Microsoft Defender for Office 365の [Email エンティティ] ページ
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。
サブスクリプションに含まれているか、アドオンとして購入Microsoft Defender for Office 365 Microsoft 365 組織には、Email エンティティ ページがあります。 Microsoft Defender ポータルの [Email エンティティ] ページには、電子メール メッセージと関連エンティティに関する非常に詳細な情報が含まれています。
この記事では、Email エンティティ ページの情報とアクションについて説明します。
Email エンティティ ページのアクセス許可とライセンス
Email エンティティ ページを使用するには、アクセス許可を割り当てる必要があります。 アクセス許可とライセンスは、Threat エクスプローラー (エクスプローラー) とリアルタイム検出と同じです。 詳細については、「Threat エクスプローラー とリアルタイム検出のアクセス許可とライセンス」を参照してください。
Email エンティティ ページの場所
Defender ポータルの最上位レベルからEmail エンティティ ページへの直接リンクはありません。 代わりに、[電子メール エンティティを開く] アクションは、多くのDefender for Office 365機能の電子メールの詳細ポップアップの上部で使用できます。 この電子メールの詳細ポップアップは、Email概要パネルと呼ばれ、Email エンティティ ページの情報の要約されたサブセットが含まれています。 電子メールの概要パネルは、Defender for Office 365機能間で同じです。 詳細については、この記事の後半の「Email概要パネル」セクションを参照してください。
[電子メール エンティティを開く] アクションが表示された [Emailの概要] パネルは、次の場所にあります。
の [高度なハンティング] ページでhttps://security.microsoft.com/v2/advanced-hunting、電子メール関連のクエリの [結果] タブで、テーブル内のエントリの NetworkMessageId 値をクリックします。
*[アラート] ページの https://security.microsoft.com/alerts[検出元の値] MDOまたは [製品名] の値がMicrosoft Defender for Office 365アラートの場合は、[アラート名] の値をクリックしてエントリを選択します。 開いたアラートの詳細ページで、[ メッセージの一覧 ] セクションからメッセージを選択します。
脅威保護の状態レポートからhttps://security.microsoft.com/reports/TPSEmailPhishReportATP:
- [Emailフィッシングによるデータの>表示] と、使用可能なグラフの内訳の選択のいずれかを選択します。 グラフの下の詳細テーブルで、最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックして、エントリを選択します。
- [Emailマルウェアによるデータの>表示] を選択し、使用可能な [グラフの内訳] を選択します。 グラフの下の詳細テーブルで、最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックして、エントリを選択します。
- [Emailスパム別にデータを>表示する] を選択し、使用可能な [グラフの内訳] を選択します。 グラフの下の詳細テーブルで、最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックして、エントリを選択します。
の [エクスプローラー] ページ https://security.microsoft.com/threatexplorerv3 (脅威エクスプローラー) または の [リアルタイム検出] ページからhttps://security.microsoft.com/realtimereportsv3。 以下のいずれかの方法を実行します。
- [脅威のエクスプローラー] で、[すべてのメール] ビューが選択>されていることを確認します。詳細領域の [Email] タブ (ビュー) が選択>されていることを確認し、エントリの [件名] の値をクリックします。
- [脅威のエクスプローラー] または [リアルタイム検出] で、[マルウェア] ビュー>を選択します。詳細領域の [Email] タブ (ビュー) が選択>されていることを確認し、エントリの [件名] の値をクリックします。
- [脅威のエクスプローラー] または [リアルタイム検出] で、[フィッシング] ビュー>を選択し、詳細領域の [Email] タブ (ビュー) が選択>されていることを確認し、エントリの [件名] の値をクリックします。
[インシデント] ページの https://security.microsoft.com/incidents[: 製品名] の値がMicrosoft Defender for Office 365インシデントの場合は、[インシデント名] の値をクリックしてインシデントを選択します。 開いたインシデントの詳細ページで、[ 証拠と応答 ] タブ (ビュー) を選択します。 [すべての証拠] タブと [エンティティの種類] の値Emailまたは [電子メール] タブで、[チェック] ボックス以外の行内の任意の場所をクリックしてエントリを選択します。
