脅威のエクスプローラーとMicrosoft Defender for Office 365でのリアルタイム検出によるセキュリティのEmail
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
サブスクリプションに含まれているか、アドオンとして購入Microsoft Defender for Office 365 Microsoft 365 組織には、エクスプローラー (脅威エクスプローラーとも呼ばれます) またはリアルタイム検出があります。 これらの機能は、セキュリティ運用 (SecOps) チームが脅威を調査して対応するのに役立つ、ほぼリアルタイムの強力なツールです。 詳細については、「脅威のエクスプローラーについて」と「Microsoft Defender for Office 365でのリアルタイム検出」を参照してください。
この記事では、脅威のエクスプローラーまたはリアルタイム検出を使用して、電子メールで検出されたマルウェアとフィッシングの試行を表示および調査する方法について説明します。
ヒント
脅威エクスプローラーとリアルタイム検出を使用するその他の電子メール シナリオについては、次の記事を参照してください。
はじめに把握しておくべき情報
脅威エクスプローラーは、Defender for Office 365 プラン 2 に含まれています。 リアルタイム検出は、Defender for Office プラン 1 に含まれています。
- 脅威エクスプローラーとリアルタイム検出の違いについては、「脅威のエクスプローラーとMicrosoft Defender for Office 365のリアルタイム検出について」を参照してください。
- Defender for Office 365プラン 2 と Defender for Office プラン 1 の違いについては、「Defender for Office 365 プラン 1 とプラン 2 のチート シート」を参照してください。
脅威のエクスプローラーとリアルタイム検出のアクセス許可とライセンス要件については、「Threat エクスプローラー とリアルタイム検出のアクセス許可とライセンス」を参照してください。
偽装されたユーザーとドメインに送信されたフィッシングメールを表示する
Defender for Office 365のフィッシング対策ポリシーでのユーザーとドメインの偽装保護の詳細については、Microsoft Defender for Office 365のフィッシング対策ポリシーの偽装設定に関するページを参照してください。
既定またはカスタムのフィッシング対策ポリシーでは、所有しているドメイン (承認済みドメイン) など、偽装から保護するユーザーとドメインを指定する必要があります。 Standardまたは厳密な事前設定されたセキュリティ ポリシーでは、所有するドメインは権限借用保護を自動的に受け取りますが、偽装保護のためにユーザーまたはカスタム ドメインを指定する必要があります。 手順については、次の記事を参照してください。
- EOP と Microsoft Defender for Office 365 の事前設定されたセキュリティ ポリシー
- 詳細については、「Microsoft Defender for Office 365 のフィッシング対策ポリシーを構成する」を参照してください。
フィッシング メッセージを確認し、偽装されたユーザーまたはドメインを検索するには、次の手順を使用します。
次のいずれかの手順を使用して、Threat エクスプローラー またはリアルタイム検出を開きます。
- 脅威のエクスプローラー: https://security.microsoft.comの Defender ポータルで、[セキュリティ>エクスプローラー Email &に移動します。 または、エクスプローラー ページに直接移動するには、https://security.microsoft.com/threatexplorerv3を使用します。
- リアルタイム検出: https://security.microsoft.comの Defender ポータルで、[セキュリティ>リアルタイム検出Email &に移動します。 または、[ リアルタイム検出 ] ページに直接移動するには、 https://security.microsoft.com/realtimereportsv3を使用します。
[エクスプローラーまたはリアルタイム検出] ページで、[フィッシング] ビューを選択します。 フィッシング ビューの詳細については、「脅威のエクスプローラーとリアルタイム検出のフィッシング ビュー」を参照してください。
日付/時刻範囲を選択します。 既定値は昨日と今日です。
次のいずれかの手順を実行します。
ユーザーまたはドメインの偽装の試行を検索します。
- [送信者アドレス (プロパティ)] ボックスを選択し、ドロップダウン リストの [基本] セクションで [検出テクノロジ] を選択します。
- [ すべて等しい] がフィルター演算子として選択されていることを確認します。
