脅威エクスプローラーでの脅威ハンティングとMicrosoft Defender for Office 365でのリアルタイム検出

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用しますこちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

サブスクリプションに含まれているか、アドオンとして購入Microsoft Defender for Office 365 Microsoft 365 組織には、エクスプローラー (脅威エクスプローラーとも呼ばれます) またはリアルタイム検出があります。 これらの機能は、セキュリティ運用 (SecOps) チームが脅威を調査して対応するのに役立つ、ほぼリアルタイムの強力なツールです。 詳細については、「脅威のエクスプローラーについて」と「Microsoft Defender for Office 365でのリアルタイム検出」を参照してください。

脅威エクスプローラーまたはリアルタイム検出を使用すると、次のアクションを実行できます。

  • Microsoft 365 セキュリティ機能で検出されたマルウェアを確認する。
  • フィッシング URL を表示し、判定データをクリックします。
  • 自動調査と応答プロセスを開始します (脅威エクスプローラーのみ)。
  • 悪意のあるメールを調査します。
  • 他多数の機能。

この短いビデオを見て、Defender for Office 365を使用して電子メールとコラボレーションベースの脅威を検出して調査する方法について説明します。

ヒント

Microsoft Defender XDRの高度なハンティングでは、Kusto 照会言語 (KQL) を使用しない使いやすいクエリ ビルダーがサポートされています。 詳細については、「 ガイド付きモードを使用してクエリを構築する」を参照してください。

この記事では、次の情報を入手できます。

ヒント

Threat エクスプローラー とリアルタイム検出を使用したメール シナリオについては、次の記事を参照してください。

QR コードに埋め込まれた悪意のある URL に基づく攻撃を探している場合は、[脅威のエクスプローラー] または [リアルタイム検出] の [すべてのメール]、[マルウェア]、[フィッシング] ビューの URL ソース フィルター値 QR コードを使用して、QR コードから抽出された URL を含む電子メール メッセージを検索できます。

はじめに把握しておくべき情報

脅威エクスプローラーとリアルタイム検出のチュートリアル

脅威エクスプローラーまたはリアルタイム検出は、Microsoft Defender ポータルhttps://security.microsoft.comEmail & コラボレーション セクションにあります。

脅威エクスプローラーには、リアルタイム検出と同じ情報と機能が含まれていますが、次の追加機能があります。

  • その他のビュー。
  • クエリを保存するオプションなど、その他のプロパティ フィルター オプション。
  • 脅威ハンティングと修復アクション。

プラン 1 とプラン 2 Defender for Office 365の違いの詳細については、「プラン 1 とプラン 2 のDefender for Office 365のチート シート」を参照してください。

ページの上部にあるタブ (ビュー) を使用して調査を開始します。

脅威エクスプローラーとリアルタイム検出で使用可能なビューを次の表に示します。

View 脅威
エクスプローラー		 リアルタイム
検出		 説明
すべてのメール 脅威エクスプローラーの既定のビュー。 外部ユーザーがorganizationに送信したすべての電子メール メッセージ、またはorganization内の内部ユーザー間で送信された電子メールに関する情報。
Malware リアルタイム検出の既定のビュー。 マルウェアを含む電子メール メッセージに関する情報。
フィッシング フィッシングの脅威を含む電子メール メッセージに関する情報。
キャンペーン 調整されたフィッシングまたはマルウェア キャンペーンの一部として Plan 2 が識別Defender for Office 365悪意のあるメールに関する情報。
コンテンツマルウェア 次の機能によって検出された悪意のあるファイルに関する情報:
URL のクリック 電子メール メッセージ、Teams メッセージ、SharePoint ファイル、OneDrive ファイルの URL をクリックしたユーザーに関する情報。

