テナント許可/禁止リストを使用してファイルを許可またはブロックする

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用しますこちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

microsoft 365 組織では、メールボックスがExchange OnlineされていないExchange Onlineまたはスタンドアロン Exchange Online Protection (EOP) 組織のメールボックスを持つ組織では、管理者はテナント許可/ブロックリスト内のファイルのエントリを作成および管理できます。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください

この記事では、管理者がMicrosoft Defender ポータルと PowerShell でファイルのエントリExchange Online管理する方法について説明します。

はじめに把握しておくべき情報

  • https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [テナントの許可/ブロック] Lists ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。 [ 申請] ページに直接移動するには、 を使用します https://security.microsoft.com/reportsubmission

  • Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。

  • ファイルは、ファイルの SHA256 ハッシュ値を使用して指定します。 Windows でファイルの SHA256 ハッシュ値を見つけるには、コマンド プロンプトで次のコマンドを実行します。

    certutil.exe -hashfile "<Path>\<Filename>" SHA256

    値の例は です 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a。 知覚ハッシュ (pHash) 値はサポートされていません。

  • ファイルのエントリ制限:

    • Exchange Online Protection: 許可エントリの最大数は 500 で、ブロック エントリの最大数は 500 (合計で 1,000 ファイル エントリ) です。
    • Defender for Office 365プラン 1: 許可エントリの最大数は 1000 で、ブロック エントリの最大数は 1000 (合計で 2000 ファイル エントリ) です。
    • Defender for Office 365プラン 2: 許可エントリの最大数は 5000 で、ブロック エントリの最大数は 10000 (合計で 15000 ファイル エントリ) です。

  • ファイル エントリには最大 64 文字を入力できます。

  • エントリは 5 分以内にアクティブにする必要があります。

  • この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

    • Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (PowerShell ではなく Defender ポータルにのみ影響します): 承認と設定/セキュリティ設定/検出のチューニング (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り)
    • Exchange Onlineアクセス許可:
      • テナント許可/ブロック リスト: 次のいずれかの役割グループのメンバーシップのエントリを追加および削除します。
        • 組織の管理 または セキュリティ管理者 (セキュリティ管理者ロール)。
        • セキュリティ オペレーター (テナント AllowBlockList Manager)。
      • テナント許可/ブロック リストへの読み取り専用アクセス: 次のいずれかの役割グループのメンバーシップ。
        • グローバル リーダー
        • セキュリティ閲覧者
        • "View-Only Configuration/表示専用構成"
        • View-Only Organization Management
    • Microsoft Entraアクセス許可: グローバル管理者セキュリティ管理者グローバル 閲覧者、またはセキュリティ 閲覧者ロールのメンバーシップは、Microsoft 365 の他の機能に必要なアクセス許可アクセス許可をユーザーに付与します。

  • [ファイル] タブは、Microsoft Defender XDRまたはプラン 2 をMicrosoft Defender for Endpointしている組織でのみ、[申請] ページで使用できます。 [ファイル] タブからファイルを送信する方法については、「Microsoft Defender for Endpointでファイルを送信する」を参照してください。

ファイルのエントリを許可するCreate

テナントの許可/ブロックリストでファイルの許可エントリを直接作成することはできません。 不要な許可エントリは、システムによってフィルター処理された悪意のある電子メールにorganizationを公開します。

代わりに、 の [提出] ページhttps://security.microsoft.com/reportsubmission?viewid=emailAttachment[添付ファイルのEmail] タブを使用します。 [ブロックされていないファイル (False 陽性)] としてブロックされたファイルを送信する場合は、[テナントの許可/ブロック] Lists ページの [ファイル] タブで [このファイルに許可エントリを追加することを許可する] を選択できます。 手順については、「 Microsoft に適切な電子メールの添付ファイルを送信する」を参照してください。

注:

許可エントリは、メール フロー中にメッセージが悪意があると判断されたフィルターに基づいて追加されます。 たとえば、送信者のメール アドレスとメッセージ内のファイルが正しくないと判断された場合、送信者 (メール アドレスまたはドメイン) とファイルに対して許可エントリが作成されます。

