Office 365 で配信された悪意のあるメールを修復する

• 適用対象:

  ✅ Microsoft Defender for Office 365 Plan 2

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

修復とは、脅威に対して所定のアクションを実行することを意味します。 organizationに送信された悪意のあるメールは、システム、0 時間の自動消去 (ZAP)、またはセキュリティ チームによって、受信トレイへの移動、迷惑メールへの移動、削除済みアイテムへの移動、論理的な削除、ハード削除などの修復アクションを通じてクリーンアップできます。 Microsoft Defender for Office 365 Plan 2/E5 を使用すると、セキュリティ チームは、手動および自動調査を通じて、電子メールとコラボレーション機能の脅威を修復できます。

開始する前に知っておくべきこと

• この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 管理者は電子メール メッセージに対して必要なアクションを実行できますが、これらのアクションを承認するには、Searchと消去ロールが必要です。 Searchと消去ロールを割り当てるには、次のオプションがあります。

  • Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (PowerShell ではなく Defender ポータルにのみ影響します):セキュリティ操作/セキュリティ データ/Email &コラボレーションの高度なアクション (管理)。
  • Microsoft Defender ポータルでコラボレーションのアクセス許可をEmail &する: Organization Management または Data Investigator ロール グループのメンバーシップ。 または、Searchロールと Purge ロールが割り当てられた新しいロール グループを作成し、ユーザーをカスタム ロール グループに追加することもできます。

• で自動調査が有効https://security.microsoft.com/securitysettings/endpoints/integrationになっていることを確認します。

手動修復と自動修復

手動ハンティングは、セキュリティ チームがエクスプローラーの検索機能とフィルター処理機能を使用して脅威を手動で特定するときに発生します。 修復が必要な一連のメールを特定した後、電子メール ビュー (マルウェア、 フィッシング、または すべてのメール) を使用して、手動の電子メールの修復をトリガーできます。

セキュリティ チームは、エクスプローラーを使用して、いくつかの方法で電子メールを選択できます。

• 手動でメールを選択する: さまざまなビューでフィルターを使用します。 修復するには、最大 100 件のメールを選択します。

• クエリの選択: 上部の [すべて選択] ボタンを使用して、クエリ全体 を選択 します。 アクション センターのメール送信の詳細にも、同じクエリが表示されます。 お客様は、脅威エクスプローラーから最大 200,000 件のメールを送信できます。

• 除外を含むクエリの選択: セキュリティ運用チームは、クエリ全体を選択し、クエリから特定の電子メールを手動で除外することで、電子メールを修復したい場合があります。 これを行うには、管理者は [すべてのチェックを選択] ボックスを使用し、下にスクロールしてメールを手動で除外できます。 クエリでは、最大 200,000 件のメールを保持できます。

エクスプローラーでメールが選択されたら、直接アクションを実行するか、アクションの電子メールをキューに入れて修復を開始できます。

• 直接承認: 適切なアクセス許可を持つセキュリティ担当者によって 、受信トレイへの移動、 迷惑メールへの移動、 削除済みアイテムへの移動、 論理的な削除、 またはハード削除 などのアクションがセキュリティ担当者によって選択され、修復の次の手順に従うと、修復プロセスが選択したアクションの実行を開始します。

  注:

  修復が開始されると、アラートと調査が並列で生成されます。 アラートがアラート キューに表示され、"管理者によって送信された管理アクション" という名前が付けられます。これは、セキュリティ担当者がエンティティを修復するアクションを実行したことを示唆しています。 アクションを実行したユーザーの名前、調査リンクのサポート、時刻などの詳細が表示されます。エンティティに対して修復のような過酷なアクションが実行されるたびに、非常に適切に把握できます。 これらすべてのアクションは、[アクション] & [申請>] アクション センターの>[履歴] タブ (パブリック プレビュー) で追跡できます。

• 2 段階認証: 適切なアクセス許可を持っていない管理者、またはアクションの実行を待機する必要がある管理者は、"修復に追加" アクションを実行できます。 この場合、対象となるメールが修復コンテナーに追加されます。 修復を実行する前に承認が必要です。

自動調査と応答アクションは、アラートまたはエクスプローラーからのセキュリティ運用チームによってトリガーされます。 これには、セキュリティ運用チームが承認する必要がある推奨される修復アクションが含まれる場合があります。 これらのアクションは、自動調査の [ アクション ] タブに含まれます。

エクスプローラー、高度なハンティング、または自動調査によって作成されたすべての修復 (直接承認) は、[アクション & 申請>アクション センター>の履歴] タブ (https://security.microsoft.com/action-center/history) のアクション センターに表示されます。

