Microsoft 365 で配信された悪意のあるメールを調査する
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
サブスクリプションに含まれているか、アドオンとして購入Microsoft Defender for Office 365 Microsoft 365 組織には、エクスプローラー (脅威エクスプローラーとも呼ばれます) またはリアルタイム検出があります。 これらの機能は、セキュリティ運用 (SecOps) チームが脅威を調査して対応するのに役立つ、ほぼリアルタイムの強力なツールです。 詳細については、「脅威のエクスプローラーについて」と「Microsoft Defender for Office 365でのリアルタイム検出」を参照してください。
脅威エクスプローラーとリアルタイム検出を使用すると、organizationのユーザーを危険にさらすアクティビティを調査し、organizationを保護するためのアクションを実行できます。 以下に例を示します。
- メッセージを検索して削除します。
- 悪意のあるメール送信者の IP アドレスを特定します。
- さらに調査するためにインシデントを開始します。
この記事では、脅威のエクスプローラーとリアルタイム検出を使用して、受信者のメールボックスで悪意のあるメールを見つける方法について説明します。
ヒント
修復手順に直接移動するには、「Office 365で配信された悪意のあるメールを修復する」を参照してください。
脅威エクスプローラーとリアルタイム検出を使用するその他の電子メール シナリオについては、次の記事を参照してください。
はじめに把握しておくべき情報
脅威エクスプローラーは、Defender for Office 365 プラン 2 に含まれています。 リアルタイム検出は、Defender for Office プラン 1 に含まれています。
- 脅威エクスプローラーとリアルタイム検出の違いについては、「脅威のエクスプローラーとMicrosoft Defender for Office 365のリアルタイム検出について」を参照してください。
- Defender for Office 365プラン 2 と Defender for Office プラン 1 の違いについては、「Defender for Office 365 プラン 1 とプラン 2 のチート シート」を参照してください。
1 つ以上の使用可能な値を選択する必要があるフィルター プロパティの場合、すべての値を選択したフィルター条件で プロパティを使用すると、フィルター条件で プロパティを使用しないのと同じ結果になります。
脅威のエクスプローラーとリアルタイム検出のアクセス許可とライセンス要件については、「Threat エクスプローラー とリアルタイム検出のアクセス許可とライセンス」を参照してください。
配信された疑わしいメールを検索する
次のいずれかの手順を使用して、Threat エクスプローラー またはリアルタイム検出を開きます。
- 脅威のエクスプローラー: https://security.microsoft.comの Defender ポータルで、[セキュリティ>エクスプローラー Email &に移動します。 または、エクスプローラー ページに直接移動するには、https://security.microsoft.com/threatexplorerv3を使用します。
- リアルタイム検出: https://security.microsoft.comの Defender ポータルで、[セキュリティ>リアルタイム検出Email &に移動します。 または、[ リアルタイム検出 ] ページに直接移動するには、 https://security.microsoft.com/realtimereportsv3を使用します。
[エクスプローラーまたはリアルタイム検出] ページで、適切なビューを選択します。
- 脅威エクスプローラー: [すべてのメール] ビューが選択されていることを確認します。
- リアルタイム検出: [マルウェア] ビュー が選択されていることを確認するか、[ フィッシング] ビューを選択します。
日付/時刻範囲を選択します。 既定値は昨日と今日です。
次の対象となるプロパティと値の一部またはすべてを使用して、1 つ以上のフィルター条件を作成します。 完全な手順については、「脅威のエクスプローラーとリアルタイム検出のプロパティ フィルター」を参照してください。 以下に例を示します。
配信アクション: 既存のポリシーまたは検出に起因する電子メールに対して実行されるアクション。 便利な値は次のとおりです。
- 配信済み: Emailユーザーの受信トレイまたはユーザーがメッセージにアクセスできる他のフォルダーに配信されます。
- 迷惑メール: Emailユーザーの [迷惑メール] Email フォルダーまたはユーザーがメッセージにアクセスできる [削除済みアイテム] フォルダーに配信されます。
- ブロック: 検疫されたメッセージ、配信に失敗したメッセージ、または削除されたメッセージをEmailします。
元の配信場所: システムまたは管理者による自動または手動の配信後アクション ( ZAP や検疫への移動など) の前にメールが送信された場所。 便利な値は次のとおりです。
- 削除済みアイテム フォルダー
- 削除: メール フローのどこかでメッセージが失われました。
- 失敗: メッセージがメールボックスに到達できませんでした。
- 受信トレイ/フォルダー
- [Junk folder (迷惑メール フォルダー)]
- オンプレミス/外部: メールボックスは Microsoft 365 organizationに存在しません。
- 検疫
- 不明: たとえば、配信後、受信トレイ ルールは、受信トレイまたは迷惑メール Email フォルダーではなく、既定のフォルダー (下書きやアーカイブなど) にメッセージを移動しました。
最後の配信場所: システムまたは管理者による自動または手動の配信後のアクションの後にメールが終了した場所。 元の配信場所から同じ値を使用できます。
方向: 有効な値は次のとおりです。
- 受信
- 組織内
- 送信
