Microsoft Defender for Office 365 セキュリティ操作ガイド
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
この記事では、organizationでMicrosoft Defender for Office 365を正常に運用するための要件とタスクの概要について説明します。 これらのタスクは、セキュリティ オペレーション センター (SOC) が、メールやコラボレーション関連のセキュリティ上の脅威を保護、検出、対応するための高品質で信頼性の高いアプローチを確実に提供するのに役立ちます。
このガイドの残りの部分では、SecOps 担当者に必要なアクティビティについて説明します。 アクティビティは、規範的な毎日、週単位、月単位、アドホック タスクにグループ化されます。
このガイドのコンパニオン記事では、Microsoft Defender ポータルの [インシデント] ページのDefender for Office 365からインシデントとアラートを管理するための概要について説明します。
Microsoft Defender XDRセキュリティ運用ガイドには、計画と開発に使用できる追加情報が含まれています。
この情報に関するビデオについては、「 https://youtu.be/eQanpq9N1Ps」を参照してください。
毎日のアクティビティ
Microsoft Defender XDR インシデント キューを監視する
https://security.microsoft.com/incidentsのMicrosoft Defender ポータルの [インシデント] ページ (インシデント キューとも呼ばれます) を使用すると、Defender for Office 365の次のソースからのイベントを管理および監視できます。
Incidents キューの詳細については、「Microsoft Defender XDRでのインシデントの優先順位付け」を参照してください。
インシデント キューを監視するためのトリアージ 計画では、インシデントに対して次の優先順位を使用する必要があります。
- 悪意のある可能性のある URL のクリックが検出されました。
- 電子メールの送信を制限されたユーザー。
- 疑わしいメール送信パターンが検出されました。
- Emailユーザーによってマルウェアまたはフィッシングとして報告され、複数のユーザーが電子メールをマルウェアまたはフィッシングとして報告しました。
- 配信後に削除された悪意のあるファイルを含むメッセージEmail、配信後に削除された悪意のある URL を含むメッセージをEmailし、配信後に削除されたキャンペーンからメッセージをEmailします。
- ETR オーバーライドが原因で配信されたフィッシング、 ユーザーの迷惑メール フォルダーが無効になっているために配信されたフィッシング、 IP 許可ポリシーが原因で配信されたフィッシング
- ZAP が無効になっており、ZAP が無効になっているためにフィッシングがザップされていないため、マルウェアがザップされていません。
インシデント キュー管理と責任あるペルソナを次の表に示します。
アクティビティ | 頻度 | 説明 | ペルソナ |
---|---|---|---|
https://security.microsoft.com/incidentsのインシデント キュー内のインシデントをトリアージします。 | 毎日 | Defender for Office 365のすべての中および高重大度インシデントがトリアージされていることを確認します。 | セキュリティ運用チーム |
インシデントに対する対応アクションを調査して実行します。 | 毎日 | すべてのインシデントを調査し、推奨または手動の対応アクションを積極的に実行します。 | セキュリティ運用チーム |
インシデントを解決します。 | 毎日 | インシデントが修復された場合は、インシデントを解決します。 インシデントを解決すると、リンクされたすべてのアクティブなアラートが解決されます。 | セキュリティ運用チーム |
インシデントを分類します。 | 毎日 | インシデントを true または false として分類します。 真のアラートの場合は、脅威の種類を指定します。 この分類は、セキュリティ チームが脅威パターンを確認し、organizationを防御するのに役立ちます。 | セキュリティ運用チーム |
誤検知と誤検知の検出を管理する
Defender for Office 365では、次の場所で誤検知 (無効としてマークされた良好なメール) と偽陰性 (無効なメールが許可されている) を管理します。
詳細については、この記事の後半の 「誤検知と誤検知の管理 」セクションを参照してください。
偽陽性と偽陰性の管理と責任あるペルソナを次の表に示します。
アクティビティ | 頻度 | 説明 | ペルソナ |
---|---|---|---|
https://security.microsoft.com/reportsubmissionで、誤検知と偽陰性を Microsoft に送信します。 | 毎日 | 正しくないメール、URL、およびファイル検出を報告して、Microsoft にシグナルを提供します。 | セキュリティ運用チーム |
