Microsoft Defender for Office 365 での脅威エクスプローラーとリアルタイム検出について
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。
Microsoft Defender for Office 365 がサブスクリプションに含まれている、またはアドオンとして購入された Microsoft 365 組織には、エクスプローラー (脅威エクスプローラーとも呼ばれます) またはリアルタイム検出があります。 これらの機能は、セキュリティ運用 (SecOps) チームが脅威を調査して対応するのに役立つ、ほぼリアルタイムの強力なレポート ツールです。
サブスクリプションに応じて、脅威エクスプローラーまたはリアルタイム検出は、https://security.microsoft.comの Microsoft Defender ポータルの [電子メール & コラボレーション] セクションで使用できます。
リアルタイム検出 は、 Defender for Office 365 プラン 1 で利用できます。 [ リアルタイム検出 ] ページは、 https://security.microsoft.com/realtimereportsv3で直接使用できます。
脅威エクスプローラー は、 Defender for Office 365 プラン 2 で使用できます。 [エクスプローラー] ページは、https://security.microsoft.com/threatexplorerv3で直接使用できます。
Threat Explorer には、リアルタイム検出と同じ情報と機能が含まれていますが、次の追加機能があります。
- その他のビュー。
- クエリを保存するオプションなど、その他のプロパティ フィルター オプション。
- その他のアクション。
Defender for Office 365 プラン 1 とプラン 2 の違いの詳細については、 Defender for Office 365 プラン 1 とプラン 2 のチート シートを参照してください。
この記事の残りの部分では、脅威エクスプローラーとリアルタイム検出で使用できるビューと機能について説明します。
ヒント
Threat Explorer とリアルタイム検出を使用したメール シナリオについては、次の記事を参照してください。
Threat Explorer とリアルタイム検出のアクセス許可とライセンス
エクスプローラーまたはリアルタイム検出を使用するには、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
- Microsoft Defender XDR 統合ロールベースのアクセス制御 (RBAC) (電子メール & コラボレーションの場合>Office 365 の既定のアクセス許可は
アクティブです。PowerShell ではなく Defender ポータルにのみ影響します。
- 電子メールと Teams メッセージ ヘッダーの読み取りアクセス: セキュリティ操作/未加工データ (電子メール & コラボレーション)/電子メール & コラボレーション メタデータ (読み取り)。
- 電子メール メッセージのプレビューとダウンロード: セキュリティ操作/生データ (電子メール & コラボレーション)/電子メール & コラボレーション コンテンツ (読み取り)。
- 悪意のあるメールを修復する: セキュリティ操作/セキュリティ データ/電子メール & コラボレーションの高度なアクション (管理)。
- Microsoft Defender ポータル & コラボレーションのアクセス許可を電子メールで送信します。
- フル アクセス: 組織の管理 または セキュリティ管理者 の役割グループのメンバーシップ。 使用可能なすべてのアクションを実行するには、さらに多くのアクセス許可が必要です。
- メッセージのプレビューとダウンロード: プレビュー ロールが必要です。これは、既定で Data Investigator または 電子情報開示マネージャー の役割グループにのみ割り当てられます。 または、プレビュー ロールが割り当てられた新しいロール グループを作成し、ユーザーをカスタム ロール グループに追加することもできます。
- メールボックスにメッセージを移動し、メールボックスからメッセージを削除する: 既定では、データ調査または組織管理の役割グループにのみ割り当てられている検索と消去の役割が必要です。 または、検索ロールと消去ロールが割り当てられた新しいロール グループを作成し、ユーザーをカスタム ロール グループに追加できます。
- 読み取り専用アクセス: セキュリティ閲覧者 ロール グループのメンバーシップ。
- フル アクセス: 組織の管理 または セキュリティ管理者 の役割グループのメンバーシップ。 使用可能なすべてのアクションを実行するには、さらに多くのアクセス許可が必要です。
- Microsoft Entra のアクセス許可: メンバーシップこれらのロールは、Microsoft 365 の他の機能に必要なアクセス許可 と アクセス許可をユーザーに付与します。
フル アクセス: グローバル管理者ロール*セキュリティ管理者ロールのメンバーシップ。
[脅威エクスプローラー: セキュリティ管理者またはセキュリティ閲覧者ロールのメンバーシップ] で、Exchange メール フロー ルール (トランスポート ルール) を名前で検索します。
読み取り専用アクセス: グローバル閲覧者 ロールまたは セキュリティ閲覧者 ロールのメンバーシップ。
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。
ヒント
監査ログ エントリは、管理者が電子メール メッセージをプレビューまたはダウンロードするときに生成されます。 AdminMailAccess アクティビティについては、ユーザー別に管理者監査ログを検索できます。 手順については、「 新しい検索の監査」を参照してください。
Threat Explorer またはリアルタイム検出を使用するには、Defender for Office 365 (サブスクリプションまたはアドオン ライセンスに含まれる) のライセンスを割り当てる必要があります。
脅威エクスプローラーまたはリアルタイム検出には、Defender for Office 365 ライセンスが割り当てられているユーザーのデータが含まれています。
脅威エクスプローラーとリアルタイム検出の要素
Threat Explorer とリアルタイム検出には、次の要素が含まれています。
ビュー: 脅威別に検出を整理するページの上部にあるタブ。 ビューは、ページ上のデータとオプションの残りの部分に影響します。
次の表に、Threat Explorer で使用可能なビューとリアルタイム検出の一覧を示します。
View 脅威
エクスプローラーリアルタイム
検出説明 すべてのメール ✔ Threat Explorer の既定のビュー。 外部ユーザーが組織内に送信したすべての電子メール メッセージ、または組織内の内部ユーザー間で送信された電子メールに関する情報。 Malware ✔ ✔ リアルタイム検出の既定のビュー。 マルウェアを含む電子メール メッセージに関する情報。 フィッシング ✔ ✔ フィッシングの脅威を含む電子メール メッセージに関する情報。 キャンペーン ✔ Defender for Office 365 Plan 2 が 調整されたフィッシングまたはマルウェア キャンペーンの一部として識別された悪意のあるメールに関する情報。 コンテンツマルウェア ✔ ✔ 次の機能によって検出された悪意のあるファイルに関する情報: URL のクリック ✔ 電子メール メッセージ、Teams メッセージ、SharePoint ファイル、OneDrive ファイルの URL をクリックしたユーザーに関する情報。 これらのビューについては、脅威エクスプローラーとリアルタイム検出の違いなど、この記事で詳しく説明します。
日付/時刻フィルター: 既定では、ビューは昨日と今日でフィルター処理されます。 日付フィルターを変更するには、日付範囲を選択し、[ 開始日 ] と [ 終了日 ] の値を最大 30 日前まで選択します。
プロパティ フィルター (クエリ): ビューの結果を、使用可能なメッセージ、ファイル、または脅威のプロパティでフィルター処理します。 使用可能なフィルター可能なプロパティは、ビューによって異なります。 一部のプロパティは多くのビューで使用でき、他のプロパティは特定のビューに制限されています。
この記事では、脅威エクスプローラーとリアルタイム検出の違いなど、各ビューで使用できるプロパティ フィルターを示します。
プロパティ フィルターを作成する手順については、「Threat Explorer でのプロパティ フィルターとリアルタイム検出」を参照してください。
Threat Explorer では、「Threat Explorer で保存されたクエリ」セクションで説明されているように、後で使用するために クエリを保存 できます。
グラフ: 各ビューには、フィルター処理されたデータまたはフィルター処理されていないデータの視覚的な集計表現が含まれています。 使用可能なピボットを使用して、さまざまな方法でグラフを整理できます。
多くの場合、
Export グラフ データ を使用して、フィルター処理またはフィルター処理されていないグラフ データを CSV ファイルにエクスポートできます。
この記事では、脅威エクスプローラーとリアルタイム検出の違いなど、グラフと使用可能なピボットについて詳しく説明します。
ヒント
ページからグラフを削除するには (詳細領域のサイズを最大化します)、次のいずれかの方法を使用します。
- ページの上部にある [
グラフ ビュー>
リスト ビュー ] を選択します。
- [
グラフと詳細領域の間のリスト ビューを表示する] を選択します。
- ページの上部にある [
詳細領域: ビューの詳細領域には、通常、フィルター処理されたデータまたはフィルター処理されていないデータを含むテーブルが表示されます。 使用可能なビュー (タブ) を使用して、詳細領域のデータをさまざまな方法で整理できます。 たとえば、ビューにはグラフ、マップ、または別のテーブルが含まれている場合があります。
詳細領域にテーブルが含まれている場合は、多くの場合、
Export を使用して、最大 200,000 個のフィルター処理された結果またはフィルター処理されていない結果を CSV ファイルに選択的にエクスポートできます。
ヒント
[エクスポート] ポップアップで、 エクスポート する使用可能なプロパティの一部またはすべてを選択できます。 選択内容はユーザーごとに保存されます。 Incognito または InPrivate 閲覧モードの選択は、Web ブラウザーを閉じるまで保存されます。
Threat Explorer のすべての電子メール ビュー
脅威エクスプローラーの [すべてのメール ] ビューには、外部ユーザーが組織内に送信したすべてのメール メッセージと、組織内の内部ユーザー間で送信された電子メールに関する情報が表示されます。 このビューには、悪意のあるメールと悪意のないメールが表示されます。 例:
- フィッシングまたはマルウェアを特定した電子メール。
- スパムまたは一括として識別される電子メール。
- 脅威なしで識別された電子メール。
このビューは、脅威エクスプローラーの既定値です。 https://security.microsoft.comの Defender ポータルの [エクスプローラー] ページで [すべてのメール] ビューを開くには、[電子メール & コラボレーション>Explorer>[すべてのメール] タブに移動します。または、https://security.microsoft.com/threatexplorerv3を使用して [エクスプローラー] ページに直接移動し、[すべてのメール] タブが選択されていることを確認します。
脅威エクスプローラーの [すべてのメール] ビューのフィルター可能なプロパティ
既定では、プロパティ フィルターはデータに適用されません。 フィルター (クエリ) を作成する手順については、この記事の後半 の「脅威エクスプローラーのフィルターとリアルタイム検出 」セクションで説明します。
[すべてのメール] ビューの [配信アクション] ボックスで使用できるフィルター可能なプロパティを次の表に示します。
プロパティ | 種類 |
---|---|
基本 | |
[送信者のアドレス] | 文字列。 複数の値をコンマで区切ります。 |
受信者 | 文字列。 複数の値をコンマで区切ります。 |
送信者ドメイン | 文字列。 複数の値をコンマで区切ります。 |
受信者ドメイン | 文字列。 複数の値をコンマで区切ります。 |
件名 | 文字列。 複数の値をコンマで区切ります。 |
送信者の表示名 | 文字列。 複数の値をコンマで区切ります。 |
アドレスからの差出人メール | 文字列。 複数の値をコンマで区切ります。 |
ドメインからのメールの送信者 | 文字列。 複数の値をコンマで区切ります。 |
戻りパス | 文字列。 複数の値をコンマで区切ります。 |
戻りパス ドメイン | 文字列。 複数の値をコンマで区切ります。 |
マルウェア ファミリ | 文字列。 複数の値をコンマで区切ります。 |
