Microsoft Defender for Office 365 プラン 2 の AIR からの修復アクション
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Microsoft Defender for Office 365 プラン 2 の自動調査と対応 (AIR) は、多くの場合、セキュリティ操作 (SecOps) チームからの承認を必要とする修復アクションになります。
場合によっては、AIR によって特定の修復アクションが発生しません。 さらに調査し、適切なアクションを実行するには、次の表のガイダンスを使用します。
| カテゴリ | 脅威/リスク | 修復アクション |
|---|---|---|
| 電子メール | マルウェア | 電子メール/クラスターを論理的に削除します。 関連する複数のメッセージにマルウェアが含まれている場合、クラスター全体が悪意があると見なされます。 |
| 電子メール | 安全なリンクによって悪意のある URL が検出されました。 | 電子メール/クラスターを論理的に削除します。 クリック時に URL をブロックします。 悪意のある URL を含むメッセージは、悪意があると見なされます。 |
| 電子メール | フィッシング詐欺 | 電子メール/クラスターを論理的に削除します。 関連するメッセージの数が少ない場合、クラスター全体がフィッシング試行と見なされます。 |
| 電子メール | フィッシングメールが配信され、 0 時間の自動消去 (ZAP) によって削除されました)。 | 電子メール/クラスターを論理的に削除します。 ZAP によってメッセージが削除されたかどうかを確認するには、「ZAP によってメッセージ が移動されたかどうかを確認する方法」を参照してください。 |
| 電子メール | ユーザーが報告したフィッシング メール | ユーザーのレポートによってトリガーされる自動調査 |
| 電子メール | ボリュームの異常 (最近のメールの数量が、一致条件の過去 7 日から 10 日を超えています)。 | AIR からの特定の保留中のアクションはありません。 ボリュームの異常は明確な脅威ではありません。 大量の電子メールは潜在的な問題を示す可能性がありますが、悪意のある判定または電子メール メッセージ/クラスターの手動レビューの観点から確認が必要です。 詳細については、「 配信された疑わしいメールを検索する」を参照してください。 |
| 電子メール | 脅威が見つかりませんでした (ファイル、URL、または電子メール クラスターの判定の分析に基づく脅威がシステムで見つかりませんでした)。 | AIR からの特定の保留中のアクションはありません。 調査が完了した後に ZAP によって検出および削除された脅威は、調査の数値結果には反映されませんが、このような脅威は Threat エクスプローラーで表示できます。 |
| User | ユーザーが悪意のある URL をクリックした (後で悪意があると判明したページにアクセスしたか、 安全なリンクの警告ページ をバイパスして悪意のあるページにアクセスしました)。 | AIR からの特定の保留中のアクションはありません。 クリック時に URL をブロックします。 脅威エクスプローラーを使用して URL に関するデータを表示し、判定をクリックします。 organizationがMicrosoft Defender for Endpointを使用している場合は、ユーザーの調査を検討して、アカウントが侵害されているかどうかを判断することを検討してください。 |
| User | マルウェア/フィッシング メッセージを送信するユーザー | AIR からの特定の保留中のアクションはありません。 ユーザーがマルウェア/フィッシング メッセージを報告している可能性があります。または、攻撃の一部として ユーザーを偽装している 可能性があります。 脅威エクスプローラーを使用して、マルウェアやフィッシングを含む電子メールを表示および処理します。 |
| User | 自動外部メール転送 (SMTP 転送、受信トレイ ルール、または Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) は、データ流出に使用できます。 | 転送ルールまたは構成を削除します。 転送されたメールに関する特定の詳細を表示するには、 自動転送メッセージ レポート を使用します。 |
| User | Email委任 (アカウントには委任が設定されています)。 | 委任を削除します。 organizationが Defender for Endpoint を使用している場合は、委任アクセス許可を持つユーザーの調査を検討してください。 |
| User | データ流出 (ユーザーが電子メールまたはファイル共有 DLP ポリシーに違反した)。 | AIR では、特定の保留中のアクションは発生しません。 アクティビティ エクスプローラーの概要。 |
| User | 異常な電子メール送信 (ユーザーが最近送信したメールは、過去 7 日から 10 日間よりも多く送信されました)。 | AIR からの特定の保留中のアクションはありません。 大量の電子メールを送信することは、必ずしも悪意があるとは限りません (たとえば、ユーザーがイベントの受信者の大規模なグループに電子メールを送信した可能性があります)。 調査するには、Exchange 管理センター (EAC) の [メールの分析情報と送信メッセージを転送する新しいユーザー ] レポート を使用します。 |
次の手順
- Microsoft Defender for Office 365での自動調査の詳細と結果を表示する
- Microsoft Defender for Office 365での自動調査の後に保留中または完了した修復アクションを表示する