Microsoft Defender for microsoft Defender for Office 365Step-by-step threat protection in Microsoft Defender for Office 365

Microsoft Defender for Office 365 保護またはフィルター 処理スタックは、この記事のように 4 つのフェーズに分割できます。The Microsoft Defender for Office 365 protection or filtering stack can be broken out into 4 phases, as in this article. 一般的に、受信メールは配信前にこれらすべてのフェーズを通過しますが、実際のパスは、Office 365 構成の組織の Defender の対象になります。Generally speaking, incoming mail passes through all of these phases before delivery, but the actual path email takes is subject to an organization's Defender for Office 365 configuration.


この記事の最後まで、365保護のための Defender のすべての 4 つのフェーズの統合グラフィックをOfficeしてください。Stay tuned till the end of this article for a unified graphic of all 4 phases of Defender for Office 365 protection!

フェーズ 1 - エッジ保護Phase 1 - Edge Protection

残念ながら、かつて重要だったエッジブロックは、悪いアクターが克服する場合に比較的簡単になります。Unfortunately, Edge blocks that were once critical are now relatively simple for bad actors to overcome. 時間がたつ間に、ここでブロックされるトラフィックは少なくなっていますが、スタックの重要な部分のままです。Over time, less traffic is blocked here, but it remains an important part of the stack.

エッジ ブロックは自動的に設計されています。Edge blocks are designed to be automatic. 誤検知の場合、送信者に通知され、問題に対処する方法が通知されます。In the case of false positive, senders will be notified and told how to address their issue. 信頼できるパートナーからの評価が制限されているコネクタは、新しいエンドポイントのオンボーディング時に、配信性を確保したり、一時的な上書きを行う可能性があります。Connectors from trusted partners with limited reputation can ensure deliverability, or temporary overrides can be put in place, when onboarding new endpoints.

365 の Defender でのフィルター処理Officeフェーズ 1 はエッジ保護です。

  1. ネットワーク調整は 、Office 365 インフラストラクチャと顧客をサービス拒否 (DOS) 攻撃から保護します。特定のインフラストラクチャ セットによって送信できるメッセージの数を制限します。Network throttling protects Office 365 infrastructure and customers from Denial of Service (DOS) attacks by limiting the number of messages that can be submitted by a specific set of infrastructure.

  2. IP レピュテーションと調整によって 、既知の不良接続 IP アドレスから送信されるメッセージがブロックされます。IP reputation and throttling will block messages being sent from known bad connecting IP addresses. 特定の IP が短時間で多数のメッセージを送信すると、そのメッセージは調整されます。If a specific IP sends many messages in a short period of time they will be throttled.

  3. ドメインレピュ テーションは、既知の不良ドメインから送信されるメッセージをブロックします。Domain reputation will block any messages being sent from a known bad domain.

  4. ディレクトリ ベースのエッジ フィルター ブロックは 、SMTP を介して組織のディレクトリ情報を収集します。Directory-based edge filtering blocks attempts to harvest an organization's directory information through SMTP.

  5. Backscatter 検出により 、無効な配信不可レポート (NDRs) を通じて組織が攻撃されるのを防ぐ。Backscatter detection prevents an organization from being attacked through invalid non-delivery reports (NDRs).

  6. コネクタの拡張フィルターは 、トラフィックが 365 から 365 に達する前に別のデバイスを通過した場合でも、Officeします。Enhanced filtering for connectors preserves authentication information even when traffic passes through another device before it reaches Office 365. これにより、複雑なルーティングシナリオやハイブリッド ルーティング シナリオの場合でも、ヒューリスティック クラスタリング、スプーフィング防止、フィッシング対策機械学習モデルなどのフィルタリング スタックの精度が向上します。This improves filtering stack accuracy, including heuristic clustering, anti-spoofing, and anti-phishing machine learning models, even when in complex or hybrid routing scenarios.

フェーズ 2 - 送信者インテリジェンスPhase 2 - Sender Intelligence

送信者インテリジェンスの機能は、スパム、バルク、偽装、および不正なスプーフィング メッセージをキャッチし、フィッシング検出を考慮に入れするために重要です。Features in sender intelligence are critical for catching spam, bulk, impersonation, and unauthorized spoof messages, and also factor into phish detection. これらの機能の大部分は個別に構成できます。Most of these features are individually configurable.

MDO でのフィルター処理のフェーズ 2 は、送信者インテリジェンスです。

  1. アカウントが異常な 動作を持ち、侵害と一致すると、アカウント侵害検出トリガーとアラートが発生します。Account compromise detection triggers and alerts are raised when an account has anomalous behavior, consistent with compromise. 場合によっては、組織のセキュリティ運用チームによって問題が解決されるまで、ユーザー アカウントがブロックされ、それ以上電子メール メッセージを送信できない場合があります。In some cases, the user account is blocked and prevented from sending any further email messages until the issue is resolved by an organization's security operations team.

