Microsoft Defender for Office 365のキャンペーン

ヒント

Office 365プラン2のMicrosoft 365 Defenderの機能を無料で試すことができることをご存知でしたか? Microsoft 365 Defender ポータル試用版ハブで 90 日間のDefender for Office 365試用版を使用します。 サインアップできるユーザーと試用版の条件については、 こちらを参照してください

適用対象

Microsoft 365 Defender ポータルのキャンペーンは、フィッシングやマルウェアを含む調整された電子メール攻撃を識別して分類します。 キャンペーンは、次のことができます。

  • 電子メールで配信されるフィッシング攻撃やマルウェア攻撃を効率的に調査して対応します。
  • 組織を対象とする電子メール攻撃の範囲をより深く理解します。
  • Office のMicrosoft Defenderの価値を、電子メールの脅威を防止する意思決定者に表示します。

キャンペーンを使用すると、電子メール攻撃の全体像を、どの人間よりも速く、より完全に確認できます。

この短いビデオでは、Microsoft Defender for Office 365のキャンペーンが、組織を対象とする調整された電子メール攻撃を理解するのに役立つ方法について説明します。

キャンペーンとは

キャンペーンとは、1 つまたは複数の組織に対する組織的なメール攻撃のことです。 資格情報と会社のデータを盗むEmail攻撃は、大規模で収益性の高い業界です。 攻撃を阻止する取り組みがテクノロジによって増えるにつれて、攻撃者は継続的な成功を確実にするためにメソッドを変更します。

Microsoftでは、サービス全体で膨大な量のフィッシング対策、スパム対策、マルウェア対策のデータを活用して、キャンペーンの特定に役立ちます。 攻撃情報を分析し、いくつかの要因に従って分類します。 例:

  • 攻撃元: 送信元 IP アドレスと送信者の電子メール ドメイン。
  • メッセージのプロパティ: メッセージのコンテンツ、スタイル、およびトーン。
  • メッセージ受信者: 受信者の関連付け方法。 たとえば、受信者ドメイン、受信者ジョブ機能 (管理者、エグゼクティブなど)、会社の種類 (大規模、小規模、パブリック、プライベートなど)、業界などです。
  • 攻撃ペイロード: メッセージ内の悪意のあるリンク、添付ファイル、またはその他のペイロード。

キャンペーンは有効期間が短い場合や、アクティブな期間と非アクティブな期間が含まれる数日、数週間、または数か月に及ぶ場合があります。 特定の組織に対してキャンペーンが開始される場合や、組織が複数の企業にまたがる大規模なキャンペーンの一部である可能性があります。

Microsoft 365 Defender ポータルのキャンペーン

キャンペーンは、Microsoft 365 Defender ポータルhttps://security.microsoft.comEmail & コラボレーション>キャンペーンで、または で直接https://security.microsoft.com/campaigns使用できます。

Microsoft 365 Defender ポータルのキャンペーンを示すスクリーンショット。

キャンペーンは、次の場所から表示することもできます。

  • & Email コラボレーション>エクスプローラー>ビュー>キャンペーン
  • & Emailコラボレーション>エクスプローラー>[すべてのメール>の表示>] [キャンペーン] タブ
  • & Emailコラボレーション>エクスプローラー>の [フィッシング>キャンペーンの表示>] タブ
  • & Email コラボレーション>エクスプローラー>の [マルウェア>キャンペーンの表示>] タブ

必要なライセンスとアクセス許可

  • キャンペーンは、Defender for Office 365 プラン 2 (アドオン ライセンス、または Microsoft 365 E5 などのサブスクリプションに含まれる) で使用できます。
  • キャンペーンにアクセスするには、Microsoft 365 Defender ポータルの Organization ManagementSecurity Administrator、または Security Reader ロール グループのメンバーである必要があります。 詳細については、「Microsoft 365 Defender ポータルのアクセス許可」を参照してください。

キャンペーンの概要

メインの [キャンペーン] ページは、組織を対象とするすべてのキャンペーンを含む脅威レポートです。

既定の [ キャンペーン ] タブの [ キャンペーンの種類 ] 領域には、1 日あたりの受信者数を示す棒グラフが表示されます。 既定では、グラフには フィッシング データと マルウェア データの両方が表示されます。