ビューの日付/時刻フィルターと使用可能なフィルター プロパティを使用して、結果を絞り込みます。

ヒント

フィルターを作成または更新した後は、必ず [ 更新 ] を選択してください。 フィルターは、グラフの情報とビューの詳細領域に影響します。

脅威のエクスプローラーまたはリアルタイム検出のフォーカスをレイヤーとして絞り込んで、手順を簡単にトレースすることを考えることができます。

  • 最初のレイヤーは、使用しているビューです。
  • 2 つ目は、そのビューで使用しているフィルターです。

たとえば、次のような決定事項を記録することで、脅威を見つけるために実行した手順をたどることができます。脅威のエクスプローラーで問題を見つけるには、[マルウェア] ビューを使用し、受信者フィルター フォーカスを使用しました。

また、必ず表示オプションをテストしてください。 異なる対象ユーザー (管理など) は、同じデータの異なるプレゼンテーションに対して、より良い反応や悪い反応を示す場合があります。

たとえば、[脅威] エクスプローラー [すべてのメール] ビューでは、Email配信元ビューと [キャンペーン] ビュー (タブ) は、ページの下部にある詳細領域で使用できます。

  • 一部の対象ユーザーの場合、[Email配信元] タブの世界地図は、検出された脅威の広がりを示すより適切な作業を行う場合があります。

    Threat エクスプローラー のすべてのメール ビューの詳細領域にあるEmail配信元ビューのワールド マップのスクリーンショット。

  • [ キャンペーン ] タブの表の詳細情報は、情報を伝えるのに役立つ場合があります。

    [脅威] エクスプローラーの [すべてのメール] ビューの [キャンペーン] タブの詳細テーブルのスクリーンショット。

この情報は、次の結果に使用できます。

  • セキュリティと保護の必要性を示す。
  • 後でアクションの有効性を示す。

メールの調査

脅威エクスプローラーまたはリアルタイム検出の [すべてのメール]、[マルウェア]、または [フィッシング] ビューでは、電子メール メッセージの結果がグラフの下の詳細領域の [Email] タブ (ビュー) の表に表示されます。

疑わしい電子メール メッセージが表示されたら、テーブル内のエントリの [件名 ] 値をクリックします。 開く詳細ポップアップには、ポップアップの上部に Open 電子メール エンティティが含まれています。

[すべてのメール] ビューの詳細領域の [Email] タブで [件名] の値を選択した後、メールの詳細ポップアップで使用できるアクションのスクリーンショット。

Email エンティティ ページでは、メッセージとその内容について知っておくべきすべての情報がまとめられ、メッセージが脅威であるかどうかを判断できます。 詳細については、「Email エンティティ ページの概要」を参照してください。

Email修復

電子メール メッセージが脅威であると判断した後、次の手順は脅威の修復です。 [脅威のエクスプローラー] または [アクションの実行] を使用してリアルタイム検出で脅威を修復します

アクションの実行は、[脅威] エクスプローラーのすべての電子メールマルウェア、またはフィッシング ビューで使用できます。また、グラフの下にある詳細領域の [Email] タブ (ビュー) でリアルタイム検出を行うことができます。

  • テーブル内の 1 つ以上のエントリを選択するには、最初の列の横にある [チェック] ボックスを選択します。 アクションの実行 は、タブで直接使用できます。

    メッセージが選択され、[アクションの実行] がアクティブになっている詳細テーブルのEmail ビュー (タブ) のスクリーンショット。

    ヒント

    アクションを実行 すると、[ メッセージ アクション ] ドロップダウン リストが置き換えられます。

    100 個以下のエントリを選択した場合は、アクションの実行ウィザードでメッセージに対して複数の アクションを実行 できます。

    101 から 200,000 エントリを選択した場合、 アクションの実行 ウィザードでは次のアクションのみを使用できます。

    • 脅威エクスプローラー: メールボックスへの移動修復の提案は使用できますが、相互に排他的です (どちらか一方を選択できます)。
    • リアルタイム検出: [テナント の許可/ブロック] リストで対応する許可/ブロック エントリを確認および作成するために Microsoft に送信する必要があります。

