Microsoft Defender for Office 365 の新しいアラート ポリシー
Microsoft Defender for Office 365 は、配信後の検出に関連する新しい改善されたアラート ポリシーを導入しています。 これには、それらに関連付けられた自動調査および応答 (AIR) プレイブックの機能強化が含まれます。 さらに、6 つの既定アラート ポリシーの重大度分類を変更して、これらのポリシーによって生成されたアラートを組織への影響とより適切に調整します。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
配信後の検出
Microsoft Defender for Office 365 のゼロ時間自動パージ (ZAP) が受信トレイからメッセージを削除した後、配信後の検出に関連する 4 つの新しいデフォルトのアラート ポリシーを導入します。 これらの 4 つの新しいアラート ポリシーは、ZAP シナリオをカバーする 2 つの既存のデフォルト アラート ポリシーに置き換わるものであり、基礎となる検出および関連するインジケーターに関する詳細を組織に提供します。 これらのアラート (およびこれらのアラートからトリガーされる AIR プレイブック) は、URL が悪意のあるファイルを指しているかどうか、ファイルに悪意のある URL が含まれているかどうかなど、メールとエンティティの脅威を正確にキャプチャします。
次の表に、削除される新しいアラート ポリシーと既存のアラート ポリシーを示します。 ロールアウトの詳細については、「これが組織に与える影響」セクションを参照してください。
| 新規または既存のアラート ポリシー | アラート ポリシー名 | アラート ポリシー ID |
|---|---|---|
| 新規 | 配信後に削除された悪意のある URL を含む電子メール メッセージ | 8e6ba277-ef39-404e-aaf1-294f6d9a2b88 |
| 新規 | 配信後に削除された悪意のあるファイルを含むメール メッセージ | 4b1820ec-39dc-45f3-abf6-5ee80df51fd2 |
| 新規 | キャンペーンからのメール メッセージが配信され、後で削除されました | c8522cbb-9368-4e25-4ee9-08d8d899dfab |
| 新規 | メール メッセージが配信後に削除されました | b8f6b088-5487-4c70-037c-08d8d71a43fe |
| 既存 (削除されます) | フィッシング URL を含んだメール メッセージが配信後に削除されました | EA8169FA-0678-4751-8854-AEBEA7ADECEB |
| 既存 (削除されます) | マルウェアを含んだメール メッセージが配信後に削除されました | 0179B3F7-3FDA-40C3-8F24-278563978DBB |
アラートの重大度の強化
次の表は、重大度分類が変更されているデフォルトのアラート ポリシーを示しています。 これらのアラート ポリシーの重大度分類を変更して、組織への潜在的なリスクと影響をより適切に調整し、セキュリティ チームがこれらのポリシーによって生成されたアラートに優先順位を付けるのを支援します。
| 通知 | アラート ポリシー ID | 過去の重大度 | 新しい重大度 |
|---|---|---|---|
| 疑わしいメール転送アクティビティ | BFD48F06-0865-41A6-85FF-ADB746423EBF | 中 | 高 |
| ユーザーによってマルウェアまたはフィッシングとして報告されたメール | B26A5770-0C38-434A-9380-3A3C2C27BBB3 | 情報 | 低 |
| フィッシングとして報告されたメールの異常な増加 | A00D8C62-9320-4EEA-A7E5-966B9AC09558 | 高 | 中 |
| 管理者の提出結果が完了しました | AE9B83DD-6039-4EA9-B675-6B0AC3BF4A41 | 低 | 情報 |
| 転送/リダイレクト ルールの作成 | D59A8FD4-1272-41EE-9408-86F7BCF72479 | 低 | 情報 |
| eDiscovery 検索が開始またはエクスポートされました | 6FDC5710-3998-47F0-AFBB-57CEFD7378A | 中 | 情報 |
これらの変更はいつ発生しますか
次の表は、新しいアラート ポリシーが配信後のアラートのトリガーを開始するタイミングを示しています。 この表は、2 つの既存のアラート ポリシーがいつ削除されるかも示しています。
| アラート ポリシー | 日付 |
|---|---|