ヒント

キャンペーン データや非常に限られたデータが表示されない場合は、日付範囲または フィルターを変更してみてください。

概要ページのグラフの下の表は、[ キャンペーン ] タブに次の情報を示しています。

  • [Name (名前)]

  • [Sample subject (件名のサンプル)]: キャンペーンのいずれかのメッセージの件名行。 キャンペーン内のすべてのメッセージが必ずしも同じ件名を持つとは限らないことに注意してください。

  • 対象: (組織内のキャンペーンの受信者の数) / (サービス内のすべての組織のキャンペーンの受信者の合計数) によって計算される割合。 この値は、キャンペーンが組織のみに向けられる度合い (高い値) と、サービス内の他の組織にも向けられる (低い値) を示します。

  • : この値は 、フィッシング または マルウェアのいずれかです。

  • サブタイプ: この値には、キャンペーンの詳細が含まれます。 例:

    • フィッシング: 利用可能な場合は、このキャンペーンによってフィッシングされるブランド。 たとえば、Microsoft365UnknownOutlook、または DocuSignです。
    • マルウェア: たとえば、 HTML/PHISH または HTML/<MalwareFamilyName>です。

    利用可能な場合は、このキャンペーンによってフィッシングされるブランド。 検出がDefender for Office 365テクノロジによって駆動されると、プレフィックス ATP- がサブタイプ値に追加されます。

  • [Recipients (受信者)]: このキャンペーンの攻撃対象となったユーザーの数。

  • 受信トレイ: 受信トレイでこのキャンペーンからメッセージを受信したユーザーの数 (迷惑メール Email フォルダーに配信されません)。

  • クリック済み: URL をクリックしたか、フィッシング メッセージで添付ファイルを開いたユーザーの数。

  • クリック率: "クリックされた受信トレイ" によって計算される / 割合。 この値は、キャンペーンの有効性を示す指標です。 つまり、受信者がメッセージをフィッシングとして識別できた場合、およびペイロード URL をクリックしなかった場合です。

    クリック率はマルウェア キャンペーンでは使用されません。

  • アクセス済み: ペイロード Web サイトに実際にアクセスしたユーザーの数。 クリックされた値があるが、安全なリンクが Web サイトへのアクセスをブロックした場合、この値は 0 になります。

[ キャンペーン配信元 ] タブには、世界地図上のメッセージ ソースが表示されます。

フィルターと設定

[キャンペーン] ページの上部には、特定のキャンペーンの検索と分離に役立つフィルターとクエリの設定がいくつかあります。

キャンペーン フィルター

実行できる最も基本的なフィルター処理は、開始日/時刻と終了日時です。

ビューをさらにフィルター処理するには、[ キャンペーンの種類 ] ボタンをクリックして選択し、[ 更新] をクリックすることで、複数の値をフィルター処理する単一のプロパティを実行できます。

[ キャンペーンの種類 ] ボタンで使用できるフィルター可能なキャンペーン プロパティについては、次の一覧で説明します。

  • 基本:

    • キャンペーンの種類: [マルウェア ] または [ フィッシング] を選択します。 選択をクリアすると、両方を選択した場合と同じ結果になります。
    • キャンペーン名
    • キャンペーン サブタイプ
    • Sender
    • 受信者
    • 送信元ドメイン
    • 件名
    • 添付ファイルの名前
    • マルウェア ファミリ
    • タグ: 指定したユーザー タグが適用されているユーザーまたはグループ (優先度アカウントを含む)。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
    • 配信アクション
    • 追加アクション
    • 方向性
    • 検出技術
    • 元の配送場所
    • 最新の配送場所
    • システムオーバーライド
  • 詳細:

    • インターネット メッセージ ID: メッセージ ヘッダーの [メッセージ ID ヘッダー] フィールドで使用できます。 値の例は です <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (山かっこに注意してください)。
    • ネットワーク メッセージ ID: メッセージ ヘッダーの X-MS-Exchange-Organization-Network-Message-Id ヘッダー フィールドで使用できる GUID 値。
    • [Sender IP (送信者の IP)]
    • 添付ファイル SHA256: Windows でファイルの SHA256 ハッシュ値を検索するには、コマンド プロンプトで次のコマンドを実行します。 certutil.exe -hashfile "<Path>\<Filename>" SHA256
    • クラスター ID
    • アラート ID
    • アラート ポリシー ID
    • キャンペーン ID
    • ZAP URL シグナル
  • URL:

    • URL ドメイン
    • URL ドメインとパス
    • URL
    • URL パス
    • クリック判定

複数のプロパティによるフィルター処理など、より高度なフィルター処理を行うには、[ 詳細なフィルター ] ボタンをクリックしてクエリを作成できます。 同じキャンペーン プロパティを使用できますが、次の機能強化があります。

  • [ 条件の追加 ] をクリックすると、複数の条件を選択できます。
  • 条件の間で And 演算子または Or 演算子を選択できます。
  • 条件リストの下部にある [条件] グループ 項目を選択すると、複合複合条件を形成できます。

完了したら、[ クエリ ] ボタンをクリックします。

基本的なフィルターまたは高度なフィルターを作成した後は、[クエリの 保存] または [クエリの名前を付 けて 保存] を使用して保存できます。 後で [ キャンペーン ] ページに戻ると、[ 保存されたクエリ設定] をクリックして保存したフィルターを読み込むことができます。

グラフまたはキャンペーンの一覧をエクスポートするには、[ エクスポート ] をクリックし、[ グラフ データのエクスポート ] または [ キャンペーン リストのエクスポート] を選択します。

Microsoft Defender for Endpoint サブスクリプションがある場合は、[MDE 設定] をクリックして、キャンペーン情報をMicrosoft Defender for Endpointに接続または切断できます。 詳細については、「Microsoft Defender for Office 365とMicrosoft Defender for Endpointの統合」を参照してください。

キャンペーンの詳細

キャンペーンの名前をクリックすると、キャンペーンの詳細がポップアップに表示されます。

キャンペーン情報

キャンペーンの詳細ビューの上部には、次のキャンペーン情報が表示されます。

  • キャンペーン ID: 一意のキャンペーン識別子。
  • アクティビティ: キャンペーンの期間とアクティビティ。
  • 選択した日付範囲フィルター (またはタイムラインで選択した) の次のデータ。
  • 影響
  • メッセージ: 受信者の合計数。
  • 受信トレイ: 迷惑メール Email フォルダーではなく、受信トレイに配信されたメッセージの数。
  • クリックされたリンク: フィッシング メッセージの URL ペイロードをクリックしたユーザーの数。
  • アクセス済みリンク: URL にアクセスしたユーザーの数。
  • Targeted(%): (組織内のキャンペーンの受信者の数) / (サービス内のすべての組織のキャンペーンの受信者の合計数) によって計算される割合。 この値はキャンペーンの有効期間全体にわたって計算され、日付フィルターに基づいて変更されることはありません。
  • 次のセクションで説明するように、キャンペーン フローの開始日/時刻フィルターと終了データ/時間フィルター。
  • キャンペーン アクティビティの対話型タイムライン: タイムラインには、キャンペーンの有効期間全体にわたるアクティビティが表示されます。 グラフ内のデータ ポイントにカーソルを合わせると、検出されたメッセージの量を確認できます。

キャンペーン情報

キャンペーン フロー

キャンペーンの詳細ビューの中央には、キャンペーンに関する重要な詳細が水平フロー図 ( Sankey ダイアグラムと呼ばれます) に表示されます。 これらの詳細情報は、キャンペーンの要素および組織に与えている可能性のある影響を理解する上で役立ちます。

ヒント

フロー図に表示される情報は、前のセクションで説明したように、タイムラインの日付範囲フィルターによって制御されます。

ユーザー URL のクリックを含まないキャンペーンの詳細

図内の横方向の帯にマウスのポインターを合わせると、関連するさまざまなメッセージが表示されます (特定のソース IP からのメッセージ、指定した送信者ドメインを使用した、特定のソース IP からのメッセージなど)。