- プロパティ値ボックスで、[ 偽装ドメインと偽装 ユーザー] を選択 します
偽装された特定のユーザー試行を検索します。
- [送信者アドレス (プロパティ)] ボックスを選択し、ドロップダウン リストの [基本] セクションで [偽装ユーザー] を選択します。
- [ すべて等しい] がフィルター演算子として選択されていることを確認します。
- [プロパティの値] ボックスに、受信者の完全なメール アドレスを入力します。 複数の受信者の値をコンマで区切ります。
偽装された特定のドメイン試行を検索します。
- [送信者アドレス (プロパティ)] ボックスを選択し、ドロップダウン リストの [Basic] セクションで [偽装ドメイン] を選択します。
- [ すべて等しい] がフィルター演算子として選択されていることを確認します。
- [プロパティ値] ボックスに、ドメイン (たとえば、contoso.com) を入力します。 複数のドメイン値をコンマで区切ります。
必要に応じて、他のフィルター可能なプロパティを使用して、さらに条件を入力します。 手順については、「脅威のエクスプローラーとリアルタイム検出のプロパティ フィルター」を参照してください。
フィルター条件の作成が完了したら、[更新] を選択 します。
グラフの下の詳細領域で、[Email] タブ (ビュー) が選択されていることを確認します。
[脅威のエクスプローラーとリアルタイムの検出] の [フィッシング] ビューの詳細領域については、「Emailビュー」で説明されているように、エントリを並べ替えたり、その他の列を表示したりできます。
テーブル内のエントリの [件名] 値を選択すると、電子メールの詳細ポップアップが開きます。 この詳細ポップアップは、Email概要パネルと呼ばれ、メッセージのEmailエンティティ ページでも使用できる標準化された概要情報が含まれています。
Email概要パネルの情報の詳細については、「Email概要パネル」を参照してください。
脅威のエクスプローラーとリアルタイム検出のEmailの概要パネルの上部にある使用可能なアクションの詳細については、「すべての電子メール ビューの詳細領域のEmailビューからEmail詳細」を参照してください (同じアクションは、フィッシング ビューからも使用できます)。
テーブル内のエントリの [受信者] 値を選択すると、別の詳細ポップアップが開きます。 詳細については、フィッシング ビューの詳細領域のEmail ビューの受信者の詳細に関するページを参照してください。
URL クリック データのエクスポート
URL クリック データを CSV ファイルにエクスポートして 、ネットワーク メッセージ ID と クリック判定 値を表示できます。これは、URL クリック トラフィックの由来を説明するのに役立ちます。
次のいずれかの手順を使用して、Threat エクスプローラー またはリアルタイム検出を開きます。
- 脅威のエクスプローラー: https://security.microsoft.comの Defender ポータルで、[セキュリティ>エクスプローラー Email &に移動します。 または、エクスプローラー ページに直接移動するには、https://security.microsoft.com/threatexplorerv3を使用します。
- リアルタイム検出: https://security.microsoft.comの Defender ポータルで、[セキュリティ>リアルタイム検出Email &に移動します。 または、[ リアルタイム検出 ] ページに直接移動するには、 https://security.microsoft.com/realtimereportsv3を使用します。
[エクスプローラーまたはリアルタイム検出] ページで、[フィッシング] ビューを選択します。 フィッシング ビューの詳細については、「脅威のエクスプローラーとリアルタイム検出のフィッシング ビュー」を参照してください。
日付/時刻範囲を選択し、[更新] を選択 します。 既定値は昨日と今日です。
詳細領域で、[ 上位 URL] タブまたは [ トップ クリック ] タブ (ビュー) を選択します。
[上位 URL] ビューまたは [トップ クリック] ビューで、最初の列の横にある [チェック] ボックスを選択して、テーブルから 1 つ以上のエントリを選択し、[Export] を選択します。 エクスプローラー>Phish>Clicks>Top URL または URL Top Clicks>任意のレコードを選択して URL ポップアップを開きます。
[ネットワーク メッセージ ID] の値を使用して、Threat エクスプローラー またはリアルタイム検出または外部ツールで特定のメッセージを検索できます。 これらの検索は、クリック結果に関連付けられている電子メール メッセージを識別します。 相関ネットワーク メッセージ ID を使用すると、より迅速かつ強力な分析が可能になります。
電子メールで検出されたマルウェアを表示する
脅威のエクスプローラーまたはリアルタイム検出の次の手順を使用して、Microsoft 365 によって電子メールで検出されたマルウェアを確認します。