[検疫] ページの https://security.microsoft.com/quarantine[Email] タブが選択されていることを確認するには、[チェック] ボックス以外の行内の任意の場所をクリックしてエントリを選択>します。
の [提出] ページから https://security.microsoft.com/reportsubmission:
- [電子メール] タブ>を選択するには、[チェック] ボックス以外の行内の任意の場所をクリックしてエントリを選択します。
- [ユーザーの報告] タブ>を選択するには、[チェック] ボックス以外の行内の任意の場所をクリックしてエントリを選択します。
Email エンティティ ページの内容
ページの左側の詳細ウィンドウには、メッセージに関する詳細を含む折りたたみ可能なセクションが含まれています。 これらのセクションは、ページ上にある限り一定のままです。 使用可能なセクションは次のとおりです。
[タグ ] セクション。 送信者または受信者に割り当てられているユーザー タグ (Priority アカウントを含む) を表示します。 ユーザー タグの詳細については、「Microsoft Defender for Office 365のユーザー タグ」を参照してください。
検出の詳細 セクション:
元の脅威
元の配送場所:
- 削除済みアイテム フォルダー
- 削除
- 配信に失敗しました
- ��M�g���C] �t�H���_�[
- [迷惑メール] フォルダー
- 外部
- 検疫
- 不明
最新の脅威
最新の配信場所: メッセージに対するシステム アクション ( ZAP など) またはメッセージに対する管理者アクション (削除 済みアイテムへの移動など) の後のメッセージの場所。 メッセージに対するユーザー アクション (メッセージの削除やアーカイブなど) は表示されないため、この値はメッセージの 現在の場所 を保証しません。
ヒント
元の配信場所の[最新の配信場所/] や [配信アクション] の値が [不明] になっているシナリオがあります。 以下に例を示します。
- メッセージは配信されました ([配信] アクションは [配信済み] ですが、受信トレイ ルールは、メッセージを [受信トレイ] フォルダーまたは [迷惑メール] Email フォルダー (下書きフォルダーやアーカイブ フォルダーなど) 以外の既定のフォルダーに移動しました。
- ZAP は配信後にメッセージを移動しようとしましたが、メッセージが見つかりませんでした (たとえば、ユーザーがメッセージを移動または削除した場合)。
検出テクノロジ:
- 高度なフィルター: 機械学習に基づくフィッシングシグナル。
- キャンペーン: キャンペーンの一部として識別されるメッセージ。
- ファイルの爆発: 安全な添付ファイルは、 爆発分析中に悪意のある添付ファイルを検出しました。
- ファイル爆発の評判: 他の Microsoft 365 組織の 安全な添付ファイル の爆発によって以前に検出された添付ファイル。
- ファイルの評判: メッセージには、以前に他の Microsoft 365 組織で悪意があると識別されたファイルが含まれています。
- 指紋照合: メッセージは、以前に検出された悪意のあるメッセージによく似ています。
- 一般的なフィルター: アナリスト ルールに基づくフィッシングシグナル。
- 偽装ブランド: 既知のブランドの送信者偽装。
- 偽装ドメイン: フィッシング対策ポリシーで保護のために所有または指定した送信者ドメインの偽装。
- 偽装ユーザー: フィッシング対策ポリシー で指定した、またはメールボックス インテリジェンスを通じて学習した保護された送信者の偽装。
- メールボックス インテリジェンス偽装: フィッシング対策ポリシーでのメールボックス インテリジェンスからの偽装検出。
- 混合分析の検出: 複数のフィルターがメッセージの判定に貢献しました。
- DMARC のスプーフィング: メッセージが DMARC 認証に失敗しました。
- 外部ドメインのスプーフィング: organizationの外部にあるドメインを使用した送信者の電子メール アドレスのスプーフィング。
- 組織内でのスプーフィング: organizationの内部にあるドメインを使用した送信者のメール アドレススプーフィング。
- URL の爆発: 安全なリンク は、爆発分析中にメッセージ内の悪意のある URL を検出しました。
- URL 爆発評判: 他の Microsoft 365 組織の 安全なリンク 爆発によって以前に検出された URL。
- URL の悪意のある評判: メッセージには、以前に他の Microsoft 365 組織で悪意があると識別された URL が含まれています。
配信アクション:
- 配信済み
- ぽんこつ
- ブロック済み
プライマリ オーバーライド: ソース
- プライマリ オーバーライドの値:
- organization ポリシーで許可
- ユーザー ポリシーで許可される
- organization ポリシーによってブロックされる
- ユーザー ポリシーによってブロックされる
- なし
- プライマリ オーバーライド ソースの値:
- サード パーティ製フィルター
- 管理開始されたタイム トラベル (ZAP)
- ファイルの種類別マルウェア対策ポリシー ブロック
- スパム対策ポリシー設定
- 接続ポリシー
- Exchange トランスポート ルール
