Microsoft Defender ポータルで電子メール セキュリティ レポートを表示する
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。
すべての Microsoft 365 組織では、メール セキュリティ機能によって組織がどのように保護されているかを確認するのに役立つさまざまなレポートを利用できます。 必要なアクセス許可がある場合は、この記事の説明に従ってこれらのレポートを表示およびダウンロードできます。
このレポートは、Microsoft Defender ポータル https://security.microsoft.com の [ 電子メール & コラボレーション レポート ] ページの [レポート>] 電子メール & コラボレーション>電子メール & コラボレーション レポートにあります。 または、[ 電子メール & コラボレーション レポート ] ページに直接移動するには、 を使用 https://security.microsoft.com/emailandcollabreportします。
各レポートの概要情報は、ページで入手できます。 表示するレポートを特定し、[そのレポートの 詳細の表示 ] を選択します。
この記事の残りの部分では、Defender for Office 365 専用のレポートについて説明します。
注:
[ メール & コラボレーション レポート ] ページのレポートの一部は、Microsoft Defender for Office 365 専用です。 これらのレポートの詳細については、「 Microsoft Defender ポータルで Defender for Office 365 レポートを表示する」を参照してください。
メール フローに関連するレポートが Exchange 管理センターに表示されるようになりました。 これらのレポートの詳細については、「 新しい Exchange 管理センターのメール フロー レポート」を参照してください。
これらのレポートへのリンクは、Defender ポータルの レポート>電子メール & コラボレーション>電子メール & コラボレーション レポート>Exchange メール フロー レポートで使用できます。このレポートは に https://admin.exchange.microsoft.com/#/reports/mailflowreportsmain移動します。
Microsoft Defender ポータルでの電子メール セキュリティ レポートの変更
Exchange Online Protection (EOP) と Microsoft Defender for Office 365 は、Microsoft Defender ポータルで、置き換え、移動、または非推奨になったレポートを次の表に示します。
非推奨のレポートとコマンドレット | 新しいレポートとコマンドレット | メッセージ センター ID | Date |
---|---|---|---|
URL 追跡 Get-URLTrace |
URL の保護に関するレポート Get-SafeLinksAggregateReport Get-SafeLinksDetailReport |
MC239999 | 2021 年 6 月 |
送受信された電子メール レポート Get-MailTrafficReport Get-MailDetailReport |
脅威保護の状態レポート メールフローの状態レポート Get-MailTrafficATPReport Get-MailDetailATPReport Get-MailFlowStatusReport |
MC236025 | 2021 年 6 月 |
転送レポート コマンドレットなし |
EAC の自動転送メッセージ レポート コマンドレットなし |
MC250533 | 2021 年 6 月 |
安全な添付ファイルの種類レポート Get-AdvancedThreatProtectionTrafficReport Get-MailDetailMalwareReport |
脅威保護の状態レポート: 電子メール > マルウェア別にデータを表示する Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250532 | 2021 年 6 月 |
添付ファイルの安全なメッセージ処理レポート Get-AdvancedThreatProtectionTrafficReport Get-MailDetailMalwareReport |
脅威保護の状態レポート: 電子メール > マルウェア別にデータを表示する Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250531 | 2021 年 6 月 |
電子メール レポートで検出されたマルウェア Get-MailTrafficReport Get-MailDetailMalwareReport |
脅威保護の状態レポート: 電子メール > マルウェア別にデータを表示する Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250530 | 2021 年 6 月 |
スパム検出レポート Get-MailTrafficReport Get-MailDetailSpamReport |
脅威保護の状態レポート: 電子メール > スパム別にデータを表示する Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250529 | 2021 年 10 月 |
Get-AdvancedThreatProtectionDocumentReport Get-AdvancedThreatProtectionDocumentDetail |
Get-ContentMalwareMdoAggregateReport Get-ContentMalwareMdoDetailReport |
MC343433 | 2022 年 5 月 |
Exchange トランスポート ルール レポート Get-MailTrafficPolicyReport Get-MailDetailTransportRuleReport |
EAC の Exchange トランスポート ルール レポート Get-MailTrafficPolicyReport Get-MailDetailTransportRuleReport |
MC316157 | 2022 年 4 月 |
Get-MailTrafficTopReport | 上位の送信者と受信者レポート Get-MailTrafficSummaryReport 注: Get-MailTrafficTopReport の暗号化レポート機能に代わる機能はありません。 |
MC315742 | 2022 年 4 月 |
侵害されたユーザー レポート
[侵害されたユーザー] レポートには、過去 7 日以内に [疑わしい] または [制限付き] としてマークされたユーザー アカウントの数が表示されます。 これらの状態のいずれかのアカウントは、問題が発生したり、侵害されたりします。 頻繁に使用すると、レポートを使用して、疑わしいアカウントや制限されたアカウントのスパイクや傾向を特定できます。 侵害されたユーザーの詳細については、「 侵害されたメール アカウントへの応答」を参照してください。
集計ビューには過去 90 日間のデータが表示され、詳細ビューには過去 30 日間のデータが表示されます。
の [ 電子メール & コラボレーション レポート ] ページで https://security.microsoft.com/emailandcollabreport、[ 侵害されたユーザー] を見つけて、[ 詳細の表示] を選択します。 または、レポートに直接移動するには、 を使用します https://security.microsoft.com/reports/CompromisedUsers。
[ 侵害されたユーザー ] ページのグラフには、指定した日付範囲に関する次の情報が表示されます。
- 制限付き: ユーザー アカウントは、非常に疑わしいパターンのため、電子メールの送信が制限されています。
- 疑わしい: ユーザー アカウントから不審なメールが送信され、電子メールの送信が制限されるリスクがあります。
グラフの下の詳細表は、次の情報を示しています。
- 作成時間
- [ユーザー ID]
- 操作
- タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
[フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択して、レポートと詳細テーブルを変更します。
- 日付 (UTC):開始日 と 終了日。
- アクティビティ: 制限付き または 疑わしい
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [フィルターのクリア] を選択します。
[侵害されたユーザー] ページで、[スケジュールの作成]、[レポートの要求]、[エクスポート] アクションを使用できます。
Exchange トランスポート ルール レポート
注:
Exchange トランスポート ルール レポートが EAC で使用できるようになりました。 詳細については、「 新しい EAC の Exchange トランスポート ルール レポート」を参照してください。
転送レポート
注:
このレポートは EAC で使用できるようになりました。 詳細については、「 新しい EAC での自動転送メッセージ レポート」を参照してください。
メールフローの状態レポート
Mailflow 状態レポートは、受信メールと送信メール、スパム検出、マルウェア、"良好" と識別された電子メール、およびエッジで許可またはブロックされたメールに関する情報を示すスマート レポートです。 これは、エッジ保護情報を含む唯一のレポートです。 レポートには、Exchange Online Protection (EOP) または Defender for Microsoft 365 による審査のためにサービスに入る前にブロックされたメールの量が表示されます。