次のいずれかの手順を使用して、Threat エクスプローラー またはリアルタイム検出を開きます。
- 脅威のエクスプローラー: https://security.microsoft.comの Defender ポータルで、[セキュリティ>エクスプローラー Email &に移動します。 または、エクスプローラー ページに直接移動するには、https://security.microsoft.com/threatexplorerv3を使用します。
- リアルタイム検出: https://security.microsoft.comの Defender ポータルで、[セキュリティ>リアルタイム検出Email &に移動します。 または、[ リアルタイム検出 ] ページに直接移動するには、 https://security.microsoft.com/realtimereportsv3を使用します。
[エクスプローラーまたはリアルタイム検出] ページで、[マルウェア] ビューを選択します。 フィッシング ビューの詳細については、「脅威のエクスプローラーとリアルタイム検出のマルウェア ビュー」を参照してください。
日付/時刻範囲を選択します。 既定値は昨日と今日です。
[送信者アドレス (プロパティ)] ボックスを選択し、ドロップダウン リストの [基本] セクションで [検出テクノロジ] を選択します。
- [ すべて等しい] がフィルター演算子として選択されていることを確認します。
- [プロパティ値] ボックスで、次の値の 1 つ以上を選択します。
- マルウェア対策保護
- ファイルのデトネーション
- ファイルのデトネーションの評価
- ファイルの評価
- 指紋の一致
必要に応じて、他のフィルター可能なプロパティを使用して、さらに条件を入力します。 手順については、「脅威のエクスプローラーとリアルタイム検出のプロパティ フィルター」を参照してください。
フィルター条件の作成が完了したら、[更新] を選択 します。
レポートには、選択したテクノロジ オプションを使用して、マルウェアが電子メールで検出した結果が表示されます。 ここから、詳細な分析を行うことができます。
メッセージをクリーンとして報告する
https://security.microsoft.com/reportsubmissionの Defender ポータルの [申請] ページを使用して、メッセージを microsoft にクリーン (誤検知) として報告できます。 ただし、Threat エクスプローラー または Email エンティティ ページTake アクションから、メッセージを Microsoft にクリーンとして送信することもできます。
手順については、「 脅威ハンティング: アクションの実行ウィザード」を参照してください。
要約すると、次のとおりです。
[次のいずれかの方法を使用してアクションを実行する] を選択します。
- エントリの [チェック] ボックスを選択して、[すべての電子メール]、[マルウェア]、または [フィッシング] ビューの [Email] タブ (ビュー) の詳細テーブルから 1 つ以上のメッセージを選択します。
または
- [件名] の値をクリックして、[すべての電子メール]、[マルウェア]、または [フィッシング] ビューの [Email] タブ (ビュー) の詳細テーブルからメッセージを選択した後の詳細ポップアップで。
アクションの実行ウィザードで、[確認のために Microsoft に送信] を選択します>クリーンであることを確認しました。
フィッシング URL を表示し、判定データをクリックする
安全なリンク保護は、許可、ブロック、およびオーバーライドされた URL を追跡します。 既定では、 事前設定されたセキュリティ ポリシーの組み込み保護により、安全なリンク保護がオンになっています。 安全なリンク保護は、Standardと厳密な事前設定されたセキュリティ ポリシーでオンになっています。 カスタムの安全なリンク ポリシーで安全な リンク保護を作成して構成することもできます。 安全なリンクポリシー設定の詳細については、「 安全なリンクのポリシー設定」を参照してください。
メール メッセージで URL を使用したフィッシング詐欺の試行を確認するには、次の手順に従います。
次のいずれかの手順を使用して、Threat エクスプローラー またはリアルタイム検出を開きます。
- 脅威のエクスプローラー: https://security.microsoft.comの Defender ポータルで、[セキュリティ>エクスプローラー Email &に移動します。 または、エクスプローラー ページに直接移動するには、https://security.microsoft.com/threatexplorerv3を使用します。
- リアルタイム検出: https://security.microsoft.comの Defender ポータルで、[セキュリティ>リアルタイム検出Email &に移動します。 または、[ リアルタイム検出 ] ページに直接移動するには、 https://security.microsoft.com/realtimereportsv3を使用します。