管理者の申請の詳細を分析します。 | 毎日 | Microsoft への提出に関する次の要因について説明します。
|
セキュリティ運用チーム セキュリティ管理 |
https://security.microsoft.com/tenantAllowBlockListのテナント許可/ブロック 一覧にブロック エントリを追加します。 | 毎日 | 必要に応じて、テナント許可/ブロック リストを使用して、偽の負の URL、ファイル、または送信者の検出のブロック エントリを追加します。 | セキュリティ運用チーム |
検疫から誤検知をリリースします。 | 毎日 | 受信者がメッセージが誤って検疫されたことを確認したら、ユーザーに対するリリース要求をリリースまたは承認できます。 独自の検疫済みメッセージ (リリースや要求のリリースを含む) に対してユーザーが実行できる操作を制御するには、「 検疫ポリシー」を参照してください。 |
セキュリティ運用チーム メッセージング チーム |
配信されたメールが発生したフィッシングとマルウェアのキャンペーンを確認する
アクティビティ | 頻度 | 説明 | ペルソナ |
---|---|---|---|
メール キャンペーンを確認します。 | 毎日 |
https://security.microsoft.com/campaignsでorganizationを対象としたメール キャンペーンを確認します。 メッセージが受信者に配信されたキャンペーンに焦点を当てます。 ユーザー メールボックスに存在するキャンペーンからメッセージを削除します。 このアクションは、インシデントからのアクション、 0 時間自動消去 (ZAP)、または手動修復によってまだ修復されていないメールがキャンペーンに含まれている場合にのみ必要です。 |
セキュリティ運用チーム |
毎週のアクティビティ
Defender for Office 365 レポートの電子メール検出の傾向を確認する
Defender for Office 365では、次のレポートを使用して、organizationの電子メール検出の傾向を確認できます。
アクティビティ | 頻度 | 説明 | ペルソナ |
---|---|---|---|
電子メール検出レポートを確認する: | Weekly (週単位) | 適切なメールと比較して、マルウェア、フィッシング、スパムの電子メール検出の傾向を確認します。 時間の経過に伴う監視により、脅威パターンを確認し、Defender for Office 365 ポリシーを調整する必要があるかどうかを判断できます。 | セキュリティ管理 セキュリティ運用チーム |
脅威分析を使用して新たな脅威を追跡して対応する
脅威分析を使用して、アクティブなトレンドの脅威を確認します。
アクティビティ | 頻度 | 説明 | ペルソナ |
---|---|---|---|
https://security.microsoft.com/threatanalytics3の脅威分析で脅威を確認します。 | Weekly (週単位) | 脅威分析では、次の項目を含む詳細な分析が提供されます。
|
セキュリティ運用チーム 脅威ハンティング チーム |
上位の対象ユーザーのマルウェアとフィッシングを確認する
[脅威] エクスプローラーの [すべてのメール]、[マルウェア]、[フィッシング] ビューの詳細領域にある [上位の対象ユーザー] タブ (表示) を使用して、マルウェアとフィッシングメールの上位ターゲットであるユーザーを検出または確認します。
アクティビティ | 頻度 | 説明 | ペルソナ |
---|---|---|---|
https://security.microsoft.com/threatexplorerの脅威エクスプローラーの [上位の対象ユーザー] タブを確認します。 | Weekly (週単位) | 情報を使用して、これらのユーザーのポリシーまたは保護を調整する必要があるかどうかを判断します。 影響を受けるユーザーを Priority アカウント に追加して、次の利点を得ることができます。
|
セキュリティ管理 セキュリティ運用チーム |
organizationを対象とする上位のマルウェアとフィッシング キャンペーンを確認する
キャンペーン ビューでは、organizationに対するマルウェアやフィッシング攻撃が表示されます。 詳細については、「Office 365 ATP のキャンペーン ビュー」を参照してください。
アクティビティ | 頻度 | 説明 | ペルソナ |
---|---|---|---|
https://security.microsoft.com/campaignsのキャンペーン ビューを使用して、ユーザーに影響を与えるマルウェアやフィッシング攻撃を確認します。 | Weekly (週単位) | 攻撃と手法、およびDefender for Office 365が識別およびブロックできた内容について説明します。 キャンペーンの詳細については、キャンペーン ビューで 脅威レポートをダウンロード するを使用します。 |
セキュリティ運用チーム |
アドホック アクティビティ
