Microsoft Defender for Office 365の調査におけるEmail分析
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
アラートの自動調査中に、Microsoft Defender for Office 365は元のメールで脅威を分析し、元の電子メールに関連するその他の電子メール メッセージと攻撃の一部である可能性がある他の電子メール メッセージを識別します。 この分析は重要です。電子メール攻撃は 1 つのメールで構成されることはほとんどありません。
自動調査の電子メール分析では、元のメールの属性を使用して電子メール クラスターを識別し、organizationによって送受信された電子メールのクエリを実行します。 この分析は、セキュリティ運用アナリストがエクスプローラーまたは Advanced Hunting で関連するメールを検索する方法と似ています。 攻撃者は通常、セキュリティ検出を回避するために電子メール パラメーターを変更するため、一致する電子メール メッセージを識別するためにいくつかのクエリが使用されます。 クラスタリング分析では、次のチェックを実行して、調査に関連する電子メールを処理する方法を決定します。
- 電子メール分析では、元の電子メールの属性 (送信者の値 (IP アドレス、送信者ドメイン) とコンテンツ (件名、クラスター ID) を使用して、電子メールのクエリ (クラスター) を作成し、関連する可能性のあるメールを見つけます。
- 元のメールの URL とファイルの分析で、悪意のあるメール (マルウェアやフィッシング) であることが特定された場合は、悪意のある URL またはファイルを含む電子メールのクエリまたはクラスターも作成されます。
- Emailクラスタリング分析では、クラスター内の同様の電子メールに関連付けられている脅威がカウントされ、電子メールが悪意のある、疑わしい、または明確な脅威がないかどうかを判断します。 クエリに一致する電子メールのクラスターに十分な量のスパム、通常のフィッシング、信頼度の高いフィッシング、またはマルウェアの脅威がある場合、電子メール クラスターはその脅威の種類を適用します。
- また、電子メール クラスタリング分析では、元のメールとメール クラスター内のメッセージの最新の配信場所もチェックされ、削除が必要なメッセージや、既に修復または防止されているメッセージを特定するのに役立ちます。 この分析は重要です。攻撃者は悪意のあるコンテンツに加え、セキュリティ ポリシーと保護がメールボックスによって異なる可能性があるためです。 この機能により、1 つ以上の悪意のある電子メール メッセージが 0 時間自動消去 (ZAP) によって防止または検出され、削除されているにもかかわらず、悪意のあるコンテンツがメールボックスに残っている可能性があります。
- マルウェア、信頼度の高いフィッシング、悪意のあるファイル、または悪意のある URL の脅威によって悪意があると見なされるクラスター Email、クラウド メールボックス (受信トレイまたは迷惑メール Email フォルダー) に残っているメッセージを論理的に削除するための保留中のアクションが発生します。 悪意のあるメールまたは電子メール クラスターが "メールボックスに含まれていない" (ブロック、検疫、失敗、論理的な削除など) または "オンプレミス/外部" でクラウド メールボックスに存在しない場合、それらを削除するための保留中のアクションは設定されません。
- いずれかの電子メール クラスターが悪意があると判断された場合、クラスターによって識別された脅威は、調査に関連する元の電子メールに再度適用されます。 この動作は、電子メールハンティングの結果を使用して、同様のメールに基づいて元のメールの判定を決定するセキュリティ運用アナリストに似ています。 この結果により、元のメールの URL、ファイル、またはソースのメール インジケーターが検出されたかどうかにかかわらず、システムは、パーソナル化、モーフィング、回避、またはその他の攻撃者手法によって検出を回避する可能性のある悪意のあるメール メッセージを特定できます。
- ユーザー侵害の調査では、メールボックスによって作成された潜在的な電子メールの問題を特定するために、追加の電子メール クラスターが作成されます。 このプロセスには、クリーン電子メール クラスター (ユーザーからの適切なメール、潜在的なデータ流出、および潜在的なコマンド/制御メール)、疑わしい電子メール クラスター (スパムまたは通常のフィッシングを含む電子メール)、悪意のある電子メール クラスター (マルウェアまたは高信頼フィッシングを含む電子メール) が含まれます。 これらの電子メール クラスターは、セキュリティ運用アナリスト データを提供して、侵害から対処する必要がある他の問題を特定し、元のアラートをトリガーした可能性のあるメッセージ (ユーザー送信制限をトリガーしたフィッシングやスパムなど) を可視化します。
