次の方法で共有

Office 365 で配信された悪意のあるメールを修復する

ヒント

Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。

修復とは、脅威に対して所定のアクションを実行することを意味します。 organizationに送信された悪意のあるメールは、システム、0 時間の自動消去 (ZAP)、またはセキュリティ チームによって、受信トレイへの移動迷惑メールへの移動削除済みアイテムへの移動論理的な削除ハード削除などの修復アクションを通じてクリーンアップできます。 Microsoft Defender for Office 365 Plan 2/E5 を使用すると、セキュリティ チームは、手動および自動調査を通じて、電子メールとコラボレーション機能の脅威を修復できます。

開始する前に知っておくべきこと

  • サービスの安定性とパフォーマンスを確保するのに役立つ大規模な修復には調整制限があります。

    • 組織の制限: アクティブな同時電子メール修復の最大数は 50 です。 制限に達すると、一部のアクションが完了するまで新しい修復はトリガーされません。
    • Emailメッセージの制限: アクティブな修復に 100 万を超える電子メール メッセージが含まれる場合、新しい電子メールの修復は許可されません。
    • 修復の受信者の要件:
      • 選択した受信者の合計割合は、修復の電子メール メッセージの合計数の少なくとも 40% である必要があります。 たとえば、1 つのメールが 5 人の受信者に送信された場合、エクスプローラー (Threat エクスプローラー) によって 5 つの電子メール メッセージとしてカウントされます。 修復で 5,000 件の電子メール メッセージを削除する必要がある場合、修復は少なくとも 2,000 人の受信者を対象にする必要があります。
      • 受信者数が電子メール メッセージの合計数の 40% 未満の場合、修復を使用して、1 人の受信者に送信された 1,000 を超えるメッセージを削除することはできません。

  • この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 管理者は電子メール メッセージに対して必要なアクションを実行できますが、それらのアクションを承認するには 、検索と消去 の役割が必要です。 検索および消去ロールを割り当てるには、次のオプションがあります。

  • https://security.microsoft.com/securitysettings/endpoints/integrationで自動調査が有効になっていることを確認します。

手動修復と自動修復

手動ハンティングは、セキュリティ チームがエクスプローラー (脅威エクスプローラー) の検索機能とフィルター処理機能を使用して脅威を手動で特定するときに発生します。 修復が必要な一連のメールを特定した後、電子メール ビュー (マルウェアフィッシング、または すべてのメール) を使用して、手動の電子メールの修復をトリガーできます。

日付別のエクスプローラー (脅威エクスプローラー) での手動ハンティングのスクリーンショット。

セキュリティ チームは、エクスプローラーを使用して、いくつかの方法で電子メールを選択できます。

  • 手動でメールを選択する: さまざまなビューでフィルターを使用します。 修復するには、最大 100 件のメールを選択します。

  • クエリの選択: 上部の [すべて選択] ボタンを使用して、クエリ全体 を選択 します。 アクション センターのメール送信の詳細にも、同じクエリが表示されます。 顧客は、エクスプローラーから最大 200,000 件のメールを送信できます。

  • 除外を含むクエリの選択: セキュリティ運用チームが、クエリ全体を選択し、クエリから特定のメールを手動で除外することで、メールを修復したい場合があります。 これを行うには、管理者は [すべてのチェックを選択] ボックスを使用し、下にスクロールしてメールを手動で除外できます。 クエリでは、最大 200,000 件のメールを保持できます。

エクスプローラーでメールが選択されたら、直接アクションを実行するか、アクションの電子メールをキューに入れて修復を開始できます。

  • 直接承認: 適切なアクセス許可を持つセキュリティ担当者によって 、受信トレイへの移動迷惑メールへの移動削除済みアイテムへの移動論理的な削除またはハード削除 などのアクションがセキュリティ担当者によって選択され、修復の次の手順に従うと、修復プロセスが選択したアクションの実行を開始します。

    注:

    修復が開始されると、アラートと調査が並列で生成されます。 アラートがアラート キューに表示され、"管理者によって送信された管理アクション" という名前が付けられます。これは、セキュリティ担当者がエンティティを修復するアクションを実行したことを示唆しています。 アクションを実行したユーザーの名前、調査リンクのサポート、時刻などの詳細が表示されます。エンティティに対して修復のような過酷なアクションが実行されるたびに、非常に適切に把握できます。 これらのアクションはすべて、[アクション] & [申請>アクション センター>History] タブ (パブリック プレビュー) で追跡できます。

  • 2 段階認証: 適切なアクセス許可を持っていない管理者、またはアクションの実行を待機する必要がある管理者は、"修復に追加" アクションを実行できます。 この場合、対象となるメールが修復コンテナーに追加されます。 修復を実行する前に承認が必要です。

自動調査と応答アクションは、アラートまたはエクスプローラーからのセキュリティ運用チームによってトリガーされます。 これらの結果には、セキュリティ運用チームによって承認する必要がある推奨される修復アクションが含まれる場合があります。 これらのアクションは、自動調査の [ アクション ] タブに含まれます。