  • テーブル内のエントリの Subject 値をクリックします。 開いた詳細ポップアップには、ポップアップの上部にあるアクションの実行が含まれます。

    [すべての電子メール] ビューの詳細領域の [Email] タブで [件名] の値を選択した後、詳細タブで使用できるアクション。

[アクションの実行] を選択すると、アクションの実行ウィザードがポップアップで開きます。 次の表に、Threat エクスプローラー (Defender for Office 365 プラン 2) とリアルタイム検出 (Defender for Office 365 プラン 1) のアクションの実行ウィザードで使用できるアクションを示します。

アクション 脅威
エクスプローラー		 リアルタイム
Detections
メールボックス フォルダーに移動する ✔¹
レビューのために Microsoft に送信する
  テナント許可/ブロック リストのエントリを許可またはブロックする ²
自動調査を開始する
修復の提案 ²

¹ このアクションには、Email &コラボレーションのアクセス許可Searchと消去ロールが必要です。 既定では、このロールは Data Investigator ロール グループと Organization Management ロール グループにのみ割り当てられます。 これらの役割グループにユーザーを追加するか、Searchと削除ロールが割り当てられた新しい役割グループを作成し、ユーザーをカスタム ロール グループに追加できます。

² このアクションはリアルタイム検出で使用できる場合がありますが、Defender for Office 365プラン 1 では使用できません。

² このアクションは、[ レビューのために Microsoft に送信] で使用できます。

アクションの実行ウィザードについては、次の一覧で説明します。

  1. [ 応答アクションの選択] ページで、次の選択を行います。

    • [すべての応答アクションを表示する]: このオプションは、[脅威] エクスプローラーでのみ使用できます。

      既定では、一部のアクションは、メッセージの最新の配信場所に基づいて使用できない/淡色表示されます。 使用可能なすべての応答アクションを表示するには、トグルを [オン]スライドします。

    • Emailメッセージアクションセクション:

      [アクションの実行] を選択したときに、[すべてのメール]、[マルウェア]、または [フィッシング] ビューの詳細領域の [Email] タブ (ビュー) から 100 個以下のメッセージを選択した場合は、複数のアクションを選択できます。

      エントリの [件名] の値をクリックした後に詳細ポップアップで [アクションの実行] を選択した場合は、複数のアクションを選択することもできます。

      使用可能なオプションを 1 つ以上選択します。

    • メールボックス フォルダーに移動する: 表示される使用可能な値のいずれかを選択します。

      • [迷惑メール]: メッセージを [迷惑メール] Email フォルダーに移動します。
      • 受信トレイ: メッセージを受信トレイに移動します。
      • 削除済みアイテム: メッセージを [削除済みアイテム] フォルダーに移動します。
      • 論理的に削除されたアイテム: 削除済みアイテム フォルダーからメッセージを削除します (回復可能なアイテム\削除フォルダーに移動します)。 メッセージは、ユーザーと管理者が回復できます。
      • ハード削除済みアイテム: 削除されたメッセージを消去します。 管理者は、単一アイテムの回復を使用して、ハード削除されたアイテムを回復できます。 ハード削除済みアイテムと論理的に削除されたアイテムの詳細については、「 論理的に削除されたアイテムとハード削除されたアイテム」を参照してください。

    • レビューのために Microsoft に送信する: 表示される使用可能な値のいずれかを選択します。

      • クリーンであることを確認しました:メッセージがクリーンされていることを確認する場合は、この値を選択します。 次のオプションが表示されます。

        • [次のようなメッセージを許可する]: この値を選択すると、送信者の テナント許可/ブロックリスト と、メッセージ内の関連する URL または添付ファイルに許可エントリが追加されます。 次のオプションも表示されます。
          • 後のエントリの削除: 既定値は 1 日ですが、 7 日30 日、または 30 日未満の 特定の日付 を選択することもできます。
          • 入力ノートを許可する: 追加情報を含む省略可能なメモを入力します。

      • クリーン表示されるか、疑わしいと表示されます。不明で、Microsoft からの判定が必要な場合は、これらの値のいずれかを選択します。

      • 脅威であることを確認しました:アイテムが悪意があると確信している場合は、この値を選択し、表示される [カテゴリの選択] セクションで次のいずれかの値 を選択 します。

