Microsoft Defender for Office 365 でのステップ バイ ステップの脅威に対する保護

• 適用対象:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

Microsoft Defender for Office 365保護またはフィルター処理スタックは、この記事のように 4 つのフェーズに分けることができます。 一般に、受信メールは配信前にこれらのフェーズをすべて通過しますが、実際に電子メールが受け取るパスは、organizationのDefender for Office 365構成の対象となります。

ヒント

この記事の最後まで、Defender for Office 365保護のすべての 4 つのフェーズの統合グラフィックをお楽しみに!

フェーズ 1 - エッジ保護

残念ながら、かつて 重要 だった Edge ブロックは、悪いアクターが克服するために比較的単純になりました。 時間の経過と同時に、ここでブロックされるトラフィックは少なくなりますが、スタックの重要な部分のままです。

エッジ ブロックは自動で設計されています。 誤検知の場合、送信者に通知され、問題に対処する方法が伝えられます。 評価が限られた信頼できるパートナーのコネクタを使用すると、新しいエンドポイントをオンボードするときに、配信可能性を確保したり、一時的なオーバーライドを行ったりすることができます。

1. ネットワーク調整は、特定のインフラストラクチャセットによって送信できるメッセージの数を制限することで、Office 365インフラストラクチャと顧客をサービス拒否 (DOS) 攻撃から保護します。

2. IP 評判と調整によって、既知の 不適切な接続 IP アドレスから送信されるメッセージがブロックされます。 特定の IP が短時間で多数のメッセージを送信すると、調整されます。

3. ドメイン 評判 は、既知の不適切なドメインから送信されるすべてのメッセージをブロックします。

4. ディレクトリ ベースのエッジ フィルター ブロックは、SMTP を介して組織のディレクトリ情報を収集しようと試みます。

5. バックスキャター検出により、無効な配信不可レポート (NDRs) を通じて組織が攻撃されるのを防ぎます。

6. コネクタのフィルター処理を強化すると、トラフィックがOffice 365に到達する前に別のデバイスを通過した場合でも、認証情報が保持されます。 これにより、複雑なルーティングシナリオやハイブリッド ルーティング シナリオでも、ヒューリスティック クラスタリング、なりすまし対策、フィッシング対策の機械学習モデルなど、フィルター処理スタックの精度が向上します。

フェーズ 2 - 送信者インテリジェンス

送信者インテリジェンスの機能は、スパム、一括、偽装、未承認のスプーフィング メッセージをキャッチするために重要であり、フィッシング検出にも考慮されます。 これらの機能のほとんどは個別に構成できます。

1. アカウント侵害検出 トリガーとアラートは、アカウントに異常な動作があり、侵害と一致する場合に発生します。 場合によっては、ユーザー アカウントがブロックされ、organizationのセキュリティ運用チームによって問題が解決されるまで、それ以上の電子メール メッセージを送信できなくなります。

2. Email認証には、送信者が承認された本物のメーラーであることを保証することを目的として、顧客が構成した方法とクラウドで設定された方法の両方が含まれます。 これらの方法は、スプーフィングに抵抗します。

   • SPF は、organizationの代わりにメールを送信できる IP アドレスとサーバーを一覧表示する DNS TXT レコードに基づいてメールを拒否できます。
   • DKIM は、送信者を認証する暗号化された署名を提供します。
   • DMARC を使用すると、管理者はドメインで必要に応じて SPF と DKIM をマークし、これら 2 つのテクノロジの結果間の調整を強制できます。
   • ARC は DMARC 上に構築され、認証チェーンの記録中にメーリング リストの転送を処理します。

3. スプーフィング インテリジェンス は、組織または既知の外部ドメインを模倣する悪意のある送信者から、"なりすまし" (つまり、別のアカウントに代わってメールを送信するユーザー、またはメーリング リストの転送) を許可されているユーザーをフィルター処理できます。 正当な "代理" メールと、スパムやフィッシング メッセージを配信するなりすましを行う送信者を分離します。

   組織内のスプーフィング インテリジェンスは、組織内のドメインからスプーフィングの試行を検出してブロックします。

4. クロスドメイン スプーフィング インテリジェンスは、組織外のドメインからスプーフィングの試行を検出してブロックします。

5. 一括フィルター処理を 使用すると、管理者は、メッセージが一括送信者から送信されたかどうかを示す一括信頼レベル (BCL) を構成できます。 管理者は、スパム対策ポリシーの一括スライダーを使用して、スパムとして扱う一括メールのレベルを決定できます。

6. メールボックス インテリジェンスは、標準的なユーザーのメールの動作から学習します。 これは、ユーザーの通信グラフを利用して、送信者が通常は通信するユーザーと見なされるが、実際には悪意があると思われる場合を検出します。 このメソッドは偽装を検出します。

7. メールボックス インテリジェンス偽装 では、各ユーザーの個々の送信者マップに基づいて、強化された偽装結果を有効または無効にします。 有効にすると、この機能は偽装を識別するのに役立ちます。

8. ユーザー偽装 を使用すると、管理者は偽装される可能性の高い高いターゲットの一覧を作成できます。 送信者が保護された高価値アカウントと同じ名前とアドレスしか持っていないように見えるメールが届いた場合、メールはマークまたはタグ付けされます。 (例: trα cye@contoso.com for tracye@contoso.com)。

9. ドメイン偽装 は、受信者のドメインに似たドメインを検出し、内部ドメインのように見えます。 たとえば、この偽装 では、 のα re.com がtracye@liw されます tracye@litware.com。

