Threat エクスプローラー で手動の電子メール修復を使用する手順
Email修復は、管理者が脅威であるメールに対処するのに役立つ既存の機能です。
必要な情報
- Microsoft Defender for Office 365 プラン 2 (E5 プランに含まれる)
- 十分なアクセス許可 (アカウントにSearchと消去ロールを付与してください)
修復をCreateして追跡する
- [脅威] エクスプローラーで修復する脅威を選択し、[アクションの実行] を選択します。これにより、論理的な削除やハード削除などのオプションが提供されます。
- サイド ウィンドウが開き、修復の名前、重大度、説明などの詳細が表示されます。 情報が確認されたら、[送信] を選択 します。
- 管理者がこのアクションを承認するとすぐに、承認 ID とMicrosoft Defender XDR アクション センターへのリンクがここに表示されます。 このページでは 、アクションを追跡できます。
- アクション アラートの管理 - "管理者によって送信された管理アクション" という名前のシステム アラートがアラート キューに表示されます。 これは、管理者がエンティティを修復するアクションを実行したことを示します。 アクションを実行した管理者の名前、調査のリンクと時間などの詳細が表示されます。 これにより、管理者は、エンティティに対して実行される修復などの各重要なアクションを認識できます。
- 管理アクション調査 - エンティティの分析は既に管理者によって行われ、それがアクションの原因であるため、システムによってそれ以上の分析は行われません。 関連アラート、修復用に選択されたエンティティ、実行されたアクション、修復状態、エンティティ数、アクションの承認者などの詳細が表示されます。 これにより、管理者は 手動で実行された調査とアクションを追跡できます。管理者アクションの調査です。
- 統合アクション センターのアクション ログ - 論理的な削除や削除済みアイテム フォルダーへの移動などの電子メール アクションの履歴とアクション ログはすべて、[統一されたアクション センター>の履歴] タブの一元化されたビューで使用できます。
- 統合アクション センターのフィルター - 修復名、承認 ID、調査 ID、状態、アクション ソース、アクションの種類など、複数のフィルターがあります。 これらは、統合アクション センターで電子メール アクションを見つけて追跡するのに役立ちます。
重要
パフォーマンスを向上させるには、 50,000 以下のバッチで修復を行う必要があります。 最新の配信場所を使用して検索結果を絞り込み、メールが受信トレイ、迷惑メール、削除済みなどの修復可能なフォルダーにある場合は、電子メールの修復をトリガーします。
電子メールの修復を呼び出すシナリオ
電子メール修復のシナリオを次に示します。
- 調査の一環として、SecOps はエンド ユーザーのメールボックス内の脅威を特定し、問題のあるメールをクリアしたいと考えています。
- 自動調査と応答 (AIR) で推奨される電子メール アクションが SecOps によって承認されると、指定された電子メールまたは電子メール クラスターに対して修復アクションが自動的にトリガーされます。
2 つの手動の電子メール修復シナリオ:
- メインシナリオ:
- 電子メールに対して行われた手動アクション (脅威エクスプローラーや高度なハンティングの使用など) は、従来のDefender for Office 365 アクション センター (アクション センターのEmailとコラボレーション > レビュー > アクション センター - Microsoft 365 セキュリティ) にのみ表示されます。
- 2 段階の承認シナリオ:
- 2 段階認証プロセスを使用した承認待ちの手動アクション (1.1 人のアナリスト (2) によって、電子メールが修復に追加されました。電子メールは、別のアナリストによってレビューされ、承認されました)。
一般的なシナリオを考えると、電子メールの修復は 3 つの異なる方法でトリガーできます。
- クエリ ベースの修復: クエリを使用してすべての検索結果を選択します (最大 200,000 件のメールを送信できます)。
- 手動による修復: [チェック] ボックスをクリックしてメールを 1 つずつ選択します (一度に 100 件のメールを送信できます)。
- 除外を含むクエリ ベースの修復: すべてのメールを選択し、いくつかのメッセージを手動で削除します (クエリは最大 1,000 件のメールを保持でき、除外の最大数は 100 です)。
次の手順
- Microsoft Defender ポータルに移動し、サインインします。
- ナビゲーション ウィンドウで、[ アクション センター] を選択します。
- [ 履歴 ] タブに移動し、待機中の承認リストを選択します。 サイド ウィンドウが開きます。
- 統合アクション センターでアクションの状態を追跡します。