タグ | 文字列。 複数の値をコンマで区切ります。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。 |
偽装ドメイン | 文字列。 複数の値をコンマで区切ります。 |
偽装ユーザー | 文字列。 複数の値をコンマで区切ります。 |
Exchange トランスポート ルール | 文字列。 複数の値をコンマで区切ります。 |
データ損失防止ルール | 文字列。 複数の値をコンマで区切ります。 |
Context | 1 つ以上の値を選択します。
|
Connector | 文字列。 複数の値をコンマで区切ります。 |
配信アクション | 1 つ以上の値を選択します。
|
追加アクション | 1 つ以上の値を選択します。
|
方向性 | 1 つ以上の値を選択します。
|
検出技術 | 1 つ以上の値を選択します。
|
元の配送場所 | 1 つ以上の値を選択します。
|
最新の配送場所¹ | 元の配信場所と同じ値 |
フィッシングの信頼度レベル | 1 つ以上の値を選択します。
|
プライマリオーバーライド | 1 つ以上の値を選択します。
|
プライマリ オーバーライド ソース | メッセージには、「ソースのオーバーライド」で識別される複数の許可またはブロック のオーバーライドを含めることができます。 最終的にメッセージを許可またはブロックしたオーバーライドは、 プライマリ オーバーライド ソースで識別されます。 1 つ以上の値を選択します。
|
ソースをオーバーライドする | プライマリ オーバーライド ソースと同じ値 |
ポリシーの種類 | 1 つ以上の値を選択します。
|
ポリシー アクション | 1 つ以上の値を選択します。
|
脅威の種類 | 1 つ以上の値を選択します。
|
転送されたメッセージ | 1 つ以上の値を選択します。
|
配布リスト | 文字列。 複数の値をコンマで区切ります。 |
メール サイズ | 整数型 複数の値をコンマで区切ります。 |
詳細設定 | |
インターネット メッセージ ID | 文字列。 複数の値をコンマで区切ります。 メッセージ ヘッダーの [Message-ID ヘッダー] フィールドで使用できます。 値の例を <08f1e0f6806a47b4ac103961109ae6ef@server.domain> します (山かっこに注意してください)。 |
ネットワーク メッセージ ID | 文字列。 複数の値をコンマで区切ります。 メッセージ ヘッダーの X-MS-Exchange-Organization-Network-Message-Id ヘッダー フィールドで使用できる GUID 値。 |
[Sender IP (送信者の IP)] | 文字列。 複数の値をコンマで区切ります。 |
添付ファイル SHA256 | 文字列。 複数の値をコンマで区切ります。 |
クラスター ID | 文字列。 複数の値をコンマで区切ります。 |
アラート ID | 文字列。 複数の値をコンマで区切ります。 |
アラート ポリシー ID | 文字列。 複数の値をコンマで区切ります。 |
キャンペーン ID | 文字列。 複数の値をコンマで区切ります。 |
ZAP URL シグナル | 文字列。 複数の値をコンマで区切ります。 |
Urls | |
URL カウント | 整数型 複数の値をコンマで区切ります。 |
URL domain² | 文字列。 複数の値をコンマで区切ります。 |
URL ドメインとパス² | 文字列。 複数の値をコンマで区切ります。 |
URL² | 文字列。 複数の値をコンマで区切ります。 |
URL パス² | 文字列。 複数の値をコンマで区切ります。 |
URL ソース | 1 つ以上の値を選択します。
|
クリック判定 | 1 つ以上の値を選択します。
|
URL 脅威 | 1 つ以上の値を選択します。
|
ファイル | |
添付ファイル数 | 整数型 複数の値をコンマで区切ります。 |
添付ファイルの名前 | 文字列。 複数の値をコンマで区切ります。 |
ファイルの種類 | 文字列。 複数の値をコンマで区切ります。 |
File Extension | 文字列。 複数の値をコンマで区切ります。 |
File Size | 整数型 複数の値をコンマで区切ります。 |
認証 | |
SPF | 1 つ以上の値を選択します。
|
DKIM | 1 つ以上の値を選択します。
|
DMARC | 1 つ以上の値を選択します。
|
複合 | 1 つ以上の値を選択します。
|
ヒント
¹ 最新の配信場所 には、メッセージに対するエンドユーザーのアクションは含まれません。 たとえば、ユーザーがメッセージを削除した場合、またはメッセージをアーカイブまたは PST ファイルに移動した場合などです。
元の配信場所/Latest 配信場所または配信アクションの値が不明であるシナリオがあります。 例:
- メッセージは配信されました ([配信] アクション は [配信済み] ですが、受信トレイ ルールによって、メッセージが [受信トレイ] フォルダーまたは [迷惑メール] フォルダー (下書きフォルダーやアーカイブ フォルダーなど) 以外の既定のフォルダーに移動されました。
- ZAP は配信後にメッセージを移動しようとしましたが、メッセージが見つかりませんでした (たとえば、ユーザーがメッセージを移動または削除した場合)。
² URL 検索は、別の値が明示的に指定されていない限り、既定では http
にマップされます。 例:
- URL、URL ドメイン、および URLドメインとパスで
http://
プレフィックスを指定して検索すると、同じ結果が表示されます。 - URL で
https://
プレフィックスを検索 します。 値を指定しない場合、http://
プレフィックスが想定されます。 /
URL パス、URL ドメイン、URL ドメイン、およびパス フィールドの先頭と末尾は無視されます。/
URL フィールドの末尾は無視されます。
脅威エクスプローラーの [すべてのメール] ビューのグラフのピボット
グラフには既定のビューがありますが、[ ヒストグラム グラフのピボットの選択] から値を選択して、フィルター処理されたグラフ データまたはフィルター処理されていないグラフ データの編成と表示方法を変更できます。
使用可能なグラフ ピボットについては、次のサブセクションで説明します。
脅威エクスプローラーの [すべてのメール] ビューの配信アクション グラフ ピボット
このピボットは既定では選択されていませんが、[ 配信] アクション は [すべてのメール ] ビューの既定のグラフ ピボットです。
配信アクション ピボットは、指定された日付/時刻範囲とプロパティ フィルターに対してメッセージに対して実行されたアクションによってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各配信アクションの数が表示されます。
脅威エクスプローラーの [すべてのメール] ビューの送信者ドメイン グラフ ピボット
Sender ドメイン ピボットは、指定された日付/時刻範囲とプロパティ フィルターのメッセージ内のドメイン別にグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各送信者ドメインの数が表示されます。
脅威エクスプローラーの [すべてのメール] ビューの [送信者 IP グラフ] ピボット
Sender IP ピボットは、指定された日付/時刻範囲とプロパティ フィルターのメッセージのソース IP アドレスによってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各送信者 IP アドレスの数が表示されます。
脅威エクスプローラーの [すべての電子メール] ビューの検出テクノロジ グラフ ピボット
検出テクノロジ ピボットは、指定した日付/時刻範囲とプロパティ フィルターのメッセージを識別した機能によってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各検出テクノロジの数が表示されます。
脅威エクスプローラーの [すべてのメール] ビューの完全な URL グラフ ピボット
[完全な URL] ピボットは、指定された日付/時刻範囲とプロパティ フィルターのメッセージ内の完全な URL によってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、完全な URL ごとの数が表示されます。
脅威エクスプローラーの [すべてのメール] ビューの URL ドメイン グラフ ピボット
URL ドメイン ピボットは、指定された日付/時刻範囲とプロパティ フィルターのメッセージ内の URL 内のドメイン別にグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各 URL ドメインの数が表示されます。
脅威エクスプローラーの [すべてのメール] ビューの URL ドメインとパス チャートピボット
URL ドメインとパス ピボットは、指定された日付/時刻範囲とプロパティ フィルターのメッセージ内の URL 内のドメインとパスによってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各 URL ドメインとパスの数が表示されます。
脅威エクスプローラーの [すべてのメール] ビューの詳細領域のビュー
[すべての電子メール] ビューの詳細領域にある使用可能なビュー (タブ) については、次のサブセクションで説明します。
脅威エクスプローラーの [すべてのメール] ビューの詳細領域の電子メール ビュー
[電子メール ] は、[ すべてのメール ] ビューの詳細領域の既定のビューです。
[電子メール] ビューには、詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定値にはアスタリスク (*) が付いています。
- 日付*
- 件名*
- 受信者*
- 受信者ドメイン
- タグ*
- 送信者アドレス*
- 送信者の表示名
- 送信者ドメイン*
- [Sender IP (送信者の IP)]
- アドレスからの差出人メール
- ドメインからのメールの送信者
- その他のアクション*
- 配信アクション
- 最新の配送場所*
- 元の配送場所*
- システムがソースをオーバーライドする
- システムオーバーライド
- アラート ID
- インターネット メッセージ ID
- ネットワーク メッセージ ID
- メール言語
- Exchange トランスポート ルール
- Connector
- Context
- データ損失防止ルール
- 脅威の種類*
- 検出技術
- 添付ファイル数
- URL カウント
- メール サイズ
ヒント
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- ビューから列を削除します。
- Web ブラウザーで縮小します。
カスタマイズされた列設定は、ユーザーごとに保存されます。 Incognito または InPrivate 閲覧モードのカスタマイズされた列設定は、Web ブラウザーを閉じるまで保存されます。
最初の列の横にあるチェック ボックスをオンにして一覧から 1 つ以上のエントリを選択すると、 Take アクション を使用できます。 詳細については、「 脅威ハンティング: 電子メールの修復」を参照してください。
エントリの [件名] の値で、[新しいウィンドウで開く] アクションを使用できます。 このアクションにより、 電子メール エンティティ ページでメッセージが開きます。
エントリの [件名 ] または [ 受信者 ] の値をクリックすると、詳細ポップアップが開きます。 これらのポップアップについては、次のサブセクションで説明します。
[すべてのメール] ビューの詳細領域の [電子メール] ビューからの電子メールの詳細
テーブル内のエントリの [件名] 値を選択すると、電子メールの詳細ポップアップが開きます。 この詳細ポップアップは [電子メールの概要] パネル と呼ばれ、メッセージの [電子メール エンティティ] ページ でも利用できる標準化された概要情報が含まれています。
[電子メールの概要] パネルの情報の詳細については、「 Defender の [電子メールの概要] パネル」を参照してください。
脅威エクスプローラーとリアルタイム検出の [電子メールの概要] パネルの上部で、次のアクションを使用できます。
電子メール エンティティを開く
ヘッダーの表示
アクションの実行: 詳細については、「 脅威ハンティング: 電子メールの修復」を参照してください。
その他のオプション:
電子メール プレビュー¹ ²
電子メールのダウンロード¹ ² ² ²
エクスプローラーで表示する
Go hunt⁴
¹ 電子メールのプレビューと電子メールのダウンロードアクションには、電子メール & コラボレーションのアクセス許可のプレビュー ロールが必要です。 既定では、このロールは Data Investigator と eDiscovery Manager の役割グループに割り当てられます。 既定では、 組織の管理 または セキュリティ管理者の 役割グループのメンバーは、これらのアクションを実行できません。 これらのグループのメンバーに対してこれらのアクションを許可するには、次のオプションがあります。
- データ調査または電子情報開示マネージャーの役割グループにユーザーを追加します。
