概要
これまで、許可リストは、電子メールが悪意のあるであることを示すシグナルを無視するExchange Online Protectionを有効にしました。 ベンダーは、IP、ドメイン、送信者アドレスを不必要にオーバーライドするように要求するのが一般的です。 攻撃者はこの間違いを利用することが知られており、不要な許可リストエントリを持つことはセキュリティの抜け穴です。 このステップ バイ ステップ ガイドでは、高度なハンティングを使用して、これらの正しく構成されていないオーバーライドを特定して削除する手順について説明します。これにより、organizationのセキュリティ体制を高めることができます。
必要な情報
- Microsoft Defender for Office 365 プラン 2 (E5 プランに含まれるか、aka.ms/trymdo で試用可能)
- 十分なアクセス許可 (セキュリティ閲覧者ロール)
- 次の手順を実行するには、5 ~ 10 分。
以下のすべてのクエリの一般的な手順
- セキュリティ ポータルにサインインし、高度なハンティングに移動する
- クエリ ボックスに KQL クエリを入力し、[クエリの 実行] を押します。
- 結果に表示されたときに個々のメールの NetworkMessageId ハイパーリンクを押すと、ポップアップが読み込まれます。これにより、電子メール エンティティ ページに簡単にアクセスできます。ここで、[ 分析 ] タブには、メールが一致したトランスポート ルールなどの詳細が表示されます。
- 結果は、[ エクスポート] を押して操作/分析をオフラインで行うこともできます。
ヒント
OrgLevelAction を UserLevelAction に変更すると、管理者ではなくユーザーによってオーバーライドされた電子メールの警告を検索でき、有用な分析情報になる場合もあります。
クエリ
上位のオーバーライド ソース
このクエリを使用して、最も不要なオーバーライドが配置されている場所を見つけます。 このクエリでは、オーバーライドが必要な検出なしでオーバーライドされた電子メールを検索します。
EmailEvents
| where OrgLevelAction == "Allow"
| summarize count() by OrgLevelPolicy, ThreatTypes
オーバーライドされた上位の脅威の種類
このクエリを使用して、検出された最もオーバーライドされた種類の脅威を見つけます。 このクエリは、検出された脅威がオーバーライドされたメール、DMARC、またはスプーフィングを検索します。これは、上書きの 必要性 を取り除くために修正できる電子メール認証の問題を示します。
EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by DetectionMethods
上位のオーバーライドされた IP
このクエリでは、オーバーライドを呼び出した検出を行わずに、IP によってオーバーライドされた電子メールを検索します。
EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderIPv4
| top 10 by count_
上位のオーバーライドされたドメイン
このクエリでは、オーバーライドを呼び出した検出を行わずにドメインを送信することによってオーバーライドされたメールを検索します。 (SenderMailFromDomain に変更して、5321.MailFrom をチェックします)
EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderFromDomain
| top 10 by count_
上位のオーバーライドされた送信者
このクエリでは、オーバーライドを必要とする検出を行わずにアドレスを送信することでオーバーライドされたメールを検索します。 (SenderMailFromAddress に変更して、5321.MailFrom をチェックします)
EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderFromAddress
| top 10 by count_
さらに詳しくは
うまくいけば、この記事は、高度なハンティングを開始するためのいくつかの基本的なクエリで、以下の記事チェック詳細を学ぶのに役立つことがわかりました。
高度なハンティングの詳細については、「 概要 - 高度なハンティング」を参照してください。
認証の詳細については、Exchange Online ProtectionのEmail認証に関するページを参照してください。