電子メールの手動調査と削除
アクティビティ | 頻度 | 説明 | ペルソナ |
---|---|---|---|
ユーザーの要求に基づいて、https://security.microsoft.com/threatexplorerの Threat エクスプローラー で不適切なメールを調査して削除します。 | アドホック | [脅威] エクスプローラーの [調査のトリガー] アクションを使用して、過去 30 日間のすべてのメールで自動調査と応答プレイブックを開始します。 調査を手動でトリガーすると、次のような時間と労力が一元的に節約されます。
詳細については、「例: ユーザーが報告したフィッシング メッセージが調査プレイブックを起動する」を参照してください。 または、Threat エクスプローラー を使用して、強力な検索機能とフィルター処理機能を使用して電子メールを手動で調査し、同じ場所から直接手動応答アクションを実行できます。 使用可能な手動アクション:
|
セキュリティ運用チーム |
積極的に脅威を捜索する
アクティビティ | 頻度 | 説明 | ペルソナ |
---|---|---|---|
脅威に対する定期的でプロアクティブなハンティング:. | アドホック | 脅威のエクスプローラーと高度なハンティングを使用して脅威を検索します。 | セキュリティ運用チーム 脅威ハンティング チーム |
ハンティング クエリを共有する。 | アドホック | 頻繁に使用される便利なクエリをセキュリティ チーム内で積極的に共有し、手動による脅威の検出と修復を迅速化します。 高度なハンティング で脅威トラッカー と 共有クエリを使用します。 |
セキュリティ運用チーム 脅威ハンティング チーム |
https://security.microsoft.com/custom_detectionでカスタム検出ルールを作成します。 | アドホック | Advance Hunting のDefender for Office 365 データに基づいて、イベント、パターン、脅威を事前に監視するカスタム検出ルールを作成します。 検出ルールには、一致する条件に基づいてアラートを生成する高度なハンティング クエリが含まれています。 | セキュリティ運用チーム 脅威ハンティング チーム |
ポリシー構成Defender for Office 365確認する
アクティビティ | 頻度 | 説明 | ペルソナ |
---|---|---|---|
https://security.microsoft.com/configurationAnalyzerでDefender for Office 365 ポリシーの構成を確認します。 | アドホック 毎月 |
構成アナライザーを使用して、既存のポリシー設定を、Defender for Office 365の推奨される Standard または Strict 値と比較します。 構成アナライザーは、organizationのセキュリティ体制を低下する可能性がある偶発的または悪意のある変更を識別します。 または、PowerShell ベースの ORCA ツールを使用することもできます。 |
セキュリティ管理 メッセージング チーム |
Defender for Office 365での検出のオーバーライドを確認するhttps://security.microsoft.com/reports/TPSMessageOverrideReportATP | アドホック 毎月 |
脅威保護の状態レポートの [システムオーバーライドによるデータの表示] > [理由別のグラフの内訳] ビューを使用して、フィッシングとして検出されたが、ポリシーまたはユーザーのオーバーライド設定によって配信された電子メールを確認します。 悪意があると判断されたメールの配信を回避するために、オーバーライドを積極的に調査、削除、または微調整します。 |
セキュリティ管理 メッセージング チーム |
なりすましと偽装の検出を確認する
アクティビティ | 頻度 | 説明 | ペルソナ |
---|---|---|---|
なりすましインテリジェンスの分析情報と偽装検出の分析情報を確認する. | アドホック 毎月 |
なりすましインテリジェンス分析情報と偽装分析情報を使用して、なりすましと偽装の検出のフィルター処理を調整します。 | セキュリティ管理 メッセージング チーム |
優先アカウント メンバーシップを確認する
アクティビティ | 頻度 | 説明 | ペルソナ |
---|---|---|---|
https://security.microsoft.com/securitysettings/userTagsで優先度アカウントとして定義されているユーザーを確認します。 | アドホック |
優先度アカウントのメンバーシップを組織の変更に合わせて最新の状態に保ち、これらのユーザーに次の利点を得ます。
他の ユーザー が取得するカスタム ユーザー タグを使用します。
|
セキュリティ運用チーム |
付録
Microsoft Defender for Office 365ツールとプロセスについて学習する