ヒント
1 つのメッセージが 5 人の受信者に送信された場合、1 つのメッセージではなく、5 つの異なるメッセージとしてカウントされます。
の [ 電子メール & コラボレーション レポート ] ページで https://security.microsoft.com/emailandcollabreport、[ メールフローの状態の概要] を見つけて、[ 詳細の表示] を選択します。 または、レポートに直接移動するには、 を使用します https://security.microsoft.com/reports/mailflowStatusReport。
メールフロー状態レポートで使用可能なビューについては、次のサブセクションで説明します。
メールフロー状態レポートの種類ビュー
[ メールフローの状態レポート ] ページで、既定で [ 種類 ] タブが選択されています。 グラフには、指定した日付範囲に関する次の情報が表示されます。
- マルウェア: さまざまなフィルターによってマルウェアとしてブロックされているメール。
- 合計
- 適切なメール: スパムでないと判断されたメール、またはユーザーまたは組織のポリシーで許可されているメール。
- フィッシングメール: さまざまなフィルターによってフィッシングとしてブロックされている電子メール。
- スパム: さまざまなフィルターによってスパムとしてブロックされているメール。
- エッジ保護: EOP または Defender for Office 365 による審査の前にエッジ/境界で拒否されたメール。
- ルール メッセージ: メール フロー ルール (トランスポート ルールとも呼ばれます) によって検疫された電子メール メッセージ。
- データ損失防止: データ損失防止 (DLP) ポリシーによって検疫された電子メール メッセージ。
グラフの下の詳細表は、次の情報を示しています。
- 方向
- 型
- 24 時間
- 3 日間
- 7 日間
- 15 日
- 30 日間
[フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択して、レポートと詳細テーブルを変更します。
- 日付 (UTC):開始日 と 終了日。
- [メールの方向]: [ 受信]、[ 送信]、[ 組織内] を選択します。
- 型: 次の値の 1 つ以上を選択します。
- 良いメール
- Malware
- スパム
- エッジ保護
- ルール メッセージ
- フィッシング詐欺メール
- データ損失防止
- [ドメイン]: [ すべて] または [承認済みドメイン] を選択します。
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [フィルターのクリア] を選択します。
[ 種類 ] タブで、[ カテゴリの選択 ] を選択して詳細を確認します。
- フィッシングメール: この選択により、[脅威保護の状態] レポートの [電子メール > フィッシングによるデータの表示] と [検出テクノロジ別のグラフの内訳 ] が表示されます。
- 電子メール内のマルウェア: この選択により、脅威保護状態レポートの [電子メール > マルウェア別のデータの表示] と [検出テクノロジ別のグラフの内訳 ] が表示されます。
- スパム検出: この選択により、[脅威保護の状態] レポートの [電子メール > スパム別のデータの表示] と [検出テクノロジ別のグラフの内訳 ] が表示されます。
[*Type] タブで、[スケジュールの作成] アクションと [エクスポート] アクションを使用できます。
メールフロー状態レポートの方向ビュー
[ 方向 ] タブのグラフには、指定した日付範囲に関する次の情報が表示されます。
- 受信
- 組織内
- 送信
[フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択して、レポートと詳細テーブルを変更します。
- 日付 (UTC):開始日 と 終了日。
- [メールの方向]: [ 受信]、[ 送信]、[ 組織内] を選択します。
- 型: 次の値の 1 つ以上を選択します。
- 良いメール
- Malware
- スパム
- エッジ保護
- ルール メッセージ
- フィッシング詐欺メール
- データ損失防止: データ損失防止 (DLP) ポリシーによって検疫された電子メール メッセージ。
- [ドメイン]: [ すべて] または [承認済みドメイン] を選択します。
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [フィルターのクリア] を選択します。
[ 方向 ] タブで、[ カテゴリの選択 ] を選択して詳細を確認します。
- フィッシングメール: この選択により、[脅威保護の状態] レポートの [電子メール > フィッシングによるデータの表示] と [検出テクノロジ別のグラフの内訳 ] が表示されます。
- 電子メール内のマルウェア: この選択により、脅威保護状態レポートの [電子メール > マルウェア別のデータの表示] と [検出テクノロジ別のグラフの内訳 ] が表示されます。
- スパム検出: この選択により、[脅威保護の状態] レポートの [電子メール > スパム別のデータの表示] と [検出テクノロジ別のグラフの内訳 ] が表示されます。
[方向] タブで、[スケジュールの作成] アクションと [エクスポート] アクションを使用できます。
メールフロー状態レポートのメールフロー ビュー
[ メールフロー ] タブには、Microsoft の電子メール脅威保護機能が組織内の受信メールと送信メールをフィルター処理する方法が表示されます。 このビューでは、水平方向のフロー図 ( Sankey ダイアグラムと呼ばれます) を使用して、電子メールの合計数の詳細と、脅威保護機能がこのカウントに与える影響について説明します。
集計ビューと詳細テーブル ビューでは、90 日間のフィルター処理が可能です。
図の情報は、 EOP および Defender for Office 365 テクノロジによって色分けされています。
この図は、次の水平バンドに編成されています。
- [合計メール バンド]: この値は常に最初に表示されます。
- エッジ ブロック と 処理された バンド:
- エッジ ブロック: エッジでフィルター処理され、エッジ保護として識別されたメッセージ。
- 処理済み: フィルター 処理スタックによって処理されたメッセージ。
- 結果バンド:
- データ損失防止ブロック
- ルール ブロック: Exchange メール フロー ルール (トランスポート ルール) によって検疫されたメッセージ。
- マルウェア ブロック: マルウェアとして識別されたメッセージ。*
- フィッシング ブロック: フィッシングとして識別されたメッセージ。*
- スパム ブロック: スパムとして識別されたメッセージ。*
- 偽装ブロック: Defender for Office 365 でユーザー偽装またはドメイン偽装として検出されたメッセージ。*
- 爆発ブロック: Defender for Office 365 の安全な添付ファイル ポリシーまたは安全なリンク ポリシーによってファイルまたは URL の爆発中に検出されたメッセージ。*
- ZAP が削除されました: 0 時間自動消去 (ZAP) によって削除されたメッセージ。*
- 配信済み: 許可のためにユーザーに配信されたメッセージ。*
図の水平方向のバンドにカーソルを合わせると、関連するメッセージの数が表示されます。
* この要素を選択すると、ダイアグラムが展開され、詳細が表示されます。 展開されたノード内の各要素の説明については、「 検出テクノロジ」を参照してください。
図の下の詳細表は、次の情報を示しています。
- 日付 (UTC)
- 合計メール数
- フィルター処理されたエッジ
- ルール メッセージ
- マルウェア対策エンジン、安全な添付ファイル、フィルター処理されたルール
- DMARC 偽装、なりすまし、フィッシング フィルター処理
- 爆発検出
- スパム対策フィルター処理
- ZAP が削除されました
- 脅威が検出されなかったメッセージ
詳細テーブルの行を選択すると、開く詳細ポップアップでメール数の詳細な内訳が表示されます。
[フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択して、レポートと詳細テーブルを変更します。
- 日付 (UTC)開始日 と 終了日。
- [メールの方向]: [ 受信]、[ 送信]、[ 組織内] を選択します。
- [ドメイン]: [ すべて] または [承認済みドメイン] を選択します。
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [フィルターのクリア] を選択します。
[メールフロー] タブで、[傾向の表示] を選択して、開いた [メールフローの傾向] ポップアップに傾向グラフを表示します。
[メールフロー] タブで、[エクスポート] アクションを使用できます。
マルウェア検出レポート
注:
このレポートは非推奨になりました。 脅威 保護の状態レポートでも同じ情報を使用できます。
メール遅延レポート
Defender for Office 365 の メール待機時間レポート には、組織内で発生したメール配信と爆発の待機時間に関する情報が含まれています。 詳細については、「 メール待機時間レポート」を参照してください。
配信後のアクティビティ レポート
配信後のアクティビティ レポートは、Microsoft Defender for Office 365 プラン 2 を持つ組織でのみ使用できます。 レポートの詳細については、「 配信後アクティビティ レポート」を参照してください。
スパム検出レポート
注:
このレポートは非推奨になりました。 脅威 保護の状態レポートでも同じ情報を使用できます。
なりすまし検出レポート
