Microsoft Defender ポータルでDefender for Office 365 レポートを表示する
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Microsoft Defender for Office 365 プラン 1またはプラン 2 (Microsoft 365 E5や Microsoft Business Premium など) を持つ組織では、セキュリティ関連のさまざまなレポートを使用できます。 必要なアクセス許可がある場合は、Microsoft Defender ポータルでこれらのレポートを表示およびダウンロードできます。
レポートは、Email & コラボレーション レポート ページのhttps://security.microsoft.comにあるMicrosoft Defender ポータルのレポート>Email &コラボレーション レポート>Email &使用できます。 または、[Email & コラボレーション レポート] ページに直接移動するには、https://security.microsoft.com/emailandcollabreportを使用します。
各レポートの概要情報は、ページで入手できます。 表示するレポートを特定し、[そのレポートの 詳細の表示 ] を選択します。
この記事の残りの部分では、Defender for Office 365専用のレポートについて説明します。
注:
Defender for Office 365を必要としないEmailセキュリティ レポートについては、「Microsoft Defender ポータルで電子メール セキュリティ レポートを表示する」を参照してください。
非推奨または置き換えられたレポートについては、Microsoft Defender ポータルのセキュリティ レポートの変更Emailの表を参照してください。
メール フローに関連するレポートが Exchange 管理センター (EAC) に追加されました。 これらのレポートの詳細については、「 新しい Exchange 管理センターのメール フロー レポート」を参照してください。
この短いビデオでは、レポートを使用して、organizationでのDefender for Office 365の有効性を理解する方法について説明します。
安全な添付ファイルの種類レポート
注:
このレポートは非推奨になりました。 脅威 保護の状態レポートでも同じ情報を使用できます。
添付ファイルの安全なメッセージ処理レポート
注:
このレポートは非推奨になりました。 脅威 保護の状態レポートでも同じ情報を使用できます。
メール遅延レポート
[メール待機時間] レポートには、Defender for Office 365 organization内で発生したメール配信と爆発の待機時間の集計ビューが表示されます。 サービス内のメール配信時間は多くの要因の影響を受け、絶対配信時間 (秒単位) は成功や問題を示す適切な指標ではないことがよくあります。 1 日の配送時間が遅い場合は、別の日の平均配送時間と見なされる場合もあれば、その逆の場合もあります。 このレポートは、他のメッセージの観察された配信時間に関する統計データに基づいてメッセージ配信を修飾しようとします。
クライアント側の待機時間とネットワーク待機時間は結果に含まれません。
https://security.microsoft.com/emailandcollabreportの [Email & コラボレーション レポート] ページで、[メール待機時間レポート] を見つけて、[詳細の表示] を選択します。 または、レポートに直接移動するには、 https://security.microsoft.com/mailLatencyReportを使用します。
![[Email & コラボレーション レポート] ページの [メール待機時間レポート] ウィジェット](media/mail-latency-report-widget.png#lightbox)
[ メール待機時間レポート ] ページでは、次のタブを使用できます。
- 50 パーセンタイル: メッセージ配信時間の中間。 この値は、平均配信時間と見なすことができます。 このタブは既定で選択されています。
- 90 パーセンタイル: メッセージ配信の待機時間が長くなることを示します。 メッセージの 10% のみが、この値よりも長く配信されました。
- 99 パーセンタイル: メッセージ配信の最も長い待機時間を示します。
選択したタブに関係なく、次のカテゴリに分類されたメッセージがグラフに表示されます。
- 全体
-
デトネーション (これらの値については、
Filter 値で説明されています)
グラフ内のカテゴリにカーソルを合わせると、各カテゴリの待機時間の内訳が表示されます。
グラフの下の詳細テーブルでは、次の情報を使用できます。
- 日付 (UTC)
- Latency
- メッセージ数
- 50 パーセンタイル
- 90 パーセンタイル
- 99 パーセンタイル
[ フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択して、レポートと詳細テーブルを変更します。
- 日付 (UTC):開始日 と 終了日
-
メッセージ ビュー: 次のいずれかの値を選択します。
- すべてのメール
-
爆発した電子メール: この値を選択した後、表示される次のいずれかの値を選択します。
- インライン爆発: メッセージ内のリンクと添付ファイルは、配信前に安全なリンクと安全な添付ファイルによって完全にテストされます。
- 非同期爆発: 安全な添付ファイルによる添付ファイルの 動的配信と、 配信後に安全なリンクによってテストされた電子メール内のリンク。
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ 
クリア フィルター] を選択します。
[ メール待機時間レポート ] ページで、 
Export アクションを使用できます。
