次の方法で共有


Microsoft Defender for Office 365での脅威のエクスプローラーとリアルタイム検出について

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。

サブスクリプションに含まれているか、アドオンとして購入Microsoft Defender for Office 365 Microsoft 365 組織には、エクスプローラー (脅威エクスプローラーとも呼ばれます) またはリアルタイム検出があります。 これらの機能は、セキュリティ運用 (SecOps) チームが脅威を調査して対応するのに役立つ、ほぼリアルタイムの強力なレポート ツールです。

サブスクリプションに応じて、脅威のエクスプローラーまたはリアルタイム検出は、https://security.microsoft.comのMicrosoft Defender ポータルの [Email & コラボレーション] セクションで利用できます。

脅威エクスプローラーには、リアルタイム検出と同じ情報と機能が含まれていますが、次の追加機能があります。

  • その他のビュー。
  • クエリを保存するオプションなど、その他のプロパティ フィルター オプション。
  • その他のアクション。

プラン 1 とプラン 2 Defender for Office 365の違いの詳細については、「プラン 1 とプラン 2 のDefender for Office 365のチート シート」を参照してください。

この記事の残りの部分では、「脅威のエクスプローラーとリアルタイム検出」で利用できるビューと機能について説明します。

脅威のエクスプローラーとリアルタイム検出のアクセス許可とライセンス

エクスプローラーまたはリアルタイム検出を使用するには、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

  • Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。PowerShell ではなく Defender ポータルにのみ影響します。
    • 電子メールと Teams メッセージ ヘッダーの読み取りアクセス: セキュリティ操作/未加工データ (電子メール & コラボレーション)/Email &コラボレーション メタデータ (読み取り)
    • 電子メール メッセージのプレビューとダウンロード: セキュリティ操作/生データ (電子メール & コラボレーション)/Email &コラボレーション コンテンツ (読み取り)
    • 悪意のあるメールを修復する: セキュリティ操作/セキュリティ データ/Email &コラボレーションの高度なアクション (管理)
  • Microsoft Defender ポータルでコラボレーションのアクセス許可をEmail &します。
    • フル アクセス: 組織の管理 または セキュリティ管理者 の役割グループのメンバーシップ。 使用可能なすべてのアクションを実行するには、さらに多くのアクセス許可が必要です。
      • メッセージのプレビューとダウンロード: プレビュー ロールが必要です。これは、既定で Data Investigator または 電子情報開示マネージャー の役割グループにのみ割り当てられます。 または、プレビュー ロールが割り当てられた新しいロール グループを作成し、ユーザーをカスタム ロール グループに追加することもできます。
      • メールボックスにメッセージを移動し、メールボックスからメッセージを削除する: 既定では、データ調査または組織管理の役割グループにのみ割り当てられている検索と消去の役割が必要です。 または、検索ロールと消去ロールが割り当てられた新しいロール グループを作成し、ユーザーをカスタム ロール グループに追加できます。
    • 読み取り専用アクセス: セキュリティ閲覧者 ロール グループのメンバーシップ。
  • Microsoft Entraアクセス許可: メンバーシップこれらのロールは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可アクセス許可を提供します。
    • フル アクセス: グローバル管理者ロール*セキュリティ管理者ロールのメンバーシップ。

    • [脅威のエクスプローラー: セキュリティ管理者またはセキュリティ閲覧者ロールのメンバーシップ] で、Exchange メール フロー ルール (トランスポート ルール) を名前で検索します。

    • 読み取り専用アクセス: グローバル閲覧者 ロールまたは セキュリティ閲覧者 ロールのメンバーシップ。

      重要

      * Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

ヒント

エンド ユーザーのスパム通知とシステムによって生成されたメッセージは、Threat エクスプローラーでは利用できません。 これらの種類のメッセージは、上書きするメール フロー ルール (トランスポート ルールとも呼ばれます) がある場合に使用できます。

監査ログ エントリは、管理者が電子メール メッセージをプレビューまたはダウンロードするときに生成されます。 AdminMailAccess アクティビティについては、ユーザー別に管理者監査ログを検索できます。 手順については、「 新しい検索の監査」を参照してください。

Threat エクスプローラー またはリアルタイム検出を使用するには、Defender for Office 365のライセンス (サブスクリプションまたはアドオン ライセンスに含まれる) を割り当てる必要があります。