- 検索ロールと消去ロールが割り当てられた新しいロール グループを作成し、ユーザーをカスタム ロール グループに追加します。
² Microsoft 365 メールボックスで使用できる電子メール メッセージをプレビューまたはダウンロードできます。 メールボックスでメッセージが使用できなくなった場合の例を次に示します。
- 配信または配信が失敗する前にメッセージが削除されました。
- メッセージは 論理的に削除 されました (削除済みアイテム フォルダーから削除され、メッセージは回復可能なアイテム\削除フォルダーに移動されます)。
- ZAP はメッセージを検疫に移動しました。
² メールの ダウンロード は、検疫されたメッセージでは使用できません。 代わりに、 検疫からメッセージのパスワードで保護されたコピーをダウンロードします。
⁴ Go ハント は Threat Explorer でのみ使用できます。 リアルタイム検出では使用できません。
[すべてのメール] ビューの詳細領域の [電子メール] ビューからの受信者の詳細
[受信者] の値をクリックしてエントリを選択すると、詳細ポップアップが開き、次の情報が表示されます。
ヒント
詳細ポップアップを残さずに他の受信者の詳細を表示するには、ポップアップの上部にある Previous アイテム と 次の項目 を使用します。
[概要 ] セクション:
- ロール: 受信者に管理者ロールが割り当てられているかどうか。
- ポリシー:
- ユーザーがアーカイブ情報を表示するアクセス許可を持っているかどうか。
- ユーザーが保持情報を表示するアクセス許可を持っているかどうか。
- ユーザーがデータ損失防止 (DLP) によってカバーされているかどうか。
- ユーザーがhttps://portal.office.com/EAdmin/Device/IntuneInventory.aspxでのモバイル管理の対象になっているかどうか。
電子メール セクション: 受信者に送信されるメッセージに関する次の関連情報を示す表。
- Date
- 件名
- [受信者]
[ すべてのメールを表示] を選択して、受信者によってフィルター処理された新しいタブで脅威エクスプローラーを開きます。
[最近のアラート ] セクション: 関連する最近のアラートに関する次の関連情報を示す表。
- 重大度
- アラート ポリシー
- [カテゴリ]
- アクティビティ
最新のアラートが 3 つ以上ある場合は、[ 最近のすべてのアラートを表示 する] を選択して、すべてのアラートを表示します。
[最近のアクティビティ ] セクション: 受信者の 監査ログ検索 の集計結果を表示します。
- Date
- IP アドレス
- アクティビティ
- 項目
受信者に 3 つ以上の監査ログ エントリがある場合は、[ 最近のすべてのアクティビティを表示 する] を選択して、すべてのアクティビティを表示します。
ヒント
電子メール & コラボレーションのアクセス許可のセキュリティ管理者ロール グループのメンバーは、[最近のアクティビティ] セクションを展開できません。 監査ログ、Information Protection アナリスト、または Information Protection 調査担当者ロールが割り当てられている Exchange Online アクセス許可の役割グループのメンバーである必要があります。 既定では、これらのロールは レコード管理、 コンプライアンス管理、 情報保護、Information Protection アナリスト、 Information Protection調査担当者、 組織管理 ロール グループに割り当てられます。 セキュリティ管理者のメンバーをそれらの役割グループに追加することも、監査ログ ロールが割り当てられた新しいロール グループを作成することもできます。
脅威エクスプローラーの [すべてのメール] ビューの詳細領域の URL クリック ビュー
URL クリック ビューには、ピボットを使用して整理できるグラフが表示されます。 グラフには既定のビューがありますが、[ ヒストグラム グラフのピボットの選択] から値を選択して、フィルター処理されたグラフ データまたはフィルター処理されていないグラフ データの編成と表示方法を変更できます。
グラフのピボットについては、次のサブセクションで説明します。
ヒント
脅威エクスプローラーでは、 URL クリック ビューの各ピボットに すべてのクリック アクションを表示し、 URL クリック ビュー を新しいタブで開きます。
脅威エクスプローラーの [すべてのメール] ビューの詳細領域の URL クリック ビューの URL ドメイン ピボット
このグラフ ピボットは選択されていないように見えますが、 URL ドメイン は URL クリック ビューの既定のグラフ ピボットです。
URL ドメイン ピボットには、指定した日付/時刻範囲とプロパティ フィルターの電子メール メッセージ内の URL のさまざまなドメインが表示されます。
グラフ内のデータ ポイントにカーソルを合わせると、各 URL ドメインの数が表示されます。
脅威エクスプローラーの [すべてのメール] ビューの詳細領域の URL クリック ビューの [判定ピボット] をクリックします
[クリック判定] ピボットには、指定した日付/時刻範囲とプロパティ フィルターの電子メール メッセージ内のクリックされた URL に対するさまざまな判定が表示されます。
グラフ内のデータ ポイントにカーソルを合わせると、クリック判定ごとのカウントが表示されます。
脅威エクスプローラーの [すべての電子メール] ビューの詳細領域の URL クリック ビューの URL ピボット
URL ピボットには、指定した日付/時刻範囲とプロパティ フィルターの電子メール メッセージでクリックされたさまざまな URL が表示されます。
グラフ内のデータ ポイントにカーソルを合わせると、各 URL の数が表示されます。
脅威エクスプローラーの [すべての電子メール] ビューの詳細領域の URL クリック ビューの URL ドメインとパス ピボット
URL ドメインとパス のピボットには、指定した日付/時刻範囲とプロパティ フィルターの電子メール メッセージでクリックされた URL のさまざまなドメインとファイル パスが表示されます。
グラフ内のデータ ポイントにカーソルを合わせると、各 URL ドメインとファイル パスの数が表示されます。
脅威エクスプローラーの [すべてのメール] ビューの詳細領域の上位 URL ビュー
[ 上位 URL] ビューには、詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。
- URL
- ブロックされたメッセージ
- 迷惑メッセージ
- 配信されたメッセージ
[すべてのメール] ビューの上位 URL の詳細
最初の列の横にあるチェック ボックス以外の行をクリックしてエントリを選択すると、詳細ポップアップが開き、次の情報が表示されます。
ヒント
詳細ポップアップを残さずに他の URL の詳細を表示するには、ポップアップの上部にある Previous 項目 と 次の項目 を使用します。
- ポップアップの上部には、次のアクションを使用できます。
URL ページを開く
分析のために送信する:
レポートのクリーン
フィッシングを報告する
マルウェアの報告
管理インジケーター:
インジケーターの追加
テナント ブロック リストで管理する
これらのオプションのいずれかを選択すると、Defender ポータルの [申請] ページに移動します。
その他:
エクスプローラーで表示する
Go hunt
- 元の URL
- 検出 セクション:
- 脅威インテリジェンスの判定
- x アクティブなアラート y インシデント: このリンクに関連する 高、 中、 低、 および情報 のアラートの数を示す横棒グラフ。
- [URL] ページですべてのインシデント & アラートを表示するためのリンク。
- [ドメインの詳細 ] セクション:
- ドメイン名 と [ドメインの 表示] ページへのリンク。
- 登録
- 登録済み
- 更新日
- 有効期限が切れる
- [登録者の連絡先情報 ] セクション:
- 記録係
- 国/地域設定
- 郵送先住所
- 電子メール
- 電話
- 詳細情報: Whois で開くへのリンク。
- URL の普及率 (過去 30 日間) セクション: デバイス、 電子メール、クリック数が含 まれます。 各値を選択して、完全な一覧を表示します。
- デバイス: 影響を受けるデバイスを表示します。
日付 (最初/最後)
デバイス
複数のデバイスが関与している場合は、[ すべてのデバイスを表示 ] を選択して、すべてのデバイスを表示します。
脅威エクスプローラーの [すべてのメール] ビューの詳細領域の上部クリック ビュー
[ 上位クリック ] ビューに詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。
- URL
- ブロック済み
- 可
- オーバーライドされたブロック
- 保留中の評決
- 保留中の判定がバイパスされました
- なし
- [エラー] ページ
- 失敗
ヒント
使用可能なすべての列が選択されます。 [ 列のカスタマイズ] を選択した場合、列の選択を解除することはできません。
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- Web ブラウザーで縮小します。
最初の列の横にあるチェック ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、「 すべてのメール ビューの上位 URL の詳細」で説明されている情報と同じです。
脅威エクスプローラーの [すべてのメール] ビューの詳細領域の上位対象ユーザー ビュー
[ 上位の対象ユーザー ] ビューでは、最も脅威の対象であった上位 5 人の受信者のテーブルにデータが整理されます。 テーブルには、次の情報が含まれています。
上位の対象ユーザー: 受信者のメール アドレス。 受信者のアドレスを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、[ すべてのメール] ビューの詳細領域の [電子メール] ビューの [受信者の詳細] で説明した情報と同じです。
試行回数: 試行回数を選択すると、脅威エクスプローラーが受信者によってフィルター処理された新しいタブで開きます。
ヒント
Export を使用して、最大 3,000 人のユーザーと対応する試行の一覧をエクスポートします。
脅威エクスプローラーの [すべてのメール] ビューの詳細領域のメール配信元ビュー
[メール配信元] ビューには、世界地図上のメッセージ ソースが表示されます。
脅威エクスプローラーの [すべてのメール] ビューの詳細領域のキャンペーン ビュー
[ キャンペーン] ビューに詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。
表の情報は、[ キャンペーン] ページの詳細テーブルで説明されている情報と同じです。
[名前] の横にあるチェック ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、「 キャンペーンの詳細」で説明されている情報と同じです。
脅威エクスプローラーのマルウェア ビューとリアルタイム検出
脅威エクスプローラーの [マルウェア ] ビューと [リアルタイム検出] には、マルウェアが含まれていることが検出された電子メール メッセージに関する情報が表示されます。 このビューは、リアルタイム検出の既定値です。
[マルウェア] ビューを開くには、次のいずれかの手順を実行します。
- 脅威エクスプローラー: https://security.microsoft.comの Defender ポータルの [エクスプローラー] ページで、[電子メール & コラボレーション]、[Explorer>Malware] タブ>移動します。または、https://security.microsoft.com/threatexplorerv3を使用して [エクスプローラー] ページに直接移動し、[マルウェア] タブを選択します。
- リアルタイム検出: https://security.microsoft.comの Defender ポータルの [リアルタイム検出] ページで、[電子メール & コラボレーション]、[Explorer>>Malware] タブに移動します。または、https://security.microsoft.com/realtimereportsv3を使用して [リアルタイム検出] ページに直接移動し、[マルウェア] タブが選択されていることを確認します。
脅威エクスプローラーの [マルウェア] ビューのフィルター可能なプロパティとリアルタイム検出
既定では、プロパティ フィルターはデータに適用されません。 フィルター (クエリ) を作成する手順については、この記事の後半 の「脅威エクスプローラーのフィルターとリアルタイム検出 」セクションで説明します。
[マルウェア] ビューの [送信者アドレス] ボックスで使用できるフィルター可能なプロパティについて、次の表で説明します。
プロパティ | 種類 | 脅威 エクスプローラー |
リアルタイム 検出 |
---|---|---|---|
基本 | |||
[送信者のアドレス] | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