セキュリティ運用と対応チーム メンバーは、Defender for Office 365ツールと機能を既存の調査と対応プロセスに統合する必要があります。 新しいツールと機能については時間がかかる場合がありますが、オンボーディング プロセスの重要な部分です。 SecOps とメール セキュリティ チーム メンバーがDefender for Office 365について学習するための最も簡単な方法は、https://aka.ms/mdoninjaの Ninja トレーニング コンテンツの一部として利用できるトレーニング コンテンツを使用することです。
コンテンツは、レベルごとに複数のモジュールを使用して、さまざまなナレッジ レベル (基礎、中間、および高度) 用に構成されています。
特定のタスクの短いビデオは、Microsoft Defender for Office 365 YouTube チャンネルでも利用できます。
Defender for Office 365アクティビティとタスクのアクセス許可
Microsoft Defender ポータルと PowerShell でDefender for Office 365を管理するためのアクセス許可は、ロールベースのアクセス制御 (RBAC) アクセス許可モデルに基づいています。 RBAC は、ほとんどの Microsoft 365 サービスで使用されているのと同じアクセス許可モデルです。 詳細については、「Microsoft Defender ポータルのアクセス許可」を参照してください。
注:
Microsoft Entra IDのPrivileged Identity Management (PIM) は、SecOps 担当者に必要なアクセス許可を割り当てる方法でもあります。 詳細については、「Privileged Identity Management (PIM)」と「Microsoft Defender for Office 365で使用する理由」を参照してください。
Defender for Office 365では、次のアクセス許可 (ロールとロール グループ) を使用でき、セキュリティ チーム メンバーへのアクセスを許可するために使用できます。
Microsoft Entra ID: Defender for Office 365を含むすべての Microsoft 365 サービスにアクセス許可を割り当てる一元化されたロール。 Microsoft Defender ポータルでは、Microsoft Entraロールと割り当てられたユーザーを表示できますが、直接管理することはできません。 代わりに、https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2FでMicrosoft Entraロールとメンバーを管理します。 セキュリティ チームで使用される最も頻繁なロールは次のとおりです。
Exchange OnlineとEmail &コラボレーション: Microsoft Defender for Office 365に固有のアクセス許可を付与するロールとロール グループ。 次のロールはMicrosoft Entra IDでは使用できませんが、セキュリティ チームにとって重要な場合があります。
プレビュー ロール (Email &コラボレーション): 調査アクティビティの一部として電子メール メッセージをプレビューまたはダウンロードする必要があるチーム メンバーにこのロールを割り当てます。 ユーザーは、Threat エクスプローラー (エクスプローラー) またはリアルタイム検出とEmailエンティティ ページを使用して、クラウド メールボックスから電子メール メッセージをプレビューおよびダウンロードできます。
既定では、 プレビュー ロールは次の役割グループにのみ割り当てられます。
- データ調査員
- 電子情報開示マネージャー
これらの役割グループにユーザーを追加することも、プレビュー ロールが割り当てられた新しいロール グループを作成して、カスタム ロール グループにユーザーを追加することもできます。
検索と消去の役割 (Email & コラボレーション): AIR によって推奨される悪意のあるメッセージの削除を承認するか、脅威エクスプローラーなどのハンティング エクスペリエンスのメッセージに対して手動でアクションを実行します。
既定では、 Search ロールと Purge ロールは次のロール グループにのみ割り当てられます。
- データ調査員
- 組織の管理
これらの役割グループにユーザーを追加することも、検索ロールと消去ロールが割り当てられた新しい役割グループを作成し、ユーザーをカスタム ロール グループに追加することもできます。
テナント AllowBlockList Manager (Exchange Online): テナントの許可/ブロックリストの許可とブロックのエントリを管理します。 URL、ファイル (ファイル ハッシュを使用) または送信者をブロックすることは、配信された悪意のあるメールを調査するときに実行する便利な応答アクションです。
既定では、このロールはMicrosoft Entra IDではなく、Exchange Onlineの Security Operator ロール グループにのみ割り当てられます。 Microsoft Entra IDの Security Operator ロールのメンバーシップでは、テナント許可/ブロック リストのエントリを管理することはできません。