2 段階認証プロセスを使用した承認待ちの手動アクション (1.1 人のセキュリティ操作チーム メンバー (2) による修復に追加します。別のセキュリティ操作チーム メンバーによって確認および承認された) は、[アクション] & [申請]>アクション センター>の [保留中] タブ (https://security.microsoft.com/action-center/pending) に表示されます。 承認後、[アクション] & [申請]>アクション センター>の [履歴] タブ (https://security.microsoft.com/action-center/history) に表示されます。

統合アクション センターには、過去 30 日間の修復アクションが表示されます。 エクスプローラーによって実行されたアクションは、修復の作成時にセキュリティ運用チームが指定した名前と、承認 ID、調査 ID で一覧表示されます。自動調査を通じて実行されるアクションには、Zap 電子メール クラスターなどの調査をトリガーした関連アラートで始まるタイトルがあります。

修復項目を開いて、その修復名、承認 ID、調査 ID、作成日、説明、状態、アクション ソース、アクションの種類、状態によって決定されたアクションの種類など、その詳細を表示します。 また、アクションの詳細、電子メール クラスターの詳細、アラート、インシデントの詳細を含むサイド ウィンドウも開きます。

• [調査] ページを開 くと、より少ない詳細とタブを含む管理者の調査が開きます。 関連アラート、修復用に選択されたエンティティ、実行されたアクション、修復状態、エンティティ数、ログ、アクションの承認者などの詳細が表示されます。 この調査では、管理者が手動で行った調査の追跡が保持され、管理者によって行われた選択の詳細が含まれるため、管理者アクション調査と呼ばれます。 調査に対処し、既に承認済みの状態で警告する必要はありません。

• Email数 脅威エクスプローラーを通じて送信された電子メールの数を表示します。 これらのメールは、アクション可能であるか、アクション可能でない場合があります。

• アクション ログ 成功、失敗、既に移行先にある修復状態の詳細を表示します。

  

  • アクション可能: 次のクラウド メールボックスの場所にあるメールを操作および移動できます。

    • 受信トレイ

    • 迷惑メール

    • フォルダーの削除

    • 論理的に削除されたフォルダー

      注:

      現在、論理的に削除されたフォルダーからアイテムを回復できるのは、メールボックスへのアクセス権を持つユーザーのみです。

  • 操作不可: 次の場所のメールは、修復アクションで処理または移動できません。

    • 検疫する
    • ハード削除されたフォルダー
    • オンプレミス/外部
    • Failed/drop
    • 不明

  • サポートされている移動アクションと削除アクションの種類:

    • 迷惑メール フォルダーに移動する: ユーザーの迷惑メール Email フォルダーにメッセージを移動します。
    • 受信トレイに移動する: ユーザーの受信トレイ フォルダーにメッセージを移動します。
    • 削除済みアイテムに移動する: メッセージをユーザーの [削除済みアイテム] フォルダーに移動します。
    • 論理的な削除: クラウド内の削除されたフォルダーにメッセージを移動します。
    • ハード削除: メッセージを完全に削除します。

  疑わしいメッセージは、修復可能または修復不可のいずれかに分類されます。 ほとんどの場合、修復可能なメッセージと修復不可能なメッセージは、送信されたメッセージの合計と同じになります。 しかし、まれにこれは当てはまらない可能性があります。 これは、システムの遅延、タイムアウト、または期限切れのメッセージが原因で発生する可能性があります。 メッセージは、organizationのエクスプローラー保有期間に基づいて期限切れになります。

  organizationのエクスプローラー保持期間後に古いメッセージを修復しない限り、番号の不整合が発生した場合は、アイテムの修復を再試行することをお勧めします。 システムの遅延の場合、修復の更新は通常、数時間以内に更新されます。

  エクスプローラーのメールのorganizationの保持期間が 30 日で、29 日から 30 日前のメールを修復している場合、メールの送信数が常に加算されるとは限りません。 電子メールは、既に保持期間の外に移動し始めている可能性があります。

  修復がしばらく "進行中" 状態で停止している場合は、システムの遅延が原因である可能性があります。 修復には数時間かかる場合があります。 一部の電子メールは、システムの遅延のために修復の開始時にクエリが含まれていない可能性があるため、メール送信数にバリエーションが表示される場合があります。 このような場合は、修復を再試行することをお勧めします。

  注:

  最適な結果を得るには、50,000 以下のバッチで修復を行う必要があります。

  修復中は、修復可能なメールのみが処理されます。 Office 365メール システムは、クラウド メールボックスに格納されていないため、修復できないメールを修復できません。

  管理者は、必要に応じて検疫中のメールに対してアクションを実行できますが、手動で消去されていないメールは検疫から期限切れになります。 既定では、悪意のあるコンテンツのために検疫されたメールにはユーザーがアクセスできないため、セキュリティ担当者は検疫の脅威を取り除くためのアクションを実行する必要はありません。 メールがオンプレミスまたは外部の場合は、疑わしいメールに対処するためにユーザーに連絡できます。 または、管理者は、削除のために個別の電子メール サーバー/セキュリティ ツールを使用できます。 これらのメールは、配信場所 = オンプレミスの外部フィルターをエクスプローラーで適用することで識別できます。 失敗または削除されたメール、またはユーザーがアクセスできないメールの場合、これらのメールはメールボックスに到達しないため、軽減するメールはありません。

• アクション ログ: これは、修復されたメッセージ、成功したメッセージ、失敗したメッセージ、既に宛先に含まれているメッセージを示します。

  状態は次の場合があります。

  • 開始: 修復がトリガーされます。
    • キューに入れられます: 修復は、電子メールの軽減のためにキューに入れられます。
    • 進行中: 軽減策が進行中です。
    • 完了: すべての修復可能なメールの軽減策が正常に完了したか、一部のエラーが発生しました。
    • 失敗: 修復が成功しなかった。

  修復可能なメールのみを処理できるため、各メールのクリーンアップは成功または失敗として表示されます。 修復可能な電子メールの合計から、成功した軽減策と失敗した軽減策が報告されます。

  • 成功: 修復可能なメールに対して必要なアクションが実行されました。 たとえば、管理者はメールボックスからメールを削除する必要があるため、管理者は電子メールを論理的に削除するアクションを実行します。 アクションの実行後に修復可能なメールが元のフォルダーに見つからない場合、状態は正常に表示されます。

  • 失敗: 修復可能な電子メールに対する必要なアクションが失敗しました。 たとえば、管理者はメールボックスからメールを削除する必要があるため、管理者は電子メールを論理的に削除するアクションを実行します。 アクションの実行後も修復可能なメールがメールボックスに見つかった場合、状態は失敗として表示されます。

  • [既に宛先] : 目的のアクションが既にメールに対して実行されているか、メールが宛先の場所に既に存在していました。 たとえば、1 日目にエクスプローラーを通じて管理者によって電子メールが論理的に削除されました。 その後、同様のメールが 2 日目に表示され、管理者によって再び論理的に削除されます。これらのメールを選択すると、管理者は、既に論理的に削除されている 1 日目からいくつかのメールを選択します。 これで、これらのメールは再び処理されません。宛先の場所に存在するアクションは実行されていないため、"既に宛先" と表示されます。

  • 新規: アクション ログ に [既にコピー先 ] 列が追加されました。 この機能では、Threat エクスプローラー の最新の配信場所を使用して、メールが既に修復されているかどうかを通知します。 宛先に既に 存在すると、セキュリティ チームは、まだ対処する必要があるメッセージの合計数を理解するのに役立ちます。

アクションは、脅威エクスプローラーの受信トレイ、迷惑メール、削除済み、および論理的に削除されたフォルダー内のメッセージに対してのみ実行できます。 新しい列のしくみの例を次に示します。 論理的な削除アクションは、受信トレイに存在するメッセージに対して実行され、メッセージはポリシーに従って処理されます。 次に論理的な削除を実行すると、このメッセージは列 'Already in destination' の下に表示され、再びアドレス指定する必要がないことを示します。

アクション ログ内の任意の項目を選択して、修復の詳細を表示します。 詳細に "成功" または "メールボックスに見つかりません" と表示されている場合、そのアイテムはメールボックスから既に削除されています。 修復中にシステム エラーが発生することがあります。 このような場合は、修復アクションを再試行することをお勧めします。

大量の電子メールを修復する場合は、メールの送信を介して修復のために送信されたメッセージと、アクション ログを介して修復されたメッセージをエクスポートします。 エクスポート制限は 100,000 レコードに増加します。

管理者は、電子メール メッセージを [迷惑メール]、[受信トレイ]、[削除済みアイテム] フォルダーに移動するなどの修復アクションを実行し、高度なハンティング ページから論理的な削除やハード削除などのアクションを削除できます。

修復は、脅威を軽減し、疑わしいメールに対処し、organizationをセキュリティで保護するのに役立ちます。