スプーフィング検出レポートには、スプーフィングによってブロックまたは許可されたメッセージに関する情報が表示されます。 スプーフィングの詳細については、「 EOP でのスプーフィング対策保護」を参照してください。
レポートの集計ビューと詳細ビューでは、90 日間のフィルター処理が可能です。
注:
レポートで利用可能な最新のデータは、3 日から 4 日前です。
の [ 電子メール & コラボレーション レポート ] ページで https://security.microsoft.com/emailandcollabreport、[ なりすましの検出] を見つけて、[ 詳細の表示] を選択します。 または、レポートに直接移動するには、 を使用します https://security.microsoft.com/reports/SpoofMailReport。
グラフには、次の情報が表示されます。
- 渡す
- Fail/失敗
- SoftPass
- なし
- その他
グラフの 1 日 (データ ポイント) にカーソルを合わせると、検出されたなりすましメッセージの数とその理由が表示されます。
グラフの下の詳細表は、次の情報を示しています。
Date
なりすましユーザー
送信インフラストラクチャ
スプーフィングの種類
結果
結果コード
SPF
DKIM
DMARC
メッセージ数
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- Web ブラウザーで縮小します。
複合認証結果コードの詳細については、「 Microsoft 365 のスパム対策メッセージ ヘッダー」を参照してください。
[フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択して、レポートと詳細テーブルを変更します。
- 日付 (UTC)開始日 と 終了日
- 結果:
- 渡す
- Fail/失敗
- SoftPass
- なし
- その他
- スプーフィングの種類: 内部 および 外部
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [フィルターのクリア] を選択します。
[なりすましメール レポート] ページで、[スケジュールの作成]、[レポートの要求]、[エクスポート] アクションを使用できます。
申請レポート
[申請] レポートには、管理者が過去 30 日間の分析のために Microsoft に報告したアイテムに関する情報が表示されます。 管理者の申請の詳細については、「 管理者の申請を使用して、疑わしいスパム、フィッシング、URL、およびファイルを Microsoft に送信する」を参照してください。
の [ 電子メール & コラボレーション レポート ] ページで https://security.microsoft.com/emailandcollabreport、[ 申請] を見つけて、[ 詳細の表示] を選択します。 または、レポートに直接移動するには、 を使用します https://security.microsoft.com/adminSubmissionReport。
Defender ポータルの [申請 ] ページに直接移動するには、[ 申請に移動] を選択します。
グラフには、次の情報が表示されます。
- Pending
- Completed
グラフの下の詳細テーブルには、同じ情報が表示され、[申請] ページhttps://security.microsoft.com/reportsubmission?viewid=emailの [電子メール] タブと同じ使用可能なアクションが表示されます。
- 列のカスタマイズ
- グループ
- 分析のために Microsoft に送信する
詳細については、「 Microsoft へのメール管理者の申請を表示する」を参照してください。
[フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択して、レポートと詳細テーブルを変更します。
- 送信日: 開始日 と 終了日
- 申請 ID
- ネットワーク メッセージ ID
- Sender
- [受信者]
- 申請名
- 作成者:
- 送信の理由:
- 迷惑メールではない
- クリーンに表示される
- 疑わしいと表示される
- フィッシング
- Malware
- スパム
- 再スキャンの状態:
- Pending
- Completed
- タグ: すべて または 1 つ以上の ユーザー タグ。
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [フィルターのクリア] を選択します。
[申請] ページ で 、[ エクスポート ] アクションを使用できます。
脅威保護の状態レポート
脅威保護の状態レポートは、EOP と Defender for Office 365 の両方で使用できます。 ただし、レポートには異なるデータが含まれています。 たとえば、EOP のお客様は、メールで検出されたマルウェアに関する情報を表示できますが、 SharePoint、OneDrive、Microsoft Teams の安全な添付ファイルによって検出された悪意のあるファイルに関する情報は表示できません。
レポートには、悪意のあるコンテンツを含む電子メール メッセージの数が表示されます。 例:
- マルウェア対策エンジンによってブロックされたファイルまたは Web サイト アドレス (URL)。
- 0 時間自動消去 (ZAP) の影響を受けるファイルまたはメッセージ
- Defender for Office 365 機能によってブロックされたファイルまたはメッセージ: フィッシング対策ポリシーの安全なリンク、安全な添付ファイル、偽装保護機能。
このレポートの情報を使用して、傾向を特定したり、組織のポリシーを調整する必要があるかどうかを判断したりできます。
ヒント
メッセージが 5 人の受信者に送信された場合、1 つのメッセージではなく、5 つの異なるメッセージとしてカウントされます。
の [ 電子メール & コラボレーション レポート ] ページで https://security.microsoft.com/emailandcollabreport、[ 申請] を見つけて、[ 詳細の表示] を選択します。 または、レポートに直接移動するには、次のいずれかの URL を使用します。
- Defender for Office 365: https://security.microsoft.com/reports/TPSAggregateReportATP
- EOP: https://security.microsoft.com/reports/TPSAggregateReport
既定では、グラフには過去 7 日間のデータが表示されます。 脅威保護の状態レポート ページで [フィルター] を選択して、90 日の日付範囲を選択します (試用版サブスクリプションは 30 日に制限される場合があります)。 詳細テーブルでは、30 日間フィルター処理できます。
使用可能なビューについては、次のサブセクションで説明します。
概要でデータを表示する
[ 概要によるデータの表示] ビューでは、次の検出情報がグラフに表示されます。
- 電子メールマルウェア
- 電子メールフィッシング
- メール スパム
- コンテンツマルウェア (Defender for Office 365 のみ: SharePoint Online、OneDrive、Microsoft Teams の組み込みウイルス保護 によって検出されたファイル、 および SharePoint、OneDrive、Microsoft Teams の安全な添付ファイル)
グラフの下に詳細テーブルはありません。
[フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
- 日付 (UTC)開始日 と 終了日。
- 検出: グラフと同じ値。
- 保護対象: MDO (Defender for Office 365) と EOP。
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
- 方向: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[ 受信]、[ 送信]、または [組織内] を選択します。
- [ドメイン]: [ すべて] のままにするか、削除し、空のボックスをダブルクリックして、 承認済みのドメインを選択します。
- ポリシーの種類: [ すべて] のままにするか、削除し、空のボックスをダブルクリックして、次のいずれかの値を選択します。
- マルウェア対策
- 添付ファイル保護
- フィッシング対策
- スパム対策
- メール フロー ルール (トランスポート ルール)
- Others
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [フィルターのクリア] を選択します。
電子メール > フィッシングによるデータの表示と、検出テクノロジ別のグラフの内訳
注:
2021 年 5 月に、電子メールのフィッシング検出が更新され、フィッシング URL を含む メッセージの添付ファイル が含まれます。 この変更により、検出ボリュームの一部が [電子メールマルウェアによるデータの表示] ビューから [電子メール>>フィッシングによるデータの表示] ビューにシフトされる可能性があります。 つまり、従来はマルウェアとして識別されていたフィッシング URL を含むメッセージ添付ファイルが、代わりにフィッシングとして識別される可能性があります。
[ 電子メール > フィッシングによるデータの表示 ] ビューと [ 検出テクノロジ別のグラフの内訳 ] ビューでは、次の情報がグラフに表示されます。
- 高度なフィルター: 機械学習に基づくフィッシングシグナル。
- キャンペーン*: キャンペーンの一部として識別されるメッセージ。
- ファイルの爆発*: 安全な添付ファイルは、 爆発分析中に悪意のある添付ファイルを検出しました。
- ファイル爆発の評判*: 他の Microsoft 365 組織の 安全な添付ファイル の爆発によって以前に検出された添付ファイル。