        • フィッシング
        • Malware
        • スパム

        これらの値のいずれかを選択すると、[ ブロックするエンティティの選択 ] ポップアップが開きます。ここで、メッセージに関連付けられている 1 つ以上のエンティティ (送信者アドレス、送信者ドメイン、URL、または添付ファイル) を選択して、ブロック エントリとして [テナントの許可/ブロック] リストに追加できます。

        ブロックする項目を選択した後、[ ブロックルールに追加 ] を選択して、[ブロック するエンティティの選択 ] ポップアップを閉じます。 または、項目を選択せず、[キャンセル] を選択 します

        [ 応答アクションの選択] ページに戻り、ブロック エントリの有効期限オプションを選択します。

        • 期限切れ: ブロック エントリの有効期限が切れる日付を選択します。
        • 有効期限なし

        ブロックされたエンティティの数が表示されます (たとえば、 ブロックする 4/4 エンティティ)。 [編集] を選択して、[追加] を再度開いてブロック ルールを作成し、変更を加えます。

    • 自動調査を開始する: 脅威エクスプローラーのみ。 表示される次のいずれかの値を選択します。

      • 電子メールを調査する
      • 受信者を調査する
      • 送信者の調査: この値は、organization内の送信者にのみ適用されます。
      • 受信者に連絡する

    • 修復の提案: 表示される次のいずれかの値を選択します。

      • Create新しい: この値は、アクション センターで管理者が承認する必要がある論理的な削除メール保留中のアクションをトリガーします。 それ以外の場合、この結果は 2 段階認証と呼ばれます。

      • [既存に追加]: この値を使用して、既存の修復からこの電子メール メッセージにアクションを適用します。 [ 次の修復に電子メールを送信する ] ボックスで、既存の修復を選択します。

        ヒント

        十分なパーミシスがない SecOps 担当者は、このオプションを使用して修復を作成できますが、アクセス許可を持つユーザーはアクション センターでアクションを承認する必要があります。

    [ 応答アクションの選択] ページが完了したら、[ 次へ] を選択します。

  2. [ ターゲット エンティティの選択] ページで 、次のオプションを構成します。

    • 名前説明: 一意のわかりやすい名前とオプションの説明を入力して、選択したアクションを追跡して識別します。

    ページの残りの部分は、影響を受ける資産を一覧表示するテーブルです。 テーブルは次の列で構成されます。

    • 影響を受ける資産: 前のページの影響を受ける資産。 以下に例を示します。
      • 受信者のメール アドレス
      • テナント全体
    • アクション: 前のページの資産に対して選択したアクション。 以下に例を示します。
      • レビューのために Microsoft に送信からの値:
        • クリーンとしてレポートする
        • Report
        • マルウェアとして報告する、 スパムとして報告する、 またはフィッシングとして報告する
        • 差出人をブロックする
        • 送信者ドメインをブロックする
        • ブロック URL
        • 添付ファイルをブロックする
      • [自動調査の開始] の値:
        • 電子メールを調査する
        • 受信者を調査する
        • 送信者を調査する
        • 受信者に連絡する
      • [修復の提案] の値:
        • 新しい修復をCreateする
        • 既存の修復に追加する
    • ターゲット エンティティ: 次に例を示します。
      • 電子メール メッセージのネットワーク メッセージ ID の値
      • ブロックされた送信者のメール アドレス。
      • ブロックされた送信者ドメイン。
      • ブロックされた URL。
      • ブロックされた添付ファイル。
    • 期限切れ: 値は、テナント/許可ブロック リストの許可またはブロック エントリに対してのみ存在します。 以下に例を示します。
      • ブロック エントリの期限切れになることはありません
      • 許可またはブロック エントリの有効期限。
    • スコープ: 通常、この値はMDO

    この段階では、一部のアクションを元に戻すこともできます。 たとえば、エンティティを Microsoft に送信せずにテナント許可/ブロック リストにブロック エントリのみを作成する場合は、ここでこれを行うことができます。