許可エントリ内のエンティティが (メール フロー中またはクリック時に) 再び検出されると、そのエンティティに関連付けられているすべてのフィルターがオーバーライドされます。

既定では、ファイルのエントリが 30 日間存在することを許可します。 この 30 日間、Microsoft は許可エントリから学習し 、それらを削除するか、自動的に拡張します。 削除された許可エントリから Microsoft が学習すると、メッセージ内の他の何かが悪意のあるものとして検出されない限り、それらのエンティティを含むメッセージが配信されます。

メール フロー中に、許可されたエンティティを含むメッセージがフィルター 処理スタック内の他のチェックに合格すると、メッセージが配信されます。 たとえば、メッセージが 電子メール認証チェックに合格した場合、メッセージには許可されたファイルも含まれている場合に配信されます。

クリック時に、ファイル許可エントリは、ファイル エンティティに関連付けられているすべてのフィルターをオーバーライドします。これにより、ユーザーはファイルにアクセスできます。

Createファイルのエントリをブロックする

これらのブロックされたファイルを含むEmailメッセージはマルウェアとしてブロックされます。 ブロックされたファイルを含むメッセージは検疫されます。

ファイルのブロック エントリを作成するには、次のいずれかの方法を使用します。

  • の [提出] ページの [添付ファイルのEmail] タブからhttps://security.microsoft.com/reportsubmission?viewid=emailAttachment。 [ブロックされている必要があります (False の負)] としてファイルを送信する場合は、[このファイルをブロックする] を選択して、[テナントの許可/ブロック] Lists ページの [ファイル] タブにブロック エントリを追加できます。 手順については、「 疑わしいメールの添付ファイルを Microsoft に報告する」を参照してください。

  • このセクションの説明に従って、[テナントの許可/ブロック] ページの [ファイル] タブListsまたは PowerShell で実行します。

Microsoft Defender ポータルを使用して、テナント許可/ブロック リスト内のファイルのブロック エントリを作成する

  1. のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ポリシー] & [ルール] [脅威ポリシールール>] > セクション > [テナントの許可/ブロックLists] に移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。

  2. [テナントの許可/ブロックLists] ページで、[ファイル] タブを選択します。

  3. [ ファイル ] タブで、[ブロック] を選択 します

  4. 開いた [ ファイルのブロック ] ポップアップで、次の設定を構成します。

    • ファイル ハッシュの追加: 1 行に 1 つの SHA256 ハッシュ値 (最大 20 個) を入力します。

    • 後のブロック エントリの削除: 次の値から選択します。

      • 1 日
      • 7 日間
      • 30 日 (既定値)
      • 有効期限なし
      • 特定の日付: 最大値は今日から 90 日です。

    • 省略可能な注意: ファイルをブロックする理由を説明するテキストを入力します。

    [ ファイルのブロック ] ポップアップが完了したら、[ 追加] を選択します。

[ ファイル ] タブに戻ると、エントリが一覧表示されます。

PowerShell を使用して、テナント許可/ブロック リスト内のファイルのブロック エントリを作成する

PowerShell Exchange Onlineで、次の構文を使用します。

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

次の使用例は、期限切れになることのない指定されたファイルのブロック エントリを追加します。

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナント許可/ブロック リスト内のファイルのエントリを表示する

のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ポリシー] & [ルール>] [脅威ポリシー>] [テナントの許可]、[ブロック] Lists[ルール] セクションに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。

[ファイル] タブ 選択します。

[ ファイル ] タブで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。

  • : ファイル ハッシュ。
  • アクション: 使用可能な値は [許可] または [ブロック] です
  • 変更したユーザー
  • 最終更新日時
  • 最終使用日: 判定を上書きするためにフィルター システムでエントリが最後に使用された日付。
  • 削除日: 有効期限。
  • Notes

エントリをフィルター処理するには、[フィルター] を選択 します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。

  • アクション: 使用可能な値は [許可] と [ブロック] です
  • 有効期限なし: または
  • 最終更新日: [ 開始日 ] と [ 終了日] を 選択します。
  • 最後に使用された日付: [ 開始日 ] と [ 終了日] を 選択します。
  • [削除日] : [ 開始日 ] と [ 終了日] を 選択します。

