Exchange Online Protectionの一括送信者分析情報

• 適用対象:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

注:

この記事で説明されている機能は現在プレビュー段階であり、すべての組織で利用できるわけではありません。変更される可能性があります。

Exchange Online メールボックスのないExchange Onlineまたはスタンドアロン Exchange Online Protection (EOP) 組織のメールボックスを持つ Microsoft 365 組織では、Microsoft Defenderの一括送信者分析情報ポータルを使用すると、スパム対策ポリシーの現在の一括しきい値レベルで一括として識別されたメールの量を確認したり、一括送信者のしきい値の変更と一括送信者の品質に基づいて、特定された一括メールと許可された一括メールをシミュレートしたりできます。

EOP は、一括苦情レベル (BCL) 値を一括送信者からの受信メッセージに割り当てます。 BCL 値が大きいほど、一括メッセージがスパムである可能性が高いことを示します。 スパム対策ポリシーの一括メールしきい値では、指定された BCL 値を使用してメッセージを一括で識別し、それらに対してアクションを実行します。 BCL の詳細については、「 EOP での一括苦情レベル (BCL)」を参照してください。

一括送信者分析情報には、次の機能があります。

• 過去 60 日間のすべての BCL レベル (1 から 9) で一括として識別されるメールの量を確認します。
• 一括メールしきい値の変更をシミュレートし、BCL しきい値を設定できる既定のスパム対策ポリシーまたはカスタムスパム対策ポリシーによって一括として識別されるメッセージの数に関する結果を表示します。 Standardまたは厳密な事前設定されたセキュリティ ポリシーで BCL しきい値を設定することはできません。
• 送信者の品質に基づくフィルター処理など、一括メールのしきい値の影響を受けたメッセージ送信者に関する情報を表示します。

この記事では、Microsoft Defender ポータルで一括送信者分析情報を使用する方法について説明します。

はじめに把握しておくべき情報

• 「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [一括送信者の分析情報] ページに直接移動するには、https://security.microsoft.com/senderinsightsを使用します。

• Microsoft 365 ドメインの MX レコードがサード パーティのサービスまたはデバイスを指している場合、一括シミュレーションと検出が正しく機能しない可能性があります。

• この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

  • Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。Defender ポータルにのみ影響します。PowerShell ではなく、承認と設定/セキュリティ設定/コア セキュリティ設定 (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り))。

  • Exchange Onlineアクセス許可:

    • ポリシーの追加、変更、削除: Organization Management ロール グループまたは セキュリティ管理者 ロール グループのメンバーシップ。
    • ポリシーへの読み取り専用アクセス: グローバル閲覧者、 セキュリティ閲覧者、または 表示専用組織管理 役割グループのメンバーシップ。

  • Microsoft Entraアクセス許可: 次のロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可を提供します。

    • ポリシーの追加、変更、削除: Organization Management ロール、^*セキュリティ管理者ロールのメンバーシップ。
    • ポリシーへの読み取り専用アクセス: グローバル閲覧者 ロールまたは セキュリティ閲覧者 ロールのメンバーシップ。

    重要

    ^* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

• スパム対策ポリシーに推奨される設定については、「EOP スパム対策ポリシーの設定」を参照してください。

ヒント

既定またはカスタムのスパム対策ポリシーの設定は、受信者がStandardまたは厳密な事前設定されたセキュリティ ポリシーにも含まれている場合は無視されます。 詳細については、「メール保護の順序と優先順位」を参照してください。

スパム対策ポリシーの 一括しきい 値は、メッセージを一括として識別するために使用される BCL しきい値を決定します。 たとえば、 一括しきい 値 7 は、BCL 値が 7、8、または 9 のメッセージが一括として識別されることを意味します。 一括メッセージの動作は、スパム対策ポリシーで一括準拠レベル (BCL) が満たされたか、超過したアクション (たとえば、迷惑メール Email フォルダーへのメッセージの移動、検疫、またはメッセージの削除) によって決まります。 わかりやすくするために、メッセージを一括として識別し、それに対してアクションを実行することは、一括送信者の分析情報で ブロック と呼ばれます。

Microsoft Defender ポータルで一括送信者分析情報を開く

一括送信者の分析情報は、次の場所で使用できます。

• 既定のスパム対策ポリシーまたはカスタムスパム対策ポリシーのプロパティで、次の手順を実行します。

  1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー] セクションEmail & [コラボレーション>ポリシー & ルール>脅威ポリシー>Anti-spam に移動します。 または、[ スパム対策ポリシー ] ページに直接移動するには、 https://security.microsoft.com/antispamを使用します。

  2. [スパム対策ポリシー] ページで、最初の列の横にある [チェック] ボックス以外の行をクリックして、カスタムスパム対策ポリシー ([種類] の値が [カスタムスパム対策ポリシー]) または [スパム対策の受信ポリシー (既定値)] という名前の既定のスパム対策ポリシー (既定値) を選択します。