受信者 | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
送信者ドメイン | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
受信者ドメイン | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
件名 | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
送信者の表示名 | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
アドレスからの差出人メール | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
ドメインからのメールの送信者 | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
戻りパス | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
戻りパス ドメイン | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
マルウェア ファミリ | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
タグ | 文字列。 複数の値をコンマで区切ります。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。 |
✔ | |
Exchange トランスポート ルール | 文字列。 複数の値をコンマで区切ります。 | ✔ | |
データ損失防止ルール | 文字列。 複数の値をコンマで区切ります。 | ✔ | |
Context | 1 つ以上の値を選択します。
|
✔ | |
Connector | 文字列。 複数の値をコンマで区切ります。 | ✔ | |
配信アクション | 1 つ以上の値を選択します。
|
✔ | ✔ |
追加アクション | 1 つ以上の値を選択します。
|
✔ | ✔ |
方向性 | 1 つ以上の値を選択します。
|
✔ | ✔ |
検出技術 | 1 つ以上の値を選択します。
|
✔ | ✔ |
元の配送場所 | 1 つ以上の値を選択します。
|
✔ | ✔ |
最新の配送場所 | 元の配信場所と同じ値 | ✔ | ✔ |
プライマリオーバーライド | 1 つ以上の値を選択します。
|
✔ | ✔ |
プライマリ オーバーライド ソース | メッセージには、「ソースのオーバーライド」で識別される複数の許可またはブロック のオーバーライドを含めることができます。 最終的にメッセージを許可またはブロックしたオーバーライドは、 プライマリ オーバーライド ソースで識別されます。 1 つ以上の値を選択します。
|
✔ | ✔ |
ソースをオーバーライドする | プライマリ オーバーライド ソースと同じ値 | ✔ | ✔ |
ポリシーの種類 | 1 つ以上の値を選択します。
|
✔ | ✔ |
ポリシー アクション | 1 つ以上の値を選択します。
|
✔ | ✔ |
メール サイズ | 整数型 複数の値をコンマで区切ります。 | ✔ | ✔ |
詳細設定 | |||
インターネット メッセージ ID | 文字列。 複数の値をコンマで区切ります。 メッセージ ヘッダーの [Message-ID ヘッダー] フィールドで使用できます。 値の例を <08f1e0f6806a47b4ac103961109ae6ef@server.domain> します (山かっこに注意してください)。 |
✔ | ✔ |
ネットワーク メッセージ ID | 文字列。 複数の値をコンマで区切ります。 メッセージ ヘッダーの X-MS-Exchange-Organization-Network-Message-Id ヘッダー フィールドで使用できる GUID 値。 |
✔ | ✔ |
[Sender IP (送信者の IP)] | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
添付ファイル SHA256 | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
クラスター ID | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
アラート ID | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
アラート ポリシー ID | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
キャンペーン ID | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
ZAP URL シグナル | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
Urls | |||
URL カウント | 整数型 複数の値をコンマで区切ります。 | ✔ | ✔ |
URL ドメイン | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
URL ドメインとパス | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
URL | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
URL のパス | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
URL ソース | 1 つ以上の値を選択します。
|
✔ | ✔ |
クリック判定 | 1 つ以上の値を選択します。
|
✔ | ✔ |
URL 脅威 | 1 つ以上の値を選択します。
|
✔ | ✔ |
ファイル | |||
添付ファイル数 | 整数型 複数の値をコンマで区切ります。 | ✔ | ✔ |
添付ファイルの名前 | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
ファイルの種類 | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
File Extension | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
File Size | 整数型 複数の値をコンマで区切ります。 | ✔ | ✔ |
認証 | |||
SPF | 1 つ以上の値を選択します。
|
✔ | ✔ |
DKIM | 1 つ以上の値を選択します。
|
✔ | ✔ |
DMARC | 1 つ以上の値を選択します。
|
✔ | ✔ |
複合 | 1 つ以上の値を選択します。
|
脅威エクスプローラーとリアルタイム検出の [マルウェア] ビューのグラフのピボット
グラフには既定のビューがありますが、[ ヒストグラム グラフのピボットの選択] から値を選択して、フィルター処理されたグラフ データまたはフィルター処理されていないグラフ データの編成と表示方法を変更できます。
脅威エクスプローラーの [マルウェア ] ビューと [リアルタイム検出] で使用できるグラフ ピボットを次の表に示します。
ピボット | 脅威 エクスプローラー |
リアルタイム 検出 |
---|---|---|
マルウェア ファミリ | ✔ | |
送信元ドメイン | ✔ | |
[Sender IP (送信者の IP)] | ✔ | |
配信アクション | ✔ | ✔ |
検出技術 | ✔ | ✔ |
使用可能なグラフ ピボットについては、次のサブセクションで説明します。
脅威エクスプローラーの [マルウェア] ビューの [マルウェア ファミリ グラフ] ピボット
このピボットは既定では選択されていませんが、 マルウェア ファミリ は脅威エクスプローラーの [ マルウェア ] ビューの既定のグラフ ピボットです。
マルウェア ファミリ ピボットは、指定された日付/時刻範囲とプロパティ フィルターのメッセージで検出されたマルウェア ファミリによってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各マルウェア ファミリの数が表示されます。
脅威エクスプローラーの [マルウェア] ビューの送信者ドメイン グラフ ピボット
Sender Domain ピボットは、指定した日付/時刻範囲とプロパティ フィルターに対するマルウェアが含まれていると検出されたメッセージの送信者ドメインによってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各送信者ドメインの数が表示されます。
脅威エクスプローラーの [マルウェア] ビューの [送信者 IP グラフ] ピボット
Sender IP ピボットは、指定された日付/時刻範囲とプロパティ フィルターに対するマルウェアが含まれていることが検出されたメッセージのソース IP アドレスによってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各ソース IP アドレスの数が表示されます。
脅威エクスプローラーの [マルウェア] ビューの配信アクション グラフピボットとリアルタイム検出
このピボットは既定では選択されていませんが、 配信アクション は、リアルタイム検出の [ マルウェア ] ビューの既定のグラフ ピボットです。
配信アクション ピボットは、指定された日付/時刻範囲とプロパティ フィルターに対するマルウェアが含まれていることが検出されたメッセージに何が起こったかによってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各配信アクションの数が表示されます。
脅威エクスプローラーの [マルウェア] ビューの検出テクノロジ グラフピボットとリアルタイム検出
検出テクノロジ ピボットは、指定された日付/時刻範囲とプロパティ フィルターのメッセージ内のマルウェアを識別した機能によってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各検出テクノロジの数が表示されます。
脅威エクスプローラーの [マルウェア] ビューの詳細領域とリアルタイム検出のビュー
[マルウェア] ビューの詳細領域にある使用可能なビュー (タブ) を次の表に示し、次のサブセクションで説明します。
View | 脅威 エクスプローラー |
リアルタイム 検出 |
---|---|---|
電子メール | ✔ | ✔ |
上位のマルウェア ファミリ | ✔ | |
上位の対象ユーザー | ✔ | |
メールの配信元 | ✔ | |
Campaign | ✔ |
脅威エクスプローラーとリアルタイム検出の [マルウェア] ビューの詳細領域の電子メール ビュー
電子メール は、脅威エクスプローラーとリアルタイム検出の [マルウェア ] ビューの詳細領域の既定のビューです。
[電子メール] ビューには、詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。
次の表は、Threat Explorer とリアルタイム検出で使用できる列を示しています。 既定値はアスタリスク (*) でマークされます。
Column | 脅威 エクスプローラー |
リアルタイム 検出 |
---|---|---|
日付* | ✔ | ✔ |
件名* | ✔ | ✔ |
受信者* | ✔ | ✔ |
受信者ドメイン | ✔ | ✔ |
タグ* | ✔ | |
送信者アドレス* | ✔ | ✔ |
送信者の表示名 | ✔ | ✔ |
送信者ドメイン* | ✔ | ✔ |
[Sender IP (送信者の IP)] | ✔ | ✔ |
アドレスからの差出人メール | ✔ | ✔ |
ドメインからのメールの送信者 | ✔ | ✔ |
その他のアクション* | ✔ | ✔ |
配信アクション | ✔ | ✔ |
最新の配送場所* | ✔ | ✔ |
元の配送場所* | ✔ | ✔ |
システムがソースをオーバーライドする | ✔ | ✔ |
システムオーバーライド | ✔ | ✔ |
アラート ID | ✔ | ✔ |
インターネット メッセージ ID | ✔ | ✔ |
ネットワーク メッセージ ID | ✔ | ✔ |
メール言語 | ✔ | ✔ |
Exchange トランスポート ルール | ✔ | |
Connector | ✔ | |
Context | ✔ | ✔ |
データ損失防止ルール | ✔ | ✔ |
脅威の種類* | ✔ | ✔ |
検出技術 | ✔ | ✔ |
添付ファイル数 | ✔ | ✔ |
URL カウント | ✔ | ✔ |
メール サイズ | ✔ | ✔ |
ヒント
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- ビューから列を削除します。
- Web ブラウザーで縮小します。
カスタマイズされた列設定は、ユーザーごとに保存されます。 Incognito または InPrivate 閲覧モードのカスタマイズされた列設定は、Web ブラウザーを閉じるまで保存されます。