- 排他モード (ユーザーオーバーライド)
- オンプレミスのorganizationが原因でフィルター処理がスキップされました
- ポリシーからの IP リージョン フィルター
- ポリシーからの言語フィルター
- フィッシング シミュレーション
- 検疫のリリース
- SecOps メールボックス
- 送信者アドレス一覧 (管理オーバーライド)
- 送信者アドレス一覧 (ユーザーのオーバーライド)
- 送信者ドメインの一覧 (管理オーバーライド)
- 送信者ドメインの一覧 (ユーザーのオーバーライド)
- テナント許可/ブロック リスト ファイル ブロック
- テナントの許可/ブロック リストの送信者の電子メール アドレス ブロック
- テナントの許可/ブロック リストのスプーフィング ブロック
- テナント許可/ブロック リスト URL ブロック
- 信頼された連絡先リスト (ユーザーのオーバーライド)
- 信頼されたドメイン (ユーザーのオーバーライド)
- 信頼された受信者 (ユーザーのオーバーライド)
- 信頼された送信者のみ (ユーザーのオーバーライド)
- プライマリ オーバーライドの値:
Emailの詳細セクション:
- 方向:
- 受信
- Intra-irg
- 送信
- 受信者 (宛先)*
- 送信者*
- 受信時間
- インターネット メッセージ ID*: メッセージ ヘッダーの [メッセージ ID ヘッダー] フィールドで使用できます。 値の例は です
<08f1e0f6806a47b4ac103961109ae6ef@server.domain>
(山かっこに注意してください)。 - ネットワーク メッセージ ID*: メッセージ ヘッダーの X-MS-Exchange-Organization-Network-Message-Id ヘッダー フィールドで使用できる GUID 値。
- クラスター ID
- Language
* 値 をコピーするには、[クリップボードにコピー ] アクションを使用できます。
- 方向:
ページの上部にあるタブ (ビュー) を使用すると、メールを効率的に調査できます。 これらのビューについては、次のサブセクションで説明します。
Timeline view
[タイムライン] ビューには、メッセージに発生した配信イベントと配信後イベントが表示されます。
ビューでは、次のメッセージ イベント情報を使用できます。 列ヘッダーを選択して、その列で表示を並べ替えることができます。 列を追加または削除するには、[列のカスタマイズ] を選択します。 既定では、使用可能なすべての列が選択されます。
- タイムライン (イベントの日付/時刻)
- ソース: 例: System、**管理、または User。
- イベントの種類
- 結果
- Threats
- 詳細
配信後にメッセージに何も発生しない場合、メッセージの タイムライン ビューの [ イベントの種類 ] の値が [元の配信] の行が 1 つしかない可能性があります。 以下に例を示します。
- [結果] の値は [受信トレイ] フォルダー - [配信済み] です。
- [結果] の値は [迷惑メール] フォルダー - [迷惑メールに配信] です
- [結果] の値は [検疫 - ブロック] です。
ユーザー、管理者、または Microsoft 365 によるメッセージに対する後続のアクションにより、ビューにさらに行が追加されます。 以下に例を示します。
- イベントの種類の値は ZAP で、結果の値は Message が ZAP によって検疫に移動されます。
- [イベントの種類] の値は [検疫リリース] で、[結果] の値は [検疫から正常に解放されました] です。
[Search] ボックスを使用して、ページ上の情報を見つけます。 ボックスにテキストを入力し、Enter キーを押します。
[エクスポート] を使用して、ビュー内のデータを CSV ファイルにエクスポートします。 既定のファイル名は Microsoft Defender.csv で、既定の場所は Downloads フォルダーです。 その名前のファイルが既に存在する場合、ファイル名に数値が追加されます (例: - Microsoft Defender(1).csv)。
分析ビュー
[分析] ビューには、メッセージを詳細に分析するのに役立つ情報が含まれています。 このビューでは、次の情報を使用できます。
[脅威検出の詳細 ] セクション: メッセージで検出された脅威に関する情報:
- 脅威: プライマリ脅威はプライマリ脅威によって示されます。
- 信頼度レベル: 値は High、 Medium、または Low です。
- 優先度アカウント保護: 値は [はい] または [いいえ] です。 詳細については、「Microsoft Defender for Office 365での優先度アカウント保護の構成と確認」を参照してください。
Email検出の詳細セクション: メッセージに影響を与えた保護機能またはオーバーライドに関する情報:
すべてのオーバーライド: メッセージの目的の配信場所を変更する可能性があったすべてのorganizationまたはユーザー設定。 たとえば、メッセージがメール フロー ルールと テナント許可/ブロック リストのブロック エントリと一致した場合、両方の設定がここに一覧表示されます。 プライマリオーバーライド: Source プロパティの値は、メッセージの配信に実際に影響を与えた設定を識別します。