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[フィルターのクリア] を選択 します

Search ボックスと対応する値を使用して、特定のエントリを検索します。

エントリをグループ化するには、[グループ] を選択し、[アクション] を選択します。 エントリのグループ化を解除するには、[ なし] を選択します。

PowerShell を使用してテナント許可/ブロック リスト内のファイルのエントリを表示する

PowerShell Exchange Onlineで、次の構文を使用します。

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

次の使用例は、許可およびブロックされたすべてのファイルを返します。

Get-TenantAllowBlockListItems -ListType FileHash

次の使用例は、指定したファイル ハッシュ値の情報を返します。

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

次の使用例は、ブロックされたファイルによって結果をフィルター処理します。

Get-TenantAllowBlockListItems -ListType FileHash -Block

構文とパラメーターの詳細については、「 Get-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナント許可/ブロック リスト内のファイルのエントリを変更する

既存のファイル エントリでは、有効期限とメモを変更できます。

  1. のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ポリシー] & [ルール] [脅威ポリシールール>] > セクション > [テナントの許可/ブロックLists] に移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。

  2. [ファイル] タブ 選択します

  3. [ファイル] タブで、最初の列の横にある [チェック] ボックスを選択して一覧からエントリを選択し、表示される [編集] アクションを選択します。

  4. 開いた [ファイルの編集] ポップアップで、次の設定を使用できます。

    • ブロック エントリ:
      • 後のブロック エントリの削除: 次の値から選択します。
        • 1 日
        • 7 日間
        • 30 日間
        • 有効期限なし
        • 特定の日付: 最大値は今日から 90 日です。
      • 省略可能なメモ
    • エントリを許可する:
      • 許可エントリの削除後: 次の値から選択します。
        • 1 日
        • 7 日間
        • 30 日間
        • 特定の日付: 最大値は今日から 30 日です。
      • 省略可能なメモ

    [ファイルの編集] ポップアップが完了したら、[保存] を選択します

ヒント

[ファイル] タブのエントリの詳細ポップアップで、ポップアップの上部にある [提出の表示] を使用して、[申請] ページの対応するエントリの詳細に移動します。 このアクションは、提出がテナント許可/ブロック リスト内のエントリの作成を担当していた場合に使用できます。

PowerShell を使用して、テナント許可/ブロック リスト内のファイルの既存の許可またはブロック エントリを変更する

PowerShell Exchange Onlineで、次の構文を使用します。

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

次の使用例は、指定したファイル ブロック エントリの有効期限を変更します。

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

構文とパラメーターの詳細については、「 Set-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナント許可/ブロック リストからファイルのエントリを削除する

  1. のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ポリシー] & [ルール] [脅威ポリシールール>] > セクション > [テナントの許可/ブロックLists] に移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。

  2. [ファイル] タブ 選択します。

  3. [ ファイル ] タブで、次のいずれかの手順を実行します。

    • 最初の列の横にある [チェック] ボックスを選択して、一覧からエントリを選択し、表示される [削除] アクションを選択します。

    • [チェック] ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。 開いた詳細ポップアップで、ポップアップの上部にある [削除] を選択します。

      ヒント

      詳細ポップアップを残さずに他のエントリの詳細を表示するには、ポップアップの上部にある [前の項目] と [次の項目] を使用します。

  4. 開いた警告ダイアログで、[削除] を選択 します

[ ファイル ] タブに戻ると、エントリは一覧に表示されなくなります。

ヒント

各チェックボックスを選択して複数のエントリを選択するか、[] 列ヘッダーの横にある [チェック] ボックスを選択して、すべてのエントリを選択できます。

PowerShell を使用してテナントの許可/ブロックリストからファイルのエントリを削除する

PowerShell Exchange Onlineで、次の構文を使用します。

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

次の使用例は、指定したファイル ブロックをテナント許可/ブロック リストから削除します。

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

構文とパラメーターの詳細については、「 Remove-TenantAllowBlockListItems」を参照してください。