最初の列の横にあるチェック ボックスをオンにして一覧から 1 つ以上のエントリを選択すると、 Take アクション を使用できます。 詳細については、「 脅威ハンティング: 電子メールの修復」を参照してください。
エントリの [件名 ] または [ 受信者 ] の値をクリックすると、詳細ポップアップが開きます。 これらのポップアップについては、次のサブセクションで説明します。
[マルウェア] ビューの詳細領域の [電子メール] ビューからの電子メールの詳細
テーブル内のエントリの [件名] 値を選択すると、電子メールの詳細ポップアップが開きます。 この詳細ポップアップは [電子メールの概要] パネル と呼ばれ、メッセージの [電子メール エンティティ] ページ でも利用できる標準化された概要情報が含まれています。
[電子メールの概要] パネルの情報の詳細については、「 電子メールの概要」パネルを参照してください。
脅威エクスプローラーとリアルタイム検出の [電子メールの概要] パネルの上部にある使用可能なアクションは、[ すべてのメール] ビューの詳細領域の [電子メール] ビューの [電子メールの詳細] で説明されています。
[マルウェア] ビューの詳細領域の [電子メール] ビューからの受信者の詳細
[受信者] の値をクリックしてエントリを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、[ すべてのメール] ビューの詳細領域の [電子メール] ビューの [受信者の詳細] で説明した情報と同じです。
脅威エクスプローラーの [マルウェア] ビューの詳細領域の上位マルウェア ファミリ ビュー
詳細領域 の [上位マルウェア ファミリ ] ビューでは、上位のマルウェア ファミリのテーブルにデータが整理されます。 表は、以下を示しています。
[上位のマルウェア ファミリ ] 列: マルウェア ファミリ名。
マルウェア ファミリ名を選択すると、次の情報を含む詳細ポップアップが開きます。
電子メール セクション: マルウェア ファイルを含むメッセージに関する次の関連情報を示す表。
- Date
- 件名
- [受信者]
[ すべてのメールを表示] を選択して、マルウェア ファミリ名でフィルター処理された新しいタブで脅威エクスプローラーを開きます。
技術的な詳細 セクション
試行回数: 試行回数を選択すると、脅威エクスプローラーがマルウェア ファミリ名でフィルター処理された新しいタブで開きます。
脅威エクスプローラーの [マルウェア] ビューの詳細領域の上位対象ユーザー ビュー
[ 上位の対象ユーザー ] ビューでは、マルウェアの対象になった上位 5 人の受信者のテーブルにデータが整理されます。 表は、以下を示しています。
上位の対象ユーザー: 上位の対象ユーザーのメール アドレス。 メール アドレスを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、 脅威エクスプローラーの [すべての電子メール] ビューの詳細領域の [上位の対象ユーザー] ビューで説明されている情報と同じです。
試行回数: 試行回数を選択すると、脅威エクスプローラーがマルウェア ファミリ名でフィルター処理された新しいタブで開きます。
ヒント
Export を使用して、最大 3,000 人のユーザーと対応する試行の一覧をエクスポートします。
脅威エクスプローラーの [マルウェア] ビューの詳細領域のメール配信元ビュー
[メール配信元] ビューには、世界地図上のメッセージ ソースが表示されます。
脅威エクスプローラーの [マルウェア] ビューの詳細領域のキャンペーン ビュー
[ キャンペーン] ビューに詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。
詳細テーブルは、[ キャンペーン] ページの詳細テーブルと同じです。
[名前] の横にあるチェック ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、「 キャンペーンの詳細」で説明されている情報と同じです。
脅威エクスプローラーのフィッシング ビューとリアルタイム検出
脅威エクスプローラーの [フィッシング] ビューと [リアルタイム検出] には、フィッシングとして識別された電子メール メッセージに関する情報が表示されます。
フィッシング ビューを開くには、次のいずれかの手順を実行します。
- 脅威エクスプローラー: https://security.microsoft.comの Defender ポータルの [エクスプローラー] ページで、[電子メール & コラボレーション] >[Explorer>Phish] タブに移動します。または、https://security.microsoft.com/threatexplorerv3を使用して [エクスプローラー] ページに直接移動し、[フィッシング] タブを選択します。
- リアルタイム検出: https://security.microsoft.comの Defender ポータルの [リアルタイム検出] ページで、[電子メール & コラボレーション]、[Explorer>>Phish] タブに移動します。または、https://security.microsoft.com/realtimereportsv3を使用して [リアルタイム検出] ページに直接移動し、[フィッシング] タブを選択します。
脅威エクスプローラーの [フィッシング] ビューのフィルター可能なプロパティとリアルタイム検出
既定では、プロパティ フィルターはデータに適用されません。 フィルター (クエリ) を作成する手順については、この記事の後半 の「脅威エクスプローラーのフィルターとリアルタイム検出 」セクションで説明します。
[マルウェア] ビューの [送信者アドレス] ボックスで使用できるフィルター可能なプロパティについて、次の表で説明します。
プロパティ | 種類 | 脅威 エクスプローラー |
リアルタイム 検出 |
---|---|---|---|
基本 | |||
[送信者のアドレス] | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
受信者 | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
送信者ドメイン | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
受信者ドメイン | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
件名 | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
送信者の表示名 | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
アドレスからの差出人メール | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
ドメインからのメールの送信者 | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
戻りパス | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
戻りパス ドメイン | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
タグ | 文字列。 複数の値をコンマで区切ります。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。 |
✔ | |
偽装ドメイン | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
偽装ユーザー | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
Exchange トランスポート ルール | 文字列。 複数の値をコンマで区切ります。 | ✔ | |
データ損失防止ルール | 文字列。 複数の値をコンマで区切ります。 | ✔ | |
Context | 1 つ以上の値を選択します。
|
✔ | |
Connector | 文字列。 複数の値をコンマで区切ります。 | ✔ | |
配信アクション | 1 つ以上の値を選択します。
|
✔ | ✔ |
追加アクション | 1 つ以上の値を選択します。
|
✔ | ✔ |
方向性 | 1 つ以上の値を選択します。
|
✔ | ✔ |
検出技術 | 1 つ以上の値を選択します。
|
✔ | ✔ |
元の配送場所 | 1 つ以上の値を選択します。
|
✔ | ✔ |
最新の配送場所 | 元の配信場所と同じ値 | ✔ | ✔ |
フィッシングの信頼度レベル | 1 つ以上の値を選択します。
|
✔ | |
プライマリオーバーライド | 1 つ以上の値を選択します。
|
✔ | ✔ |
プライマリ オーバーライド ソース | メッセージには、「ソースのオーバーライド」で識別される複数の許可またはブロック のオーバーライドを含めることができます。 最終的にメッセージを許可またはブロックしたオーバーライドは、 プライマリ オーバーライド ソースで識別されます。 1 つ以上の値を選択します。
|
✔ | ✔ |
ソースをオーバーライドする | プライマリ オーバーライド ソースと同じ値 | ✔ | ✔ |
ポリシーの種類 | 1 つ以上の値を選択します。
|
✔ | ✔ |
ポリシー アクション | 1 つ以上の値を選択します。
|
✔ | ✔ |
メール サイズ | 整数型 複数の値をコンマで区切ります。 | ✔ | ✔ |
詳細設定 | |||
インターネット メッセージ ID | 文字列。 複数の値をコンマで区切ります。 メッセージ ヘッダーの [Message-ID ヘッダー] フィールドで使用できます。 値の例を <08f1e0f6806a47b4ac103961109ae6ef@server.domain> します (山かっこに注意してください)。 |
✔ | ✔ |
ネットワーク メッセージ ID | 文字列。 複数の値をコンマで区切ります。 メッセージ ヘッダーの X-MS-Exchange-Organization-Network-Message-Id ヘッダー フィールドで使用できる GUID 値。 |
✔ | ✔ |
[Sender IP (送信者の IP)] | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
添付ファイル SHA256 | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
クラスター ID | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
アラート ID | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
アラート ポリシー ID | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
キャンペーン ID | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
ZAP URL シグナル | 文字列。 複数の値をコンマで区切ります。 | ✔ | |
Urls | |||
URL カウント | 整数型 複数の値をコンマで区切ります。 | ✔ | ✔ |
URL ドメイン | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
URL ドメインとパス | 文字列。 複数の値をコンマで区切ります。 | ✔ | |
URL | 文字列。 複数の値をコンマで区切ります。 | ✔ | |
URL のパス | 文字列。 複数の値をコンマで区切ります。 | ✔ | |
URL ソース | 1 つ以上の値を選択します。
|
✔ | ✔ |
クリック判定 | 1 つ以上の値を選択します。
|
✔ | ✔ |
URL 脅威 | 1 つ以上の値を選択します。
|
✔ | ✔ |
ファイル | |||
添付ファイル数 | 整数型 複数の値をコンマで区切ります。 | ✔ | ✔ |
添付ファイルの名前 | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
ファイルの種類 | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
File Extension | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
File Size | 整数型 複数の値をコンマで区切ります。 | ✔ | ✔ |
認証 | |||
SPF | 1 つ以上の値を選択します。
|
✔ | ✔ |
DKIM | 1 つ以上の値を選択します。
|
✔ | ✔ |
DMARC | 1 つ以上の値を選択します。
|
✔ | ✔ |
複合 | 1 つ以上の値を選択します。
|
脅威エクスプローラーとリアルタイム検出のフィッシング ビューのグラフのピボット
グラフには既定のビューがありますが、[ ヒストグラム グラフのピボットの選択] から値を選択して、フィルター処理されたグラフ データまたはフィルター処理されていないグラフ データの編成と表示方法を変更できます。
