Defender for Office 365での偽装分析情報
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
偽装 は、電子メール メッセージの送信者が実際の送信者または予想される送信者のメール アドレスに似ている場合です。 攻撃者は、偽装された送信者の電子メール アドレスをフィッシングやその他の種類の攻撃で使用して、受信者の信頼を得ます。 偽装には、次の 2 つの基本的な種類があります。
- ドメイン偽装: ドメインの微妙な違いが含まれます。 たとえば、lila@ćóntoso.com は lila@contoso.comを偽装します。
- ユーザー偽装: 電子メール エイリアスの微妙な違いが含まれています。 たとえば、 rnichell@contoso.com は michelle@contoso.comを偽装します。
偽装された ドメインは、多くの場合、実際の登録済みドメインですが、欺く意図があるため、ドメイン偽装とは異なります。 偽装されたドメインの送信者からのメッセージは、なりすましの試行 (SPF、DKIM、DMARC) としてメッセージを識別する通常の電子メール認証チェックに合格できます。
偽装保護は、Microsoft Defender for Office 365専用のフィッシング対策ポリシー設定の一部です。 これらの設定の詳細については、「Microsoft Defender for Office 365のフィッシング対策ポリシーの偽装設定」を参照してください。
管理者は、Microsoft Defender ポータルの偽装分析情報を使用して、偽装防止ポリシーで偽装保護で指定された偽装送信者または送信者ドメインからのメッセージをすばやく識別できます。
はじめに把握しておくべき情報
「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 フィッシング対策ページに直接移動するには、https://security.microsoft.com/antiphishingを使用します。 偽装分析情報ページに直接移動するには、https://security.microsoft.com/impersonationinsightを使用します。
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。Defender ポータルにのみ影響します。PowerShell ではなく、承認と設定/セキュリティ設定/コア セキュリティ設定 (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り))。
Microsoft Defender ポータルでコラボレーションのアクセス許可をEmail &する: 次のいずれかの役割グループのメンバーシップ。
- 組織の管理
- セキュリティ管理者
- セキュリティ閲覧者
- グローバル リーダー
Microsoft Entraアクセス許可: グローバル管理者*、セキュリティ管理者、セキュリティ閲覧者、またはグローバル閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
Microsoft Defender for Office 365のフィッシング対策ポリシーで偽装保護を有効にして構成します。 偽装保護は既定では有効になっていません。 詳細については、「Microsoft Defender for Office 365でフィッシング対策ポリシーを構成する」および「Microsoft Defender ポータルを使用して Standard および Strict の事前設定されたセキュリティ ポリシーをユーザーに割り当てる」を参照してください。
ライセンス要件の詳細については、「 ライセンス条項」を参照してください。
Microsoft Defender ポータルで偽装分析情報を開く
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー] セクションの [コラボレーション>ポリシー & ルール>Threat ポリシー>Anti-フィッシングEmail &に移動します。 または、 フィッシング対策 ページに直接移動するには、 https://security.microsoft.com/antiphishingを使用します。
[ フィッシング対策 ] ページでは、偽装分析情報は次のようになります。
分析情報には、次の 2 つのモードがあります。
- 分析情報モード: 偽装保護が有効になっていて、フィッシング対策ポリシーで構成されている場合、その分析情報には、偽装されたドメインと偽装されたユーザー (送信者) から過去 7 日間に検出されたメッセージの数が表示されます。 表示される数値は、すべてのフィッシング対策ポリシーから検出されたすべての偽装試行の合計です。
- モードの場合: 偽装保護が有効で、アクティブなフィッシング対策ポリシーで構成されていない場合、過去 7 日間に偽装保護によって検出 された メッセージの数が分析情報に表示されます。
