サード パーティの電子メール フィルター処理がある場合にMicrosoft Defender for Office 365から最適なセキュリティ値を取得する

  • [アーティクル]

このガイドは、次の場合に適しています。

  • Microsoft Defender for Office 365のライセンスが付与され、Office 365でメールボックスをホストしている
  • また、メール セキュリティのためにサード パーティを使用している

次の情報では、投資を最大限に活用する方法について詳しく説明します。簡単な手順に分かれています。

必要な情報

  • Office 365でホストされているメールボックス
  • 次の 1 つ以上:
    • 保護機能のMicrosoft Defender for Office 365 プラン 1
    • その他のほとんどの機能 (E5 プランに含まれる) のMicrosoft Defender for Office 365 プラン 2
    • Microsoft Defender for Office 365試用版 (aka.ms/tryMDO のすべての顧客が利用できます)
  • 以下で説明する機能を構成するための十分なアクセス許可

手順 1 – 既に持っている値を理解する

組み込みの保護機能

  • 組み込み保護は、目立たない保護の基本レベルを提供し、電子メール (内部メールを含む)、SharePoint Online、OneDrive、Teams にマルウェア、ゼロ デイ (安全な添付ファイル)、URL 保護 (安全なリンク) が含まれます。 この状態で提供される URL 保護は、API 呼び出しのみを介して行われます。 URL はラップまたは書き換えされませんが、サポートされている Outlook クライアントが必要です。 独自のカスタム ポリシーを作成して、保護を拡張できます。

安全なリンクの概要ビデオ & watch 詳細については、こちらを参照してください。完全な安全なリンクの概要

安全な添付ファイルの詳細については、こちらを参照してください:安全な添付ファイル

検出、調査、対応、およびハンティング機能

  • アラートがMicrosoft Defender for Office 365で発生すると、自動的に関連付けされ、インシデントに組み合わされて、セキュリティ スタッフのアラート疲労を軽減します。 自動調査と対応 (AIR) は、脅威の修復と封じ込めに役立つ調査をトリガーします。

詳細については、概要ビデオをwatchし、こちらを参照してください:インシデント対応とMicrosoft Defender XDR

  • Threat Analytics は、Microsoft のセキュリティ研究者による製品内の詳細な脅威インテリジェンス ソリューションです。 Threat Analytics には、最新の脅威グループ、攻撃手法、侵害インジケーター (IOC) を使用してorganizationを保護する方法などを迅速に把握できるように設計された詳細なレポートが含まれています。

詳細については、概要ビデオをwatchし、こちらを参照してください:Microsoft Defender XDRの脅威分析

  • エクスプローラーを使用して、脅威の検出、メール フロー パターンの視覚化、傾向の特定、Defender for Office 365のチューニング中に行った変更の影響の特定を行うことができます。 数回のクリックでorganizationからメッセージをすばやく削除することもできます。

詳細については、こちらを参照してください。脅威のエクスプローラーとリアルタイム検出

手順 2 – これらの簡単な手順で値をさらに強化する

その他の保護機能

  • 組み込みの Protection 以外のポリシーを有効にすることを検討してください。 たとえば、追加のレイヤーを追加したり、サード パーティの保護に欠落しているギャップを埋めたりするために、クリック時の保護または偽装保護を有効にします。 判定 (SCL=-1 ルールとも呼ばれます) をオーバーライドするメール フロー ルール (トランスポート ルールとも呼ばれます) または接続フィルターがある場合は、他の保護機能を有効にする前に、この構成に対処する必要があります。

続きを読む:フィッシング対策ポリシー

  • 現在のセキュリティ プロバイダーが何らかの方法でメッセージを変更するように構成されている場合は、認証シグナルがスプーフィングなどの攻撃からDefender for Office 365を保護する機能に影響を与える可能性があることに注意してください。 サード パーティが認証済み受信チェーン (ARC) をサポートしている場合は、これを有効にすることが、高度なデュアル フィルタリングへの取り組みにおいて強くお勧めします。 メッセージ変更構成を Defender for Office 365 に移動することも別の方法です。

詳細については、こちらの「信頼できる ARC シーラーを構成する」を参照してください。

  • コネクタのフィルター処理を強化すると、IP アドレスと送信者の情報をサード パーティ経由で保持できます。 この機能により、フィルター処理 (保護) スタックの精度が向上し、侵害後の機能 & 認証が強化されます。