次の表に、Threat Explorer の フィッシング ビューとリアルタイム検出で使用できるグラフ ピボットを示します。
ピボット | 脅威 エクスプローラー |
リアルタイム 検出 |
---|---|---|
送信元ドメイン | ✔ | ✔ |
[Sender IP (送信者の IP)] | ✔ | |
配信アクション | ✔ | ✔ |
検出技術 | ✔ | ✔ |
完全な URL | ✔ | |
URL ドメイン | ✔ | ✔ |
URL ドメインとパス | ✔ |
使用可能なグラフ ピボットについては、次のサブセクションで説明します。
脅威エクスプローラーの [フィッシング] ビューの送信者ドメイン グラフ ピボットとリアルタイム検出
このピボットは既定では選択されていませんが、 送信者ドメイン は、リアルタイム検出の [フィッシング ] ビューの既定のグラフ ピボットです。
Sender ドメイン ピボットは、指定された日付/時刻範囲とプロパティ フィルターのメッセージ内のドメイン別にグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各送信者ドメインの数が表示されます。
脅威エクスプローラーの [フィッシング] ビューの [送信者 IP グラフ] ピボット
Sender IP ピボットは、指定された日付/時刻範囲とプロパティ フィルターのメッセージのソース IP アドレスによってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各ソース IP アドレスの数が表示されます。
脅威エクスプローラーの [フィッシング] ビューの配信アクション グラフ ピボットとリアルタイム検出
このピボットは既定では選択されていませんが、 配信アクション は脅威エクスプローラーの [フィッシング ] ビューの既定のグラフ ピボットです。
配信アクション ピボットは、指定された日付/時刻範囲とプロパティ フィルターに対してメッセージに対して実行されたアクションによってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各配信アクションの数が表示されます。
脅威エクスプローラーの [フィッシング] ビューの検出テクノロジ グラフピボットとリアルタイム検出
検出テクノロジ ピボットは、指定された日付/時刻範囲とプロパティ フィルターのフィッシング メッセージを識別した機能によってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各検出テクノロジの数が表示されます。
脅威エクスプローラーのフィッシング ビューの完全な URL グラフ ピボット
[完全な URL] ピボットは、指定された日付/時刻範囲とプロパティ フィルターのフィッシング メッセージの完全な URL によってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、完全な URL ごとの数が表示されます。
脅威エクスプローラーの [フィッシング] ビューの URL ドメイン グラフ ピボットとリアルタイム検出
URL ドメイン ピボットは、指定された日付/時刻範囲とプロパティ フィルターのフィッシング メッセージ内の URL 内のドメイン別にグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各 URL ドメインの数が表示されます。
脅威エクスプローラーの [フィッシング] ビューの URL ドメインとパス チャート ピボット
URL ドメインとパス ピボットは、指定された日付/時刻範囲とプロパティ フィルターのフィッシング メッセージ内の URL 内のドメインとパスによってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各 URL ドメインとパスの数が表示されます。
脅威エクスプローラーのフィッシング ビューの詳細領域のビュー
フィッシング ビューの詳細領域にある使用可能なビュー (タブ) を次の表に示し、次のサブセクションで説明します。
View | 脅威 エクスプローラー |
リアルタイム 検出 |
---|---|---|
電子メール | ✔ | ✔ |
URL のクリック | ✔ | ✔ |
上位 URL | ✔ | ✔ |
上位のクリック数 | ✔ | ✔ |
上位の対象ユーザー | ✔ | |
メールの配信元 | ✔ | |
Campaign | ✔ |
脅威エクスプローラーとリアルタイム検出のフィッシング ビューの詳細領域の電子メール ビュー
電子メール は、脅威エクスプローラーとリアルタイム検出の フィッシング ビューの詳細領域の既定のビューです。
[電子メール] ビューには、詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。
次の表は、Threat Explorer とリアルタイム検出で使用できる列を示しています。 既定値はアスタリスク (*) でマークされます。
Column | 脅威 エクスプローラー |
リアルタイム 検出 |
---|---|---|
日付* | ✔ | ✔ |
件名* | ✔ | ✔ |
受信者* | ✔ | ✔ |
受信者ドメイン | ✔ | ✔ |
タグ* | ✔ | |
送信者アドレス* | ✔ | ✔ |
送信者の表示名 | ✔ | ✔ |
送信者ドメイン* | ✔ | ✔ |
[Sender IP (送信者の IP)] | ✔ | ✔ |
アドレスからの差出人メール | ✔ | ✔ |
ドメインからのメールの送信者 | ✔ | ✔ |
その他のアクション* | ✔ | ✔ |
配信アクション | ✔ | ✔ |
最新の配送場所* | ✔ | ✔ |
元の配送場所* | ✔ | ✔ |
システムがソースをオーバーライドする | ✔ | ✔ |
システムオーバーライド | ✔ | ✔ |
アラート ID | ✔ | ✔ |
インターネット メッセージ ID | ✔ | ✔ |
ネットワーク メッセージ ID | ✔ | ✔ |
メール言語 | ✔ | ✔ |
Exchange トランスポート ルール | ✔ | |
Connector | ✔ | |
フィッシングの信頼度レベル | ✔ | |
Context | ✔ | |
データ損失防止ルール | ✔ | |
脅威の種類* | ✔ | ✔ |
検出技術 | ✔ | ✔ |
添付ファイル数 | ✔ | ✔ |
URL カウント | ✔ | ✔ |
メール サイズ | ✔ | ✔ |
ヒント
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- ビューから列を削除します。
- Web ブラウザーで縮小します。
カスタマイズされた列設定は、ユーザーごとに保存されます。 Incognito または InPrivate 閲覧モードのカスタマイズされた列設定は、Web ブラウザーを閉じるまで保存されます。
最初の列の横にあるチェック ボックスをオンにして一覧から 1 つ以上のエントリを選択すると、 Take アクション を使用できます。 詳細については、「 脅威ハンティング: 電子メールの修復」を参照してください。
エントリの [件名 ] または [ 受信者 ] の値をクリックすると、詳細ポップアップが開きます。 これらのポップアップについては、次のサブセクションで説明します。
フィッシング ビューの詳細領域の [電子メール] ビューからの電子メールの詳細
テーブル内のエントリの [件名] 値を選択すると、電子メールの詳細ポップアップが開きます。 この詳細ポップアップは [電子メールの概要] パネル と呼ばれ、メッセージの [電子メール エンティティ] ページ でも利用できる標準化された概要情報が含まれています。
[電子メールの概要] パネルの情報の詳細については、「 Defender for Office 365 機能の [電子メールの概要] パネル」を参照してください。
脅威エクスプローラーとリアルタイム検出の [電子メールの概要] パネルの上部にある使用可能なアクションは、[ すべてのメール] ビューの詳細領域の [電子メール] ビューの [電子メールの詳細] で説明されています。
フィッシング ビューの詳細領域の電子メール ビューからの受信者の詳細
[受信者] の値をクリックしてエントリを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、[ すべてのメール] ビューの詳細領域の [電子メール] ビューの [受信者の詳細] で説明した情報と同じです。
脅威エクスプローラーとリアルタイム検出のフィッシング ビューの詳細領域の URL クリック ビュー
URL クリック ビューには、ピボットを使用して整理できるグラフが表示されます。 グラフには既定のビューがありますが、[ ヒストグラム グラフのピボットの選択] から値を選択して、フィルター処理されたグラフ データまたはフィルター処理されていないグラフ データの編成と表示方法を変更できます。
脅威エクスプローラーの [マルウェア ] ビューで使用できるグラフ ピボットとリアルタイム検出について、次の表で説明します。
ピボット | 脅威 エクスプローラー |
リアルタイム 検出 |
---|---|---|
URL ドメイン | ✔ | ✔ |
クリック判定 | ✔ | ✔ |
URL | ✔ | |
URL ドメインとパス | ✔ |
同じグラフ ピボットが、Threat Explorer の [すべてのメール ] ビューで使用でき、説明されています。
- 脅威エクスプローラーの [すべてのメール] ビューの詳細領域の URL クリック ビューの URL ドメイン ピボット
- 脅威エクスプローラーの [すべてのメール] ビューの詳細領域の URL クリック ビューの [判定ピボット] をクリックします
- 脅威エクスプローラーの [すべての電子メール] ビューの詳細領域の URL クリック ビューの URL ピボット
- 脅威エクスプローラーの [すべての電子メール] ビューの詳細領域の URL クリック ビューの URL ドメインとパス ピボット
ヒント
脅威エクスプローラーでは、 URL クリック ビューの各ピボットに [すべてのクリック アクションを表示する] が表示され、新しいタブ で脅威エクスプローラーで URL クリック ビュー が開きます。URL クリック ビューはリアルタイム検出では使用できないため、このアクションはリアルタイム検出では使用できません。
脅威エクスプローラーとリアルタイム検出のフィッシング ビューの詳細領域の上位 URL ビュー
[ 上位 URL] ビューには、詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。
- URL
- ブロックされたメッセージ
- 迷惑メッセージ
- 配信されたメッセージ
フィッシング ビューの上位 URL の詳細
最初の列の横にあるチェック ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、「 すべてのメール ビューの上位 URL の詳細」で説明されている情報と同じです。
ヒント
Go ハント アクションは、Threat Explorer でのみ使用できます。 リアルタイム検出では使用できません。
脅威エクスプローラーとリアルタイム検出のフィッシング ビューの詳細領域のトップ クリック ビュー
[ 上位クリック ] ビューに詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。
- URL
- ブロック済み
- 可
- オーバーライドされたブロック
- 保留中の評決
- 保留中の判定がバイパスされました
- なし
- [エラー] ページ
- 失敗
ヒント
使用可能なすべての列が選択されます。 [ 列のカスタマイズ] を選択した場合、列の選択を解除することはできません。
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- Web ブラウザーで縮小します。
最初の列の横にあるチェック ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、「 すべてのメール ビューの上位 URL の詳細」で説明されている情報と同じです。
脅威エクスプローラーのフィッシング ビューの詳細領域を対象とする上位のユーザー ビュー
[ 上位の対象ユーザー ] ビューでは、フィッシング詐欺の対象になった上位 5 人の受信者のテーブルにデータが整理されます。 表は、以下を示しています。
上位の対象ユーザー: 上位の対象ユーザーのメール アドレス。 メール アドレスを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、 脅威エクスプローラーの [すべての電子メール] ビューの詳細領域の [上位の対象ユーザー] ビューで説明されている情報と同じです。
試行回数: 試行回数を選択すると、脅威エクスプローラーがマルウェア ファミリ名でフィルター処理された新しいタブで開きます。
ヒント
Export を使用して、最大 3,000 人のユーザーと対応する試行の一覧をエクスポートします。
脅威エクスプローラーのフィッシング ビューの詳細領域のメール配信元ビュー