    [ ターゲット エンティティの選択] ページが完了したら、[ 次へ] を選択します。

  3. [ 確認と送信 ] ページで、以前の選択内容を確認します。

    [エクスポート] を選択して、影響を受ける資産を CSV ファイルにエクスポートします。 既定では、ファイル名は [ダウンロード] フォルダーにある assets.csv影響を受けます。

    [ 戻る ] を選択して戻り、選択内容を変更します。

    [確認と送信] ページが完了したら、[送信] を選択します

ヒント

アクションが関連ページに表示されるまでに時間がかかる場合がありますが、修復の速度は影響を受けません。

脅威エクスプローラーとリアルタイム検出を使用した脅威ハンティング エクスペリエンス

脅威エクスプローラーまたはリアルタイム検出は、セキュリティ運用チームが脅威を効率的に調査して対応するのに役立ちます。 次のサブセクションでは、脅威のエクスプローラーとリアルタイム検出が脅威を見つけるのにどのように役立つかについて説明します。

アラートからの脅威ハンティング

[アラート] ページは、インシデント & アラート>の Defender ポータルで、または で直接https://security.microsoft.com/alerts使用できます。

[検出ソース] の値を持つ多くのアラートMDO、アラートの詳細ポップアップの上部にある [エクスプローラーでメッセージを表示する] アクションを使用できます。

アラートの詳細ポップアップは、最初の列の横にある [チェック] ボックス以外のアラートをクリックすると開きます。 以下に例を示します。

  • 悪意のある可能性がある URL のクリックが検出されました
  • 管理申請の結果が完了しました
  • 配信後に削除された悪意のある URL を含むメッセージをEmailする
  • メール メッセージが配信後に削除されました
  • 配信後に削除されない悪意のあるエンティティを含むメッセージ
  • ZAP が無効になっているため、フィッシングがザッピングされません

Defender ポータルの [アラート] ページから [検出] ソース値がMDOされたアラートのアラートの詳細ポップアップで使用可能なアクションのスクリーンショット。

[エクスプローラーでメッセージを表示] を選択すると、[すべての電子メール] ビューで [脅威のエクスプローラー] が開き、アラートに対してプロパティ フィルター [アラート ID] が選択されます。 アラート ID の値は、アラートの一意の GUID 値です (たとえば、89e00cdc-4312-7774-6000-08dc33a24419)。

アラート ID は、[脅威のエクスプローラーとリアルタイム検出] の次のビューでフィルター可能なプロパティです。

これらのビューでは、 アラート ID は、次のタブ (ビュー) のグラフの下の詳細領域で選択可能な列として使用できます。

いずれかのエントリから [件名] の値をクリックすると開くメールの詳細ポップアップで、ポップアップの [Email詳細] セクションにある [アラート ID] リンクを使用できます。 [ アラート ID ] リンクを選択すると、[ アラートの表示 ] ページが https://security.microsoft.com/viewalertsv2 開き、アラートが選択され、アラートの詳細ポップアップが開きます。

脅威エクスプローラーまたはリアルタイム検出のすべての電子メール、マルウェア、またはフィッシング ビューの [Email] タブのエントリの電子メールの詳細ポップアップからアラート ID を選択した後、[アラートの表示] ページのアラートの詳細ポップアップのスクリーンショット。

Threat エクスプローラー のタグ

Defender for Office 365プラン 2 では、ユーザー タグを使用して高い値のターゲット アカウント (たとえば、Priority アカウント タグ) をマークする場合は、それらのタグをフィルターとして使用できます。 この方法では、特定の期間中に高価値のターゲット アカウントに向けられたフィッシング詐欺の試行を示します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。

ユーザー タグは、Threat エクスプローラーの次の場所で使用できます。

電子メール メッセージの脅威情報

メール メッセージに対する配信前アクションと配信後アクションは、メッセージに影響を与えた配信後のさまざまなイベントに関係なく、1 つのレコードに統合されます。 以下に例を示します。

[すべての電子メール]、[マルウェア]、または [フィッシング] ビューの [Email] タブ (ビュー) からの電子メールの詳細ポップアップには、関連する脅威と、電子メール メッセージに関連付けられている対応する検出テクノロジが表示されます。 メッセージには、0 個、1 つ、または複数の脅威を含めることができます。