Microsoft Entra IDのセキュリティ管理者または組織の管理ロールのメンバー、またはExchange Online内の対応するロール グループのメンバーは、テナント許可/ブロック リストのエントリを管理できます。
SIEM/SOAR 統合
Defender for Office 365は、一連のプログラム API を介してそのデータの大部分を公開します。 これらの API は、ワークフローを自動化し、Defender for Office 365機能を最大限に活用するのに役立ちます。 データはMicrosoft Defender XDR API を介して使用でき、Defender for Office 365を既存の SIEM/SOAR ソリューションに統合するために使用できます。
インシデント API: Defender for Office 365アラートと自動調査は、Microsoft Defender XDRのインシデントのアクティブな部分です。 セキュリティ チームは、攻撃範囲全体と影響を受けたすべての資産をグループ化することで、重要な点に集中できます。
イベント ストリーミング API: リアルタイムのイベントとアラートを、発生した場合に 1 つのデータ ストリームに配信できます。 Defender for Office 365でサポートされているイベントの種類は次のとおりです。
イベントには、過去 30 日間のすべての電子メール (組織内メッセージを含む) の処理からのデータが含まれます。
高度なハンティング API: 製品間の脅威ハンティングを許可します。
Threat Assessment API: スパム、フィッシング URL、またはマルウェアの添付ファイルを Microsoft に直接報告するために使用できます。
Defender for Office 365インシデントと生データをMicrosoft Sentinelに接続するには、Microsoft Defender XDR (M365D) コネクタを使用します
次の "Hello World" の例を使用して、MICROSOFT DEFENDER API への API アクセスをテストできます。REST API のHello World Microsoft Defender XDRします。
SIEM ツールの統合の詳細については、「SIEM ツールとMicrosoft Defender XDRの統合」を参照してください。
Defender for Office 365の誤検知と偽陰性に対処する
ユーザーが報告したメッセージと電子メール メッセージの管理者からの送信は、機械学習検出システムにとって重要な肯定的な強化シグナルです。 提出は、攻撃のレビュー、トリアージ、迅速な学習、軽減に役立ちます。 誤検知と誤検知を積極的に報告することは、検出中に間違いが発生したときにDefender for Office 365するフィードバックを提供する重要なアクティビティです。
組織には、ユーザーが報告したメッセージを構成するための複数のオプションがあります。 構成によっては、ユーザーが Microsoft に誤検知または偽陰性を送信するときに、セキュリティ チームがより積極的に関与する場合があります。
ユーザーが報告した設定が次のいずれかの設定で構成されている場合、 ユーザーが報告した メッセージは分析のために Microsoft に送信されます。
- 報告されたメッセージの送信先: Microsoft のみ。
- 報告されたメッセージをMicrosoft と自分のレポート メールボックスに送信します。
セキュリティ チームのメンバーは、運用チームがユーザーによって報告されなかった誤検知または偽陰性を検出したときに、アドホック 管理者の申請 を行う必要があります。
ユーザーが報告したメッセージが、organizationのメールボックスにのみメッセージを送信するように構成されている場合、セキュリティ チームは、管理者の申請を介して、ユーザーから報告された誤検知と偽陰性を Microsoft に積極的に送信する必要があります。
ユーザーがメッセージをフィッシングとして報告すると、Defender for Office 365アラートが生成され、アラートによって AIR プレイブックがトリガーされます。 インシデント ロジックは、この情報を可能な限り他のアラートやイベントに関連付けます。 この情報の統合は、セキュリティ チームがユーザーから報告されたメッセージのトリアージ、調査、応答に役立ちます。
サービスの申請パイプラインは、ユーザー レポート メッセージと管理者がメッセージを送信するときに、緊密に統合されたプロセスに従います。 通常、このプロセスには次のものが含まれます。
- ノイズリダクション。
- 自動トリアージ。
- セキュリティ アナリストと人間が提携する機械学習ベースのソリューションによる採点。
詳細については、「Defender for Office 365 - Microsoft Tech Communityでの電子メールの報告」を参照してください。