[メール配信元] ビューには、世界地図上のメッセージ ソースが表示されます。
脅威エクスプローラーのフィッシング ビューの詳細領域のキャンペーン ビュー
[ キャンペーン] ビューに詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。
表の情報は、[ キャンペーン] ページの詳細テーブルで説明されている情報と同じです。
[名前] の横にあるチェック ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、「 キャンペーンの詳細」で説明されている情報と同じです。
脅威エクスプローラーの [キャンペーン] ビュー
脅威エクスプローラー の [キャンペーン] ビューには、組織または Microsoft 365 の他の組織に固有の、調整されたフィッシング攻撃とマルウェア攻撃として識別された脅威に関する情報が表示されます。
https://security.microsoft.comの Defender ポータルの [エクスプローラー] ページで [キャンペーン] ビューを開くには、[電子メール & コラボレーション>Explorer>Campaigns] タブに移動します。または、https://security.microsoft.com/threatexplorerv3を使用して [エクスプローラー] ページに直接移動し、[キャンペーン] タブを選択します。
使用可能なすべての情報とアクションは、https://security.microsoft.com/campaignsv3の [キャンペーン] ページの情報とアクションと同じです。 詳細については、 Microsoft Defender ポータルの「キャンペーン」ページを参照してください。
脅威エクスプローラーとリアルタイム検出のコンテンツ マルウェア ビュー
脅威エクスプローラーとリアルタイム検出の [コンテンツ マルウェア ] ビューには、マルウェアとして識別されたファイルに関する情報が次のように表示されます。
- SharePoint、OneDrive、およびMicrosoft Teamsの組み込みのウイルス保護
- SharePoint、OneDrive、およびMicrosoft Teamsの安全な添付ファイル。
[コンテンツ マルウェア] ビューを開くには、次のいずれかの手順を実行します。
- 脅威エクスプローラー: https://security.microsoft.comの Defender ポータルの [エクスプローラー] ページで、[電子メール & コラボレーション>Explorer>Content マルウェア] タブに移動します。または、https://security.microsoft.com/threatexplorerv3を使用して [エクスプローラー] ページに直接移動し、[コンテンツ マルウェア] タブを選択します。
- リアルタイム検出: https://security.microsoft.comの Defender ポータルの [リアルタイム検出] ページで、[電子メール & コラボレーション] >[Explorer>Content マルウェア] タブに移動します。または、https://security.microsoft.com/realtimereportsv3を使用して [リアルタイム検出] ページに直接移動し、[コンテンツ マルウェア] タブを選択します。
脅威エクスプローラーの [コンテンツ マルウェア] ビューのフィルター可能なプロパティとリアルタイム検出
既定では、プロパティ フィルターはデータに適用されません。 フィルター (クエリ) を作成する手順については、この記事の後半 の「脅威エクスプローラーのフィルターとリアルタイム検出 」セクションで説明します。
脅威エクスプローラーとリアルタイム検出の [コンテンツ マルウェア] ビューの [ファイル名] ボックスで使用できるフィルター可能なプロパティを次の表に示します。
プロパティ | 種類 | 脅威 エクスプローラー |
リアルタイム 検出 |
---|---|---|---|
ファイル | |||
ファイル名 | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
Workload | 1 つ以上の値を選択します。
|
✔ | ✔ |
Site | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
ファイル所有者 | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
最終更新者 | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
SHA256 | 整数型 複数の値をコンマで区切ります。 Windows でファイルの SHA256 ハッシュ値を見つけるには、コマンド プロンプトで次のコマンドを実行します: certutil.exe -hashfile "<Path>\<Filename>" SHA256 。 |
✔ | ✔ |
マルウェア ファミリ | 文字列。 複数の値をコンマで区切ります。 | ✔ | ✔ |
検出技術 | 1 つ以上の値を選択します。
|
✔ | ✔ |
脅威の種類 | 1 つ以上の値を選択します。
|
✔ | ✔ |
脅威エクスプローラーとリアルタイム検出の [コンテンツ マルウェア] ビューのグラフのピボット
グラフには既定のビューがありますが、[ ヒストグラム グラフのピボットの選択] から値を選択して、フィルター処理されたグラフ データまたはフィルター処理されていないグラフ データの編成と表示方法を変更できます。
脅威エクスプローラーの [コンテンツ マルウェア ] ビューと [リアルタイム検出] で使用できるグラフ ピボットを次の表に示します。
ピボット | 脅威 エクスプローラー |
リアルタイム 検出 |
---|---|---|
マルウェア ファミリ | ✔ | ✔ |
検出技術 | ✔ | ✔ |
Workload | ✔ | ✔ |
使用可能なグラフ ピボットについては、次のサブセクションで説明します。
脅威エクスプローラーの [コンテンツ] マルウェア ビューのマルウェア ファミリ グラフ ピボットとリアルタイム検出
このピボットは既定では選択されていませんが、 マルウェア ファミリ は、脅威エクスプローラーとリアルタイム検出の [コンテンツ マルウェア ] ビューの既定のグラフ ピボットです。
マルウェア ファミリ ピボットは、指定した日付/時刻範囲とプロパティ フィルターを使用して、SharePoint、OneDrive、およびMicrosoft Teamsのファイルで識別されたマルウェアによってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各マルウェア ファミリの数が表示されます。
脅威エクスプローラーの [コンテンツ マルウェア] ビューの検出テクノロジ グラフ ピボットとリアルタイム検出
検出テクノロジ ピボットは、指定された日付/時刻範囲とプロパティ フィルターの SharePoint、OneDrive、およびMicrosoft Teams内のファイル内のマルウェアを識別した機能によってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各検出テクノロジの数が表示されます。
脅威エクスプローラーの [コンテンツ マルウェア] ビューのワークロード グラフ ピボットとリアルタイム検出
ワークロード ピボットは、指定された日付/時刻範囲とプロパティ フィルターに対してマルウェアが特定された場所 (SharePoint、OneDrive、またはMicrosoft Teams) によってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各ワークロードの数が表示されます。
脅威エクスプローラーとリアルタイム検出のコンテンツ マルウェア ビューの詳細領域のビュー
Threat Explorer とリアルタイム検出では、[ コンテンツ マルウェア ] ビューの詳細領域に [ ドキュメント] という名前のビュー (タブ) が 1 つだけ含まれています。 このビューについては、次のサブセクションで説明します。
脅威エクスプローラーとリアルタイム検出のコンテンツ マルウェア ビューの詳細領域のドキュメント ビュー
ドキュメント は既定で、[ コンテンツ マルウェア ] ビューの詳細領域のみを表示します。
[ドキュメント] ビューには、詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定値にはアスタリスク (*) が付いています。
- 日付*
- 名前*
- ワークロード*
- 威嚇*
- 検出技術*
- 最後にユーザーを変更する*
- ファイル所有者*
- サイズ (バイト)*
- 最終変更時刻
- サイト パス
- ファイル パス
- ドキュメント ID
- SHA256
- 検出された日付
- マルウェア ファミリ
- Context
ヒント
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- ビューから列を削除します。
- Web ブラウザーで縮小します。
カスタマイズされた列設定は、ユーザーごとに保存されます。 Incognito または InPrivate 閲覧モードのカスタマイズされた列設定は、Web ブラウザーを閉じるまで保存されます。
[名前] 列からファイル名の値を選択すると、詳細ポップアップが開きます。 ポップアップには、次の情報が含まれています。
[概要 ] セクション:
- Filename
- サイト パス
- ファイル パス
- ドキュメント ID
- SHA256
- 最終日付の変更
- 最終更新者
- 脅威
- 検出技術
詳細 セクション:
- 検出された日付
- によって検出される
- マルウェア名
- 最終更新者
- ファイル サイズ
- ファイル所有者
電子メール リスト セクション: マルウェア ファイルを含むメッセージに関する次の関連情報を示す表。
- Date
- 件名
- [受信者]
[ すべてのメールを表示] を選択して、マルウェア ファミリ名でフィルター処理された新しいタブで脅威エクスプローラーを開きます。
最近のアクティビティ: 受信者の 監査ログ検索 の集計結果を表示します。
- Date
- IP アドレス
- アクティビティ
- 項目
受信者に 3 つ以上の監査ログ エントリがある場合は、[ 最近のすべてのアクティビティを表示 する] を選択して、すべてのアクティビティを表示します。
ヒント
電子メール & コラボレーションのアクセス許可のセキュリティ管理者ロール グループのメンバーは、[最近のアクティビティ] セクションを展開できません。 監査ログ、Information Protection アナリスト、または Information Protection 調査担当者ロールが割り当てられている Exchange Online アクセス許可の役割グループのメンバーである必要があります。 既定では、これらのロールは レコード管理、 コンプライアンス管理、 情報保護、Information Protection アナリスト、 Information Protection調査担当者、 組織管理 ロール グループに割り当てられます。 セキュリティ管理者のメンバーをそれらの役割グループに追加することも、監査ログ ロールが割り当てられた新しいロール グループを作成することもできます。
脅威エクスプローラーの URL クリック ビュー
脅威エクスプローラーの URL クリック ビューには、メール内の URL、SharePoint と OneDrive のサポートされている Office ファイル、およびMicrosoft Teamsのすべてのユーザークリックが表示されます。
https://security.microsoft.comの Defender ポータルの [エクスプローラー] ページで URL クリック ビューを開くには、[電子メール & コラボレーション]、[Explorer>>URL クリック] タブに移動します。または、https://security.microsoft.com/threatexplorerv3を使用して [エクスプローラー] ページに直接移動し、[URL のクリック] タブを選択します。
脅威エクスプローラーの URL クリック ビューのフィルター可能なプロパティ
既定では、プロパティ フィルターはデータに適用されません。 フィルター (クエリ) を作成する手順については、この記事の後半 の「脅威エクスプローラーのフィルターとリアルタイム検出 」セクションで説明します。
脅威エクスプローラーの URL クリック ビューの [受信者] ボックスで使用できるフィルター可能なプロパティについて、次の表で説明します。
プロパティ | 種類 |
---|---|
基本 | |
受信者 | 文字列。 複数の値をコンマで区切ります。 |
タグ | 文字列。 複数の値をコンマで区切ります。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。 |
ネットワーク メッセージ ID | 文字列。 複数の値をコンマで区切ります。 メッセージ ヘッダーの X-MS-Exchange-Organization-Network-Message-Id ヘッダー フィールドで使用できる GUID 値。 |
