次の方法で共有


Microsoft 365 で配信された悪意のあるメールを調査する

ヒント

Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。

サブスクリプションに含まれているか、アドオンとして購入Microsoft Defender for Office 365 Microsoft 365 組織には、エクスプローラー (脅威エクスプローラーとも呼ばれます) またはリアルタイム検出があります。 これらの機能は、セキュリティ運用 (SecOps) チームが脅威を調査して対応するのに役立つ、ほぼリアルタイムの強力なツールです。 詳細については、「脅威のエクスプローラーについて」と「Microsoft Defender for Office 365でのリアルタイム検出」を参照してください。

脅威エクスプローラーとリアルタイム検出を使用すると、organizationのユーザーを危険にさらすアクティビティを調査し、organizationを保護するためのアクションを実行できます。 以下に例を示します。

  • メッセージを検索して削除します。
  • 悪意のあるメール送信者の IP アドレスを特定します。
  • さらに調査するためにインシデントを開始します。

この記事では、脅威のエクスプローラーとリアルタイム検出を使用して、受信者のメールボックスで悪意のあるメールを見つける方法について説明します。

ヒント

修復手順に直接移動するには、「Office 365で配信された悪意のあるメールを修復する」を参照してください。

脅威エクスプローラーとリアルタイム検出を使用するその他の電子メール シナリオについては、次の記事を参照してください。

はじめに把握しておくべき情報

配信された疑わしいメールを検索する

  1. 次のいずれかの手順を使用して、Threat エクスプローラー またはリアルタイム検出を開きます。

  2. [エクスプローラーまたはリアルタイム検出] ページで、適切なビューを選択します。

  3. 日付/時刻範囲を選択します。 既定値は昨日と今日です。

    Defender ポータルで Threat エクスプローラー とリアルタイム検出で使用される日付フィルターのスクリーンショット。

  4. 次の対象となるプロパティと値の一部またはすべてを使用して、1 つ以上のフィルター条件を作成します。 完全な手順については、「脅威のエクスプローラーとリアルタイム検出のプロパティ フィルター」を参照してください。 以下に例を示します。

    • 配信アクション: 既存のポリシーまたは検出に起因する電子メールに対して実行されるアクション。 便利な値は次のとおりです。

      • 配信済み: Emailユーザーの受信トレイまたはユーザーがメッセージにアクセスできる他のフォルダーに配信されます。
      • 迷惑メール: Emailユーザーの [迷惑メール] Email フォルダーまたはユーザーがメッセージにアクセスできる [削除済みアイテム] フォルダーに配信されます。
      • ブロック: 検疫されたメッセージ、配信に失敗したメッセージ、または削除されたメッセージをEmailします。
    • 元の配信場所: システムまたは管理者による自動または手動の配信後アクション ( ZAP や検疫への移動など) の前にメールが送信された場所。 便利な値は次のとおりです。

      • 削除済みアイテム フォルダー
      • 削除: メール フローのどこかでメッセージが失われました。
      • 失敗: メッセージがメールボックスに到達できませんでした。
      • 受信トレイ/フォルダー
      • [Junk folder (迷惑メール フォルダー)]
      • オンプレミス/外部: メールボックスは Microsoft 365 organizationに存在しません。
      • 検疫
      • 不明: たとえば、配信後、受信トレイ ルールは、受信トレイまたは迷惑メール Email フォルダーではなく、既定のフォルダー (下書きやアーカイブなど) にメッセージを移動しました。
    • 最後の配信場所: システムまたは管理者による自動または手動の配信後のアクションの後にメールが終了した場所。 元の配信場所から同じ値を使用できます。

    • 方向: 有効な値は次のとおりです。

      • 受信
      • 組織内
      • 送信

      この情報は、なりすましと偽装を識別するのに役立ちます。 たとえば、内部ドメインの送信者からのメッセージは、受信ではなく組織である必要があります。

    • 追加アクション: 有効な値は次のとおりです。

    • プライマリオーバーライド: organizationまたはユーザー設定が、それ以外の場合はブロックまたは許可されたメッセージを許可またはブロックした場合。 値は次のとおりです。

      • organization ポリシーで許可
      • ユーザー ポリシーで許可される
      • organization ポリシーによってブロックされる
      • ユーザー ポリシーによってブロックされる
      • なし

      これらのカテゴリは、 プライマリ オーバーライド ソース プロパティによってさらに改良されます。

    • プライマリ オーバーライド ソースorganizationポリシーまたはユーザー設定の種類。それ以外の場合はブロックまたは許可されたメッセージを許可またはブロックします。 値は次のとおりです。

    • オーバーライド ソース: プライマリ オーバーライド ソースと同じ使用可能な値。

      ヒント

      [すべての電子メール]、[マルウェア]、および [フィッシング] ビューの詳細領域にある [Email] タブ (ビュー) で、対応するオーバーライド列の名前はシステム オーバーライドシステムオーバーライド ソースです

    • URL 脅威: 有効な値は次のとおりです。

      • Malware
      • フィッシング
      • スパム
  5. 日付/時刻とプロパティ フィルターの構成が完了したら、[更新] を選択 します

[すべてのメール]、[マルウェア]、または [フィッシング] ビューの詳細領域にある [Email] タブ (ビュー) には、疑わしいメールを調査するために必要な詳細が含まれています。

たとえば、[Email] タブ (ビュー) の [配信アクション] 列、[元の配信場所] 列、および [最終配信場所] 列を使用して、影響を受けるメッセージの場所の全体像を取得します。 値については、手順 4 で説明しました。

Export を使用して、最大 200,000 個のフィルター処理された結果またはフィルター処理されていない結果を CSV ファイルに選択的にエクスポートします。

配信された悪意のあるメールを修復する

配信された悪意のあるメール メッセージを特定したら、受信者メールボックスから削除できます。 手順については、「 Microsoft 365 で配信された悪意のあるメールを修復する」を参照してください。

Office 365 で配信された悪意のあるメールを修復する

Microsoft Defender for Office 365

Defender for Office 365のレポートを表示する