偽装検出に関する情報を表示するには、偽装分析情報で [偽装の 表示 ] を選択して、[偽装 分析情報 ] ページに移動します。
ドメイン偽装検出に関する情報を表示する
https://security.microsoft.com/impersonationinsightの [偽装分析情報] ページは、[フィッシング対策] ページの偽装分析情報で [偽装の表示] を選択すると表示されます。
[ 偽装分析情報 ] ページで、[ ドメイン ] タブが選択されていることを確認します。
使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 次の列を使用できます:*。
- 送信者ドメイン: 偽装ドメイン。これは、電子メール メッセージの送信に使用されたドメインです。
- メッセージ数: 過去 7 日間に送信者ドメインを偽装したメッセージの数。
- 偽装の種類: この値は、偽装の検出された場所 ( アドレスのドメインなど) を示します。
- 偽装ドメイン: ドメイン偽装保護によって保護されているドメイン。 Sender ドメインのドメインと似ています。
- ドメインの種類: この値は、承認済みドメインの場合は会社ドメイン、カスタム ドメインの場合はカスタム ドメインです。
- ポリシー: 偽装されたドメインを検出したフィッシング対策ポリシー。
-
偽装を許可: 次のいずれかの値。
- はい: ドメインは、メッセージを検出したフィッシング対策ポリシーで信頼されたドメイン (偽装保護の例外) として構成されました。 偽装されたドメインからのメッセージが検出されましたが、許可されました。
- いいえ: ドメインは、メッセージを検出したフィッシング対策ポリシーで偽装保護用に構成されました。 フィッシング対策ポリシーのドメイン偽装検出に対するアクションは、メッセージに対して実行されます。
* すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- Web ブラウザーで縮小します。
ドメイン偽装検出の一覧を標準間隔からコンパクト間隔に変更するには、[リストの間隔をコンパクトまたは標準に変更する] を選択し、[Compact リスト] を選択します。
[ 検索 ] ボックスとコンマ区切りの値の一覧を使用して、特定のドメイン偽装検出を見つけます。
Export を使用して、ドメイン偽装検出の一覧を CSV ファイルにエクスポートします。
ドメイン偽装検出の詳細を表示する
https://security.microsoft.com/impersonationinsight?type=Domainの [偽装分析情報] ページの [ドメイン] タブで、[チェック] ボックス以外の行内の任意の場所をクリックして、偽装検出の 1 つを選択します。
詳細ポップアップでは、次の情報を使用できます。
なぜ私たちはこれをキャッチしたのですか?
何をする必要がありますか?
ドメインの概要: 偽装として検出されたドメイン。
Whois データ: ドメインに関する情報が含まれています。
- 送信者の場所
- ドメインの作成日
- ドメインの有効期限
- 登録
エクスプローラー調査: [脅威のエクスプローラー] または [リアルタイム検出] を開くリンクを選択して、送信者に関する詳細を確認します。
送信者からのEmail: このセクションでは、ドメイン内の送信者からの同様のメッセージに関する次の情報を示します。
- Date
- [受信者]
- 件名
- Sender
- [Sender IP (送信者の IP)]
- 配信アクション
ヒント
詳細ポップアップを残さずに他のドメイン偽装エントリの詳細を表示するには、ポップアップの上部にある Previous 項目 と次の 項目 を使用します。
検出されたドメイン内の送信者がドメイン偽装として識別されないようにするには、次のサブセクションを参照してください。
検出されたドメイン内の送信者を将来のドメイン偽装チェックから除外する
https://security.microsoft.com/impersonationinsight?type=Domainの [偽装分析情報] ページの [ドメイン] タブで、次の手順を使用して、検出されたドメインの送信者がドメイン偽装として識別されないように除外します。
[チェック] ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。
開いた詳細ポップアップで、[偽装の選択] ポリシーを使用して変更 し、ポップアップの上部にある権限 借用リスト設定に追加 します。 これらの設定は連携して、メッセージをドメイン偽装として誤って識別したポリシーの 信頼された送信者とドメイン の一覧にドメインを追加します。
ドロップダウン リストでフィッシング対策ポリシーを選択します。 メッセージの検出を担当していたフィッシング対策ポリシーは、[ドメイン] タブの [ポリシー] の値に表示されます。