プライマリオーバーライド: ソース: メッセージの目的の配信場所を変更したorganizationまたはユーザー設定を表示します (ブロックされる代わりに許可されるか、許可される代わりにブロックされます)。 以下に例を示します。
- メッセージがメール フロー ルールによってブロックされました。
- ユーザーの 差出人セーフ リストのエントリが原因で、メッセージが許可されました。
Exchange トランスポート ルール (メール フロー ルール): メッセージがメール フロー ルールの影響を受けた場合は、ルール名と GUID 値が表示されます。 メール フロー ルールによってメッセージに対して実行されるアクションは、スパムとフィッシングの判定の前に発生します。
[ クリップボードにコピー] アクションを使用して、ルール GUID をコピーできます。 メール フロー ルールの詳細については、「Exchange Online のメール フロー ルール (トランスポート ルール)」を参照してください。
[ Exchange 管理センターに移動 ] リンクは、 の新しい Exchange 管理センターの [ルール] ページを https://admin.exchange.microsoft.com/#/transportrules開きます。
コネクタ: メッセージが受信コネクタを介して配信された場合、コネクタ名が表示されます。 コネクタの詳細については、「Exchange Onlineでコネクタを使用してメール フローを構成する」を参照してください。
一括苦情レベル (BCL): BCL 値が高いほど、メッセージがスパムである可能性が高いことを示します。 詳細については、 EOP での一括苦情レベル (BCL) に関するページを参照してください。
ポリシー: ポリシーの種類がここに表示されている場合 (スパムなど)、[構成] を選択して関連するポリシー ページ (たとえば、 の [スパム対策ポリシー] ページhttps://security.microsoft.com/antispam) を開きます。
ポリシー アクション
アラート ID: アラート ID の値を選択して、アラートの詳細ページを開きます ([ アラート ] ページから https://security.microsoft.com/alertsアラートを見つけて選択した場合と同様)。 [ クリップボードにコピー] アクションを使用して、[アラート ID] の値をコピーすることもできます。
ポリシーの種類
クライアントの種類: メッセージを送信したクライアントの種類 (REST など) を表示します
Email サイズ
データ損失防止ルール
[送信者と受信者の詳細 ] セクション: メッセージの送信者と一部の受信者情報の詳細:
- 送信者の表示名
- 送信者アドレス*
- [Sender IP (送信者の IP)]
- 送信者ドメイン名*
- ドメインの作成日: 最近作成されたドメインやその他のメッセージ信号は、メッセージを疑わしいものとして識別できます。
- ドメイン所有者
- 送信者の MAIL FROM アドレス*
- 送信者 MAIL FROM ドメイン名*
- Return-Path
- Return-Path ドメイン
- Location
- 受信者ドメイン*
- To: メッセージの [To] フィールドに、任意のメール アドレスの最初の 5,000 文字を表示します。
- Cc: メッセージの [Cc] フィールドに、任意のメール アドレスの最初の 5,000 文字を表示します。
- 配布リスト: 受信者がリストのメンバーとして電子メールを受信した場合に配布グループ (配布リスト) を表示します。 入れ子になった配布グループの最上位レベルの配布グループが表示されます。
- 転送: メッセージが 外部メール アドレスに自動的に転送されたかどうかを示します。 転送ユーザーと転送の種類が表示されます (メール フロー ルール、受信トレイ ルール、または SMTP 転送)。
* 値 をコピーするには、[クリップボードにコピー ] アクションを使用できます。
認証 セクション: 電子メール認証 の結果の詳細:
- ドメイン ベースのメッセージ認証 (DMARC)
Pass
: 渡されたメッセージの DMARC チェック。Fail
: メッセージの DMARC チェックが失敗しました。BestGuessPass
: ドメインの DMARC TXT レコードは存在しませんが、存在する場合は、メッセージの DMARC チェックが渡されます。- なし: DNS の送信側ドメインに DMARC TXT レコードが存在しないことを示します。
- DomainKeys 識別メール (DKIM): 値は次のとおりです。
Pass
: 渡されたメッセージの DKIM チェック。Fail (reason)
: メッセージの DKIM チェックが失敗しました。 たとえば、メッセージが DKIM 署名されなかったか、DKIM 署名が検証されませんでした。None
: メッセージが DKIM 署名されていません。 この結果は、ドメインに DKIM レコードが含まれているか、DKIM レコードが結果に評価されないことを示している場合とそうでない場合があります。 この結果は、このメッセージが署名されなかったことを示すだけです。
- Sender Policy Framework (SPF): 値は次のとおりです。
Pass (IP address)
: SPF チェック、メッセージ ソースがドメインに対して有効であることが確認されました。Fail (IP address)
: SPF チェック、メッセージ ソースがドメインに対して有効でないことを検出し、SPF レコードの適用規則は-all
