ユーザーが報告したフィッシングの結果の自動ユーザー通知が AIR に表示される
Microsoft Defender for Office 365 Plan 2 を持つ Microsoft 365 組織では、ユーザーがメッセージをフィッシングとして報告すると、自動調査と対応 (AIR) で調査が自動的に作成されます。 管理者は、ユーザーが報告したメッセージ設定を構成して、AIR からの判定に基づいてメッセージを報告したユーザーに電子メール通知を送信できます。 この通知は、 自動フィードバック応答とも呼ばれます。 詳細については、「 ユーザーが報告した設定」を参照してください。
この記事では、特定の AIR 判定の自動フィードバック応答を有効にしてカスタマイズする方法、通知メール メッセージの送信方法、通知の外観について説明します。
はじめに把握しておくべき情報
「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [ユーザーによる報告設定] ページに直接移動するには、「https://security.microsoft.com/securitysettings/userSubmission」を使用してください。
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
- Microsoft Defender ポータルのメールとコラボレーションのアクセス許可: 組織の管理またはセキュリティ管理者役割グループ内のメンバーシップ。
- Microsoft Entra のアクセス許可: グローバル管理者またはセキュリティ管理者の役割内のメンバーシップにより、Microsoft 365 の必要なアクセス許可および その他の機能のアクセス許可をユーザーに付与します。
Microsoft Defender ポータルを使用して自動フィードバック応答を構成する
「https://security.microsoft.com」の Microsoft Defender ポータルで、[設定]>[メールとコラボレーション]>[ユーザーによる報告設定] タブの順に移動します。[ユーザーによる報告設定] ページに直接移動するには、「https://security.microsoft.com/securitysettings/userSubmission」を使用してください。
[ ユーザーが報告した設定] ページ で、[Outlook で報告されたメッセージを監視 する] が選択されていることを確認します。
[Email通知>の結果の電子メール] セクションで、[調査の結果をユーザーに自動的に電子メールで送信する] を選択し、表示される次のオプションの 1 つ以上を選択します。
- フィッシング詐欺またはマルウェア: AIR が脅威を、フィッシング詐欺、高確度のフィッシング詐欺、マルウェアとして特定した場合、フィッシング詐欺としてメッセージを報告したユーザーにメール通知が送信されます。
- 迷惑メール: AIR が脅威を迷惑メールとして特定した場合、フィッシング詐欺としてメッセージを報告したユーザーにメール通知が送信されます。
- 脅威なし: AIR が脅威を特定できなかった場合、フィッシング詐欺としてメッセージを報告したユーザーにメール通知が送信されます。
通知メールは、管理者が [としてマーク] を選択し、 の [申請] ページでhttps://security.microsoft.com/reportsubmission通知する場合と同じテンプレートを使用します。
[結果の電子メールのカスタマイズ] リンクを選択して、通知 メールをカスタマイズ できます。
開いた [管理者レビューメール通知のカスタマイズ ] ポップアップで、[フィッシング] ( [フィッシング ] または [マルウェア の自動フィードバック応答] オプションに対応) の [ 迷惑メール ] タブと [ 脅威が見つかりません ] タブで次の設定を構成します。
- メール本文の結果テキスト: 使用するカスタム テキストを入力します。 [フィッシング詐欺]、[迷惑メール]、[脅威なし] のそれぞれで異なるテキストを使い分けることができます。
- メールのフッターのテキスト: 使用するカスタム メッセージのフッターのテキストを入力します。 [フィッシング詐欺]、[迷惑メール]、[脅威なし] で同じテキストが使用されます。
[管理者によるレビューのメール通知をカスタマイズする] ポップアップが終了したら、[確認] を選択して [ユーザーによる報告設定] ページに戻ります。
自動フィードバック応答のしくみ
自動フィードバック応答を有効にすると、フィッシングとしてメッセージを報告したユーザーは、AIR の判定に基づいて電子メール通知を受け取り、選択した [自動でユーザーに調査オプションの結果を電子メールで送信する ] を選択します。
ヒント
次のスクリーンショットは、ユーザーに送信される通知メール メッセージの例を示しています。 前に説明したように、ユーザーが報告した設定の [結果 メールのカスタマイズ] のオプションを使用して、通知メールをカスタマイズできます。
脅威が見つかりません: ユーザーがメッセージをフィッシングとして報告すると、報告されたメッセージに対して AIR がトリガーされます。 調査で脅威が検出されない場合、メッセージを報告したユーザーは次のような通知メールを受け取ります。
スパム: ユーザーがメッセージをフィッシングとして報告すると、報告されたメッセージに対して AIR がトリガーされます。 調査でメッセージがスパムであると検出された場合、メッセージを報告したユーザーは次のような通知メールを受け取ります。
フィッシングまたはマルウェア: ユーザーがメッセージをフィッシングとして報告すると、報告されたメッセージに対して AIR がトリガーされます。 次に何が起こるかは、調査の結果によって異なります。
高信頼フィッシングまたはマルウェア: 次のいずれかのアクションを使用して、メッセージを修復する必要があります。
- 推奨されるアクションを承認します (調査またはアクション センターで保留中のアクションとして表示されます)。
- その他の方法 (脅威エクスプローラーなど) による修復。
メッセージが修復されると、調査は 修復 または 部分的に修復されると閉じられます。 調査の状態がこれらの値の 1 つである場合にのみ、メッセージを報告したユーザーに送信される電子メール通知です。
ヒント
信頼度の高いフィッシングまたはマルウェアの場合、メールボックスにメッセージが見つからない (メッセージが削除された) 場合、調査はすぐに 修復 される可能性があります。 終了する保留中の調査がないため、メッセージを報告したユーザーに電子メール通知は送信されません。
フィッシング: 調査によって保留中のアクションは作成されませんが、ユーザーは、メッセージがフィッシングであることが検出されたことを示す通知メールを受け取ります。 通知メールは次のようになります。
AIR が判定に達し、メッセージをフィッシングとして報告したユーザーに通知メールが送信されると、Defender ポータルの [申請] ページの [ユーザーレポート] タブにエントリの次のプロパティ値が表示されます。
- としてマーク: 評決が含まれます。
- マーク付き: 値は Automation です。
メッセージがレビューのために Microsoft に自動的または手動で送信されたかどうか、またはメッセージが AIR によって調査されたかどうかに関わらず、判定は [マーク済み] プロパティに表示されます。 [申請] ページの [ユーザーが報告した] タブの詳細については、「ユーザーが報告したメッセージのオプション管理」を参照してください。
さらに詳しくは
Defender for Microsoft 365 での提出と調査の詳細については、次の記事を参照してください。