- ファイルの評判: メッセージには、以前に他の Microsoft 365 組織で悪意があると識別されたファイルが含まれています。
- 指紋照合: メッセージは、以前に検出された悪意のあるメッセージによく似ています。
- 一般的なフィルター: アナリスト ルールに基づくフィッシングシグナル。
- 偽装ブランド: 既知のブランドの送信者偽装。
- 偽装ドメイン*: フィッシング対策ポリシーで保護のために所有または指定した送信者ドメインの偽装。
- 偽装ユーザー*: フィッシング対策ポリシー で指定した、またはメールボックス インテリジェンスを通じて学習した保護された送信者の偽装。
- メールボックス インテリジェンス偽装*: フィッシング対策ポリシーでのメールボックス インテリジェンスからの偽装検出。
- 混合分析の検出: 複数のフィルターがメッセージの判定に貢献しました。
- DMARC のスプーフィング: メッセージが DMARC 認証に失敗しました。
- 外部ドメインのスプーフィング: 組織の外部にあるドメインを使用した送信者の電子メール アドレスのスプーフィング。
- 組織内でのスプーフィング: 組織の内部にあるドメインを使用した送信者のメール アドレススプーフィング。
- URL の爆発*: 安全なリンク は、爆発分析中にメッセージ内の悪意のある URL を検出しました。
- URL 爆発評判*: 他の Microsoft 365 組織の 安全なリンク 爆発によって以前に検出された URL。
- URL の悪意のある評判: メッセージには、以前に他の Microsoft 365 組織で悪意があると識別された URL が含まれています。
* Defender for Office 365 のみ
グラフの下の詳細テーブルでは、次の情報を使用できます。
- Date
- 件名
- Sender
- 受信者
- 検出テクノロジ: グラフの同じ検出テクノロジ値。
- 配信状態
- [Sender IP (送信者の IP)]
- タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- Web ブラウザーで縮小します。
[フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
- 日付 (UTC):開始日 と 終了日
- 検出: グラフと同じ値。
- 優先アカウント保護: はい 、 いいえ。 詳細については、「 Microsoft Defender for Office 365 での優先度アカウント保護の構成と確認」を参照してください。
- 評価: はい または いいえ。
- 保護対象: MDO (Defender for Office 365) と EOP
- 方向: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[ 受信]、[ 送信]、または [組織内] を選択します。
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
- [ドメイン]: [ すべて] のままにするか、削除し、空のボックスをダブルクリックして、 承認済みのドメインを選択します。
- ポリシーの種類: [すべて] または次のいずれかの値を選択します。
- マルウェア対策
- 添付ファイル保護
- フィッシング対策
- スパム対策
- メール フロー ルール (トランスポート ルール)
- Others
- ポリシー名 (詳細テーブル ビューのみ): [すべて ] または特定のポリシーを選択します。
- 受信者 (コンマで区切られた)
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [フィルターのクリア] を選択します。
最初の列の横にあるチェック ボックス以外の行の任意の場所をクリックして、詳細テーブルからエントリを選択すると、電子メールの詳細ポップアップが開きます。 この詳細ポップアップは [電子メールの概要] パネル と呼ばれ、メッセージの Defender for Office 365 の [電子メール] エンティティ ページ でも利用できる概要情報が含まれています。 [電子メールの概要] パネルの情報の詳細については、「 電子メールの概要」パネルを参照してください。
Defender for Microsoft 365 では、脅威保護状態レポートの [電子メールの概要] パネルの上部にある次のアクションを使用できます。
- 電子メール エンティティを開く: 詳細については、「 Microsoft Defender for Office 365 の電子メール エンティティ ページ」を参照してください。
- アクションの実行: 詳細については、「 脅威ハンティング: 電子メールの修復」を参照してください。
[脅威保護の状態] ページで、[スケジュールの作成]、[レポートの要求]、[エクスポート] アクションを使用できます。
電子メール > スパム別にデータを表示し、検出テクノロジ別にグラフの内訳を表示する
[ 電子メール > スパム別のデータの表示 ] ビューと [ 検出テクノロジ別のグラフの内訳 ] ビューでは、次の情報がグラフに表示されます。
- 高度なフィルター: 機械学習に基づくフィッシングシグナル。
- 一括: メッセージの 一括苦情レベル (BCL) が、スパムに対して定義されたしきい値を超えています。
- ドメイン評判: メッセージは、以前に他の Microsoft 365 組織でスパムを送信していると識別されたドメインからのメッセージでした。
- 指紋照合: メッセージは、以前に検出された悪意のあるメッセージによく似ています。
- 一般的なフィルター
- IP 評判: メッセージは、以前に他の Microsoft 365 組織でスパムを送信していると識別されたソースからのメッセージでした。
- 混合分析検出: 複数のフィルターがメッセージの判定に貢献しました。
- URL の悪意のある評判: メッセージには、以前に他の Microsoft 365 組織で悪意があると識別された URL が含まれています。
グラフの下の詳細テーブルでは、次の情報を使用できます。
- Date
- 件名
- Sender
- 受信者
- 検出テクノロジ: グラフの同じ検出テクノロジ値。
- 配信状態
- [Sender IP (送信者の IP)]
- タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- Web ブラウザーで縮小します。
[フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
日付 (UTC)開始日 と 終了日
検出: グラフと同じ値。
一括苦情レベル: [検出 ] 値 [ 一括 ] が選択されている場合、スライダーを使用して、選択した BCL 範囲でレポートをフィルター処理できます。 この情報を使用して、スパム対策ポリシーの BCL しきい値を確認または調整して、組織への一括メールを多かれ少なかれ許可することができます。
[検出] 値 [一括] が選択されていない場合、スライダーは淡色表示され、一括検出はレポートに含まれません。
優先アカウント保護: はい 、 いいえ。 詳細については、「 Microsoft Defender for Office 365 での優先度アカウント保護の構成と確認」を参照してください。
方向: [すべて]、[受信]、[送信]、[組織内] の順に入力します。
方向: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[ 受信]、[ 送信]、または [組織内] を選択します。
タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
[ドメイン]: [ すべて] のままにするか、削除し、空のボックスをダブルクリックして、 承認済みのドメインを選択します。
ポリシーの種類: [すべて] または次のいずれかの値を選択します。
- マルウェア対策
- 添付ファイル保護
- フィッシング対策
- スパム対策
- メール フロー ルール (トランスポート ルール)
- Others
ポリシー名 (詳細テーブル ビューのみ): [すべて ] または特定のポリシーを選択します。
受信者
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [フィルターのクリア] を選択します。
最初の列の横にあるチェック ボックス以外の行の任意の場所をクリックして、詳細テーブルからエントリを選択すると、電子メールの詳細ポップアップが開きます。 この詳細ポップアップは [電子メールの概要] パネル と呼ばれ、メッセージの Defender for Office 365 の [電子メール] エンティティ ページ でも利用できる概要情報が含まれています。 [電子メールの概要] パネルの情報の詳細については、「 電子メールの概要」パネルを参照してください。
Defender for Microsoft 365 では、脅威保護状態レポートの [電子メールの概要] パネルの上部にある次のアクションを使用できます。
- 電子メール エンティティを開く: 詳細については、「 Microsoft Defender for Office 365 の電子メール エンティティ ページ」を参照してください。
- アクションの実行: 詳細については、「 脅威ハンティング: 電子メールの修復」を参照してください。
[脅威保護の状態] ページで、[スケジュールの作成]、[レポートの要求]、[エクスポート] アクションを使用できます。
電子メール > マルウェア別のデータの表示と検出テクノロジ別のグラフの内訳
注:
2021 年 5 月、メールのマルウェア検出が更新され、 有害な URL が メッセージの添付ファイルに含まれるよう変更されました。 この変更により、検出ボリュームの一部が [電子メールフィッシングによるデータの表示] ビューから [電子メール>>マルウェアによるデータの表示] ビューにシフトされる可能性があります。 言い換えると、従来はフィッシングとして識別されていたメッセージ添付ファイルの有害な URL が、代わりにマルウェアとして識別される可能性があります。