配信後のアクティビティ レポート
配信後アクティビティ レポートには、0 時間の自動消去 (ZAP) による配信後にユーザー メールボックスから削除された電子メール メッセージに関する情報が表示されます。 ZAP の詳細については、Exchange Onlineの「ゼロ時間自動消去 (ZAP)」を参照してください。
レポートには、更新された脅威情報を含むリアルタイム情報が表示されます。
https://security.microsoft.com/emailandcollabreportの [Email & コラボレーション レポート] ページで、[配信後のアクティビティ] を見つけて、[詳細の表示] を選択します。 または、レポートに直接移動するには、 https://security.microsoft.com/reports/ZapReportを使用します。
![[Email & コラボレーション レポート] ページの配信後アクティビティ ウィジェット。](media/post-delivery-activities-widget.png#lightbox)
[ 配信後のアクティビティ ] ページのグラフには、指定した日付範囲に関する次の情報が表示されます。
- 脅威なし: ZAP によってスパムと見なされなかった一意の配信メッセージの数。
- スパム: スパムの場合に ZAP によってメールボックスから削除された一意のメッセージの数。
- フィッシング: フィッシングのために ZAP によってメールボックスから削除された一意のメッセージの数。
- マルウェア: フィッシング詐欺のために ZAP によってメールボックスから削除された一意のメッセージの数。
グラフの下の詳細表は、次の情報を示しています。
件名
受信時刻
Sender
[受信者]
ZAP 時間
元の脅威
元の場所
更新された脅威
配信場所を更新しました
検出技術
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- Web ブラウザーで縮小します。
[ フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択して、レポートと詳細テーブルを変更します。
- 日付 (UTC):開始日 と 終了日。
-
更新された脅威: 次の値の 1 つ以上を選択します。
- 脅威なし
- スパム
- フィッシング
- Malware
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
[配信後のアクティビティ] ページで、[
スケジュールの作成] アクションと [エクスポート] アクションを使用できます。
脅威保護の状態レポート
脅威保護の状態レポートは、Exchange Online Protection (EOP) とDefender for Office 365によって検出およびブロックされた悪意のあるコンテンツと悪意のあるメールに関する情報をまとめる 1 つのビューです。 詳細については、「 脅威保護の状態レポート」を参照してください。
上位の送信者と受信者のレポート
[上位の送信者と受信者] レポートには、EOP およびDefender for Office 365保護機能の上位の受信者が表示されます。 詳細については、「 上位の送信者と受信者レポート」を参照してください。
URL の保護に関するレポート
URL 保護レポートには、検出された脅威と、安全なリンクの一部として URL クリックに対して実行されたアクションの概要と傾向ビューが表示されます。 有効な安全なリンク ポリシーで ユーザーのクリックを追跡 するが選択されていない場合、このレポートにはユーザーからのクリック データがありません。
https://security.microsoft.com/emailandcollabreportの [Email & コラボレーション レポート] ページで、URL 保護レポートを見つけて、[詳細の表示] を選択します。 または、レポートに直接移動するには、 https://security.microsoft.com/URLProtectionActionReportを使用します。
![[Email & コラボレーション レポート] ページの URL 保護レポート ウィジェット](media/url-protection-report-widget.png#lightbox)
URL 脅威保護レポートで使用可能なビューについては、次のサブセクションで説明します。
URL 保護レポートで URL クリック保護アクションでデータを表示する
[URL によるデータの表示] クリック保護アクション ビューには、organizationのユーザーによる URL クリック数とクリックの結果が表示されます。
- 許可: クリックが許可されます。
- テナント管理者が許可: 安全なリンク ポリシーで許可されているクリック。
- ブロック: [ブロック] をクリックします。
- テナント管理者によってブロック: [安全なリンク] ポリシーでブロックされたクリック。
- ブロックおよびクリックスルー: ブロックされた URL にユーザーがクリックしたブロックされたクリック。
- テナント管理者によってブロックされ、クリックスルー: 管理はリンクをブロックしましたが、ユーザーはクリックしました。
- スキャン中にクリック: ユーザーが保留中のスキャン ページをクリックして URL をクリックします。
- [保留中のスキャン]: スキャンの判定を保留中の URL をクリックします。
クリックは、ユーザーが悪意のある Web サイトへのブロック ページをクリックしたことを示します (管理者は、安全なリンク ポリシーでクリックスルーを無効にすることができます)。
グラフの下の詳細テーブルには、過去 30 日間のorganization内で発生したすべてのクリックのほぼリアルタイムビューが表示されます。
- クリック時間
- ユーザー
- URL
- 操作
- アプリ
- タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
[ フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択して、レポートと詳細テーブルを変更します。
- 日付 (UTC):開始日 と 終了日。
- アクション: 前に説明したのと同じ URL クリック保護アクション。 既定では、[テナント管理者が許可] と [許可] は選択されていません。
- 評価: [はい ] または [いいえ] を選択 します。 詳細については、「Microsoft Defender for Office 365を試す」を参照してください。
- ドメイン (コンマで区切られた): レポートの結果に一覧表示される URL ドメイン。
- 受信者 (コンマで区切られた)
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
[URL 脅威保護] ページで、スケジュール、Request レポート、Export アクションを使用できます。
URL 保護レポートでアプリケーション別の URL クリックでデータを表示する
ヒント
ゲスト ユーザーによる URL クリックは、レポートで使用できます。 ゲスト ユーザー アカウントが侵害されたり、organization内の悪意のあるコンテンツにアクセスされたりする可能性があります。
[ View data by URL click by application]\(URL でクリックしてデータを表示 する\) ビューには、セーフ リンクをサポートするアプリごとの URL クリック数が表示されます。
- 電子メール クライアント
- Teams
- Office ドキュメント
グラフの下の詳細テーブルには、過去 7 日間のorganization内で発生したすべてのクリックのほぼリアルタイム ビューが次に示されています。
- クリック時間
- ユーザー
- URL
- アクション: [URL によるデータの表示] クリック保護アクション ビューで前述したのと同じ URL クリック保護アクション 。
- アプリ
- タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
[ フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択して、レポートと詳細テーブルを変更します。
- 日付 (UTC):開始日 と 終了日。
- アプリケーション: 前に説明したのと同じアプリケーション値によるクリック。
- アクション: [ URL によるデータの表示] クリック保護アクション ビューに表示されるのと同じ値。 既定では、[テナント管理者が許可] と [許可] は選択されていません。
- 評価: [はい ] または [いいえ] を選択 します。 詳細については、「Microsoft Defender for Office 365を試す」を参照してください。
- ドメイン (コンマで区切られた): レポートの結果に一覧表示される URL ドメイン。
- 受信者 (コンマで区切られた)
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
[URL 脅威保護] ページで、スケジュール、Request レポート、Export アクションを使用できます。
表示するその他のレポート
この記事で説明するレポートに加えて、次の表では、使用可能なその他の使用可能なレポートについて説明します。
| レポート | 記事 |
|---|---|
| エクスプローラー (Microsoft Defender for Office 365 プラン 2) またはリアルタイム検出 (Microsoft Defender for Office 365 プラン 1) | 脅威エクスプローラー (およびリアルタイムの検出) |
| Defender for Office 365を必要としないセキュリティ レポートをEmailする | Microsoft Defender ポータルで電子メール セキュリティ レポートを表示する |
| Exchange 管理センター (EAC) のメール フロー レポート | 新しい Exchange 管理センターのメール フロー レポート |
PowerShell レポート コマンドレット:
| レポート | 記事 |
|---|---|
| 上位送信者および受信者 | Get-MailTrafficSummaryReport |
| 上位マルウェア | Get-MailTrafficSummaryReport |
| 脅威に対する保護の状態 | Get-MailTrafficATPReport |
| 安全なリンク | Get-SafeLinksAggregateReport |
| セキュリティ侵害を受けたユーザー | Get-CompromisedUserAggregateReport |
| メール フローの状態 | Get-MailflowStatusReport |
| なりすましユーザー | Get-SpoofMailReport |
| 配信後のアクティビティの概要 | Get-AggregateZapReport |
| 配信後のアクティビティの詳細 | Get-DetailZapReport |
Defender for Office 365 レポートを表示するには、どのようなアクセス許可が必要ですか?
これらのレポートを表示するために必要なアクセス許可を参照してください。
レポートにデータが表示されない場合はどうすればよいですか?
レポートにデータが表示されない場合は、レポート フィルターをチェックし、ポリシーが正しく設定されていることをダブルチェックします。 組み込みの保護、事前設定されたセキュリティ ポリシー、またはカスタム ポリシーからの安全なリンク ポリシーと安全な添付ファイル ポリシーを有効にして、メッセージに対して動作させる必要があります。 詳細については、次の記事を参照してください。