ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Microsoft Defender for Office 365 プラン 2 の自動調査と対応 (AIR) には、脅威を検出して調査するための強力な機能が含まれています。 詳細については、「 自動調査と応答」を参照してください。
しかし、AIR が何かを脅威 (誤検知) として誤って識別したり、脅威 (偽陰性) と判明したものを見逃したりした場合はどうでしょうか。 この記事では、AIR からの誤検知と誤検知に対処するためにセキュリティ運用 (SecOps) 担当者が利用できるオプションについて説明します。
誤検知または誤検知を Microsoft に送信する
誤検知メール メッセージ、誤検知メール メッセージ、電子メール添付ファイル、URL を Microsoft に送信または再送信するには、「 送信ページを使用して、疑わしいスパム、フィッシング、URL、正当なメールがブロックされる、および電子メールの添付ファイルを Microsoft に送信する」を参照してください。
誤検知が繰り返されないようにアラートを調整する
手順については、organizationで利用可能なサブスクリプションに基づいて、次の記事を参照してください。
- Defender XDR: アラートを調整する
- Defender for Endpoint: デバイス上のマルウェアと誤認されているファイル、IP アドレス URL、またはドメインの 許可 アクションを作成します。 手順については、「 インジケーターの作成」を参照してください。
修復アクションを元に戻す
ヒント
アクセス許可とライセンス要件については、「 AIR に必要なアクセス許可とライセンス」を参照してください。
SecOps 担当者は、多くの場合、 Take アクション を使用して修復アクションを元に戻すことができます。 以下に例を示します。
- エクスプローラーから (脅威エクスプローラー)。 詳細については、「Email修復」を参照してください。
- [Email エンティティ] ページから。 詳細については、「Email エンティティ ページのアクション」を参照してください。
- https://security.microsoft.com/action-center/historyのアクション センターの [履歴] タブにあるエントリの詳細ポップアップから。
アクションの実行で使用可能なアクションの詳細については、アクションの実行ウィザードを参照してください。
- メールボックス内の [迷惑メール Email] フォルダーに移動されたメッセージに対してアクションを実行するには、[アクションの実行>メールボックス フォルダーへの移動] を使用し、次のいずれかの宛先を選択します。
- 誤検知の受信トレイ。
- 削除済みアイテム、 論理的な削除済みアイテム、または False 負の ハード削除済みアイテム 。
- 検疫されたメッセージに対してアクションを実行するには、次のいずれかの手順を実行します。
- メッセージを解放するには、 アクションの実行>メールボックス フォルダーへの移動>Inbox を使用し、[ 電子メールの元の受信者の 1 つ以上にリリース する] または [ すべての受信者にリリース] を選択します。 または、 検疫から直接メッセージを解放することもできます。
- ユーザーが検疫されたメッセージにアクセスできる場合は、検疫から直接メッセージを削除します。
- ユーザーが検疫されたメッセージにアクセスできない場合は、何もする必要はありません (メッセージは 最終的に検疫から期限切れになります)。
- 検疫されたファイルに対してアクションを実行するには、次のいずれかの手順を実行します。
- 検疫されたファイルを検疫から解放します。
- 検疫されたファイルにユーザーが アクセスできる場合は、検疫されたファイルを検疫から削除します。
- ユーザーが検疫されたファイルにアクセスできない場合は、何もする必要はありません ( ファイルは最終的に検疫から期限切れになります)。