[ 電子メール > マルウェア別のデータの表示 ] ビューと [ 検出テクノロジ別のグラフの内訳 ] ビューでは、次の情報がグラフに表示されます。
- ファイルの爆発*: 安全な添付ファイルは、 爆発分析中に悪意のある添付ファイルを検出しました。
- ファイル爆発の評判*: 他の Microsoft 365 組織の 安全な添付ファイル の爆発によって以前に検出された添付ファイル。
- ファイルの評判: メッセージには、以前に他の Microsoft 365 組織で悪意があると識別されたファイルが含まれています。
- マルウェア対策エンジン*: マルウェア対策エンジンからの検出。
- URL に悪意があるとする評価
- URL の爆発*: 安全なリンク は、爆発分析中にメッセージ内の悪意のある URL を検出しました。
- URL 爆発評判*: 他の Microsoft 365 組織の 安全なリンク 爆発によって以前に検出された URL。
- キャンペーン*: キャンペーンの一部として識別されるメッセージ。
* Defender for Office 365 のみ
グラフの下の詳細テーブルでは、次の情報を使用できます。
Date
件名
Sender
受信者
検出テクノロジ: グラフの同じ検出テクノロジ値。
配信状態
[Sender IP (送信者の IP)]
タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- Web ブラウザーで縮小します。
[フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
- 日付 (UTC)開始日 と 終了日
- 検出: グラフと同じ値。
- 優先アカウント保護: はい 、 いいえ。 詳細については、「 Microsoft Defender for Office 365 の優先度アカウントを構成して確認する」を参照してください。
- 評価: はい または いいえ。
- 保護対象: MDO (Defender for Office 365) と EOP
- 方向: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[ 受信]、[ 送信]、または [組織内] を選択します。
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
- [ドメイン]: [ すべて] のままにするか、削除し、空のボックスをダブルクリックして、 承認済みのドメインを選択します。
- ポリシーの種類: [すべて] または次のいずれかの値を選択します。
- マルウェア対策
- 添付ファイル保護
- フィッシング対策
- スパム対策
- メール フロー ルール (トランスポート ルール)
- Others
- ポリシー名 (詳細テーブル ビューのみ): [すべて ] または特定のポリシーを選択します。
- 受信者 (コンマで区切られた)
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [フィルターのクリア] を選択します。
最初の列の横にあるチェック ボックス以外の行の任意の場所をクリックして、詳細テーブルからエントリを選択すると、電子メールの詳細ポップアップが開きます。 この詳細ポップアップは [電子メールの概要] パネル と呼ばれ、メッセージの Defender for Office 365 の [電子メール] エンティティ ページ でも利用できる概要情報が含まれています。 [電子メールの概要] パネルの情報の詳細については、「 電子メールの概要」パネルを参照してください。
Defender for Microsoft 365 では、脅威保護状態レポートの [電子メールの概要] パネルの上部にある次のアクションを使用できます。
- 電子メール エンティティを開く: 詳細については、「 Microsoft Defender for Office 365 の電子メール エンティティ ページ」を参照してください。
- アクションの実行: 詳細については、「 脅威ハンティング: 電子メールの修復」を参照してください。
[脅威保護の状態] ページで、[スケジュールの作成]、[レポートの要求]、[エクスポート] アクションを使用できます。
ポリシーの種類別のグラフの内訳
[ 電子メール > フィッシングによるデータの表示]、[ 電子メール > スパム別のデータの表示]、または [ 電子メール > マルウェアによるデータの表示] ビューで、[ ポリシーの種類別のグラフの内訳 ] を選択すると、次の情報がグラフに表示されます。
- マルウェア対策
- 安全な添付ファイル*
- フィッシング対策
- スパム対策
- メール フロー ルール (トランスポート ルールとも呼ばれます)
- Others
グラフの下の詳細テーブルでは、次の情報を使用できます。
Date
件名
Sender
受信者
検出テクノロジ: グラフの同じ検出テクノロジ値。
配信状態
[Sender IP (送信者の IP)]
タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- Web ブラウザーで縮小します。
[フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
- 日付 (UTC)開始日 と 終了日
- 検出: この記事および「検出テクノロジ」で説明したように 、検出テクノロジの値。
- 優先アカウント保護: はい 、 いいえ。 詳細については、「 Microsoft Defender for Office 365 の優先度アカウントを構成して確認する」を参照してください。
- 評価: はい または いいえ。
- 保護対象: MDO (Defender for Office 365) と EOP
- 方向: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[ 受信]、[ 送信]、または [組織内] を選択します。
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
- [ドメイン]: [ すべて] のままにするか、削除し、空のボックスをダブルクリックして、 承認済みのドメインを選択します。
- ポリシーの種類: [すべて] または次のいずれかの値を選択します。
- マルウェア対策
- 添付ファイル保護
- フィッシング対策
- スパム対策
- メール フロー ルール (トランスポート ルール)
- Others
- ポリシー名 (詳細テーブル ビューのみ): [すべて ] または特定のポリシーを選択します。
- 受信者 (コンマで区切られた)
* Defender for Office 365 のみ
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [フィルターのクリア] を選択します。
最初の列の横にあるチェック ボックス以外の行の任意の場所をクリックして、詳細テーブルからエントリを選択すると、電子メールの詳細ポップアップが開きます。 この詳細ポップアップは [電子メールの概要] パネル と呼ばれ、メッセージの Defender for Office 365 の [電子メール] エンティティ ページ でも利用できる概要情報が含まれています。 [電子メールの概要] パネルの情報の詳細については、「 電子メールの概要」パネルを参照してください。
Defender for Microsoft 365 では、脅威保護状態レポートの [電子メールの概要] パネルの上部にある次のアクションを使用できます。
- 電子メール エンティティを開く: 詳細については、「 Microsoft Defender for Office 365 の電子メール エンティティ ページ」を参照してください。
- アクションの実行: 詳細については、「 脅威ハンティング: 電子メールの修復」を参照してください。
[脅威保護の状態] ページで、[スケジュールの作成]、[レポートの要求]、[エクスポート] アクションを使用できます。
配送状況別のグラフの内訳
[ 電子メール > フィッシングによるデータの表示]、[ 電子メール > スパム別のデータの表示] ビュー、または [電子メール > マルウェアによるデータの表示] ビューで、[ 配信状態別のグラフの内訳 ] を選択すると、次の情報がグラフに表示されます。
- ホステッド メールボックス: 受信トレイ
- ホステッド メールボックス: 迷惑メール
- ホステッド メールボックス: カスタム フォルダー
- ホステッド メールボックス: 削除済みアイテム
- 転送
- オンプレミス サーバー: 配信済み
- 検疫
- 配信に失敗しました
- 削除
グラフの下の詳細テーブルでは、次の情報を使用できます。
Date
件名
Sender
受信者
検出テクノロジ: グラフの同じ検出テクノロジ値。
配信状態
[Sender IP (送信者の IP)]
タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- Web ブラウザーで縮小します。
[フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
- 日付 (UTC)開始日 と 終了日
- 検出: この記事および「検出テクノロジ」で説明したように 、検出テクノロジの値。
- 保護対象: MDO (Defender for Office 365) と EOP
- 方向: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[ 受信]、[ 送信]、または [組織内] を選択します。
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
- [ドメイン]: [ すべて] のままにするか、削除し、空のボックスをダブルクリックして、 承認済みのドメインを選択します。
