自動調査と対応機能で誤検知/陰性を報告する方法
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Office 365の自動調査と対応 (AIR) 機能が何かを見逃したか、間違って検出された場合は、セキュリティ運用チームがそれを修正するために実行できる手順があります。 このようなアクションは次のとおりです。
- 誤検知/陰性を Microsoft に報告する。
- アラートの調整 (必要な場合);そして
- 実行された修復アクションの元に戻す。
この記事をガイドとして使用してください。
分析のために誤検知/陰性を Microsoft に報告する
Microsoft Defender for Office 365の AIR でメール メッセージ、電子メールの添付ファイル、電子メール メッセージ内の URL、または Office ファイル内の URL を見逃した場合は、スパム、フィッシング、URL、ファイルの疑いがある場合は、microsoft に送信して、Office 365スキャンを行うことができます。
マルウェア分析のためにファイルを Microsoft に送信することもできます。
誤検知が繰り返されないようにアラートを調整する
正当な使用によってアラートがトリガーされた場合、またはアラートが不正確な場合は、Defender for Cloud Apps ポータルでアラートを管理できます。
organizationがOffice 365に加えてMicrosoft Defender for Endpointを使用していて、ファイル、IP アドレス、URL、またはドメインがデバイス上のマルウェアとして扱われる場合は、安全であっても、デバイスに対して "許可" アクションを含むカスタム インジケーターを作成できます。
修復アクションを元に戻す
ほとんどの場合、電子メール メッセージ、電子メールの添付ファイル、または URL に対して修復アクションが実行され、アイテムが実際には脅威ではない場合、セキュリティ運用チームは修復アクションを元に戻して、誤検知が繰り返されないようにする手順を実行できます。 脅威エクスプローラーまたは [アクション] タブを使用して、調査を行ってアクションを元に戻すことができます。
重要
次のタスクを実行する前に、必要なアクセス許可があることを確認してください。
Threat エクスプローラー を使用してアクションを元に戻す
Threat エクスプローラーを使用すると、セキュリティ運用チームはアクションの影響を受けるメールを見つけ、アクションを元に戻す可能性があります。
シナリオ | 元に戻すオプション | 詳細情報 |
---|---|---|
電子メール メッセージがユーザーの迷惑メール Email フォルダーにルーティングされました |
|
Office 365で配信された悪意のあるメールを検索して調査する |
メール メッセージまたはファイルが検疫されました |
|
検疫されたメッセージを管理者として管理する |
アクション センターで操作を元に戻す
アクション センターで、実行された修復アクションを確認し、アクションを元に戻す可能性があります。
- https://security.microsoft.comのMicrosoft Defender ポータルで、[アクション センター] を選択してアクション センターに移動します。 アクション センターに直接移動するには、 https://security.microsoft.com/action-center/を使用します。
- アクション センターで、[ 履歴 ] タブを選択して、完了したアクションの一覧を表示します。
- 項目を選択します。 ポップアップ ウィンドウが開きます。
- ポップアップ ウィンドウで [元に戻す] を選択します。 (元に戻すことができる操作にのみ、[ 元に戻す] ボタンがあります)。