[オン] に切り替える: して、選択したポリシーの [信頼された送信者とドメイン ] の一覧にドメインを追加します。
[信頼された送信者とドメイン] の一覧からドメインを削除するには、トグルを に戻します。
詳細ポップアップが完了したら、[ 閉じる] を選択します。
ユーザー偽装検出に関する情報を表示する
https://security.microsoft.com/impersonationinsightの [偽装分析情報] ページは、[フィッシング対策] ページの偽装分析情報で [偽装の表示] を選択すると表示されます。
[ 偽装分析情報 ] ページで、[ ユーザー ] タブを選択します。
使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 次の列を使用できます:*。
- 送信者: メール メッセージを送信した偽装送信者のメール アドレス。
- メッセージ数: 偽装送信者からの過去 7 日間のメッセージ数。
- 偽装の種類: たとえば、 表示名の [ユーザー] です。
- 偽装されたユーザー: 偽装保護によって保護されている送信者の表示名と電子メール アドレス。 送信者のメール アドレスと似ています。
- ユーザーの種類: 適用される保護の種類 (保護 されたユーザー や メールボックス インテリジェンスなど)。
- ポリシー: 偽装された送信者を検出したフィッシング対策ポリシー。
-
偽装を許可: 次のいずれかの値。
- はい: 送信者は、メッセージを検出したフィッシング対策ポリシーで信頼されたユーザー (偽装保護の例外) として構成されました。 偽装された送信者からのメッセージが検出されましたが、許可されました。
- いいえ: 送信者は、メッセージを検出したフィッシング対策ポリシーで偽装保護用に構成されました。 フィッシング対策ポリシーでのユーザー偽装検出のアクションは、メッセージに対して実行されます。
* すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- Web ブラウザーで縮小します。
ユーザー偽装検出の一覧を標準間隔からコンパクト間隔に変更するには、 [リストの間隔をコンパクトまたは標準に変更する] を選択し、[ Compact リスト] を選択します。
検索ボックスとコンマ区切りの値の一覧を使用して、特定のユーザー偽装検出を見つけます。
Export を使用して、ユーザー偽装検出の一覧を CSV ファイルにエクスポートします。
ユーザー偽装検出の詳細を表示する
https://security.microsoft.com/impersonationinsight?type=Userの [偽装分析情報] ページの [ユーザー] タブで、[チェック] ボックス以外の行の任意の場所をクリックして、偽装検出のいずれかを選択します。
詳細ポップアップでは、次の情報を使用できます。
なぜ私たちはこれをキャッチしたのですか?
何をする必要がありますか?
送信者の概要: 偽装として検出された送信者。
エクスプローラー調査: [脅威のエクスプローラー] または [リアルタイム検出] を開くリンクを選択して、送信者に関する詳細を確認します。
送信者からのEmail: このセクションでは、送信者からの同様のメッセージに関する次の情報を示します。
- Date
- [受信者]
- 件名
- Sender
- [Sender IP (送信者の IP)]
- 配信アクション
ヒント
詳細ポップアップを残さずに他のユーザー偽装エントリの詳細を表示するには、ポップアップの上部にある Previous 項目 と次の 項目 を使用します。
検出された送信者がユーザー偽装として識別されないようにするには、次のサブセクションを参照してください。
検出された送信者を将来のユーザー偽装チェックから除外する
https://security.microsoft.com/impersonationinsight?type=Userの [偽装分析情報] ページの [ユーザー] タブで、次の手順を使用して、検出された送信者がユーザー偽装として識別されないように除外します。
[チェック] ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。
開いた詳細ポップアップで、[偽装の選択] ポリシーを使用して変更 し、ポップアップの上部にある権限 借用リスト設定に追加 します。 これらの設定は連携して、メッセージをユーザー偽装として誤って識別したポリシーの 信頼された送信者とドメイン の一覧に送信者を追加します。
ドロップダウン リストでフィッシング対策ポリシーを選択します。 メッセージの検出を担当していたフィッシング対策ポリシーは、[ドメイン] タブの [ポリシー] の値に表示されます。
トグルを [オン] にスライドします。 、選択したポリシーの [信頼された送信者とドメイン ] の一覧に送信者を追加します。
[信頼された送信者とドメイン] の一覧から送信者を削除するには、トグルを に戻します。
詳細ポップアップが完了したら、[ 閉じる] を選択します。