  3. 開いた詳細ポップアップで、[一括メール のしきい値 & スパムのプロパティ ] セクションの下部にある [ 迷惑メールのしきい値 とプロパティの編集] を選択します。

  4. [スパムのしきい値とプロパティ] ポップアップが開くと、一括送信者の分析情報には、過去 60 日間のorganizationのすべてのスパム対策ポリシーによって検出されたすべての一括メールに関する次の情報が含まれます。

     • 既定では、分析情報には、現在の BCL しきい値でブロックおよび許可された一括メッセージの数が表示されます。

       

     • より多くの一括メールをブロックするように BCL しきい値を減らすと、新しい BCL しきい値でブロックおよび許可される一括メッセージの数が分析情報に表示されます。

       

     • より多くの一括メールを許可するように BCL しきい値を増やすと、新しい BCL しきい値でブロックおよび許可される一括メッセージの数が分析情報に表示されます。

       

• [Email & コラボレーション レポートと分析情報] ページで、次の手順を実行します。

  1. https://security.microsoft.comのMicrosoft Defender ポータルで、[レポート>Email &コラボレーション] セクション>Email &コラボレーション レポートと分析情報に移動します。 または、Email &コラボレーション レポートと分析情報ページに直接移動するには、https://security.microsoft.com/emailandcollabreportを使用します。

  2. [Email & コラボレーション レポートと分析情報] ページで、[Email & コラボレーション分析情報] セクションに移動し、[一括送信者の分析情報] を見つけます。

  

一括検出と送信者に関する詳細情報を表示するには、[ 一括送信者分析情報の表示 ] または [詳細の表示] を選択して、[ 一括送信者分析情報 ] ページを開きます。

[一括送信者の分析情報] ページを表示する

[ 一括送信者分析情報 ] ページは、次の方法で使用できます。

• https://security.microsoft.com/senderinsightsで直接。
• [スパムのしきい値とプロパティから一括送信者の分析情報を表示する] を選択すると、カスタムスパム対策ポリシーの詳細、または既定のスパム対策ポリシーの詳細がhttps://security.microsoft.com/antispamの [スパム対策ポリシー] ページから表示されます。
• https://security.microsoft.com/emailandcollabreportの [Email & コラボレーション レポートと分析情報] ページの [一括送信者分析情報] カードから [詳細の表示] を選択するとします。

シミュレーションを実行する前に、ページの中央にあるテーブルの値は次の値を示します。

• 一括苦情レベル (BCL): 考えられる BCL 値の範囲 (1 から 9)。
• すべての電子メール: 各 BCL 値で識別されたメッセージの合計数 (そのうちの一部は 0 である可能性があります)。
• 現在の BCL しきい値で配信: BCL 値ごとに配信された (一括として識別されない) メッセージの数。
  • BCL 値が 現在の一括メールしきい 値より小さい場合、メッセージは配信されました (一括として識別されませんでした)。
    • [現在の BCL で配信] しきい値と [すべての電子メール] の値は同じです。
    • [現在の BCL で配信] しきい値は、現在の構成値で配信されるEmailと一致します。
  • BCL 値が 現在の一括メールしきい 値以上の場合、メッセージは一括として識別され、ブロックされました。
    • BCL 値の [現在の BCL で配信される] しきい値は 0 です。
    • [すべての電子メール] の値は、現在の BCL しきい値で識別されたEmailと一致します。
• 新しい BCL しきい値で配信: シミュレーションの実行 後 に一括メールとして識別されなかったメッセージの数。 シミュレーションを実行する前に、値は意味がありません。

シミュレーションを実行するには、ページで次の要素を使用します。

• 変更できない [現在の一括メールのしきい値 ] スライダーには、[ 一括送信者の分析情報 ] ページにアクセスした方法に基づいて、現在の BCL しきい値が表示されます。
  • 直接: BCL しきい値は 7 です。
  • スパム対策ポリシーのプロパティから: BCL しきい値は、スパム対策ポリシーの現在の値です。
• [ 新しい一括メールしきい値 ] スライダーを使用すると、配信されたメッセージまたはブロックされたメッセージに対する BCL しきい値の増減の影響をシミュレートできます。
• [ シミュレーション送信者品質しきい値 ] スライダーは、BCL 更新シミュレーションで使用する良好/無効な送信者信頼度しきい値を指定します。 値が大きいほど、信頼性の高い送信者に基づいてシミュレートされた BCL しきい値の結果が示されます。 差出人のシミュレーション送信者品質しきい値は、次の要因に基づいています。
  • 送信者との過去の対話。
  • 送信者からのメッセージの頻度。
  • 送信者からのメッセージに関する管理またはユーザー のフィードバック。

[新しい一括メールのしきい値] と [シミュレーション送信者の品質しきい値] を選択した後、[シミュレート] を選択します。

• このページは、現在および新しいシミュレートされた BCL しきい値レベルに対してブロックされたメッセージと許可されたメッセージの数で更新されます。
• ページの下部は、一括として識別される送信者に関する情報で更新されます。