  2. 電子メール認証 には、クラウドで設定された顧客が構成した方法と方法の両方が含まれるので、送信者が正規の正規のメールを承認することを目的とします。Email Authentication involves both customer configured methods and methods set up in the Cloud, aimed at ensuring that senders are authorized, authentic mailers. これらのメソッドはスプーフィングに抵抗します。These methods resist spoofing.

    • SPF は、組織の代わりにメールを送信できる IP アドレスとサーバーを一覧表示する DNS TXT レコードに基づいてメールを拒否できます。SPF can reject mails based on DNS TXT records that list IP addresses and servers allowed to send mail on the organization's behalf.
    • DKIM は 、送信者を認証する暗号化された署名を提供します。DKIM provides an encrypted signature that authenticates the sender.
    • DMARC を 使用すると、管理者は SPF と DKIM をドメイン内で必要に応じてマークし、これら 2 つのテクノロジの結果を調整します。DMARC lets admins mark SPF and DKIM as required in their domain and enforces alignment between the results of these two technologies.
    • ARC は顧客が構成されていませんが、DMARC 上に構築され、認証チェーンを記録しながら、メール リストの転送を操作します。ARC is not customer configured, but builds on DMARC to work with forwarding in mailing lists, while recording an authentication chain.
  3. プーフィング インテリジェンスは、組織または既知の外部ドメインを模倣する悪意のあるスプーフィングから、"スプーフィング" (つまり、別のアカウントに代わってメールを送信するユーザー、またはメーリングリストの転送) を許可されるスプーフィングをフィルタリングできます。Spoof intelligence is capable of filtering those allowed to 'spoof' (that is, those sending mail on behalf of another account, or forwarding for a mailing list) from malicious spoofers imitating an organizational, or known external, domain. 正当な 「代理」 メールと送信者のスプーフィングを分離して、スパムやフィッシング メッセージを配信します。It separates legitimate 'on behalf of' mail from senders spoofing to deliver spam and phishing messages.

    組織内のスプーフィング インテリジェンスは 、組織内のドメインからスプーフィングの試行を検出してブロックします。Intra-org spoof intelligence detects and blocks spoof attempts from a domain within the organization.

  4. クロスドメイン スプーフィング インテリジェンスは 、組織外のドメインからスプーフィングの試行を検出してブロックします。Cross-domain spoof intelligence detects and blocks spoof attempts from a domain outside of the organization.

  5. 一括フィルターを 使用すると、管理者はメッセージが一括送信者から送信されたかどうかを示す一括信頼レベル (BCL) を構成できます。Bulk filtering lets admins configure a bulk confidence level (BCL) indicating whether the message was sent from a bulk sender. 管理者は、スパム対策ポリシーのバルク スライダーを使用して、スパムとして扱うバルク メールのレベルを決定できます。Administrators can use the Bulk Slider in the Antispam policy to decide what level of bulk mail to treat as spam.

  6. メールボックス インテリジェンスは 、標準的なユーザーの電子メールの動作から学習します。Mailbox intelligence learns from standard user email behaviors. これは、ユーザーの通信グラフを活用して、送信者がユーザーが通常通信しているが、実際には悪意のあるユーザーにしか見えない場合を検出します。It leverages a user's communication graph to detect when a sender only appears to be someone the user usually communicates with, but is actually malicious. このメソッドは偽装を検出します。This method detects impersonation.

  7. メールボックス インテリジェンスの偽装は、 各ユーザーの個々の送信者マップに基づいて、拡張偽装結果を有効または無効にします。Mailbox intelligence impersonation enables or disables enhanced impersonation results based on each user's individual sender map. 有効にすると、この機能は偽装を識別するのに役立ちます。When enabled, this feature helps to identify impersonation.

  8. ユーザー偽装を使用 すると、管理者は偽装される可能性が高い値のターゲットのリストを作成できます。User impersonation allows an admin to create a list of high value targets likely to be impersonated. 送信者が保護された高価値アカウントと同じ名前とアドレスを持っているだけのように見えたメールが届いた場合、メールはマークまたはタグ付けされます。If a mail arrives where the sender only appears to have the same name and address as the protected high value account, the mail is marked or tagged. (たとえば 、trα。(For example, trα for

  9. ドメイン偽装は 、受信者のドメインに似ていて、内部ドメインのように見えるドメインを検出します。Domain impersonation detects domains that are similar to the recipient's domain and that attempt to look like an internal domain. たとえば、この偽装は、tracye@liw α。 For example, this impersonation tracye@liwα for

フェーズ 3 - コンテンツ フィルターPhase 3 - Content Filtering

このフェーズでは、フィルター スタックは、ハイパーリンクや添付ファイルなど、メールの特定のコンテンツの処理を開始します。In this phase the filtering stack begins to handle the specific contents of the mail, including its hyperlinks and attachments.

