Microsoft Defender for Office 365での修復アクション
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。
修復アクション
Microsoft Defender for Office 365の脅威保護機能には、特定の修復アクションが含まれています。 このような修復アクションには、次のものが含まれます。
- メール メッセージまたはクラスターの論理的な削除
- URL のブロック (クリック時)
- 外部メール転送の無効化
- 委任を無効にする
Microsoft Defender for Office 365では、修復アクションは自動的には実行されません。 代わりに、修復アクションは、organizationのセキュリティ運用チームが承認したときにのみ実行されます。
脅威と修復アクション
Microsoft Defender for Office 365には、さまざまな脅威に対処するための修復アクションが含まれています。 自動調査では、多くの場合、確認と承認を行う 1 つ以上の修復アクションが発生します。 場合によっては、自動調査では特定の修復アクションが発生しません。 さらに調査し、適切なアクションを実行するには、次の表のガイダンスを使用します。
カテゴリ | 脅威/リスク | 修復アクション |
---|---|---|
電子メール | マルウェア | 電子メール/クラスターの論理的な削除 クラスター内の一部の電子メール メッセージにマルウェアが含まれている場合、クラスターは悪意があると見なされます。 |
電子メール | 悪意のある URL ( 安全なリンクによって悪意のある URL が検出されました)。 |
電子メール/クラスターの論理的な削除 ブロック URL (クリック時の検証) 悪意のある URL を含むEmailは、悪意があると見なされます。 |
電子メール | フィッシュ | 電子メール/クラスターの論理的な削除 クラスター内の少数のメール メッセージにフィッシング試行が含まれている場合、クラスター全体がフィッシング試行と見なされます。 |
電子メール | Zapped フィッシング (Emailメッセージが配信され、その後 zapped されました。 |
電子メール/クラスターの論理的な削除 レポートは、ザップされたメッセージを表示するために使用できます。 ZAP がメッセージと FAQ を移動したかどうかを確認します。 |
電子メール | ユーザーによって 報告 された見逃しフィッシング メール | ユーザーのレポートによってトリガーされる自動調査 |
電子メール | ボリュームの異常 (最近のメールの数量は、照合条件の過去 7 日から 10 日を超えています)。 |
自動調査では、特定の保留中のアクションは発生しません。 ボリュームの異常は明らかな脅威ではありませんが、過去 7 日から 10 日間に比べて最近のメール量が大きいことを示すにすぎません。 大量の電子メールは潜在的な問題を示す可能性がありますが、悪意のある判定または電子メール メッセージ/クラスターの手動レビューの観点から確認が必要です。 「 配信された疑わしいメールを検索する」を参照してください。 |
電子メール | 脅威なし (ファイル、URL、または電子メール クラスターの判定の分析に基づく脅威がシステムで見つかりませんでした)。) |
自動調査では、特定の保留中のアクションは発生しません。 調査が完了した後に検出され、ザップされた脅威は、調査の数値結果には反映されませんが、このような脅威は脅威エクスプローラーで表示できます。 |
User | ユーザーが悪意のある URL をクリックした (ユーザーは、後で悪意があると判明したページに移動したか、またはユーザーが 安全なリンクの警告ページ をバイパスして悪意のあるページにアクセスしました)。 |
自動調査では、特定の保留中のアクションは発生しません。 URL のブロック (クリック時) 脅威エクスプローラーを使用して URL に関するデータを表示し、判定をクリックします。 organizationがMicrosoft Defender for Endpointを使用している場合は、ユーザーの調査を検討して、アカウントが侵害されているかどうかを判断することを検討してください。 |
User | ユーザーがマルウェア/フィッシングを送信している | 自動調査では、特定の保留中のアクションは発生しません。 ユーザーがマルウェアやフィッシングを報告しているか、攻撃の一部として ユーザーを偽装している 可能性があります。 脅威エクスプローラーを使用して、マルウェアやフィッシングを含む電子メールを表示および処理します。 |
User | メールの転送 (メールボックス転送ルールが構成され、データ流出に chch を使用できます)。 |
転送ルールを削除する 転送されたメールに関する特定の詳細を表示するには、 自動転送メッセージ レポート を使用します。 |
User | 委任ルールのEmail (ユーザーのアカウントには委任が設定されています)。 |
委任ルールを削除する organizationがMicrosoft Defender for Endpointを使用している場合は、委任アクセス許可を取得しているユーザーを調査することを検討してください。 |
User | データ流出 (ユーザーが電子メールまたはファイル共有 DLP ポリシーに違反した |
自動調査では、特定の保留中のアクションは発生しません。 |
User | 異常なメール送信 (ユーザーは最近、過去 7 日から 10 日間よりも多くのメールを送信しました)。 |
自動調査では、特定の保留中のアクションは発生しません。 大量のメールを送信することは、それ自体が悪意を持つわけではありません。ユーザーは、イベントの受信者の大規模なグループに電子メールを送信した可能性があります。 調査するには、 EAC の電子メール分析情報を転送する新しいユーザーと EACの送信メッセージ レポートを 使用して、何が起こっているかを判断し、アクションを実行します。 |
次の手順
- Microsoft Defender for Office 365での自動調査の詳細と結果を表示する
- Microsoft Defender for Office 365での自動調査の後に保留中または完了した修復アクションを表示する