フェーズ 3 - コンテンツ フィルタリング

このフェーズでは、フィルター 処理スタックは、ハイパーリンクや添付ファイルなど、メールの特定の内容の処理を開始します。

1. トランスポート ルール (メール フロー ルールまたは Exchange トランスポート ルールとも呼ばれます) を使用すると、メッセージに対して同じ範囲の条件が満たされた場合に、管理者は幅広いアクションを実行できます。 organizationを通過するすべてのメッセージは、有効なメール フロー ルール/トランスポート ルールに対して評価されます。

2. Microsoft Defenderウイルス対策とサードパーティのウイルス対策エンジンは、添付ファイル内のすべての既知のマルウェアを検出するために使用されます。

3. ウイルス対策 (AV) エンジンは、ファイル名拡張子に関係なく、真の型照合を使用してファイルの種類を検出します (たとえば、 exe に txt 名前が変更されたファイルはファイルとして exe 検出されます)。 この機能を使用すると、管理者によって指定されたファイルの種類を正しくブロックする タイプ ブロック (共通の添付ファイル フィルターとも呼ばれます) を使用できます。 サポートされているファイルの種類の一覧については、 一般的な添付ファイル フィルターでの True 型の一致に関するページを参照してください。

4. Microsoft Defender for Office 365が悪意のある添付ファイルを検出するたびに、ファイルのハッシュとそのアクティブなコンテンツのハッシュがExchange Online Protection (EOP) 評判に追加されます。 添付ファイルの評判ブロックは、MSAV クラウド呼び出しを通じて、すべてのOffice 365およびエンドポイントでファイルをブロックします。

5. ヒューリスティック クラスタリングでは、ファイルが配信ヒューリスティックに基づいて疑わしいと判断できます。 疑わしい添付ファイルが見つかると、キャンペーン全体が一時停止し、ファイルがサンドボックス化されます。 ファイルが悪意があると検出された場合、キャンペーン全体がブロックされます。

6. 機械学習モデルは、メッセージのヘッダー、本文コンテンツ、URL に基いて、フィッシングの試行を検出します。

7. Microsoft では、URL サンドボックスからの評判の判定と、URL 評判ブロックのサードパーティ フィードからの URL 評判を使用して、既知の悪意のある URL を持つメッセージをブロックします。

8. コンテンツ ヒューリスティックスでは、機械学習モデルを使用して、メッセージの本文内の構造と単語の頻度に基づいて疑わしいメッセージを検出できます。

9. 安全な添付ファイルは、Defender for Office 365顧客のすべての添付ファイルをサンドボックス化し、動的分析を使用して、前に見たことのない脅威を検出します。

10. リンクされたコンテンツの破壊は、メール内のファイルにリンクしているすべての URL を添付ファイルとして扱い、配信時にファイルを非同期的にサンドボックス化します。

11. URL の破壊は、アップストリームのフィッシング対策テクノロジで疑わしいメッセージまたは URL が検出された場合に発生します。 URL 爆発は、配信時にメッセージ内の URL をサンドボックス化します。

フェーズ 4 - 配信後の保護

最後のステージは、メールまたはファイルの配信後に行われ、Microsoft Teams などのクライアントに表示されるさまざまなメールボックスやファイルやリンクにあるメールに対応します。

1. 安全なリンクは、Defender for Office 365 のクリック時保護です。 すべてのメッセージ内のすべての URL は、Microsoft Safe Links サーバーを指すようにラップされます。 URL がクリックされると、ユーザーがターゲット サイトにリダイレクトされる前に、最新の評判と照合されます。 URL は非同期的にサンドボックス化され、評判が更新されます。

2. フィッシングの 0 時間自動消去 (ZAP) は、既にExchange Onlineメールボックスに配信されている悪意のあるフィッシング メッセージをさかのぼって検出して中和します。

3. マルウェアの ZAP は、既にExchange Onlineメールボックスに配信されている悪意のあるマルウェア メッセージをさかのぼって検出し、中和します。

4. スパムの ZAP は、既にExchange Onlineメールボックスに配信されている悪意のあるスパム メッセージをさかのぼって検出して中和します。

5. キャンペーン ビュー を使用すると、管理者は、自動化を行わないチームよりも、攻撃の全体像を迅速かつ完全に確認できます。 Microsoft では、サービス全体で膨大な量のフィッシング対策、スパム対策、マルウェア対策のデータを活用してキャンペーンを特定し、管理者は、ダウンロード可能なキャンペーンの書き込みでも利用できるターゲット、影響、フローなど、それらを最初から最後まで調査できます。

6. レポート メッセージ アドイン を使用すると、ユーザーは誤検知 (良好なメール、誤って 不適切とマークされた) または誤検知 ( 不適切なメール) を Microsoft に簡単に報告して、詳細な分析を行うことができます。

7. Office クライアントの安全なリンクは、Word、PowerPoint、Excel などのサポートされている Office アプリ内で、同じ安全なリンクのクリック時の保護をネイティブに提供します。

8. OneDrive、SharePoint、および Teams の保護では、OneDrive、SharePoint、 および Microsoft Teams 内の悪意のあるファイルに対して、同じ安全な添付ファイル保護がネイティブに提供されます。

9. ファイルを指す URL が配信後に選択されると、 リンクされたコンテンツの爆発 によって、ファイルのサンドボックス化が完了し、URL が安全であることが判明するまで警告ページが表示されます。

フィルター処理スタック図

最終的なダイアグラム (それを構成する図のすべての部分と同様) は、製品の成長と開発に伴って変更される可能性があります。 このページをブックマークし、更新後に質問する必要がある場合は、下部にある フィードバック オプションを使用します。 レコードの場合、これはすべてのフェーズを順番に含むスタックです。

MSFTTracyP と、このコンテンツに関する Giulian Garruba へのドキュメント執筆チームからの特別な感謝。