脅威エクスプローラーまたはリアルタイム検出には、Defender for Office 365 ライセンスが割り当てられているユーザーのデータが含まれます。

脅威エクスプローラーとリアルタイム検出の要素

脅威エクスプローラーとリアルタイム検出には、次の要素が含まれています。

  • ビュー: 脅威別に検出を整理するページの上部にあるタブ。 ビューは、ページ上のデータとオプションの残りの部分に影響します。

    次の表に、Threat エクスプローラー とリアルタイム検出で使用可能なビューを示します。

    表示 脅威
    エクスプローラー
    リアルタイム
    検出
    説明
    すべてのメール 脅威エクスプローラーの既定のビュー。 外部ユーザーがorganizationに送信したすべての電子メール メッセージ、またはorganization内の内部ユーザー間で送信された電子メールに関する情報。
    Malware リアルタイム検出の既定のビュー。 マルウェアを含む電子メール メッセージに関する情報。
    フィッシング フィッシングの脅威を含む電子メール メッセージに関する情報。
    キャンペーン 調整されたフィッシングまたはマルウェア キャンペーンの一部として Plan 2 が識別Defender for Office 365悪意のあるメールに関する情報。
    コンテンツマルウェア 次の機能によって検出された悪意のあるファイルに関する情報:
    URL のクリック 電子メール メッセージ、Teams メッセージ、SharePoint ファイル、OneDrive ファイルの URL をクリックしたユーザーに関する情報。

    これらのビューについては、脅威のエクスプローラーとリアルタイム検出の違いなど、この記事で詳しく説明します。

  • 日付/時刻フィルター: 既定では、ビューは昨日と今日でフィルター処理されます。 日付フィルターを変更するには、日付範囲を選択し、[ 開始日 ] と [ 終了日 ] の値を最大 30 日前まで選択します。

    Defender ポータルで Threat エクスプローラー とリアルタイム検出で使用される日付フィルターのスクリーンショット。

  • プロパティ フィルター (クエリ): ビューの結果を、使用可能なメッセージ、ファイル、または脅威のプロパティでフィルター処理します。 使用可能なフィルター可能なプロパティは、ビューによって異なります。 一部のプロパティは多くのビューで使用でき、他のプロパティは特定のビューに制限されています。

    この記事では、脅威のエクスプローラーとリアルタイム検出の違いなど、各ビューで使用できるプロパティ フィルターを示します。

    プロパティ フィルターを作成する手順については、「脅威のエクスプローラーとリアルタイム検出のプロパティ フィルター」を参照してください。

    脅威エクスプローラーでは、「脅威エクスプローラーの保存済みクエリ」セクションで説明されているように、後で使用するためにクエリを保存できます。

  • グラフ: 各ビューには、フィルター処理されたデータまたはフィルター処理されていないデータの視覚的な集計表現が含まれています。 使用可能なピボットを使用して、さまざまな方法でグラフを整理できます。

    多くの場合、 Export グラフ データ を使用して、フィルター処理またはフィルター処理されていないグラフ データを CSV ファイルにエクスポートできます。

    この記事では、脅威のエクスプローラーとリアルタイム検出の違いなど、グラフと使用可能なピボットについて詳しく説明します。

    ヒント

    ページからグラフを削除するには (詳細領域のサイズを最大化します)、次のいずれかの方法を使用します。

    • ページの上部にある [ グラフ ビュー>リスト ビュー ] を選択します。
    • [グラフと詳細領域の間のリスト ビューを表示する] を選択します。
  • 詳細領域: ビューの詳細領域には、通常、フィルター処理されたデータまたはフィルター処理されていないデータを含むテーブルが表示されます。 使用可能なビュー (タブ) を使用して、詳細領域のデータをさまざまな方法で整理できます。 たとえば、ビューにはグラフ、マップ、または別のテーブルが含まれている場合があります。

    詳細領域にテーブルが含まれている場合は、多くの場合、 Export を使用して、最大 200,000 個のフィルター処理された結果またはフィルター処理されていない結果を CSV ファイルに選択的にエクスポートできます。

    ヒント

    [エクスポート] ポップアップで、 エクスポート する使用可能なプロパティの一部またはすべてを選択できます。 選択内容はユーザーごとに保存されます。 Incognito または InPrivate 閲覧モードの選択は、Web ブラウザーを閉じるまで保存されます。

Defender for Office 365 ポータルのリアルタイム レポート データを示す脅威エクスプローラーのメイン ページのスクリーンショット。

脅威エクスプローラーのすべてのメール ビュー

[脅威] エクスプローラーの [すべてのメール] ビューには、外部ユーザーがorganizationに送信したすべての電子メール メッセージと、organization内の内部ユーザー間で送信された電子メールに関する情報が表示されます。 このビューには、悪意のあるメールと悪意のないメールが表示されます。 以下に例を示します。

  • 特定されたフィッシングまたはマルウェアをEmailします。
  • Emailスパムまたは一括として識別されます。
  • Email脅威なしで識別されます。

このビューは、脅威エクスプローラーの既定値です。 https://security.microsoft.comの Defender ポータルの [エクスプローラー] ページで [すべてのメール] ビューを開くには、[Email &コラボレーション]、[>エクスプローラー>[すべてのメール] タブに移動します。または、https://security.microsoft.com/threatexplorerv3を使用してエクスプローラー ページに直接移動し、[すべてのメール] タブが選択されていることを確認します。