MDO でのフィルター処理のフェーズ 3 は、コンテンツ フィルターです。

  1. トランスポート ルール (メール フロー ルールまたは Exchange トランスポート ルールとも呼ばれる) を使用すると、管理者は、メッセージに対して同様に幅広い条件が満たされた場合に、さまざまなアクションを実行できます。Transport rules (also known as mail flow rules or Exchange transport rules) allow an admin to take a wide range of actions when an equally wide range of conditions are met for a message. 組織を流れるすべてのメッセージは、有効なメール フロー ルール/トランスポート ルールに対して評価されます。All messages that flow through your organization are evaluated against the enabled mail flow rules / transport rules.

  2. Microsoft Defender Antivirus と 2 つのサード パーティ製ウイルス対策エンジン を使用して、添付ファイル内のすべての既知のマルウェアを検出します。Microsoft Defender Antivirus and two third-party Antivirus engines are used to detect all known malware in attachments.

  3. ウイルス対策 (AV) エンジンは、すべての添付ファイルを true 型に設定するためにも使用されます。そのため、タイプ ブロックは管理者が指定した種類のすべての添付ファイルをブロックできます。The anti-virus (AV) engines are also used to true-type all attachments, so that Type blocking can block all attachments of types the admin specifies.

  4. microsoft Defender for Office 365 が悪意のある添付ファイルを検出するたびに、ファイルのハッシュとアクティブ なコンテンツのハッシュが Exchange Online Protection (EOP) 評価に追加されます。Whenever Microsoft Defender for Office 365 detects a malicious attachment, the file's hash, and a hash of its active content, are added to Exchange Online Protection (EOP) reputation. 添付ファイル評価ブロック は、MSAV クラウド呼び出しをOffice 365 からエンドポイント上のすべてのファイルをブロックします。Attachment reputation blocking will block that file across all Office 365, and on endpoints, through MSAV cloud calls.

  5. ヒューリスティック クラスタリングでは 、ファイルが配信ヒューリスティックに基づいて疑わしいと判断できます。Heuristic clustering can determine that a file is suspicious based on delivery heuristics. 疑わしい添付ファイルが見つかると、キャンペーン全体が一時停止し、ファイルがサンドボックス化されます。When a suspicious attachment is found, the entire campaign pauses, and the file is sandboxed. ファイルが悪意のあるファイルである場合、キャンペーン全体がブロックされます。If the file is found to be malicious, the entire campaign is blocked.

  6. 機械学習モデルは、 メッセージのヘッダー、本文コンテンツ、URL に基いて、フィッシングの試行を検出します。Machine learning models act on the header, body content, and URLs of a message to detect phishing attempts.

  7. Microsoft では、URL サンドボックスからの評価の決定と、URL レピュテーション ブロックのサードパーティ フィードからの URL 評価を使用して、既知の悪意のある URL を持つメッセージをブロックします。Microsoft uses a determination of reputation from URL sandboxing as well as URL reputation from third party feeds in URL reputation blocking, to block any message with a known malicious URL.

  8. コンテンツ ヒューリスティックは 、機械学習モデルを使用して、メッセージの本文内の構造と単語の頻度に基づいて疑わしいメッセージを検出できます。Content heuristics can detect suspicious messages based on structure and word frequency within the body of the message, using machine learning models.

  9. 安全な添付 ファイルは、365 人のユーザー Office Defender のすべての添付ファイルをサンドボックス化し、動的分析を使用して、過去に見たことのない脅威を検出します。Safe Attachments sandboxes every attachment for Defender for Office 365 customers, using dynamic analysis to detect never-before seen threats.

  10. リンクされたコンテンツの削除 は、メール内のファイルにリンクしているすべての URL を添付ファイルとして扱い、配信時にファイルを非同期的にサンドボックス化します。Linked content detonation treats every URL linking to a file in an email as an attachment, asynchronously sandboxing the file at the time of delivery.

  11. URL の削除は 、アップストリームのフィッシング対策テクノロジで疑わしいメッセージまたは URL が検出された場合に発生します。URL Detonation happens when upstream anti-phishing technology finds a message or URL to be suspicious. URL のデトレーションサンドボックスは、配信時にメッセージ内の URL をサンドボックス化します。URL detonation sandboxes the URLs in the message at the time of delivery.

フェーズ 4 - 配信後の保護Phase 4 - Post-Delivery Protection

最後のステージは、メールまたはファイルの配信後に行い、Microsoft Teams のようなクライアントに表示されるさまざまなメールボックスやファイルやリンクにあるメールに基きます。The last stage takes place after mail or file delivery, acting on mail that is in various mailboxes and files and links that appear in clients like Microsoft Teams.