(ハード フェイル) です。SoftFail (reason)
: SPF チェック、メッセージ ソースがドメインに対して有効でないことを検出し、SPF レコードの適用規則は~all
(論理的な失敗) です。Neutral
: SPF チェック、メッセージ ソースがドメインに対して有効でないことを検出し、SPF レコードの適用規則は?all
(ニュートラル) です。None
: ドメインに SPF レコードがないか、SPF レコードが結果に評価されません。TempError
: SPF チェック一時的なエラー (DNS エラーなど) が発生しました。 同じチェックが後で成功する場合があります。PermError
: SPF チェック永続的なエラーが発生しました。 たとえば、ドメインに 不適切な形式の SPF レコードがあります。
- 複合認証: SPF、DKIM、DMARC、およびその他の情報によって、メッセージ送信者 (差出人アドレス) が本物かどうかが決まります。 詳細については、「 複合認証」を参照してください。
- ドメイン ベースのメッセージ認証 (DMARC)
関連エンティティ セクション: メッセージ内の添付ファイルと URL に関する情報:
- エンティティ: [添付ファイル] または [URL] を選択すると、メッセージの [添付ファイル] ビューまたは [Email エンティティ] ページの URL ビューに移動します。
- 合計数
- 脅威が見つかりました: 値は [はい] または [いいえ] です。
メッセージの詳細領域:
- [プレーンテキスト メール ヘッダー ] タブ: プレーン テキストのメッセージ ヘッダー全体が含まれます。 [メッセージ ヘッダーのコピー] を選択して、メッセージ ヘッダーをコピーします。 [Microsoft Message Header Analyzer] を選択して、 でメッセージ ヘッダー アナライザーを開きますhttps://mha.azurewebsites.net/pages/mha.html。 コピーしたメッセージ ヘッダーをページに貼り付け、[ ヘッダーの分析 ] を選択して、メッセージ ヘッダーと値の詳細を確認します。
- タブへ: メッセージの [To] フィールドに、任意のメール アドレスの最初の 5,000 文字を表示します。
- [Cc ] タブ: メッセージの [Cc] フィールドに、メール アドレスの最初の 5,000 文字が表示されます。
添付ファイル ビュー
[添付ファイル] ビューには、メッセージ内のすべての添付ファイルと、それらの添付ファイルのスキャン結果に関する情報が表示されます。
このビューでは、次の添付ファイル情報を使用できます。 列ヘッダーを選択して、その列で表示を並べ替えることができます。 列を追加または削除するには、[列のカスタマイズ] を選択します。 既定では、使用可能なすべての列が選択されます。
- 添付ファイル名: ファイル名の値をクリックした場合
- ファイルの種類
- ファイル サイズ
- ファイル拡張子
- 脅威
- マルウェア ファミリ
- 添付ファイル SHA256: [クリップボードにコピー] アクションを使用すると、SHA256 値をコピーできます。
- 詳細
[Search] ボックスを使用して、ページ上の情報を見つけます。 ボックスにテキストを入力し、Enter キーを押します。
[エクスポート] を使用して、ビュー内のデータを CSV ファイルにエクスポートします。 既定のファイル名は Microsoft Defender.csv で、既定の場所は Downloads フォルダーです。 その名前のファイルが既に存在する場合、ファイル名に数値が追加されます (例: - Microsoft Defender(1).csv)。
添付ファイルの詳細
添付ファイルのファイル名の値をクリックして [添付ファイル] ビューでエントリを選択すると、次の情報を含む詳細ポップアップが開きます。
詳細分析 タブ: 安全な添付ファイルが添付ファイルを スキャン (爆発) した場合、このタブで情報を使用できます。 脅威エクスプローラーでこれらのメッセージを識別するには、クエリ フィルター検出テクノロジを使用し、値 [ファイルの爆発] を使用します。
[爆発チェーン ] セクション: 1 つのファイルの安全な添付ファイルの爆発によって、複数の爆発がトリガーされる可能性があります。 爆発チェーンは、判定の原因となった元の悪意のあるファイルや、爆発の影響を受ける他のすべてのファイルなど、爆発のパスを追跡します。 これらの添付ファイルは、電子メールに直接存在しない可能性があります。 しかし、分析を含めることは、ファイルが悪意のあると検出された理由を判断するために重要です。
使用可能な爆発チェーン情報がない場合は、[ 爆発ツリーなし ] の値が表示されます。 それ以外の場合は、[エクスポート] を選択して、爆発チェーン情報を CSV ファイルにダウンロードできます。 既定のファイル名は Detonation chain.csv で、既定の場所は Downloads フォルダーです。 その名前のファイルが既に存在する場合、ファイル名に数値が追加されます (たとえば、 Detonation chain(1).csv)。 CSV ファイルには、次の情報が含まれています。
- Top: 最上位のファイル。
- Level1: 次のレベルのファイル。
- Level2: 次のレベルのファイル。
- などなど。
爆発チェーンと CSV ファイルは、リンクされているエンティティのいずれも問題が見つからないか、爆発した場合、最上位の項目のみを表示する可能性があります。
