既定では、Microsoft Defender for Office 365 プラン 2 の自動調査と応答 (AIR) によって識別される修復アクションには、セキュリティ操作 (SecOps) チームによる承認が必要です。 AIR の詳細については、Microsoft Defender for Office 365 プラン 2 の自動調査と対応 (AIR) に関するページを参照してください。
管理者は、自動的に修復する特定のアクションを指定することもできます。 AIR 調査で悪意があると識別されたメッセージを自動的に修復するには、次の利点があります。
- より多くの脅威の修復を迅速化することで、顧客保護を強化します。
- 承認の必要性を減らすことで、SecOps チームの時間を節約できます。
この記事の残りの部分では、AIR で自動修復を構成する方法と、自動的に修復されたメッセージを識別する方法について説明します。
自動修復を構成する
AIR は、検出された悪意のあるファイルまたは URL の周りにクラスターを作成し、自動調査によってクラスター内のメッセージの場所が確認されます。 メッセージがメールボックス内にある場合、AIR は修復アクションを生成します。
自動的に修復するクラスターの種類を選択すると、SecOps の承認を必要とせずに、選択した修復アクションが実行されます。
ヒント
自動的に修復されない AIR によって生成されたクラスターは、現在と同様に [保留中] アクション として表示されます。
10,000 を超えるメッセージを超えるクラスターでは、自動的に修復は行われず、レビューの 保留中のアクション として表示されます。
次の手順を使用して、自動的に修復するクラスターの種類を選択します。
https://security.microsoft.comのMicrosoft Defender ポータルで、[設定>Email &コラボレーション>MDO自動化設定] に移動します。
[ Automation の設定 ] ページでは、次の設定を使用できます。
[メッセージ クラスター ] セクション: 自動的に修復されるメッセージ クラスターの種類を指定します。 次のオプションの 1 つ以上を選択します。
同様のファイル: 自動調査で悪意のあるファイルが認識されると、悪意のあるファイルの周囲にクラスターが作成されます。 クラスターは、ファイルを含むすべてのメッセージをクラスターにグループ化します。 この設定を選択すると、これらの悪意のあるファイル クラスターの自動修復にorganizationが選択されます。
同様の URL: 自動調査で悪意のある URL が認識されると、悪意のある URL の周囲にクラスターが作成されます。 クラスターは、URL を含むすべてのメッセージをクラスターにグループ化します。 この設定を選択すると、これらの悪意のある URL クラスターの自動修復にorganizationが選択されます。
ヒント
ロードマップに従って、自動修復に使用できるメッセージ クラスターが増えるタイミングを把握します。
[修復アクション ] セクション: [メッセージ クラスター] セクションで指定されたメッセージ クラスターの種類に対して実行するアクション を 指定します。
現時点では、 論理的な削除 のみが使用可能なアクションです。 論理的に削除されたメッセージの詳細については、Exchange Onlineの回復可能なアイテム フォルダーに関するページを参照してください。
重要
論理的に削除されたメッセージを回復する機能は、各メールボックス内の論理的に削除されたメッセージのアイテム保持ポリシーによって異なります。 悪意があるとマークされたメッセージを含め、電子メールの保持に関する法的義務を確認します。 論理的に削除されたメッセージの保持の詳細については、「Exchange OnlineのExchange Online メールボックスに対して完全に削除されたアイテムを保持する期間を変更する」を参照してください。
[オートメーションの設定] ページが完了したら、[保存] を選択します。
![Defender ポータルの [設定] \> Email & コラボレーション \> MDO オートメーション設定での悪意のあるエンティティ クラスター構成の自動修復のスクリーンショット。](media/auto-air-mdo-automation-settings.png#lightbox)
自動的に修復されたメッセージを確認する
次のサブセクションでは、Defender ポータルを使用して自動修復アクションを確認する方法を示します。
アクション センターでの自動修復の結果
https://security.microsoft.com/action-center/のアクション センターで、自動的に修復されたクラスターが [履歴] タブに表示されます。値 Automation で [決定済み] フィルターを使用して、自動的に修復されたクラスターを返します。
アクション センターの詳細については、「 アクション センター」を参照してください。
![アクション センターの [履歴] タブのスクリーンショット。自動的に修復されたクラスターは、値によって決定された Automation とアクション ソース値の [自動メール] アクションでフィルター処理されます。](media/auto-air-mdo-action-center.png#lightbox)
自動修復の結果が調査される
AIR の調査の中で、自動的に修復されたクラスターは、調査の [保留中のアクション履歴] タブに [値によって処理された自動化] と共に表示されます。
AIR の調査結果の詳細については、Microsoft Defender for Office 365 プラン 2 の自動調査と対応 (AIR) の詳細と結果に関するページを参照してください。
![[値で処理] Automation を使用して自動的に修復されたクラスターを含む調査の [保留中のアクション履歴] タブのスクリーンショット。](media/auto-air-mdo-investigations.png#lightbox)
脅威のエクスプローラーの自動修復の結果
[脅威のエクスプローラー (エクスプローラー)] で、自動的に修復されたメッセージには、[追加アクション] 値 [自動修復:自動化] が表示されます。
脅威のエクスプローラーの詳細については、「脅威のエクスプローラーとMicrosoft Defender for Office 365のリアルタイム検出について」を参照してください。
![自動修復によってメールボックスから自動修復が削除されたメッセージを示す脅威エクスプローラーのスクリーンショット ([追加アクション] 値 [自動修復] でフィルター処理)。](media/auto-air-mdo-threat-explorer.png#lightbox)
高度なハンティングの自動修復結果
Advanced ハンティングでは、自動的に修復されたメッセージは、次の両方のプロパティ値を持つ EmailPostDeliveryEvents テーブル内にあります。
-
ActionTypeequals Automated Remediation -
ActionTriggerは Automation と等しくなります。
高度なハンティングの詳細については、「Microsoft Defenderで高度なハンティングを使用して脅威を事前に検出する」を参照してください。
メッセージに対する自動修復アクションを元に戻す
注:
メッセージを回復する機能は、Defender で引き続き使用できるデータと、論理的に削除されたメッセージのメールボックス保持設定によって異なります。 詳細については、次の記事を参照してください。
自動修復アクションを元に戻し、メッセージをメールボックスに復元するには、次の方法を使用できます。
[脅威のエクスプローラー] または [高度なハンティング] のメッセージに対してアクションを実行します。
アクションの実行ウィザードの詳細については、「アクションの実行ウィザード」を参照してください。次のスクリーンショットに示すように、アクション センターの [履歴] タブの [クラスター プロパティの詳細] ポップアップの [受信トレイまたは
>への移動] アクション。![自動修復アクションを元に戻し、メッセージをメールボックスに復元するために使用できる [受信トレイに移動] アクションを示す、自動的に修復された電子メール クラスターの詳細ポップアップのスクリーンショット。](media/auto-air-mdo-action-center-cluster-details.png)
![自動修復アクションを元に戻し、メッセージをメールボックスに復元するために使用できる [受信トレイに移動] アクションを示す、自動的に修復された電子メール クラスターの詳細ポップアップのスクリーンショット。](media/auto-air-mdo-action-center-cluster-details.png#lightbox)