Defender for Office 365 のフィルター処理のフェーズ 4 は、配信後の保護です。

  1. セーフ リンク は、MDO のクリック時保護です。Safe Links is MDO's time-of-click protection. すべてのメッセージ内のすべての URL は、Microsoft Safe Links サーバーをポイントするためにラップされます。Every URL in every message is wrapped to point to Microsoft Safe Links servers. URL をクリックすると、ユーザーがターゲット サイトにリダイレクトされる前に、最新の評価に対してチェックされます。When a URL is clicked it is checked against the latest reputation, before the user is redirected to the target site. URL は、評判を更新するために非同期的にサンドボックス化されます。The URL is asynchronously sandboxed to update its reputation.

  2. フィッシング Zero-Hour自動パージ (ZAP) は、既に Exchange Online メールボックスに配信されている悪意のあるフィッシング メッセージをさかのぼって検出し、中和します。Phish Zero-Hour Auto-purge (ZAP) retroactively detects and neutralizes malicious phishing messages that have already been delivered to Exchange Online mailboxes.

  3. マルウェア ZAP は 、既に Exchange Online メールボックスに配信されている悪意のあるマルウェア メッセージをさかのぼって検出し、中和します。Malware ZAP retroactively detects and neutralizes malicious malware messages that have already been delivered to Exchange Online mailboxes.

  4. Spam ZAP は、既に Exchange Online メールボックスに配信されている悪意のあるスパム メッセージをさかのぼって検出し、中和します。Spam ZAP retroactively detects and neutralizes malicious spam messages that have already been delivered to Exchange Online mailboxes.

  5. キャンペーン ビューを 使用すると、管理者は自動化を行わずに、どのチームよりも速く、より完全に攻撃の大きな画像を見ることができます。Campaign Views let administrators see the big picture of an attack, faster and more completely, than any team could without automation. Microsoft は、サービス全体で膨大な量のフィッシング対策、スパム対策、マルウェア対策データを活用してキャンペーンを特定し、管理者がターゲット、影響、フローなど、ダウンロード可能なキャンペーンの書き込みにも使用できるデータを最初から最後まで調査できます。Microsoft leverages the vast amounts of anti-phishing, anti-spam, and anti-malware data across the entire service to help identify campaigns, and then allows admins to investigate them from start to end, including targets, impacts, and flows, that are also available in a downloadable campaign write-up.

  6. レポート メッセージ アドインを使用すると、ユーザーは誤検知 (良い電子メール、誤って悪いと マークされている) または誤検知 (良いとマークされた悪い メール) を Microsoft に簡単に報告し、さらに分析できます。The Report Message add-ins enable people to easily report false positives (good email, mistakenly marked as bad) or false negatives (bad email marked as good) to Microsoft for further analysis.

  7. セーフ リンク Office クライアントは、Word、PowerPoint、Excel など、Office クライアントの内部で、同じセーフ リンクのクリック時保護を提供します。Safe Links for Office clients offers the same Safe Links time-of-click protection, natively, inside of Office clients like Word, PowerPoint, and Excel.

  8. OneDrive、SharePoint、 および Teams の保護は、OneDrive、SharePoint、および Microsoft Teams の内部で、悪意のあるファイルに対して同じ安全な添付ファイル保護を提供します。Protection for OneDrive, SharePoint, and Teams offers the same Safe Attachments protection against malicious files, natively, inside of OneDrive, SharePoint, and Microsoft Teams.

  9. ファイルをポイントする URL が配信後に選択されている場合、リンクされたコンテンツの削除は、ファイルのサンドボックスが完了し、URL が安全である場合まで警告ページを表示します。When a URL that points to a file is selected post delivery, linked content detonation displays a warning page until the sandboxing of the file is complete, and the URL is found to be safe.

フィルター スタックの図The filtering stack diagram

最終的な図 (構成するダイアグラムのすべての部分と同様) は、製品の成長と開発に応じて 変更される可能性がありますThe final diagram (as with all parts of the diagram composing it) is subject to change as the product grows and develops. このページをブックマーク し、更新 後に確認する必要がある場合は、下部にあるフィードバック オプションを使用します。Bookmark this page and use the feedback option you'll find at the bottom if you need to ask after updates. レコードの場合、これはすべてのフェーズを順番に持つスタックです。For your records, this is the the stack with all the phases in order:

MDO で 1 ~ 4 の順序でフィルター処理のすべてのフェーズ。

詳細情報More information

Microsoft Defender for Office 365 *now _?Do you need to set up Microsoft Defender for Office 365 *right now _? このスタック (_now*) を使用して、組織の保護を開始します。Use this stack, _now*, with this step-by-step to start protecting your organization.

MSFTTracyP と ドキュメント作成チームからこのコンテンツに対する Giulian Garruba への特別な感謝。Special thanks from MSFTTracyP and the docs writing team to Giulian Garruba for this content.