URL | 文字列。 複数の値をコンマで区切ります。 |
アクションをクリックする | 1 つ以上の値を選択します。
|
脅威の種類 | 1 つ以上の値を選択します。
|
検出技術 | 1 つ以上の値を選択します。
|
[ID] をクリックします | 文字列。 複数の値をコンマで区切ります。 |
クライアント IP | 文字列。 複数の値をコンマで区切ります。 |
脅威エクスプローラーの URL クリック ビューのグラフのピボット
グラフには既定のビューがありますが、[ ヒストグラム グラフのピボットの選択] から値を選択して、フィルター処理されたグラフ データまたはフィルター処理されていないグラフ データの編成と表示方法を変更できます。
使用可能なグラフ ピボットについては、次のサブセクションで説明します。
脅威エクスプローラーの URL クリック ビューの URL ドメイン グラフ ピボット
このピボットは既定では選択されていませんが、 URL ドメインは URLクリック ビューの既定のグラフ ピボットです。
URL ドメイン ピボットは、ユーザーがメール、Office ファイル、または指定した日付/時刻範囲とプロパティ フィルターのMicrosoft Teamsでクリックした URL 内のドメイン別にグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各 URL ドメインの数が表示されます。
脅威エクスプローラーの URL クリック ビューのワークロード グラフ ピボット
ワークロード ピボットは、指定された日付/時刻範囲とプロパティ フィルターのクリックされた URL (メール、Office ファイル、またはMicrosoft Teams) の場所によってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各ワークロードの数が表示されます。
脅威エクスプローラーの URL クリック ビューの検出テクノロジ グラフ ピボット
検出テクノロジ ピボットは、指定された日付/時刻範囲とプロパティ フィルターの電子メール、Office ファイル、またはMicrosoft Teamsの URL クリックを識別した機能によってグラフを整理します。
グラフ内のデータ ポイントにカーソルを合わせると、各検出テクノロジの数が表示されます。
脅威エクスプローラーの URL クリック ビューの脅威の種類のグラフ ピボット
[脅威の種類] ピボットでは、指定した日付/時刻範囲とプロパティ フィルターのクリックされた URL、Office ファイル、またはMicrosoft Teamsの結果によってグラフが整理されます。
グラフ内のデータ ポイントにカーソルを合わせると、脅威の種類のテクノロジごとの数が表示されます。
脅威エクスプローラーの URL クリック ビューの詳細領域のビュー
URL クリック ビューの詳細領域にある使用可能なビュー (タブ) については、次のサブセクションで説明します。
脅威エクスプローラーの URL クリック ビューの詳細領域の結果ビュー
結果 は、 URL クリック ビューの詳細領域の既定のビューです。
[結果] ビューには、詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定では、すべての列が選択されます。
- クリックされた時間
- [受信者]
- URL クリック アクション
- URL
- Tags
- ネットワーク メッセージ ID
- [ID] をクリックします
- クライアント IP
- URL チェーン
- 脅威の種類
- 検出技術
ヒント
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- ビューから列を削除します。
- Web ブラウザーで縮小します。
カスタマイズされた列設定は、ユーザーごとに保存されます。 Incognito または InPrivate 閲覧モードのカスタマイズされた列設定は、Web ブラウザーを閉じるまで保存されます。
行の最初の列の横にあるチェック ボックスをオンにして 1 つまたは複数のエントリを選択し、[すべての電子メールを表示する] を選択し、選択したメッセージの [ネットワーク メッセージ ID] の値でフィルター処理された新しいタブの [すべてのメール] ビューで脅威エクスプローラーを開きます。
脅威エクスプローラーの URL クリック ビューの詳細領域の上位クリック ビュー
[ 上位クリック ] ビューに詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。
- URL
- ブロック済み
- 可
- オーバーライドされたブロック
- 保留中の評決
- 保留中の判定がバイパスされました
- なし
- [エラー] ページ
- 失敗
ヒント
使用可能なすべての列が選択されます。 [ 列のカスタマイズ] を選択した場合、列の選択を解除することはできません。
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- Web ブラウザーで縮小します。
行の最初の列の横にあるチェック ボックスをオンにしてエントリを選択し、[ すべてのクリックを表示 する] を選択して、 URL クリック ビューの新しいタブで脅威エクスプローラーを開きます。
最初の列の横にあるチェック ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、「 すべてのメール ビューの上位 URL の詳細」で説明されている情報と同じです。
脅威エクスプローラーの URL クリック ビューの詳細領域を対象とする上位のユーザー ビュー
[ 上位ターゲット ユーザー ] ビューでは、URL をクリックした上位 5 人の受信者のテーブルにデータが整理されます。 表は、以下を示しています。
上位の対象ユーザー: 上位の対象ユーザーのメール アドレス。 メール アドレスを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、 脅威エクスプローラーの [すべての電子メール] ビューの詳細領域の [上位の対象ユーザー] ビューで説明されている情報と同じです。
試行回数: 試行回数を選択すると、脅威エクスプローラーがマルウェア ファミリ名でフィルター処理された新しいタブで開きます。
ヒント
Export を使用して、最大 3,000 人のユーザーと対応する試行の一覧をエクスポートします。
Threat Explorer のプロパティ フィルターとリアルタイム検出
プロパティ フィルター/クエリの基本的な構文は次のとおりです。
Condition = <Filter プロパティ><Filter 演算子><Property 値または値>
複数の条件で、次の構文が使用されます。
<Condition1><AND |OR><Condition2><AND |OR><Condition3>... <AND |OR><ConditionN>
ヒント
ワイルドカード検索 (* または ?) は、テキストまたは整数値ではサポートされていません。 Subject プロパティは部分的なテキスト マッチングを使用し、ワイルドカード検索のような結果が生成されます。
プロパティ フィルター/クエリ条件を作成する手順は、Threat Explorer のすべてのビューとリアルタイム検出で同じです。
この記事の前のプレビュー ビューの説明セクションのテーブルを使用して、フィルター プロパティを特定します。
使用可能なフィルター演算子を選択します。 使用可能なフィルター演算子は、次の表に示すようにプロパティの種類によって異なります。
フィルター演算子 プロパティの種類 のいずれかと等しい テキスト
整数
控えめな値のいずれも等しくない テキスト
控えめな値より大きい 整数 未満 整数 1 つ以上のプロパティ値を入力または選択します。 テキスト値と整数の場合は、複数の値をコンマで区切って入力できます。
プロパティ値内の複数の値は、OR 論理演算子を使用します。 たとえば、 Sender address>Equal any>
bob@fabrikam.com,cindy@fabrikam.com
は、 Sender address>Equal any>bob@fabrikam.com
ORcindy@fabrikam.com
を意味します。1 つ以上のプロパティ値を入力または選択すると、フィルター作成ボックスの下に完了したフィルター条件が表示されます。
ヒント
1 つ以上の使用可能な値を選択する必要があるプロパティの場合、すべての値を選択したフィルター条件で プロパティを使用すると、フィルター条件で プロパティを使用しないのと同じ結果になります。
別の条件を追加するには、前の 3 つの手順を繰り返します。
フィルター作成ボックスの下の条件は、2 番目以降の条件を作成した時点で選択された論理演算子で区切られます。 既定値は AND ですが、 OR を選択することもできます。
同じ論理演算子がすべての条件の間で使用されます。これらはすべて AND であるか、すべて OR です。 既存の論理演算子を変更するには、論理演算子ボックスを選択し、 AND または OR を選択します。
既存の条件を編集するには、それをダブルクリックして、選択したプロパティ、フィルター演算子、および値を対応するボックスに戻します。
既存の条件を削除するには、条件の
を選択します。
グラフと詳細テーブルにフィルターを適用するには、[更新] を選択します
Threat Explorer で保存されたクエリ
ヒント
保存クエリ は 脅威トラッカー の一部であり、リアルタイム検出では使用できません。 保存されたクエリと脅威トラッカーは、Defender for Office 365 プラン 2 でのみ使用できます。
保存クエリ は、[ コンテンツ] マルウェア ビューでは使用できません。
Threat Explorer のほとんどのビューでは、後で使用するためにフィルター (クエリ) を保存できます。 保存されたクエリは、https://security.microsoft.com/threattrackerv2の Defender ポータルの [脅威トラッカー] ページで使用できます。 脅威トラッカーの詳細については、「 Microsoft Defender for Office 365 Plan 2 の脅威トラッカー」を参照してください。
脅威エクスプローラーでクエリを保存するには、次の手順を実行します。
前に説明したようにフィルター/クエリを作成した後、[クエリの保存]>
[クエリの保存] を選択します。
開いた [クエリの保存] ポップアップで、次のオプションを構成します。
- クエリ名: クエリの一意の名前を入力します。
- 以下のいずれかのオプションを選択します。
- 正確な日付: ボックスで開始日と終了日を選択します。 選択できる最も古い開始日は、今日の 30 日前です。 選択できる最新の終了日は今日です。
- 相対日付: 検索の実行時に [過去 nn 日を表示する] で日数を選択します。 既定値は 7 ですが、1 から 30 を選択できます。
- クエリの追跡: 既定では、このオプションは選択されていません。 このオプションは、クエリが自動的に実行されるかどうかに影響します。
- [クエリの追跡 ] が選択されていません: このクエリは、Threat Explorer で手動で実行できます。 クエリは、[脅威トラッカー] ページの [保存されたクエリ] タブに[追跡対象クエリ] プロパティ値 [いいえ] と共に保存されます。
- 選択したクエリの追跡 : クエリはバックグラウンドで定期的に実行されます。 クエリは、[脅威トラッカー] ページの [保存されたクエリ] タブで、[追跡されたクエリ] プロパティ値 [はい] で使用できます。 クエリの定期的な結果は、[脅威トラッカー] ページの [追跡されたクエリ] タブに表示されます。
[クエリの保存] ポップアップが完了したら、[保存] を選択し、確認ダイアログで [OK] を選択します。
https://security.microsoft.com/threattrackerv2の Defender ポータルの [脅威トラッカー] ページの [保存されたクエリ] タブまたは [追跡されたクエリ] タブで、[アクション] 列の [探索] を選択して、脅威エクスプローラーでクエリを開いて使用できます。
[脅威トラッカー] ページから [探索] を選択してクエリを開くと、[エクスプローラー] ページの [クエリの保存] ページで、[クエリの保存] と [
保存されたクエリ設定] が使用できるようになりました。
[クエリ
名前を付けて保存] を選択すると、[クエリの保存] ポップアップが開き、以前に選択したすべての設定が表示されます。 変更を行った場合は、[保存] を選択し、[成功] ダイアログで [OK] を選択すると、更新されたクエリが [脅威トラッカー] ページに新しいクエリとして保存されます (表示するには
Refresh を選択する必要がある場合があります)。
[
保存されたクエリ設定] を選択すると、[ 保存されたクエリ設定 ] ポップアップが開き、既存のクエリの日付と [クエリ設定の追跡] を更新できます。
詳細
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示