェアやフィッシングの脅威に比べて、それほど深刻ではない可能性があります。

  • すべてのアクションを承認する必要はありません。 推奨されるアクションに同意しない場合、またはorganizationで特定の種類のアクションが選択されていない場合は、アクションを拒否するか、単に無視してアクションを実行しないことを選択できます。

  • すべてのアクションを承認または拒否すると、調査が完全に閉じられ (状態が修復されます)、一部のアクションが不完全なままになると、調査の状態が部分的に修復された状態に変わります。

次の手順