[概要 ] セクション: 使用可能な爆発の概要情報がない場合は、[爆発の 概要なし] の値が表示されます。 それ以外の場合は、次の爆発の概要情報を使用できます。
- 分析時間
- 判定: 添付ファイル自体に対する評決。
- 詳細情報: ファイル サイズ (バイト単位)。
- 侵害のインジケーター
[スクリーンショット] セクション: 爆発中にキャプチャされたすべてのスクリーンショットを表示します。 ZIP や RAR などの他のファイルを含むコンテナー ファイルのスクリーンショットはキャプチャされません。
使用可能な爆発スクリーンショットがない場合は、[ 表示するスクリーンショットなし ] の値が表示されます。 それ以外の場合は、リンクを選択してスクリーンショットを表示します。
動作の詳細 セクション: 爆発中に発生した正確なイベントと、爆発中に検出された URL、IP、ドメイン、ファイルを含む問題のある、または問題のない観察を示します。 ZIP や RAR などの他のファイルを含むコンテナー ファイルの動作の詳細がない場合があります。
使用可能な動作の詳細情報がない場合は、[爆発 動作なし] の値が表示されます。 それ以外の場合は、[エクスポート] を選択して動作の詳細情報を CSV ファイルにダウンロードできます。 既定のファイル名は Behavior details.csv で、既定の場所は Downloads フォルダーです。 その名前のファイルが既に存在する場合、ファイル名に数値が追加されます (例: Behavior details(1).csv)。 CSV ファイルには、次の情報が含まれています。
- Time
- 動作
- Behavior プロパティ
- プロセス (PID)
- 操作名
- Target
- 詳細
- 結果
[ファイル情報 ] タブ: [ ファイルの詳細 ] セクションには、次の情報が含まれています。
- ファイル名
- SHA256
- ファイル サイズ (バイト単位)
ファイルの詳細ポップアップが完了したら、[閉じる] を選択します。
[添付ファイル] ビューから添付ファイルをブロックする
ファイル名の横にある [チェック] ボックスを選択して [添付ファイル] ビューでエントリを選択した場合、[ブロック] アクションを使用できます。 このアクションにより、 ファイルが [テナントの許可/ブロック一覧] のブロック エントリとして追加されます。 [ ブロック ] を選択すると、 アクションの実行 ウィザードが起動します。
[ アクションの選択] ページで、[ ファイルのブロック ] セクションで次のいずれかの設定を構成します。
- 有効期限なし : これは既定値 です。
- 期限切れなし : トグルをオフ にスライドし、[ 削除] ボックス で日付を選択します。
[ アクションの選択] ページが完了したら、[ 次へ] を選択します。
[ ターゲット エンティティの選択] ページで、ブロックするファイルが選択されていることを確認し、[ 次へ] を選択します。
[ 確認と送信 ] ページで、次の設定を構成します。
- 修復名: アクション センターの状態を追跡する一意の名前を入力します。
- 説明: 省略可能な説明を入力します。
[確認と送信] ページが完了したら、[送信] を選択します。
URL ビュー
URL ビューには、メッセージ内のすべての URL と、それらの URL のスキャン結果に関する情報が表示されます。
このビューでは、次の添付ファイル情報を使用できます。 列ヘッダーを選択して、その列で表示を並べ替えることができます。 列を追加または削除するには、[列のカスタマイズ] を選択します。 既定では、使用可能なすべての列が選択されます。
- URL
- 脅威
- Source
- 詳細
[Search] ボックスを使用して、ページ上の情報を見つけます。 ボックスにテキストを入力し、Enter キーを押します。
[エクスポート] を使用して、ビュー内のデータを CSV ファイルにエクスポートします。 既定のファイル名は Microsoft Defender.csv で、既定の場所は Downloads フォルダーです。 その名前のファイルが既に存在する場合、ファイル名に数値が追加されます (例: - Microsoft Defender(1).csv)。
URL の詳細
URL 値をクリックして URL ビューでエントリを選択すると、次の情報を含む詳細ポップアップが開きます。
詳細分析 タブ: 安全なリンク が URL をスキャン (爆発) した場合、このタブで情報を使用できます。 脅威エクスプローラーでこれらのメッセージを識別するには、値 URL の爆発でクエリ フィルター検出テクノロジを使用します。
[爆発チェーン ] セクション: 1 つの URL の安全なリンクの爆発によって、複数の爆発がトリガーされる可能性があります。 爆発チェーンは、判定の原因となった元の悪意のある URL や、爆発の影響を受ける他のすべての URL など、爆発のパスを追跡します。 これらの URL は、電子メールに直接存在しない可能性があります。 ただし、分析を含めることは、URL が悪意のあると検出された理由を判断するために重要です。
使用可能な爆発チェーン情報がない場合は、[ 爆発ツリーなし ] の値が表示されます。 それ以外の場合は、[エクスポート] を選択して、爆発チェーン情報を CSV ファイルにダウンロードできます。 既定のファイル名は Detonation chain.csv で、既定の場所は Downloads フォルダーです。 その名前のファイルが既に存在する場合、ファイル名に数値が追加されます (たとえば、 Detonation chain(1).csv)。 CSV ファイルには、次の情報が含まれています。
