Microsoft Defender for Office 365での自動調査と対応 (AIR)

• 適用対象:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

Microsoft Defender for Office 365には、セキュリティ運用チームの時間と労力を節約できる強力な自動調査と対応 (AIR) 機能が含まれています。 アラートがトリガーされると、セキュリティ運用チームがそれらのアラートの確認、優先順位付け、対応を行う必要があります。 受信アラートの量に追いついていると、圧倒的な可能性があります。 これらのタスクの一部を自動化すると役立ちます。

AIR を使用すると、セキュリティ運用チームがより効率的かつ効果的に運用できるようになります。 AIR 機能には、現在存在する既知の脅威に対応する自動調査プロセスが含まれます。 適切な修復アクションは承認を待ち、セキュリティ運用チームが検出された脅威に効果的に対応できるようにします。 AIR を使用すると、セキュリティ運用チームは、トリガーされる重要なアラートを見失うことなく、優先度の高いタスクに集中できます。

この記事の内容

• AIR の全体的な流れ。
• AIR を取得する方法;そして
• AIR 機能を構成または使用するために 必要なアクセス許可 。

この記事には、 次の手順と、詳細を確認するためのリソースも含まれています。

AIR の全体的な流れ

アラートがトリガーされ、セキュリティ プレイブックによって自動調査が開始され、結果が得られ、推奨されるアクションが生成されます。 AIR の全体的なフローを次に示します。手順は次のとおりです。

1. 自動調査は、次のいずれかの方法で開始されます。

   • アラートは、疑わしいメール (メッセージ、添付ファイル、URL、侵害されたユーザー アカウントなど) によってトリガーされます。 インシデントが作成され、自動調査が開始されます。または
   • セキュリティ アナリストは、エクスプローラーの使用中に自動調査を開始します。

2. 自動調査が実行されている間、問題のメールと、そのメールに関連する エンティティ (ファイル、URL、受信者など) に関するデータが収集されます。 新しいアラートと関連するアラートがトリガーされると、調査の範囲が拡大する可能性があります。

3. 自動調査の実行中および実行後は、詳細情報と結果を表示することができます。 結果には、検出された既存の脅威に対応して修復するために実行できる 推奨アクション が含まれる場合があります。

4. セキュリティ運用チームは 、調査結果と推奨事項を確認し、 修復アクションを承認または拒否します。

5. 保留中の修復アクションが承認 (または拒否) されると、自動調査が完了します。

注:

調査で推奨されるアクションが得られない場合、自動調査は終了し、自動調査の一部としてレビューされた内容の詳細は調査ページで引き続き利用できます。

Microsoft Defender for Office 365では、修復アクションは自動的に実行されません。 修復処理は、組織のセキュリティ チームが承認した場合にのみ実行されます。 AIR 機能は、修復アクションを特定し、情報に基づいた意思決定を行うために必要な詳細を提供することで、セキュリティ運用チームの時間を節約します。

自動調査の間と後に、セキュリティ運用チームは次のことができます。

• 調査に関連するアラートの詳細を表示する
• 調査の結果の詳細を表示する
• 調査の結果としてアクションを確認および承認する

ヒント

詳細な概要については、「 AIR のしくみ」を参照してください。

AIR の入手方法

監査ログが有効になっている (既定でオンになっている) 限り、AIR 機能はプラン 2 Microsoft Defender for Office 365に含まれます。

さらに、organizationのアラート ポリシー、特に [脅威管理] カテゴリの既定のポリシーを確認してください。

自動調査をトリガーするアラート ポリシーはどれですか?

Microsoft 365 には、Exchange 管理者のアクセス許可の悪用、マルウェア アクティビティ、外部および内部の潜在的な脅威、情報ガバナンス リスクを特定するのに役立つ多くの組み込みのアラート ポリシーが用意されています。 既定のアラート ポリシーのいくつかは、自動調査をトリガーできます。 次の表では、自動調査をトリガーするアラート、Microsoft Defender ポータルでの重大度、生成方法について説明します。