- ポリシーの種類: [すべて] または次のいずれかの値を選択します。
- マルウェア対策
- 添付ファイル保護
- フィッシング対策
- スパム対策
- メール フロー ルール (トランスポート ルール)
- Others
- ポリシー名 (詳細テーブル ビューのみ): [すべて ] または特定のポリシーを選択します。
- 受信者 (コンマで区切られた)
* Defender for Office 365 のみ
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [フィルターのクリア] を選択します。
最初の列の横にあるチェック ボックス以外の行の任意の場所をクリックして、詳細テーブルからエントリを選択すると、電子メールの詳細ポップアップが開きます。 この詳細ポップアップは [電子メールの概要] パネル と呼ばれ、メッセージの Defender for Office 365 の [電子メール] エンティティ ページ でも利用できる概要情報が含まれています。 [電子メールの概要] パネルの情報の詳細については、「 電子メールの概要」パネルを参照してください。
Defender for Microsoft 365 では、脅威保護状態レポートの [電子メールの概要] パネルの上部にある次のアクションを使用できます。
- 電子メール エンティティを開く: 詳細については、「 Microsoft Defender for Office 365 の電子メール エンティティ ページ」を参照してください。
- アクションの実行: 詳細については、「 脅威ハンティング: 電子メールの修復」を参照してください。
[脅威保護の状態] ページで、[スケジュールの作成]、[レポートの要求]、[エクスポート] アクションを使用できます。
コンテンツ マルウェアによるデータの > 表示
[ コンテンツ > マルウェアによるデータの表示 ] ビューでは、Microsoft Defender for Office 365 組織のグラフに次の情報が表示されます。
- マルウェア対策エンジン: Microsoft 365 の組み込みウイルス検出によって SharePoint、OneDrive、Microsoft Teams で検出された悪意のあるファイル。
- MDO 爆発: SharePoint、OneDrive、Microsoft Teams の安全な添付ファイルによって検出された悪意のあるファイル。
- ファイルの評判: メッセージには、以前に他の Microsoft 365 組織で悪意があると識別されたファイルが含まれています。
グラフの下の詳細テーブルでは、次の情報を使用できます。
- Date
- 添付ファイルの名前
- Workload
- 検出テクノロジ: グラフの同じ検出テクノロジ値。
- ファイル サイズ
- 最後にユーザーを変更する
[フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
- 日付 (UTC)開始日 と 終了日。
- 検出: グラフと同じ値。
- ワークロード: Teams、 SharePoint、 OneDrive
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [フィルターのクリア] を選択します。
[脅威保護の状態] ページで、[エクスポート] アクションを使用できます。
システムオーバーライド別にデータを表示し、理由別にグラフの内訳を表示する
[ システムオーバーライド別のデータの表示 ] ビューと [ 理由別のグラフの内訳 ] ビューでは、次のオーバーライド理由情報がグラフに表示されます。
- データ損失防止: データ損失防止 (DLP) ポリシーによって検疫された電子メール メッセージ。
- Exchange トランスポート ルール
- 排他設定 (Outlook)
- IP 許可
- オンプレミスのスキップ
- 組織で許可されているドメイン
- 組織で許可されている送信者
- フィッシング シミュレーション: 詳細については、「 サードパーティ製フィッシング シミュレーションをユーザーに配信し、フィルター処理されていないメッセージを SecOps メールボックスに配信する」を参照してください。
- 送信者ドメイン一覧
- TABL - URL とファイルの両方が許可されます
- TABL - 許可されるファイル
- TABL - ファイルがブロックされました
- TABL - 許可される URL
- TABL - URL がブロックされました
- TABL 送信者の電子メール アドレス許可
- TABL 送信者の電子メール アドレス ブロック
- TABL スプーフィング ブロック
- サード パーティ製フィルター
- 信頼された連絡先リスト - アドレス帳の送信者
- 信頼された受信者アドレス一覧
- 信頼された受信者ドメインの一覧
- 信頼された送信者の一覧 (Outlook)
- ユーザー セーフ ドメイン
- ユーザーセーフセンダー
- ZAP が有効になっていない
グラフの下の詳細テーブルでは、次の情報を使用できます。
- Date
- 件名
- Sender
- 受信者
- システムオーバーライド
- [Sender IP (送信者の IP)]
- タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
[フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
- 日付 (UTC)開始日 と 終了日
- 理由: グラフと同じ値。
- 配信場所: 迷惑メール フォルダーが有効になっていない と SecOps メールボックス。
- 方向: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[ 受信]、[ 送信]、または [組織内] を選択します。
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
- [ドメイン]: [ すべて] のままにするか、削除し、空のボックスをダブルクリックして、 承認済みのドメインを選択します。
- ポリシーの種類: [すべて] または次のいずれかの値を選択します。
- マルウェア対策
- 添付ファイル保護
- フィッシング対策
- スパム対策
- メール フロー ルール (トランスポート ルール)
- Others
- ポリシー名 (詳細テーブル ビューのみ): [すべて ] または特定のポリシーを選択します。
- 受信者 (コンマで区切られた)
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [フィルターのクリア] を選択します。
[脅威保護の状態] ページで、[エクスポート] アクションを使用できます。
システムオーバーライド別にデータを表示し、配信場所別にグラフの内訳を表示する
[ システムオーバーライド別のデータの表示 ] ビューと [ 配信場所別のグラフの内訳 ] ビューでは、次のオーバーライド理由情報がグラフに表示されます。
- 迷惑メール フォルダーが有効になっていない
- SecOps メールボックス: 詳細については、「 サード パーティ製フィッシング シミュレーションをユーザーに配信し、フィルター処理されていないメッセージを SecOps メールボックスに配信する」を参照してください。
グラフの下の詳細テーブルでは、次の情報を使用できます。
- Date
- 件名
- Sender
- 受信者
- システムオーバーライド
- [Sender IP (送信者の IP)]
- タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
[フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
- 日付 (UTC)開始日 と 終了日
- 理由: ポリシーの種類別のグラフの内訳と同じ値
- 配信場所: 迷惑メール フォルダーが有効になっていない と SecOps メールボックス。
- 方向: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[ 受信]、[ 送信]、または [組織内] を選択します。
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
- [ドメイン]: [ すべて] のままにするか、削除し、空のボックスをダブルクリックして、 承認済みのドメインを選択します。
- ポリシーの種類: [すべて] または次のいずれかの値を選択します。
- マルウェア対策
- 添付ファイル保護
- フィッシング対策
- スパム対策
- メール フロー ルール (トランスポート ルール)
- Others
- ポリシー名 (詳細テーブル ビューのみ): [すべて ] または特定のポリシーを選択します。
- 受信者 (コンマで区切られた)
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [フィルターのクリア] を選択します。
[脅威保護の状態] ページで、[エクスポート] アクションを使用できます。
上位のマルウェア レポート
[上位のマルウェア] レポートには、EOP のマルウェア対策保護によって検出されたさまざまな種類のマルウェアが表示されます。
の [ 電子メール & コラボレーション レポート ] ページで https://security.microsoft.com/emailandcollabreport、[ 上位のマルウェア] を見つけます。
円グラフのくさびの上にマウス ポインターを合わせると、マルウェア名と、マルウェアに含まれるメッセージの数が表示されます。
[ 詳細の表示] を選択して、[ 上位のマルウェア レポート ] ページに移動します。 または、レポートに直接移動するには、 を使用します https://security.microsoft.com/reports/TopMalware。
[ 上位マルウェア レポート ] ページに、より大きなバージョンの円グラフが表示されます。 グラフの下の詳細テーブルは、次の情報を示しています。