一括送信者の分析情報ページで一括送信者に関する情報を表示する

ページの下部にある一括送信者の詳細テーブルには、メッセージが一括として識別された一括送信者に関するデータが含まれています。

シミュレーションを実行する前に、[現在の一括メールのしきい値] と [シミュレーション送信者の品質しきい値] の値によって一括メール識別が既に行われている場合は、最初に [一括送信者分析情報] ページを開いたときに、テーブルに送信者データが含まれる場合があります。

それ以外の場合、送信者は、シミュレーションの実行後に [ 現在の一括メールのしきい値 ] と [ シミュレーション送信者の品質しきい 値] の値に基づいて、送信者の詳細テーブルに含まれます。

送信者の詳細テーブルのエントリの場合、次の列は常に使用できます。

• 送信者: 送信者のメール アドレス。
• BCL
• シミュレーション送信者品質しきい値

送信者の詳細テーブルの残りの列は、シミュレーションを実行した後の [現在の一括メールのしきい値 ] と [新しい一括メールのしきい 値] の関係によって異なります。

• 新しい一括メールのしきい値 は 、現在の一括メールのしきい値と等しくなります。

  • 誤検知の可能性
  • 潜在的な偽陰性

  結果をフィルター処理するには、[ すべての送信者 ] を選択し、次のいずれかの値を選択します。

  • 潜在的な誤検知: 潜在的な誤検知 が True の送信者のみが表示されます。
  • 潜在的な偽陰性: 潜在的な偽陰性 が True の送信者のみが表示されます。

  

• 新しい一括メールのしきい値 が 現在の一括メールしきい値より小さい:

  • 新しい送信者がブロックされました
  • 誤検知の可能性

  結果をフィルター処理するには、[ すべての送信者 ] を選択し、次のいずれかの値を選択します。

  • [新しい送信者がブロックされました]: [新しい送信者がブロックされました ] が [True] の送信者のみが表示されます。
  • 潜在的な誤検知: 潜在的な誤検知 が True の送信者のみが表示されます。

  

• 新しい一括メールのしきい値 が 現在の一括メールのしきい値を超えています。

  • 許可される新しい送信者
  • 潜在的な偽陰性

  結果をフィルター処理するには、[ すべての送信者 ] を選択し、次のいずれかの値を選択します。

  • [許可された新しい送信者]: [新しい送信者の許可 ] が [True] の送信者のみが表示されます。
  • 潜在的な偽陰性: 潜在的な偽陰性 が True の送信者のみが表示されます。

  

エントリの一覧を標準間隔からコンパクト間隔に変更するには、[ リストの間隔をコンパクトまたは標準に変更する] を選択し、[ Compact list] を選択します。

[ 検索 ] ボックスと対応する値を使用して、テーブル内の特定の送信者を検索します。

Export を使用して、現在表示されている送信者の一覧を CSV ファイルに保存します。 既定のファイル名は一括送信者分析情報 - Microsoft Defender.csv で、既定の場所はローカルのダウンロード フォルダーです。 エクスポートされたファイルがその場所に既に存在する場合、ファイル名はインクリメントされます (たとえば、一括送信者分析情報 - Microsoft Defender(1).csv)。

一括送信者の分析情報ページで一括送信者に関する詳細情報を表示する

[一括送信者分析情報] ページの下部にある送信者の詳細テーブルから特定の送信者に関する詳細を表示するには、最初の列の横にある [チェック] ボックス以外の行内の任意の場所をクリックします。 開いた [送信者の詳細 ] ポップアップには、送信者に関する次の情報が含まれています。

• 送信者: 送信者のメール アドレス。
• メッセージ: 送信者からのメッセージの数。
• 受信トレイ内のメッセージ: ユーザーの受信トレイに配信された送信者からのメッセージの数。
• 検疫中のメッセージまたは迷惑メール Email: ユーザー迷惑メール Email フォルダーに配信された、または検疫された送信者からのメッセージの数。
• 管理設定: テナント許可/ブロック リストの有効な値の [管理] で送信者が許可またはブロックされているかどうかは次のとおりです。
  • 許可: メッセージ送信者に許可エントリが存在します。
  • ブロック: メッセージ送信者にブロック エントリが存在します。
• ユーザー許可メッセージ: ユーザー メールボックスに [差出人セーフ リスト] リストを追加した送信者からのメッセージの数。
• ユーザーがブロックしたメッセージ: ユーザー メールボックスに [ブロックされた送信者] リストを追加した送信者からのメッセージの数。
• 誤検知の送信: 正常なメールとして送信された送信者からのメッセージの数が誤ってブロックされました。
• False 負の送信: 誤って配信された不適切なメールとして送信された送信者からのメッセージの数。
• ユーザーが迷惑メール Emailから受信トレイに移動しました
• ユーザーが受信トレイから迷惑メール Emailに移動しました
• ユーザーが削除したメッセージ
• 検疫されたメッセージを管理する
• 受信トレイから迷惑メール Emailにメールを移動管理
• 削除されたメッセージを管理する