ZAP の実行時間を示す Zapped ページでマルウェアを使用してEmailします。

エクスプローラー、高度なハンティング、または自動調査によって作成されたすべての修復 (直接承認) は、アクション センターの [アクション & 申請>Action center>History タブ (https://security.microsoft.com/action-center/history) に表示されます。

2 段階の承認プロセスを使用した承認待ちの手動アクション (1 人のセキュリティ操作チーム メンバーによって修復に追加され、別のセキュリティ操作チーム メンバーによって確認および承認された) は、[ Actions & Submissions>Action center>Pending タブ (https://security.microsoft.com/action-center/pending) に表示されます。 承認後、[ Actions & Submissions>Action center>History タブ (https://security.microsoft.com/action-center/history) に表示されます。

統合アクション センターには、30 日間の修復アクションが表示されます。

統合アクション センターには、過去 30 日間の修復アクションが表示されます。 エクスプローラーによって実行されたアクションは、修復の作成時にセキュリティ運用チームが指定した名前と、承認 ID である調査 ID によって一覧表示されます。 自動調査によって実行されるアクションには、 Zap 電子メール クラスターなど、調査をトリガーした関連アラートで始まるタイトルがあります。

修復項目を開いて、その修復名、承認 ID、調査 ID、作成日、説明、状態、アクション ソース、アクションの種類など、その詳細を表示します。 また、アクションの詳細、電子メール クラスターの詳細、アラート、インシデントの詳細を含むサイド ウィンドウも開きます。

  • [調査] ページを開く: より少ない詳細とタブを含む管理者調査を開きます。 関連アラート、修復用に選択されたエンティティ、実行されたアクション、修復状態、エンティティ数、ログ、アクションの承認者などの詳細が表示されます。 管理者が手動で行った調査を手動で追跡し、管理者によって行われた選択の詳細が含まれます。調査とアラートに対処する必要はありません (既に承認済み状態です)。

  • Email数: エクスプローラー経由で送信された電子メール メッセージの数を表示します。 これらのメッセージは、アクション可能であるか、アクション可能でない場合があります。

  • アクション ログ: 成功、失敗、既に移行先にある修復状態の詳細が表示されます。

    [受信トレイに移動] オプションが開いているアクション センター。

    • アクション可能: 次のクラウド メールボックスの場所にあるEmailを操作して移動できます。

      • 受信トレイ
      • 迷惑メール*
      • 削除済みアイテム フォルダー*
      • 回復可能なアイテム\削除フォルダー (論理的に削除されたアイテム)*
      • 検疫する

      * 検疫済みアイテムには使用できません。

    • 操作不可: 次の場所のEmailは、修復アクションで操作または移動できません。

      • ハード削除されたフォルダー
      • オンプレミス/外部
      • Failed/drop
      • 不明

    • サポートされている移動アクションと削除アクションの種類:

      • 迷惑メール フォルダーに移動する: ユーザーの迷惑メール Email フォルダーにメッセージを移動します。

      • 受信トレイに移動する: ユーザーの受信トレイ フォルダーにメッセージを移動します。

      • 削除済みアイテムに移動する: メッセージをユーザーの [削除済みアイテム] フォルダーに移動します。

      • 論理的な削除: 削除済みアイテム フォルダーからメッセージを削除します ([回復可能なアイテム]\[削除] フォルダーに移動します)。 メッセージは、ユーザーと管理者が回復できます。

        送信者のコピーを削除する: 送信者がorganizationの場合は、送信者の [送信済みアイテム] フォルダーからメッセージを論理的に削除してみてください。

      • ハード削除: 削除されたメッセージを消去します。 管理者は、単一アイテムの回復を使用して、ハード削除されたアイテムを回復できます。 ハード削除済みアイテムと論理的に削除されたアイテムの詳細については、「 論理的に削除されたアイテムとハード削除されたアイテム」を参照してください。

    注:

    米国政府機関 (Microsoft 365 GCC、GCC High、DoD) の管理者は、 論理的な削除迷惑メール フォルダーへの移動削除済みアイテムへの移動ハード削除および受信トレイへの移動を実行できます。 [ 送信者のコピーを削除 する] アクションと [検疫フォルダーから 受信トレイに移動 ] は使用できません。

    疑わしいメッセージは、修復可能または修復不可のいずれかに分類されます。 ほとんどの場合、修復可能なメッセージと修復不可能なメッセージの合計は、送信されたメッセージの合計数と等しくなります。 ただし、システムの遅延、タイムアウト、またはメッセージの期限切れのため、合計が一致しない可能性があります。 メッセージは、organizationのエクスプローラー保有期間に基づいて期限切れになります。

    organizationのエクスプローラー保持期間後に古いメッセージを修復しない限り、番号の不整合が発生した場合は、アイテムの修復を再試行することをお勧めします。 システムの遅延の場合、修復の更新は通常、数時間以内に更新されます。

    エクスプローラーのメールのorganizationの保持期間が 30 日で、29 日から 30 日前のメールを修復している場合、メールの送信数が常に加算されるとは限りません。 電子メールは、既に保持期間の外に移動し始めている可能性があります。