- 上位のマルウェア: マルウェア名
- カウント: マルウェアを含むメッセージの数。
[フィルター] を選択して、開いたポップアップの [開始日] と [終了日] の値を選択してレポートを変更します。
[トップ マルウェア] ページで、[スケジュールの作成] アクションと [エクスポート] アクションを使用できます。
上位の送信者と受信者のレポート
上位の送信者と受信者のレポートは、EOP と Defender for Office 365 の両方で使用できます。ただし、レポートには異なるデータが含まれています。 たとえば、EOP のお客様は、上位のマルウェア、スパム、フィッシング (なりすまし) 受信者に関する情報を表示できますが、偽装保護によって検出された安全な添付ファイルやフィッシングによって検出されたマルウェアに関する情報は表示されません。
[上位の送信者と受信者] レポートには、組織内の上位 20 人のメッセージ送信者と、EOP および Defender for Office 365 保護機能によって検出されたメッセージの上位 20 人の受信者が表示されます。 既定では、レポートには過去 1 週間のデータが表示されますが、過去 90 日間はデータを使用できます。
の [ 電子メール & コラボレーション レポート ] ページで https://security.microsoft.com/emailandcollabreport、[ 上位の送信者と受信者] を探します。
円グラフの楔にカーソルを合わせると、送信者または受信者のメッセージ数が表示されます。
[ 詳細の表示 ] を選択して、[ 上位の送信者と受信者 ] ページに移動します。 または、レポートに直接移動するには、次のいずれかの URL を使用します。
- Defender for Office 365: https://security.microsoft.com/reports/TopSenderRecipientsATP
- EOP: https://security.microsoft.com/reports/TopSenderRecipient
[ 上位の送信者と受信者 ] ページに、より大きなバージョンの円グラフが表示されます。 次のグラフを使用できます。
- 上位のメール送信者のデータを表示する (既定のビュー)
- 上位のメール受信者のデータを表示する
- 上位のスパム受信者のデータを表示する
- 上位のマルウェア受信者 (EOP) のデータを表示する
- 上位のフィッシング受信者のデータを表示する
- 上位のマルウェア受信者 (MDO) のデータを表示する
- 上位のフィッシング受信者 (MDO) のデータを表示する
- 上位 intra.org メール送信者のデータを表示する
- 上位 intra.org メール受信者のデータを表示する
- 上位 intra.org スパム受信者のデータを表示する
- 上位の intra.org マルウェア受信者のデータを表示する
- 上位 intra.org フィッシング受信者のデータを表示する
- 上位 intra.org フィッシング受信者 (MDO) のデータを表示する
- 上位の intra.org マルウェア受信者 (MDO) のデータを表示する
円グラフのくさびの上にマウス ポインターを合わせると、その特定の送信者または受信者のメッセージ数が表示されます。
グラフごとに、グラフの下の詳細テーブルに次の情報が表示されます。
- 電子メール アドレス
- Item count
- タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
[フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
- 日付 (UTC)開始日 と 終了日
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [フィルターのクリア] を選択します。
[上位の送信者と受信者] ページで、[エクスポート] アクションを使用できます。
URL の保護に関するレポート
URL 保護レポートは、Microsoft Defender for Office 365 でのみ使用できます。 詳細については、「 URL 保護レポート」を参照してください。
ユーザーが報告したメッセージ レポート
重要
ユーザーが報告したメッセージ レポートが正しく機能するためには、Microsoft 365 組織で監査ログを有効にする必要があります (既定ではオンになっています)。 詳細については、「監査のオンとオフを切り替える」を参照してください。
[ユーザーが報告したメッセージ] レポートには、Outlook on the web または Microsoft Report Message または Report フィッシング アドインの組み込みレポート ボタンを使用して、ユーザーが迷惑メール、フィッシング詐欺、または良好なメールとして報告した電子メール メッセージに関する情報が表示されます。
の [ 電子メール & コラボレーション レポート ] ページで https://security.microsoft.com/emailandcollabreport、[ ユーザーが報告したメッセージ] を見つけて、[ 詳細の表示] を選択します。 または、レポートに直接移動するには、 を使用します https://security.microsoft.com/reports/userSubmissionReport。
Defender ポータルの [申請] ページの [ユーザーが報告した] タブに直接移動するには、[提出に移動] を選択します。
グラフには、次の情報が表示されます。
- 迷惑メールではない
- フィッシング
- スパム
グラフの下の詳細テーブルには、同じ情報が表示され、提出ページの [ユーザーレポート] タブでhttps://security.microsoft.com/reportsubmission?viewid=user使用できるアクションは と同じです。
- 列のカスタマイズ
- グループ
- フィルター
- としてマークして通知する
- 分析のために Microsoft に送信する
詳細については、「ユーザーが報告したメッセージを Microsoft に表示する」および「ユーザーが報告したメッセージの管理者アクション」を参照してください。
レポート ページで、[エクスポート] アクションを使用できます。
これらのレポートを表示するには、どのようなアクセス許可が必要ですか?
この記事で説明されているレポートを表示して使用するには、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
- Microsoft Defender XDR 統合ロールベースのアクセス制御 (RBAC) (電子メール & コラボレーション>Defender for Office 365 のアクセス許可がアクティブな場合)。PowerShell ではなく Defender ポータルにのみ影響します。セキュリティ操作/セキュリティ データ/セキュリティ データの基本 (読み取り) または承認と設定/システム設定/管理。
- Microsoft Defender ポータルの電子メール & コラボレーションのアクセス許可: 次のいずれかの役割グループのメンバーシップ:
- 組織の管理*
- セキュリティ管理者
- セキュリティ閲覧者
- グローバル リーダー
- Microsoft Entra のアクセス許可: Microsoft Entra ID の グローバル管理者*、 セキュリティ管理者、 セキュリティ 閲覧者、または グローバル 閲覧者 ロールのメンバーシップは、Microsoft 365 の他の機能に必要なアクセス許可 と アクセス許可をユーザーに付与します。
*レポートの [スケジュールの作成] アクションまたは [レポートの要求] アクション (使用可能な場合) を使用するには、Organization Management ロール グループまたはグローバル管理者ロールのメンバーシップが必要です。
レポートにデータが表示されない場合はどうすればよいですか?
レポートにデータが表示されない場合は、レポート フィルターを確認し、メッセージを検出してアクションを実行するように保護ポリシーが構成されていることを再確認します。 詳細については、次の記事を参照してください。
- EOP および Defender for Office 365 の構成アナライザー
- EOP と Microsoft Defender for Office 365 の事前設定されたセキュリティ ポリシー
- スパム フィルタリングをオフにする方法
レポート情報のダウンロードとエクスポート
レポートとレポート内の特定のビューによっては、前に説明したように、メイン レポート ページで次の 1 つ以上のアクションを使用できる場合があります。
レポート データをエクスポートする
ヒント
- エクスポートされたデータは、エクスポート時にレポートで構成されたすべてのフィルターの影響を受けます。
- エクスポートされたデータが 15,0000 エントリを超える場合、データは複数のファイルに分割されます。
レポート ページで、[エクスポート] を選択 します。
開いた [ エクスポート条件] ポップアップで、次の設定を確認して構成します。
- エクスポートするビューを選択します。次のいずれかの値を選択します。
- 概要: 過去 90 日間のデータを使用できます。 これは既定の値です。
- 詳細: 過去 30 日間のデータを使用できます。 1 日の日付範囲がサポートされています。
- 日付 (UTC):
- 開始日: 既定値は 3 か月前です。
- 終了日: 既定値は今日です。
[ 条件のエクスポート ] ポップアップが完了したら、[エクスポート] を選択 します。
[ エクスポート] ボタンが [エクスポート ] に変わり、進行状況バーが表示されます。
- エクスポートするビューを選択します。次のいずれかの値を選択します。