セキュリティ チーム メンバーは、https://security.microsoft.comのMicrosoft Defender ポータルで複数の場所から申請を行うことができます。
送信の管理: [申請] ページを使用して、疑わしいスパム、フィッシング、URL、ファイルを Microsoft に送信します。
次のいずれかのメッセージ アクションを使用して、Threat エクスプローラーから直接アクセスします。
- レポート クリーン
- フィッシング詐欺の報告
- マルウェアの報告
- スパムを報告する
一括送信を実行するには、最大 10 個のメッセージを選択できます。 これらのメソッドを使用して作成された管理申請は、[申請] ページの各タブに表示されます。
偽陰性の短期的な軽減策として、セキュリティ チームは、ファイル、URL、ドメインまたはメール アドレスのブロック エントリを テナント許可/ブロック リストで直接管理できます。
誤検知の短期的な軽減策として、セキュリティ チームは、テナント許可/ブロック リストでドメインとメール アドレスの許可エントリを直接管理することはできません。 代わりに、 管理者の申請 を使用して、電子メール メッセージを誤検知として報告する必要があります。 手順については、「 Microsoft に適切なメールを報告する」を参照してください。
Defender for Office 365の検疫は、潜在的に危険または不要なメッセージとファイルを保持します。 セキュリティ チームは、すべてのユーザーのすべての種類の検疫済みメッセージを表示、解放、削除できます。 この機能を使用すると、誤検知メッセージまたはファイルが検疫されたときに、セキュリティ チームが効果的に対応できます。
サード パーティのレポート ツールとDefender for Office 365ユーザーが報告したメッセージを統合する
organizationが、ユーザーが疑わしいメールを内部的に報告できるサードパーティのレポート ツールを使用している場合は、ツールをユーザーが報告したDefender for Office 365のメッセージ機能と統合できます。 この統合により、セキュリティ チームには次の利点があります。
- Defender for Office 365の AIR 機能との統合。
- 簡略化されたトリアージ。
- 調査と応答時間の短縮。
ユーザーが報告したメッセージが送信されるレポート メールボックスを、https://security.microsoft.com/securitysettings/userSubmissionのMicrosoft Defender ポータルの [ユーザーレポート設定] ページで指定します。 詳細については、「 ユーザーが報告した設定」を参照してください。
注:
- レポート メールボックスは、Exchange Online メールボックスである必要があります。
- サード パーティのレポート ツールには、元の報告されたメッセージを非圧縮として含める必要があります。EML または 。レポート メールボックスに送信されるメッセージの MSG 添付ファイル (元のメッセージをレポート メールボックスに転送するだけではありません)。 詳細については、「 サード パーティのレポート ツールのメッセージ送信形式」を参照してください。
- レポート メールボックスには、フィルター処理や変更を行わずに不適切なメッセージを配信できるようにするための特定の前提条件が必要です。 詳細については、「 レポート メールボックスの構成要件」を参照してください。
ユーザーが報告したメッセージがレポート メールボックスに到着すると、Defender for Office 365は、ユーザーがマルウェアまたはフィッシングとして報告Emailという名前のアラートを自動的に生成します。 このアラートは AIR プレイブックを起動します。 プレイブックでは、一連の自動調査手順が実行されます。
- 指定したメールに関するデータを収集します。
- そのメールに関連する脅威と エンティティ (ファイル、URL、受信者など) に関するデータを収集します。
- 調査結果に基づいて、SecOps チームに推奨されるアクションを提供します。
ユーザーによってマルウェアまたはフィッシング アラートとして報告されたEmail、自動調査とその推奨されるアクションは、Microsoft Defender XDRのインシデントと自動的に関連付けられます。 この相関関係により、セキュリティ チームのトリアージと応答プロセスがさらに簡略化されます。 複数のユーザーが同じメッセージまたは類似のメッセージを報告する場合、すべてのユーザーとメッセージが同じインシデントに関連付けられます。
Defender for Office 365のアラートと調査のデータは、他のMicrosoft Defender XDR製品のアラートや調査と自動的に比較されます。
- Microsoft Defender for Endpoint
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
リレーションシップが検出された場合、システムは攻撃全体を可視化するインシデントを作成します。