[エクスプローラーまたはリアルタイム検出] ページで、[フィッシング] ビューを選択します。 フィッシング ビューの詳細については、「脅威のエクスプローラーとリアルタイム検出のフィッシング ビュー」を参照してください。
日付/時刻範囲を選択します。 既定値は昨日と今日です。
[送信者アドレス (プロパティ)] ボックスを選択し、ドロップダウン リストの [URL] セクションで [Click verdict]\(判定をクリック\) を選択します。
- [ すべて等しい] がフィルター演算子として選択されていることを確認します。
- [プロパティ値] ボックスで、次の値の 1 つ以上を選択します。
- ブロック済み
- ブロックされたオーバーライド
クリック判定の値の説明については、「脅威のエクスプローラーのすべての電子メール ビューでフィルター可能なプロパティで判定をクリックする」を参照してください。
必要に応じて、他のフィルター可能なプロパティを使用して、さらに条件を入力します。 手順については、「脅威のエクスプローラーとリアルタイム検出のプロパティ フィルター」を参照してください。
フィルター条件の作成が完了したら、[更新] を選択 します。
グラフの下の詳細領域の [上位 URL ] タブ (ビュー) には、上位 5 つの URL に対して ブロックされたメッセージ、 迷惑メッセージ、および 配信されたメッセージ の数が表示されます。 詳細については、「脅威のエクスプローラーとリアルタイム検出」のフィッシング ビューの詳細領域については、「上位 URL ビュー」を参照してください。
グラフの下の詳細領域にある [ トップ クリック ] タブ (ビュー) には、安全なリンクでラップされたクリックされた上位 5 つのリンクが表示されます。 ラップされていないリンクの URL クリックは、ここには表示されません。 詳細については、「脅威のエクスプローラーとリアルタイム検出」のフィッシング ビューの詳細領域については、「トップ クリック ビュー」を参照してください。
これらの URL テーブルには、警告にもかかわらずブロックまたはアクセスされた URL が表示されます。 この情報は、ユーザーに表示された可能性のある不適切なリンクを示しています。 ここから、詳細な分析を行うことができます。
詳細については、ビューのエントリから URL を選択します。 詳細については、 フィッシング ビューの [上位 URL] タブと [トップ クリック] タブの URL の詳細に関するページを参照してください。
ヒント
URL の詳細ポップアップでは、メール メッセージのフィルター処理が削除され、環境内の URL の公開の完全なビューが表示されます。 この動作を使用すると、特定のメール メッセージをフィルター処理し、潜在的な脅威である特定の URL を見つけ、 フィッシング ビューに URL フィルターを追加することなく、環境内の URL の公開について理解を深めることができます。
クリック判定の解釈
Click 判定プロパティの結果は、次の場所に表示されます。
- [すべての電子メール] ビュー (脅威エクスプローラーのみ) またはフィッシング ビューの詳細領域の URL クリック ビューの [判定グラフ] ピボットをクリックします
- 脅威エクスプローラーの [すべてのメール] ビューの詳細領域の上部クリック ビュー
- 脅威エクスプローラーとリアルタイム検出のフィッシング ビューの詳細領域のトップ クリック ビュー
- 脅威エクスプローラーの URL クリック ビューの詳細領域の上位クリック ビュー
判定値については、次の一覧で説明します。
- 許可: ユーザーが URL を開くことを許可されました。
- オーバーライドされたブロック: ユーザーは URL を直接開くのをブロックされましたが、ブロックをオーバーロードして URL を開きます。
- ブロック: ユーザーが URL を開くのをブロックされました。
- エラー: ユーザーにエラー ページが表示されたか、判定のキャプチャ中にエラーが発生しました。
- 失敗: 判定のキャプチャ中に不明な例外が発生しました。 ユーザーが URL を開いている可能性があります。
- なし: URL の判定をキャプチャできません。 ユーザーが URL を開いている可能性があります。
- 保留中の判定: ユーザーに爆発保留中のページが表示されました。
- 保留中の判定がバイパスされました: ユーザーに爆発ページが表示されましたが、URL を開くためにメッセージがオーバーロードされました。
脅威エクスプローラーで自動調査と対応を開始する
Defender for Office 365プラン 2 の自動調査と対応 (AIR) により、サイバー攻撃を調査して軽減する際の時間と労力を節約できます。 セキュリティ プレイブックをトリガーするアラートを構成し、Threat エクスプローラーで AIR を開始できます。 詳細については、「例: セキュリティ管理者がエクスプローラーから調査をトリガーする」を参照してください。