開いた [ 名前を付けて保存 ] ダイアログには、.csv ファイルの既定の名前とダウンロード場所 (既定ではローカルダウンロード フォルダー) が表示されますが、これらの値を変更し、[ 保存 ] を選択してエクスポートしたデータをダウンロードできます。
複数のファイルをダウンロード security.microsoft.com ダイアログが表示された場合は、[許可] を選択 します。
定期的なレポートをスケジュールする
注:
スケジュールされたレポートを作成するには、Exchange Online の 組織管理 ロールのメンバーであるか、Microsoft Entra ID の グローバル管理者 ロールである必要があります。
レポート ページで、[スケジュールの作成] を選択して、新しいスケジュールされたレポート ウィザードを開始します。
[ スケジュールされたレポートの名前 ] ページで、[ 名前 ] の値を確認またはカスタマイズし、[ 次へ] を選択します。
[ 基本設定の設定 ] ページで、次の設定を確認または構成します。
- 頻度: 次のいずれかの値を選択します。
- 週単位 (既定値)
- 日単位 (この値ではグラフにデータが表示されません)
- 毎月
- 開始日: レポートの生成を開始する日付を入力します。 既定値は現在です。
- [有効期限]: レポートの生成が終了する日付を入力します。 既定値は今日から 1 年です。
[ 基本設定の設定 ] ページが終了したら、[ 次へ] を選択します。
- 頻度: 次のいずれかの値を選択します。
[ フィルターの選択] ページで、次の設定を構成します。
- 方向: 次のいずれかの値を選択します。
- すべて (既定値)
- 送信
- 受信
- [送信者のアドレス]
- 受信者の住所
[ フィルターの選択 ] ページが完了したら、[ 次へ] を選択します。
- 方向: 次のいずれかの値を選択します。
[受信者] ページ で 、[ メールの送信先 ] ボックスでレポートの受信者を選択します。 既定値はメール アドレスですが、次のいずれかの手順を実行して他のユーザーを追加できます。
- ボックス内をクリックし、解決するユーザーの一覧を待ってから、ボックスの下の一覧からユーザーを選択します。
- ボックス内をクリックし、値の入力を開始し、ボックスの下の一覧からユーザーを選択します。
一覧からエントリを削除するには、エントリの横にある を選択 します。
[ 受信者] ページが完了したら、[ 次へ] を選択します。
[ レビュー ] ページで、設定を確認します。 各セクションで [編集] を選択して、そのセクション内の設定を変更することができます。 または、ウィザードで [ 戻る ] または特定のページを選択できます。
[レビュー] ページが完了したら、[送信] を選択します。
[ 新しいスケジュールされたレポートが作成されました ] ページで、リンクを選択してスケジュールされたレポートを表示したり、別のレポートを作成したりできます。
[ 新しいスケジュールされたレポートの作成 ] ページが完了したら、[完了] を選択 します。
レポートは、構成したスケジュールに基づいて、指定した受信者に電子メールで送信されます
スケジュールされたレポート エントリは、次のサブセクションで説明されているように、[ 管理されたスケジュール ] ページで使用できます。
既存のスケジュールされたレポートを管理する
前のセクションで説明したようにスケジュールされたレポートを作成した後、スケジュールされたレポート エントリは Defender ポータルの [スケジュールの管理 ] ページで使用できます。
の Microsoft Defender ポータルで https://security.microsoft.com、[ レポート>] [電子メール] & [コラボレーション> ] の順に移動し、[ スケジュールの管理] を選択します。 または、[ スケジュールの管理 ] ページに直接移動するには、 を使用 https://security.microsoft.com/ManageSubscriptionします。
[ スケジュールの管理 ] ページには、スケジュールされたレポート エントリごとに次の情報が表示されます。
- 開始日をスケジュールする
- スケジュール名
- レポートの種類
- Frequency
- 最後に送信された
リストを標準間隔からコンパクト間隔に変更するには、[リストの間隔をコンパクトまたは標準に変更] を選択し、[コンパクト リスト] を選択します。
[検索] ボックスを使用して、既存のスケジュールされたレポート エントリを検索します。
スケジュールされたレポート設定を変更するには、次の手順を実行します。
チェック ボックス以外の行の任意の場所をクリックして、スケジュールされたレポート エントリを選択します。
開いた詳細ポップアップで、次のいずれかの手順を実行します。
- [名前の編集] を選択して、スケジュールされたレポートの名前を変更します。
- セクションの [編集] リンクを選択して、対応する設定を変更します。
設定と構成手順は、「 スケジュール レポート」の説明と同じです。
スケジュールされたレポート エントリを削除するには、次のいずれかの方法を使用します。
- スケジュールされた 1 つ以上のレポートの横にあるチェック ボックスをオンにし、メイン ページに表示される [削除] アクションを選択します。
- チェック ボックス以外の行の任意の場所をクリックしてスケジュールされたレポートを選択し、開いた詳細ポップアップで [削除] を選択します。
開いた警告ダイアログを読み、[OK] を選択します。
[スケジュールの 管理 ] ページに戻ると、削除されたスケジュールされたレポート エントリは一覧に表示されなくなり、スケジュールされたレポートの以前のレポートは削除され、ダウンロードできなくなります。
オンデマンド レポートのダウンロードを要求する
注:
オンデマンド レポートを作成するには、Exchange Online の 組織管理 ロールのメンバーであるか、Microsoft Entra ID の グローバル管理者 ロールである必要があります。
レポート ページで、[レポートの要求] を選択して、新しいオンデマンド レポート ウィザードを開始します。
[ オンデマンド レポートの名前 ] ページで、[ 名前 ] の値を確認またはカスタマイズし、[ 次へ] を選択します。
[ 基本設定の設定 ] ページで、次の設定を確認または構成します。
- 開始日: レポート データの開始日を入力します。 既定値は 1 か月前です。
- [有効期限]: レポート データの終了日を入力します。 既定値は現在です。
[ オンデマンド レポートの名前 ] ページが完了したら、[ 次へ] を選択します。
[受信者] ページ で 、[ メールの送信先 ] ボックスでレポートの受信者を選択します。 既定値はメール アドレスですが、次のいずれかの手順を実行して他のユーザーを追加できます。
- ボックス内をクリックし、解決するユーザーの一覧を待ってから、ボックスの下の一覧からユーザーを選択します。
- ボックス内をクリックし、値の入力を開始し、ボックスの下の一覧からユーザーを選択します。
一覧からエントリを削除するには、エントリの横にある を選択 します。
[ 受信者] ページが完了したら、[ 次へ] を選択します。
[ レビュー ] ページで、設定を確認します。 各セクションで [編集] を選択して、そのセクション内の設定を変更することができます。 または、ウィザードで [ 戻る ] または特定のページを選択できます。
[レビュー] ページが完了したら、[送信] を選択します。
[ 新しいオンデマンド レポートの作成 ] ページで、リンクを選択して別のレポートを作成できます。
[新しいオンデマンド レポートの作成] ページが完了したら、[完了] を選択します。
レポート作成タスク (および最終的には完成したレポート) は、次のサブセクションで説明されているように、[ ダウンロード用レポート] ページで使用できます。
レポートのダウンロード
注:
オンデマンド レポートをダウンロードするには、Exchange Online の 組織管理 ロールのメンバーであるか、Microsoft Entra ID の グローバル管理者 ロールである必要があります。
前のセクションで説明したようにオンデマンド レポートを要求した後、レポートの状態を確認し、最終的に Defender ポータルの [ダウンロード用レポート] ページでレポートをダウンロードします。
の Microsoft Defender ポータルでhttps://security.microsoft.com、[レポート] [電子メール] > & [コラボレーション>] の [ダウンロード用レポート] を選択します。 または、[ ダウンロード用レポート] ページに直接移動するには、 を使用 https://security.microsoft.com/ReportsForDownloadします。
[ ダウンロード用レポート] ページには、使用可能なレポートごとに次の情報が表示されます。
- 開始日
- 名前
- レポートの種類
- 最後に送信された
- 状態:
- 保留中: レポートはまだ作成中であり、まだダウンロードできません。
- 完了 - ダウンロードの準備完了: レポートの生成が完了し、レポートをダウンロードできます。
- 完了 - 結果が見つかりません: レポートの生成は完了しましたが、レポートにはデータが含まれていないため、ダウンロードできません。
レポートをダウンロードするには、レポートの開始日の横にあるチェック ボックスをオンにし、表示される [レポートのダウンロード] アクションを選択します。
[検索] ボックスを使用して、既存のレポートを見つけます。
開いた [ 名前を付けて保存 ] ダイアログには、.csv ファイルの既定の名前とダウンロード場所 (既定ではローカルダウンロード フォルダー) が表示されますが、これらの値を変更し、[ 保存 ] を選択してレポートをダウンロードできます。
関連記事
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示