| 配信後に削除された悪意のある URL を含むメール メッセージ (新) | アラートは 2021 年 4 月 11 日にトリガーを開始します |
| 配信後に削除された悪意のあるファイルを含むメール メッセージ (新) | アラートは 2021 年 4 月 11 日にトリガーを開始します |
| キャンペーンからのメール メッセージが配信され、後で削除されました (新) | アラートは 2021 年 5 月 28 日にトリガーを開始します |
| 悪意のあるメールが配信され、後で削除されました (新) | アラートは 2021 年 5 月 28 日にトリガーを開始します |
| フィッシング URL を含むメール メッセージが配信後に削除されました(既存、削除されます) | アラート ポリシーは 2021 年 6 月に削除されました。 「これらの変更に備えるために必要なこと」のセクションを参照してください。 |
| マルウェアを含んだメール メッセージが配信後に削除されました(既存、削除されます) | アラート ポリシーは 2021 年 6 月に削除されました。 「これらの変更に備えるために必要なこと」 セクションを参照してください。 |
アラートの重大度の変更は、2021 年 5 月 14 日までにすべての組織に展開されます。
これが組織にどのように影響するか
新しいアラートが発生し始め、上記の日付に組織内の AIR 調査がトリガーされます。 削除する 2 つのアラートを運用化したセキュリティ組織への影響を軽減するために、既存のアラート ポリシーによってトリガーされたアラート と 、2021 年 4 月 5 日から 2021 年 5 月 28 日の間に新しいアラート ポリシーによってトリガーされたアラートが表示されます。 これは、セキュリティ チームに必要な変更を処理する時間を提供するためです。 この短期間にアラート量が増加したセキュリティ チームを支援するために、既存のアラートと新しいアラートの両方が同じ AIR 調査、同じインシデントに関連付けられます。 より具体的には、これには、アラート、AIR 調査、およびインシデントの次の動作が含まれます。
アラート: 設計上、既存のアラートと新しいアラートの間に次のアラート ペアが表示されます。
配信後に削除されたフィッシング URL を含むメール メッセージおよび配信後に削除された悪意のある URL を含むメール メッセージ
配信後に削除されたマルウェアを含むメール メッセージおよび配信後に削除された悪意のあるファイルを含むメール メッセージ
これらのアラート ペアの管理の詳細については、「これらの変更に備えるために必要なこと」セクションを参照してください。
AIR 調査: アラートは単一のAIR調査に関連付けられ、アラートの 1 つは「トリガー」として分類され、もう1つは「繰り返し」として分類されます。
インシデント: 両方のアラートが同じインシデントに関連付けられます
これらの変更に備えるために必要なこと
組織がこれらのアラートをどのように利用するかによって、準備のために何をする必要があるかが決まります。 アラートを操作済みで、API、アラート電子メール通知、またはMicrosoft Purview コンプライアンス ポータルまたはMicrosoft Defender ポータルで使用または使用している場合は、ワークフローを変更する必要があります。
これらのアラートを運用していない場合は、次のいずれかを実行できます。
組織内のアラートの量を減らすには、次のアラート ポリシー (削除予定) を無効にします。
フィッシング URL を含んだメール メッセージが配信後に削除されました
マルウェアを含んだメール メッセージが配信後に削除されました
何もしない。 2021 年 5 月 28 日に既存のアラート ポリシーを無効にします。
これらのアラートを操作した場合:
2021 年 5 月 28 日に既存のアラート ポリシーが削除されることを見越して、ワークフローの一部として新しいアラートの使用を開始します。 チケット システムにカスタム ロジックがある場合、アラートメール通知を受信するセキュリティ メールボックス、またはアラート名またはアラート ポリシー ID (CorrelationId) に依存する SIEM ソリューションがある場合は、変更に対応するようにロジックを変更する必要があります。
注:
アラート、調査、およびインシデントの情報は変更されていません。 実際、この情報は、それらに関連する脅威に関する追加の詳細で強化されています。
変更を加えた後、既存のアラート ポリシーを無効にして、組織内のアラートの量を減らすことができます。
フィッシング URL を含んだメール メッセージが配信後に削除されました
マルウェアを含んだメール メッセージが配信後に削除されました
または、2021 年 5 月 28 日に削除されるまで、これらのアラート ポリシーを有効のままにしておくこともできます。