この情報は、なりすましと偽装を識別するのに役立ちます。 たとえば、内部ドメインの送信者からのメッセージは、受信ではなく組織内である必要があります。
追加アクション: 有効な値は次のとおりです。
- 自動修復 (プラン 2 Defender for Office 365)
- 動的配信: 詳細については、「 安全な添付ファイル ポリシーでの動的配信」を参照してください。
- 手動修復
- なし
- 検疫のリリース
- 再処理: メッセージはさかのぼって良好と識別されました。
- ZAP: 詳細については、Microsoft Defender for Office 365の「0 時間自動消去 (ZAP)」を参照してください。
プライマリオーバーライド: organizationまたはユーザー設定が、それ以外の場合はブロックまたは許可されたメッセージを許可またはブロックした場合。 値は次のとおりです。
- organization ポリシーで許可
- ユーザー ポリシーで許可される
- organization ポリシーによってブロックされる
- ユーザー ポリシーによってブロックされる
- なし
これらのカテゴリは、 プライマリ オーバーライド ソース プロパティによってさらに改良されます。
プライマリ オーバーライド ソースorganizationポリシーまたはユーザー設定の種類。それ以外の場合はブロックまたは許可されたメッセージを許可またはブロックします。 値は次のとおりです。
- サード パーティ製フィルター
- 開始されたタイム トラベル管理
- ファイルの種類別のマルウェア対策ポリシー ブロック: マルウェア対策ポリシーの一般的な添付ファイル フィルター
- スパム対策ポリシー設定
- 接続ポリシー: 接続フィルター処理を構成する
- Exchange トランスポート ルール (メール フロー ルール)
- 排他モード (ユーザーのオーバーライド) : メールボックスのセーフ リスト コレクションの [差出人とドメインのセーフ リスト] と [セーフ メーリング リスト] の [アドレスからの信頼メールのみ] 設定。
- オンプレミスのorganizationが原因でフィルター処理がスキップされました
- ポリシーからの IP リージョン フィルター: [From these countries]\(これらの国から \) は 、スパム対策ポリシーでフィルター処理します。
- ポリシーからの言語フィルター: スパム対策ポリシーの [特定の言語を含む] フィルター。
- フィッシング シミュレーション: 高度な配信ポリシーでサードパーティ製のフィッシング シミュレーションを構成する
- 検疫のリリース: 検疫済みメールをリリースする
- SecOps メールボックス: 高度な配信ポリシーで SecOps メールボックスを構成する
- 送信者アドレス一覧 (管理上書き):スパム対策ポリシーで許可されている送信者の一覧またはブロックされた送信者の一覧。
- 送信者アドレス一覧 (ユーザーの上書き):メールボックスのセーフリスト コレクションの [ブロックされた送信者] リストの送信者の電子メール アドレス。
- 送信者ドメイン リスト (管理オーバーライド):スパム対策ポリシーの許可されたドメインの一覧またはブロックされたドメインの一覧。
- 送信者ドメイン の一覧 (ユーザーのオーバーライド): メールボックスのセーフリスト コレクションの [ブロックされた送信者] リスト内の送信者ドメイン。
- テナント許可/ブロック リスト ファイル ブロック: ファイルのブロック エントリを作成する
- テナントの許可/ブロック リストの送信者の電子メール アドレス ブロック: ドメインとメール アドレスのブロック エントリを作成する
- テナント許可/ブロック リストのスプーフィング ブロック: スプーフィングされた送信者のブロック エントリを作成する
- テナント許可/ブロック リスト URL ブロック: URL のブロック エントリを作成する
- 信頼された連絡先リスト (ユーザーの上書き):メールボックスのセーフリスト コレクションの [連絡先からのメールを信頼する] 設定。
- テナント許可/ブロック リスト ファイル ブロック: ファイルのブロック エントリを作成する
- 信頼されたドメイン (ユーザーのオーバーライド) : メールボックスのセーフリスト コレクションの [差出人セーフ リスト] リスト内の送信者ドメイン。
- 信頼された受信者 (ユーザーの上書き):メールボックスのセーフリスト コレクションの [安全な受信者] リスト内の受信者のメール アドレスまたはドメイン。
- 信頼された送信者のみ (ユーザーのオーバーライド): [セーフ Listsのみ]: [差出人セーフ リスト] または [安全な受信者リスト] のユーザーまたはドメインからのメールのみが、メールボックスのセーフリスト コレクションの [受信トレイ] 設定に配信されます。
オーバーライド ソース: プライマリ オーバーライド ソースと同じ使用可能な値。
URL 脅威: 有効な値は次のとおりです。
- Malware
- フィッシング
- スパム
日付/時刻とプロパティ フィルターの構成が完了したら、[更新] を選択 します。
[すべてのメール]、[マルウェア]、または [フィッシング] ビューの詳細領域にある [Email] タブ (ビュー) には、疑わしいメールを調査するために必要な詳細が含まれています。
たとえば、[Email] タブ (ビュー) の [配信アクション] 列、[元の配信場所] 列、および [最終配信場所] 列を使用して、影響を受けるメッセージの場所の全体像を取得します。 値については、手順 4 で説明しました。
Export を使用して、最大 200,000 個のフィルター処理された結果またはフィルター処理されていない結果を CSV ファイルに選択的にエクスポートします。
配信された悪意のあるメールを修復する
配信された悪意のあるメール メッセージを特定したら、受信者メールボックスから削除できます。 手順については、「 Microsoft 365 で配信された悪意のあるメールを修復する」を参照してください。
関連記事
Office 365 で配信された悪意のあるメールを修復する