図には、次の情報が含まれます。

  • [Sender IPs (送信者の IP)]

  • [Sender domains (送信者のドメイン)]

  • フィルター判定: 判定値は、「 スパム対策メッセージ ヘッダー」の説明に従って、使用可能なフィッシングとスパム フィルターの判定に関連します。 使用可能な値については、次の表を参照してください。

    スパム フィルターの判定 説明
    SFV:SKN

    SFV:SKI

    スパム フィルター処理によって評価される前に、メッセージが迷惑メールではない、またはスキップされたフィルター処理としてマークされました。 たとえば、メッセージはメール フロー ルール (トランスポート ルールとも呼ばれます) によってスパムではないとしてマークされました。

    メッセージは、他の理由でスパム フィルター処理をスキップしました。 たとえば、送信者と受信者が同じ組織内にあるように見えます。

    ブロック済み SFV:SKS メッセージは、スパム フィルター処理によって評価される前にスパムとしてマークされました。 たとえば、メール フロー ルールなどです。
    [Detected (検出済み)] SFV:SPM スパム フィルタリングによって、メッセージがスパムとしてマークされました。
    検出されない SFV:NSPM メッセージはスパム フィルタリングによってスパムではないとしてマークされました。
    リリースされた SFV:SKQ メッセージは検疫から解放されたため、スパム フィルター処理をスキップしました。
    テナント許可* SFV:SKA スパム対策ポリシーの設定が原因で、メッセージがスパム フィルター処理をスキップしました。 たとえば、送信者が許可された送信者リストまたは許可されたドメイン リストに含まれているとします。
    テナント ブロック** SFV:SKA スパム対策ポリシーの設定が原因で、スパム フィルターによってメッセージがブロックされました。 たとえば、送信者が許可された送信者リストまたは許可されたドメイン リストに含まれているとします。
    ユーザー許可* SFV:SFE 送信者がユーザーの [差出人セーフ リスト] に含まれているため、メッセージはスパム フィルター処理をスキップしました。
    ユーザー ブロック** SFV:BLK 送信者がユーザーの [ブロックされた送信者] リストに含まれているため、スパム フィルターによってメッセージがブロックされました。
    ZAP 該当なし 0 時間の自動消去 (ZAP) は、配信されたメッセージを [迷惑メール] Email フォルダーまたは検疫に移動しました。 スパム対策ポリシーでアクションを構成します。

    * 許可されたメッセージがサービスによってブロックされている可能性が高いため、スパム対策ポリシーを確認します。

    ** これらのメッセージは検疫する必要があり、配信されないため、スパム対策ポリシーを確認します。

  • メッセージの送信先: ユーザーがメッセージ内のペイロード URL をクリックしなかった場合でも、受信者 (受信トレイまたは迷惑メール Email フォルダー) に配信されたメッセージを調査する必要があります。 検疫されたメッセージを検疫から削除することもできます。 詳細については、「 EOP で検疫された電子メール メッセージ」を参照してください。

    • フォルダーの削除
    • 削除
    • 外部: 受信者は、ハイブリッド環境のオンプレミスのメール組織にあります。
    • Failed
    • 転送
    • [Inbox (受信トレイ)]
    • [Junk folder (迷惑メール フォルダー)]
    • [Quarantine (検疫)]
    • 不明
  • URL のクリック: これらの値については、次のセクションで説明します。

注:

10 個を超える項目を含むすべてのレイヤーでは、上位 10 個の項目が表示され、残りは Others にバンドルされます。

URL のクリック

フィッシング メッセージが受信者の受信トレイまたは迷惑メール Email フォルダーに配信されると、ユーザーがペイロード URL をクリックする可能性が常に高くなります。 URL をクリックしないことは成功の小さな尺度ですが、フィッシング メッセージがメールボックスに配信された理由を判断する必要があります。