通知	重要度	アラートの生成方法
悪意のある可能性がある URL のクリックが検出されました	High	このアラートは、次のいずれかが発生したときに生成されます。 organizationの安全なリンクによって保護されたユーザーが悪意のあるリンクをクリックする URL の判定の変更は、Microsoft Defender for Office 365によって識別されます ユーザーは、(organizationの安全なリンク ポリシーに基づいて) 安全なリンクの警告ページをオーバーライドします。 このアラートをトリガーするイベントの詳細については、「セーフリンク ポリシーの設定」を参照してください。
電子メール メッセージは、マルウェアまたはフィッシングとしてユーザーによって報告されます	低	このアラートは、organizationのユーザーが Microsoft Report Message または Report フィッシング アドインを使用してフィッシングメールとしてメッセージを報告するときに生成されます。
配信後に削除された悪意のあるファイルを含むメール メッセージ	情報	このアラートは、悪意のあるファイルを含むメッセージがorganization内のメールボックスに配信されるときに生成されます。 このイベントが発生した場合、Microsoft は、0 時間自動消去 (ZAP) を使用して、Exchange Onlineメールボックスから感染したメッセージを削除します。
配信後にマルウェアを含むEmailメッセージが削除される	情報	このアラートは、マルウェアを含むメール メッセージがorganization内のメールボックスに配信されるときに生成されます。 このイベントが発生した場合、Microsoft は、0 時間自動消去 (ZAP) を使用して、Exchange Onlineメールボックスから感染したメッセージを削除します。
配信後に削除された悪意のある URL を含む電子メール メッセージ	情報	このアラートは、悪意のある URL を含むメッセージがorganization内のメールボックスに配信されるときに生成されます。 このイベントが発生した場合、Microsoft は、0 時間自動消去 (ZAP) を使用して、Exchange Onlineメールボックスから感染したメッセージを削除します。
フィッシング URL を含むEmailメッセージは配信後に削除されます	情報	このアラートは、フィッシングを含むメッセージがorganization内のメールボックスに配信されるときに生成されます。 このイベントが発生した場合、Microsoft は ZAP を使用してExchange Onlineメールボックスから感染したメッセージを削除します。
疑わしいメール送信パターンが検出される	Medium	このアラートは、organizationの誰かが不審なメールを送信し、電子メールの送信が制限されるリスクがある場合に生成されます。 このアラートは、アカウントが侵害されているが、ユーザーを制限するほど深刻ではないことを示す可能性のある動作に関する早期警告です。 まれですが、このポリシーによって生成されるアラートは異常である可能性があります。 ただし、ユーザー アカウントが侵害されていないかどうかを確認することをお勧めします。
ユーザーがメールの送信を制限されている	High	このアラートは、organizationのユーザーが送信メールの送信を制限されている場合に生成されます。 このアラートは、通常、 メール アカウントが侵害された場合に発生します。 制限付きユーザーの詳細については、「制限 付きエンティティからブロックされたユーザーを削除する」ページを参照してください。
管理者がメールの手動調査をトリガーする	情報	このアラートは、管理者が Threat エクスプローラーからの電子メールの手動調査をトリガーしたときに生成されます。 このアラートは、調査が開始されたことを組織に通知します。
管理者によってトリガーされたユーザー侵害調査	Medium	このアラートは、管理者が Threat エクスプローラーからの電子メール送信者または受信者の手動ユーザー侵害調査をトリガーしたときに生成されます。 このアラートは、ユーザー侵害調査が開始されたことを組織に通知します。

ヒント

アラート ポリシーの詳細や既定の設定の編集については、Microsoft Defender ポータルのアラート ポリシーに関するページを参照してください。

AIR 機能を使用するために必要なアクセス許可

AIR を使用するには、アクセス許可が割り当てられている必要があります。 以下のオプションがあります。

• Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (PowerShell ではなく Defender ポータルにのみ影響します)。

  • 自動調査を開始するか、推奨されるアクションを承認または拒否します:セキュリティ オペレーター/Email高度な修復アクション (管理)。

• Microsoft Defender ポータルでコラボレーションのアクセス許可をEmail &します。

  • AIR 機能の設定: 組織の管理 または セキュリティ管理者 の役割グループのメンバーシップ。
  • 自動調査を開始 するか、 推奨されるアクションを承認または拒否します。
    • Organization Management、Security Administrator、Security Operator、Security Reader、または Global Reader ロール グループのメンバーシップ。 and
    • Searchと消去ロールが割り当てられているロール グループのメンバーシップ。 既定では、このロールは データ調査担当者 ロール グループと 組織管理 ロール グループに割り当てられます。 または、カスタム ロール グループを作成して、Searchと Purge ロールを割り当てることができます。

• Microsoft Entraアクセス許可:

  • AIR 機能を設定するグローバル管理者ロールまたはセキュリティ管理者ロールのメンバーシップ。
  • 自動調査を開始 するか、 推奨されるアクションを承認または拒否します。
    • グローバル管理者、セキュリティ管理者、セキュリティ オペレーター、セキュリティ 閲覧者、またはグローバル閲覧者ロールのメンバーシップ。 and
    • Searchと消去ロールが割り当てられているEmail &コラボレーション ロール グループのメンバーシップ。 既定では、このロールは データ調査担当者 ロール グループと 組織管理 ロール グループに割り当てられます。 または、カスタム Email & コラボレーション ロール グループを作成して、Searchと消去ロールを割り当てることができます。

  Microsoft Entraアクセス許可は、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可を付与します。

必要なライセンス

プラン 2 ライセンスMicrosoft Defender for Office 365割り当てる必要があります。

• セキュリティ管理者 (グローバル管理者を含む)
• organizationのセキュリティ運用チーム (セキュリティ リーダーと、Searchおよび Purge ロールを持つユーザーを含む)
• エンド ユーザー

次の手順

• AIR の使用を開始する
• 自動調査の詳細と結果を表示する
• 保留中のアクションを確認して承認する
• 保留中または完了した修復アクションを表示する