  • [ 配信の詳細 ] セクションの [ 検出テクノロジ ] プロパティに、脅威を特定した検出テクノロジが表示されます。 検出テクノロジは、脅威のエクスプローラーとリアルタイム検出の多くのビューの詳細テーブルのグラフ ピボットまたは列としても使用できます。

  • [URL] セクションには、メッセージ内の URL に関する特定の脅威情報が表示されます。 たとえば、 マルウェアフィッシング、**スパム、 なしなどです。

ヒント

判定分析は、必ずしもエンティティに関連付けられているとは限りません。 フィルターは、判定を割り当てる前に、電子メール メッセージの内容やその他の詳細を評価します。 たとえば、電子メール メッセージはフィッシングまたはスパムとして分類される可能性がありますが、メッセージ内の URL にフィッシングまたはスパムの判定がスタンプされません。

ポップアップの上部にある [電子メール エンティティを開く] を選択すると、電子メール メッセージに関する詳細が完全に表示されます。 詳細については、Microsoft Defender for Office 365のEmail エンティティ ページに関するページを参照してください。

[すべてのメール] ビューの詳細領域の [Email] タブで [件名] の値を選択した後の電子メールの詳細ポップアップのスクリーンショット。

Threat エクスプローラーの拡張機能

次のサブセクションでは、Threat エクスプローラー専用のフィルターについて説明します。

Exchange メール フロー ルール (トランスポート ルール)

Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) の影響を受けたメッセージを見つけるには、[脅威] エクスプローラーの [すべてのメール]、[マルウェア]、[フィッシング] ビュー (リアルタイム検出ではなく) で次のオプションがあります。

  • Exchange トランスポート ルール は、 プライマリ オーバーライド ソースオーバーライド ソースおよびポリシーの種類 のフィルター可能なプロパティの選択可能な値です。
  • Exchange トランスポート ルール は、フィルター可能なプロパティです。 ルールの名前に部分的なテキスト値を入力します。

詳細については、以下のリンクを参照してください。

[脅威] エクスプローラーのすべてのメールマルウェアフィッシング ビューの詳細領域の [Email] タブ (ビュー) には、既定では選択されていない使用可能な列として Exchange トランスポート ルールもあります。 この列には、トランスポート ルールの名前が表示されます。 詳細については、以下のリンクを参照してください。

ヒント

Threat エクスプローラー で名前でメール フロー ルールを検索するために必要なアクセス許可については、「Threat エクスプローラー とリアルタイム検出のアクセス許可とライセンス」を参照してください。 メールの詳細ポップアップ、詳細テーブル、エクスポートされた結果にルール名を表示するために特別なアクセス許可は必要ありません。

受信コネクタ

受信コネクタは、Microsoft 365 の電子メール ソースの特定の設定を指定します。 詳細については、「コネクタを使用してメール フローを構成する」 を参照してください。

受信コネクタの影響を受けたメッセージを見つけるには、コネクタフィルター可能プロパティを使用して、(リアルタイム検出ではなく) 脅威エクスプローラーのすべての電子メールマルウェアフィッシング ビューでコネクタを名前で検索できます。 コネクタの名前に部分的なテキスト値を入力します。 詳細については、以下のリンクを参照してください。

[脅威] エクスプローラー[すべての電子メール]、[マルウェア]、[フィッシング] ビューの詳細領域の [Email] タブ (ビュー) には、既定では選択されていない使用可能な列としてコネクタもあります。 この列には、コネクタの名前が表示されます。 詳細については、以下のリンクを参照してください。

脅威エクスプローラーとリアルタイム検出のセキュリティ シナリオをEmailする

特定のシナリオについては、次の記事を参照してください。

脅威エクスプローラーとリアルタイム検出を使用するその他の方法

この記事で説明するシナリオに加えて、エクスプローラーまたはリアルタイム検出に関するその他のオプションがあります。 詳細については、次の記事を参照してください。