類似度と悪意のあるエンティティ クエリを使用したクラスタリング分析をEmailすると、攻撃からの電子メールが 1 つだけ識別された場合でも、電子メールの問題が完全に識別され、クリーンアップされます。 電子メール クラスターの詳細サイド パネル ビューからのリンクを使用して、エクスプローラーまたは Advanced Hunting でクエリを開き、より詳細な分析を実行し、必要に応じてクエリを変更できます。 この機能を使用すると、電子メール クラスターのクエリが狭すぎるか、広すぎる (関連のないメールを含む) 場合に、手動による絞り込みと修復が可能になります。
調査での電子メール分析の追加の機能強化を次に示します。
AIR 調査では、高度な配信項目が無視されます (SecOps メールボックスとフィッシング シミュレーション メッセージ)
電子メール クラスタリング分析中、すべてのクラスタリング クエリは、高度な配信ポリシーとして識別される SecOps メールボックスとフィッシング シミュレーション URL を無視します。 SecOps メールボックスとフィッシング シミュレーション URL は、クラスタリング属性をシンプルで読みやすくするためにクエリに表示されません。 これらの除外により、SecOps メールボックスに送信されたメッセージと、フィッシング シミュレーション URL を含むメッセージが脅威分析中に無視され、修復中に削除されなくなります。
注:
電子メール クラスターを開いて電子メール クラスターの詳細からエクスプローラーで表示する場合、フィッシング シミュレーションと SecOps メールボックス フィルターはエクスプローラーに適用されますが、表示されません。 ページ内でエクスプローラーフィルター、日付、またはクエリを更新すると、フィッシング シミュレーション/SecOps フィルターの除外が削除され、一致する電子メール メッセージが再び表示されます。 ブラウザーの更新機能を使用してエクスプローラー ページを更新すると、フィッシング シミュレーション/SecOps フィルターを含む元のクエリ フィルターが再読み込まれますが、それ以降の変更は削除されます。
AIR 更新保留中の電子メール アクションの状態
調査電子メール分析では、調査時の電子メールの脅威と場所が計算され、調査の証拠とアクションが作成されます。 調査外のアクションが調査に関与する電子メールに影響を与えると、このデータは古くなり、古くなる可能性があります。 たとえば、セキュリティ操作の手動ハンティングと修復によって、調査に含まれる電子メールがクリーンされる場合があります。 同様に、並列調査または ZAP 自動検疫アクションで承認された削除アクションによって、電子メールが削除された可能性があります。 さらに、電子メール配信後の脅威の検出が遅延すると、調査の電子メール クエリ/クラスターに含まれる脅威の数が変わる可能性があります。
調査アクションが最新の状態になるように、保留中のアクションを含む調査では、定期的に電子メール分析クエリを再実行して、電子メールの場所と脅威を更新します。
- 電子メール クラスターのデータが変更されると、脅威と最新の配信場所の数が更新されます。
- 保留中のアクションを持つメールまたは電子メール クラスターがメールボックスに存在しなくなった場合、保留中のアクションは取り消され、悪意のあるメール/クラスターは修復されたと見なされます。
- 前に説明したように、調査のすべての脅威が修復または取り消されると、調査は修復された状態に移行し、元のアラートが解決されます。
電子メール クラスターと電子メール クラスターのインシデント証拠の表示
インシデントの [証拠と対応] タブのEmailベースの証拠に、次の情報が表示されるようになりました。
図の番号付き吹き出しから:
アクション センターに加えて、修復アクションを実行できます。
悪意のある判定 (ただし、疑わしい) を使用して、電子メール クラスターに対して修復アクションを実行できます。
電子メール スパムの判定では、フィッシングは高い信頼度と通常のフィッシングに分割されます。
悪意のある判定の場合、脅威のカテゴリはマルウェア、信頼度の高いフィッシング、悪意のある URL、悪意のあるファイルです。
疑わしい判定の場合、脅威カテゴリはスパムと通常のフィッシングです。
電子メールの数は、最新の配信場所に基づいており、メールボックス内ではなくメールボックス内の電子メールのカウンターとオンプレミスが含まれます。
最新のデータに対して更新される可能性があるクエリの日付と時刻が含まれます。
調査の [ エンティティ ] タブの電子メール クラスターまたは電子メール クラスターの場合、[ 防止] は、このアイテム (メールまたはクラスター) のメールボックスに悪意のあるメールが存在しなかったことを意味します。 次に例を示します。
この例では、メールは悪意のあるメールですが、メールボックスには含まれません。