- Top: 最上位のファイル。
- Level1: 次のレベルのファイル。
- Level2: 次のレベルのファイル。
- などなど。
爆発チェーンと CSV ファイルは、リンクされているエンティティのいずれも問題が見つからないか、爆発した場合、最上位の項目のみを表示する可能性があります。
[概要 ] セクション: 使用可能な爆発の概要情報がない場合は、[爆発の 概要なし] の値が表示されます。 それ以外の場合は、次の爆発の概要情報を使用できます。
- 分析時間
- 判定: URL 自体に対する評決。
[スクリーンショット] セクション: 爆発中にキャプチャされたすべてのスクリーンショットを表示します。 URL がファイルを直接ダウンロードするリンクに開いた場合、スクリーンショットはキャプチャされません。 ただし、ダウンロードしたファイルは爆発チェーンに表示されます。
使用可能な爆発スクリーンショットがない場合は、[ 表示するスクリーンショットなし ] の値が表示されます。 それ以外の場合は、リンクを選択してスクリーンショットを表示します。
動作の詳細 セクション: 爆発中に発生した正確なイベントと、爆発中に検出された URL、IP、ドメイン、ファイルを含む問題のある、または問題のない観察を示します。
使用可能な動作の詳細情報がない場合は、[爆発 動作なし] の値が表示されます。 それ以外の場合は、[エクスポート] を選択して動作の詳細情報を CSV ファイルにダウンロードできます。 既定のファイル名は Behavior details.csv で、既定の場所は Downloads フォルダーです。 その名前のファイルが既に存在する場合、ファイル名に数値が追加されます (例: Behavior details(1).csv)。 CSV ファイルには、次の情報が含まれています。
- Time
- 動作
- Behavior プロパティ
- プロセス (PID)
- 操作名
- Target
- 詳細
- 結果
[URL 情報 ] タブ: [URL の詳細 ] セクションには、次の情報が含まれています。
- URL
- 脅威
ファイルの詳細ポップアップが完了したら、[閉じる] を選択します。
URL ビューからの URL のブロック
URL ビューでファイル名の横にある [チェック] ボックスを選択してエントリを選択した場合、[ブロック] アクションを使用できます。 このアクションにより、 URL がテナント許可/ブロック リストのブロック エントリとして追加されます。 [ ブロック ] を選択すると、 アクションの実行 ウィザードが起動します。
[ アクションの選択] ページで、[ ブロック URL ] セクションで次のいずれかの設定を構成します。
- 有効期限なし : これは既定値 です。
- 期限切れなし : トグルをオフ にスライドし、[ 削除] ボックス で日付を選択します。
[ アクションの選択] ページが完了したら、[ 次へ] を選択します。
[ ターゲット エンティティの選択] ページで、ブロックする URL が選択されていることを確認し、[ 次へ] を選択します。
[ 確認と送信 ] ページで、次の設定を構成します。
- 修復名: アクション センターの状態を追跡する一意の名前を入力します。
- 説明: 省略可能な説明を入力します。
[確認と送信] ページが完了したら、[送信] を選択します。
類似メール ビュー
[ 類似メール ] ビューには、このメッセージと同じメッセージ本文フィンガープリントを持つ他のメール メッセージが表示されます。 他のメッセージの一致条件は、このビューには適用されません (添付ファイルのフィンガープリントなど)。
このビューでは、次の添付ファイル情報を使用できます。 列ヘッダーを選択して、その列で表示を並べ替えることができます。 列を追加または削除するには、[列のカスタマイズ] を選択します。 既定では、使用可能なすべての列が選択されます。
- Date
- 件名
- [受信者]
- Sender
- [Sender IP (送信者の IP)]
- Override
- 配信アクション
- 配送場所
[フィルター] を使用して、開始日と終了日でエントリをフィルター処理します。
[Search] ボックスを使用して、ページ上の情報を見つけます。 ボックスにテキストを入力し、Enter キーを押します。
[エクスポート] を使用して、ビュー内のデータを CSV ファイルにエクスポートします。 既定のファイル名は Microsoft Defender.csv で、既定の場所は Downloads フォルダーです。 その名前のファイルが既に存在する場合、ファイル名に数値が追加されます (例: - Microsoft Defender(1).csv)。
Email エンティティ ページでのアクション
次のアクションは、Email エンティティ ページの上部で使用できます。
- アクションの実行: 詳細については、「脅威ハンティング: Email修復」を参照してください。
- Email プレビュー¹ ²
- その他のオプション:
検疫済みメールに移動する: メッセージが検疫された場合にのみ使用できます。 このアクションを選択すると、[検疫] ページhttps://security.microsoft.com/quarantineの [Email] タブが開き、メッセージの一意のメッセージ ID 値でフィルター処理されます。 詳細については、「 検疫済みメールを表示する」を参照してください。