詳細については、こちらを参照してください:Exchange Onlineのコネクタの強化されたフィルター処理

  • 優先度アカウント保護は、高度な防御の詳細な構成状態にある場合の追加の保護と共に、ツール内のアカウントの可視性を強化します。

詳細については、こちらを参照してください:優先度アカウント保護

  • 高度な配信は、サード パーティ製のフィッシング シミュレーションを正しく配信するように構成する必要があります。セキュリティ操作メールボックスがある場合は、脅威のためにメールがメールボックスから削除 されないように 、SecOps メールボックスとして定義することを検討してください。

詳細については、こちらを参照してください:高度な配信

  • ユーザーが Microsoft、指定されたレポート メールボックス (現在のセキュリティ ワークフローと統合する) またはその両方に対して良いメッセージまたは不適切なメッセージを報告できるように、ユーザーが報告した設定を構成できます。 管理者は、[申請] ページの [報告されたユーザー] タブを使用して、誤検知と誤検知のユーザー報告メッセージをトリアージできます。

詳細については、こちらを参照してください。レポート メッセージ アドインをユーザーに展開して構成します。

検出、調査、対応、およびハンティング機能

  • 高度なハンティングを使用すると、コミュニティからの共有クエリを使用して、organization内の脅威を事前に検出して開始できます。 カスタム検出を使用して、パーソナライズされた条件が満たされたときにアラートを設定することもできます。

詳細を読み、概要ビデオをwatchし、ここから始めましょう:概要 - 高度なハンティング

教育機能

  • 攻撃シミュレーション トレーニングを使用すると、現実的で問題のないサイバー攻撃シナリオをorganizationで実行できます。 プライマリ 電子メール セキュリティ プロバイダーからのフィッシング シミュレーション機能がまだない場合、Microsoft のシミュレートされた攻撃は、脆弱なユーザー、ポリシー、プラクティスを特定して見つけるのに役立ちます。 この機能には、実際の攻撃がorganizationに影響を与える前に持ち、修正するための重要な知識が含まれています。 製品またはカスタム トレーニングで割り当てられたシミュレーション後、ユーザーが見逃した脅威について教育し、最終的にorganizationのリスク プロファイルを減らします。 攻撃シミュレーション トレーニングでは、メッセージを受信トレイに直接配信するため、ユーザー エクスペリエンスは豊富です。 これは、シミュレーションを正しく配信するためにオーバーライドなどのセキュリティ変更が必要ないことを意味します。

ここから始めましょう:攻撃シミュレーションの使用を開始します。

ここでシミュレーションを実行する方法:自動攻撃とトレーニングを攻撃シミュレーション トレーニング内で設定する方法

手順 3 以降、デュアルユース ヒーローになる

  • 前に説明したように、検出、調査、対応、およびハンティングアクティビティの多くは、セキュリティ チームによって繰り返される必要があります。 このガイダンスでは、推奨されるタスク、ケイデンス、チームの割り当ての詳細な説明を提供します。

続きを読む:Defender for Office 365のセキュリティ運用ガイド

  • 複数の検疫にアクセスする、または誤検知と偽陰性の提出/報告などのユーザー エクスペリエンスを検討してください。 サード パーティ サービスによって検出されたメッセージをカスタム X ヘッダーでマークできます。 たとえば、メール フロー ルールを使用して 、X ヘッダーを含むメールを検出して検疫できます。 この結果により、ユーザーは検疫されたメールにアクセスする場所が 1 つになります。

続きを読む:検疫のアクセス許可とポリシーを構成する方法

  • 移行ガイドには、環境を準備して移行の準備を整えるための多くの便利なガイダンスが含まれています。 ただし、多くの手順は、デュアルユース シナリオ にも 適用できます。 最後の手順で MX スイッチのガイダンスを無視するだけです。

こちらを参照してください:サードパーティの保護サービスからMicrosoft Defender for Office 365に移行する - Office 365 |Microsoft Docs。

詳細

サード パーティの保護サービスからMicrosoft Defender for Office 365に移行する

Defender for Office 365のセキュリティ操作ガイド

Microsoft Defender XDRを使用してMicrosoft Defender for Office 365の詳細を取得します。