Microsoft Defender for Office 365 プラン 2 の自動調査と対応 (AIR) の例
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Microsoft Defender for Office 365 プラン 2 (E5 などの Microsoft 365 ライセンスまたはスタンドアロン サブスクリプションに含まれる) の自動調査と対応 (AIR) により、SecOps チームはより効率的かつ効果的に運用できます。 AIR には、既知の脅威に対する自動調査が含まれており、推奨される修復アクションが提供されます。 SecOps チームは、証拠を確認し、推奨されるアクションを承認または拒否できます。 AIR の詳細については、Microsoft Defender for Office 365 プラン 2 の「自動調査と応答 (AIR)」を参照してください。
この記事では、いくつかの例を通じて AIR のしくみについて説明します。
- 例: ユーザーが報告したフィッシング メッセージが調査プレイブックを起動する
- 例: セキュリティ管理者が脅威エクスプローラーから調査を開始する
- 例: セキュリティ運用チームは、Office 365 Management Activity API を使用して AIR と SIEM を統合します
例: ユーザーが報告したフィッシング メッセージが調査プレイブックを起動する
ユーザーは、フィッシング詐欺のようなメールを受け取ります。 ユーザーは、Microsoft Report Message または Report Phishing アドインを使用してメッセージを報告します。これにより、ユーザーによってマルウェアまたはフィッシング アラート ポリシーとして報告されたEmailによってトリガーされるアラートが生成され、調査プレイブックが自動的に起動されます。
報告された電子メール メッセージのさまざまな側面が評価されます。 以下に例を示します。
- 特定された脅威の種類
- メッセージを送信したユーザー
- メッセージが送信された場所 (送信インフラストラクチャ)
- メッセージの他のインスタンスが配信されたかブロックされたか
- 同様のメッセージとその判定を含む、電子メール クラスタリングを通じたテナントランドスケープ
- メッセージが既知のキャンペーンに関連付けられているかどうか
- 他多数の機能。
プレイブックは、アクションが必要ない申請を評価して自動的に解決します (ユーザーが報告したメッセージで頻繁に発生します)。 残りの送信では、元のメッセージと関連 するエンティティ (添付ファイル、含まれている URL、受信者など) に対して実行する推奨されるアクションの一覧が提供されます。
- 電子メール クラスター検索を使用して、同様の電子メール メッセージを特定します。
- 不審なメール メッセージ内の悪意のあるリンクをクリックしたユーザーがあるかどうかを判断します。
- リスクと脅威が割り当てられます。 詳細については、「 自動調査の詳細と結果」を参照してください。
- 修復手順。 詳細については、「Microsoft Defender for Office 365の修復アクション」を参照してください。
例: セキュリティ管理者が脅威エクスプローラーから調査を開始する
[すべての電子メール]、[マルウェア]、または [フィッシング] ビューのhttps://security.microsoft.com/threatexplorerv3でエクスプローラー (脅威のエクスプローラー) にいます。 グラフの下の詳細領域の [Email] タブ (ビュー) にあります。 調査するメッセージを選択するには、次のいずれかの方法を使用します。
テーブル内の 1 つ以上のエントリを選択するには、最初の列の横にある [チェック] ボックスを選択します。
アクションの実行 は、タブで直接使用できます。![メッセージが選択され、[アクションの実行] がアクティブになっている詳細テーブルのEmail ビュー (タブ) のスクリーンショット。](media/te-rtd-all-email-view-take-action.png)
テーブル内のエントリの Subject 値をクリックします。 開く詳細ポップアップには、ポップアップの上部に
Take アクション が含まれています。![[すべての電子メール] ビューの詳細領域の [Email] タブで [件名] の値を選択した後、詳細タブで使用できるアクション。](media/te-rtd-all-email-view-email-tab-details-area-subject-details-flyout-actions-only.png)
![メッセージが選択され、[アクションの実行] がアクティブになっている詳細テーブルのEmail ビュー (タブ) のスクリーンショット。](media/te-rtd-all-email-view-take-action.png#lightbox)
![[すべての電子メール] ビューの詳細領域の [Email] タブで [件名] の値を選択した後、詳細タブで使用できるアクション。](media/te-rtd-all-email-view-email-tab-details-area-subject-details-flyout-actions-only.png#lightbox)
[ 操作の実行] を選択した後、[ 自動調査の開始] を選択します。 詳細については、「Email修復」を参照してください。
アラートによってトリガーされるプレイブックと同様に、脅威エクスプローラーからトリガーされる自動調査には次が含まれます。
- ルート調査。
- 脅威を特定して関連付ける手順。 詳細については、「 自動調査の詳細と結果」を参照してください。
- 脅威を軽減するための推奨アクション。 詳細については、「Microsoft Defender for Office 365の修復アクション」を参照してください。
例: セキュリティ運用チームは、Office 365 Management Activity API を使用して AIR と SIEM を統合します
Defender for Office 365 Plan 2 の AIR 機能には、SecOps チームが脅威の監視と対処に使用できるレポートと詳細が含まれています。 ただし、AIR 機能を他のソリューションと統合することもできます。 以下に例を示します。
- セキュリティ情報とイベント管理 (SIEM) システム。
- ケース管理システム。
- カスタム レポート ソリューション。
これらのソリューションとの統合には、Office 365 Management Activity API を使用します。
AIR によって既に処理されたユーザーから報告されたフィッシング メッセージからのアラートを SIEM サーバーとケース管理システムに統合するカスタム ソリューションの例については、「Tech Community ブログ: Microsoft Defender for Office 365 と Office 365 Management API を使用して SOC の有効性を向上させる」を参照してください。
統合ソリューションにより、誤検知の数が大幅に減り、SecOps チームは実際の脅威に時間と労力を集中できます。