ユーザーがフィッシング メッセージのペイロード URL をクリックした場合、アクションはキャンペーンの詳細ビューの図の URL クリック 領域に表示されます。

  • BlockPage: 受信者はペイロード URL をクリックしましたが、悪意のある Web サイトへのアクセスは、組織内の 安全なリンク ポリシーによってブロックされました。
  • BlockPageOverride: 受信者はメッセージ内のペイロード URL をクリックし、安全なリンクはそれらを停止しようとしましたが、ブロックをオーバーライドすることが許可されました。 安全なリンクポリシーを調べて、ユーザーが安全なリンクの判定を上書きし、悪意のある Web サイトに進む理由を確認します。
  • PendingDetonationPage: Microsoft Defender for Office 365の安全な添付ファイルは、仮想コンピューター環境でペイロード URL を開いて調査中です。
  • PendingDetonationPageOverride: 受信者はペイロードの爆発プロセスをオーバーライドし、結果を待たずに URL を開くことを許可されました。

タブ

キャンペーンの詳細ビューのタブを使用すると、キャンペーンをさらに調査できます。

ヒント

タブに表示される情報は、「 キャンペーン 情報」セクションで説明されているように、タイムラインの日付範囲フィルターによって制御されます。

  • URL のクリック: ユーザーがメッセージ内のペイロード URL をクリックしなかった場合、このセクションは空白になります。 ユーザーが URL をクリックできた場合は、次の値が設定されます。

    • User*
    • Url*
    • クリック時間
    • クリック判定
  • [Sender IPs (送信者の IP)]

    • [Sender IP (送信者の IP)*]
    • 合計数
    • 受信トレイ
    • 受信トレイにありません
    • SPF が渡されました: 送信者は 送信者ポリシー フレームワーク (SPF) によって認証されました。 SPF 検証に合格しない送信者は、認証されていない送信者を示すか、メッセージが正当な送信者を偽装していることを示します。
  • [Senders (送信者)]

    • 送信者: これは SMTP MAIL FROM コマンドの実際の送信者アドレスです。これは、ユーザーが電子メール クライアントに表示する [差出人: 電子メール アドレス] とは限りません。
    • 合計数
    • 受信トレイ
    • 受信トレイにありません
    • DKIM が渡されました: 送信者は ドメイン キー識別メール (DKIM) によって認証されました。 DKIM 検証に合格しない送信者は、認証されていない送信者を示すか、メッセージが正当な送信者を偽装していることを示します。
    • DMARC が渡されました: 送信者は 、ドメイン ベースのメッセージ認証、レポート、および準拠 (DMARC) によって認証されました。 DMARC 検証に合格しない送信者は、認証されていない送信者を示すか、メッセージが正当な送信者を偽装していることを示します。
  • 添付ファイル

    • Filename
    • SHA256
    • マルウェア ファミリ
    • 合計数
  • URL

    • [URL*]
    • [Total Count (総数)]

* この値をクリックすると、指定したアイテム (ユーザー、URL など) についての詳細情報を含む新しいポップアップがキャンペーンの詳細ビューの上に開きます。 キャンペーンの詳細ビューに戻るには、表示されたフライアウトで [Done (完了)] をクリックします。

Attitional Actions

キャンペーンの詳細ビューの下部にあるボタンを使用すると、キャンペーンに関する詳細を調査して記録できます。

  • メッセージを探索する: Threat Explorer の機能を使用して、キャンペーンをさらに調査します。

    • すべてのメッセージ: [キャンペーン ID ] の値を検索フィルターとして使用して、新しい [脅威エクスプローラー] 検索タブを開きます。
    • 受信トレイメッセージ: [キャンペーン ID ] と [ 配信場所: 受信トレイ ] を検索フィルターとして使用して、新しい [脅威エクスプローラー] 検索タブを開きます。
    • 内部メッセージ: [キャンペーン ID ] と [ 方向: 組織内 ] を検索フィルターとして使用して、新しい [脅威エクスプローラー] 検索タブを開きます。
  • 脅威レポートのダウンロード: キャンペーンの詳細を Word 文書にダウンロードします (既定では、CampaignReport.docxという名前)。 ダウンロードには、(選択したフィルターの日付だけでなく) キャンペーンの有効期間全体の詳細が含まれていることに注意してください。