電子メールのダウンロード¹ ²
ヒント
メールのダウンロードは、検疫されたメッセージでは使用できません。 代わりに、 検疫からメッセージのパスワードで保護されたコピーをダウンロードします。
¹ Email プレビューと電子メールのダウンロードアクションには、プレビュー ロールが必要です。 このロールは、次の場所に割り当てることができます。
- Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (PowerShell ではなく Defender ポータルにのみ影響します):セキュリティ操作/生データ (電子メール & コラボレーション)/Email &コラボレーション コンテンツ (読み取り)。
- Microsoft Defender ポータルでコラボレーションのアクセス許可をEmail &する: データ調査担当者または電子情報開示マネージャーの役割グループのメンバーシップ。 または、プレビュー ロールが割り当てられた新しいロール グループを作成し、ユーザーをカスタム ロール グループに追加することもできます。
² Microsoft 365 メールボックスで使用できる電子メール メッセージをプレビューまたはダウンロードできます。 メールボックスでメッセージが使用できなくなった場合の例を次に示します。
- 配信または配信が失敗する前にメッセージが削除されました。
- メッセージは 論理的に削除 されました (削除済みアイテム フォルダーから削除され、メッセージは回復可能なアイテム\削除フォルダーに移動されます)。
- ZAP はメッセージを検疫に移動しました。
Emailの概要パネル
Email概要パネルは、Exchange Online Protection (EOP) とDefender for Office 365の多くの機能で使用できる電子メールの詳細ポップアップです。 Email概要パネルには、Defender for Office 365の [Email エンティティ] ページで使用できる完全な詳細から取得した電子メール メッセージに関する標準化された概要情報が含まれています。
Email概要パネルの場所については、この記事の「Email エンティティ ページを検索する場所」セクションを参照してください。 このセクションの残りの部分では、すべての機能のEmail概要パネルで使用できる情報について説明します。
ヒント
[Emailの概要] パネルは、[保留中] タブまたは [履歴] タブの https://security.microsoft.com/action-center/[アクション センター] ページから使用できます。 [チェック] ボックスまたは [調査 ID] の値以外の行内の任意の場所をクリックして、[エンティティの種類] の値がEmailされたアクションを選択します。 開く詳細ポップアップはEmailの概要パネルですが、ポップアップの上部には [電子メール エンティティを開く] は使用できません。
次のメッセージ情報は、Email概要パネルの上部にあります。
- ポップアップのタイトルは、メッセージ Subject 値です。
- メッセージ内の添付ファイルとリンクの数 (すべての機能に存在するわけではありません)。
- メッセージの受信者に割り当てられているすべてのユーザー タグ (Priority アカウント タグを含む)。 詳細については、「Microsoft Defender for Office 365のユーザー タグ」を参照してください。
- ポップアップの上部で使用できるアクションは、Email概要パネルを開いた場所によって異なります。 使用可能なアクションについては、個々の機能に関する記事を参照してください。
ヒント
現在のメッセージのEmail概要パネルを残さずに他のメッセージの詳細を表示するには、ポップアップの上部にある [前の項目] と [次へ] 項目を使用します。
次のセクションは、すべての機能のEmail概要パネルで使用できます (Emailの概要パネルを開いた場所は関係ありません)。
配信の詳細 セクション:
- 元の脅威
- 最新の脅威
- 元の場所
- 最新の配送場所
- 配信アクション
- 検出技術
- プライマリオーバーライド: ソース
Emailの詳細セクション:
- 送信者の表示名
- [送信者のアドレス]
- アドレスからの送信者の電子メール
- の代わりに送信されます
- 戻りパス
- [Sender IP (送信者の IP)]
- Location
- 受信者
- 受信時間
- 方向性
- ネットワーク メッセージ ID
- インターネット メッセージ ID
- キャンペーン ID
- DMARC
- DKIM
- SPF
- 複合認証
[URL] セクション: メッセージ内のすべての URL の詳細:
- URL
- 脅威 の状態
メッセージに 3 つ以上の URL がある場合は、[ すべての URL の表示 ] を選択して、すべての URL を表示します。
[添付ファイル ] セクション: メッセージ内の添付ファイルの詳細:
- 添付ファイル名
- 脅威
- 検出技術/マルウェア ファミリ
メッセージに 3 つ以上の添付ファイルがある場合は、[ すべての添付ファイルを表示 ] を選択して、すべての添付ファイルを表示します。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示