    修復がしばらく "進行中" 状態で停止している場合は、システムの遅延が原因である可能性があります。 修復には数時間かかる場合があります。 一部のメールは、システムの遅延のために修復の開始時にクエリが含まれていない可能性があるため、メール送信数にバリエーションが表示される場合があります。 このような場合は、修復を再試行することをお勧めします。

    ヒント

    最適な結果を得るには、50,000 以下のバッチで修復を行う必要があります。

    修復中は、修復可能な電子メール メッセージのみが処理されます。 Microsoft 365 によって修復できない電子メールは、クラウド メールボックスに格納されません。

    管理者は、必要に応じて検疫中のメールに対してアクションを実行できますが、手動で消去されていないメールは検疫から期限切れになります。 既定では、悪意のあるコンテンツのために検疫されたメールにはユーザーがアクセスできないため、セキュリティ担当者は検疫の脅威を取り除くためのアクションを実行する必要はありません。 メールがオンプレミスまたは外部の場合は、疑わしいメールに対処するためにユーザーに連絡できます。 または、管理者は、削除のために個別の電子メール サーバー/セキュリティ ツールを使用できます。 これらの電子メールは、配信場所 = エクスプローラーのオンプレミス外部フィルターを適用することで識別できます。 失敗または削除されたメール、またはユーザーがアクセスできないメールの場合、これらのメールはメールボックスに到達しないため、軽減するメールはありません。

  • アクション ログ: 修復されたメッセージ、成功したメッセージ、失敗したメッセージが既に宛先に表示されます。

    状態は次の場合があります。

    • 開始: 修復がトリガーされます。
      • キューに入れられます: 修復は、電子メールの軽減のためにキューに入れられます。
      • 進行中: 軽減策が進行中です。
      • 完了: すべての修復可能なメールの軽減策が正常に完了したか、一部のエラーが発生しました。
      • 失敗: 修復が成功しなかった。

    修復可能なメールのみを処理できるため、各メールのクリーンアップは成功または失敗として表示されます。 修復可能な電子メールの合計から、成功した軽減策と失敗した軽減策が報告されます。

    • 成功: 修復可能なメールに対して必要なアクションが実行されました。 たとえば、管理者はメールボックスからメールを削除する必要があるため、管理者は電子メールを論理的に削除するアクションを実行します。 アクションの実行後に修復可能なメールが元のフォルダーに見つからない場合、状態は正常に表示されます。

    • 失敗: 修復可能な電子メールに対する必要なアクションが失敗しました。 たとえば、管理者はメールボックスからメールを削除する必要があるため、管理者は電子メールを論理的に削除するアクションを実行します。 アクションの実行後も修復可能なメールがメールボックスに見つかった場合、状態は失敗として表示されます。

    • [既に宛先] : 目的のアクションが既にメールに対して実行されているか、メールが宛先の場所に既に存在していました。 たとえば、1 日目にエクスプローラーを通じて管理者によって電子メールが論理的に削除されました。 その後、同様のメールが 2 日目に表示され、管理者によって再び論理的に削除されます。これらのメールを選択すると、管理者は、既に論理的に削除されている 1 日目からいくつかのメールを選択します。 これで、これらのメッセージは処理されません。 代わりに、移動先の場所に存在するアクションが実行されなかったため、[既に宛先] と表示されます。

    • 新規: アクション ログ に [既にコピー先 ] 列が追加されました。 この機能では、エクスプローラーの最新の配信場所を使用して、メールが既に修復されているかどうかを通知します。 宛先に既に 存在すると、セキュリティ チームは、まだ対処する必要があるメッセージの合計数を理解するのに役立ちます。

アクションは、エクスプローラーの受信トレイ、迷惑メール、削除済み、および論理的に削除されたフォルダー内のメッセージに対してのみ実行できます。 新しい列のしくみの例を次に示します。 論理的な削除アクションは、受信トレイに存在するメッセージに対して実行され、メッセージはポリシーに従って処理されます。 次に論理的な削除を実行すると、このメッセージは列 'Already in destination' の下に表示され、再びアドレス指定する必要がないことを示します。

アクション ログ内の任意の項目を選択して、修復の詳細を表示します。 詳細に [メールボックスで成功] または [見つからない] が表示されている場合、そのアイテムはメールボックスから既に削除されています。 修復中にシステム エラーが発生することがあります。 このような場合は、修復アクションを再試行することをお勧めします。

大量のメールを修復する必要がある場合は、メールの送信を介して修復のために送信されたメッセージをエクスポートし、アクション ログを介して修復されたメッセージをエクスポートします。 エクスポート制限は 100,000 レコードに増加します。

管理者は、電子メール メッセージを [迷惑メール]、[受信トレイ]、[削除済みアイテム] フォルダーに移動するなどの修復アクションを実行し、高度なハンティング ページから論理的な削除やハード削除などのアクションを削除できます。

[高度なハンティング]、[アクションの実行] パネルで、任意のアクションを選択できます。

修復は、脅威を軽減し、疑わしいメールに対処し、organizationをセキュリティで保護するのに役立ちます。