[脅威] エクスプローラーの [すべてのメール] ビューのスクリーンショット。グラフ、グラフで使用可能なピボット、詳細テーブルのビューが表示されています。

Threat エクスプローラー の [すべての電子メール] ビューのフィルター可能なプロパティ

既定では、プロパティ フィルターはデータに適用されません。 フィルター (クエリ) を作成する手順については、この記事の後半の「脅威のエクスプローラーとリアルタイム検出のフィルター」セクションで説明します。

[すべてのメール] ビューの [配信アクション] ボックスで使用できるフィルター可能なプロパティを次の表に示します。

プロパティ
基本
[送信者のアドレス] 文字列。 複数の値をコンマで区切ります。
受信者 文字列。 複数の値をコンマで区切ります。
送信者ドメイン 文字列。 複数の値をコンマで区切ります。
受信者ドメイン 文字列。 複数の値をコンマで区切ります。
件名 文字列。 複数の値をコンマで区切ります。
送信者の表示名 文字列。 複数の値をコンマで区切ります。
アドレスからの差出人メール 文字列。 複数の値をコンマで区切ります。
ドメインからのメールの送信者 文字列。 複数の値をコンマで区切ります。
戻りパス 文字列。 複数の値をコンマで区切ります。
戻りパス ドメイン 文字列。 複数の値をコンマで区切ります。
マルウェア ファミリ 文字列。 複数の値をコンマで区切ります。
タグ 文字列。 複数の値をコンマで区切ります。

ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
偽装ドメイン 文字列。 複数の値をコンマで区切ります。
偽装ユーザー 文字列。 複数の値をコンマで区切ります。
Exchange トランスポート ルール 文字列。 複数の値をコンマで区切ります。
データ損失防止ルール 文字列。 複数の値をコンマで区切ります。
Context 1 つ以上の値を選択します。
  • 評価
  • 優先アカウント保護
Connector 文字列。 複数の値をコンマで区切ります。
配信アクション 1 つ以上の値を選択します。
  • ブロック: 検疫されたメッセージ、配信に失敗したメッセージ、または削除されたメッセージをEmailします。
  • 配信済み: Emailユーザーの受信トレイまたはユーザーがメッセージにアクセスできる他のフォルダーに配信されます。
  • [迷惑メールに配信]: Email、ユーザーがメッセージにアクセスできるユーザーの [迷惑メール] Email フォルダーまたは [削除済みアイテム] フォルダーに配信されます。
  • 置換済み: 安全な添付ファイル ポリシーで動的配信に置き換えられたメッセージ添付ファイル。
追加アクション 1 つ以上の値を選択します。
方向性 1 つ以上の値を選択します。
  • 受信
  • Intra-irg
  • 送信
検出技術 1 つ以上の値を選択します。
  • 高度なフィルター: 機械学習に基づくシグナル。
  • マルウェア対策保護
  • バルク
  • Campaign
  • ドメイン評判
  • ファイルの爆発: 安全な添付ファイルは、 爆発分析中に悪意のある添付ファイルを検出しました。
  • ファイル爆発の評判: 他の Microsoft 365 組織の 安全な添付ファイル の爆発によって以前に検出された添付ファイル。
  • ファイルの評判: メッセージには、以前に他の Microsoft 365 組織で悪意があると識別されたファイルが含まれています。
  • 指紋照合: メッセージは、以前に検出された悪意のあるメッセージによく似ています。
  • 一般的なフィルター
  • 偽装ブランド: 既知のブランドの送信者偽装。
  • 偽装ドメイン: フィッシング対策ポリシーで保護するために所有または指定した送信者ドメインの偽装
  • 偽装ユーザー
  • IP 評判
  • メールボックス インテリジェンス偽装: フィッシング対策ポリシーでのメールボックス インテリジェンスからの偽装検出。
  • 混合分析の検出: 複数のフィルターがメッセージの判定に貢献しました。
  • スプーフィング DMARC: メッセージが DMARC 認証に失敗しました。
  • 外部ドメインのスプーフィング: organizationの外部にあるドメインを使用した送信者の電子メール アドレスのスプーフィング。
  • 組織内でのスプーフィング: organizationの内部にあるドメインを使用した送信者のメール アドレススプーフィング。
  • URL 爆発評判: 他の Microsoft 365 組織の 安全なリンク 爆発によって以前に検出された URL。
  • URL の悪意のある評判: メッセージには、以前に他の Microsoft 365 組織で悪意があると識別された URL が含まれています。
元の配送場所 1 つ以上の値を選択します。
  • 削除済みアイテム フォルダー
  • 削除
  • Failed
  • 受信トレイ/フォルダー
  • [Junk folder (迷惑メール フォルダー)]
  • オンプレミス/外部
  • 検疫
  • 不明
最新の配送場所¹ 元の配信場所と同じ値
フィッシングの信頼度レベル 1 つ以上の値を選択します。
  • High
  • Normal
プライマリオーバーライド 1 つ以上の値を選択します。
  • organization ポリシーで許可
  • ユーザー ポリシーで許可される
  • organization ポリシーによってブロックされる
  • ユーザー ポリシーによってブロックされる
  • なし
プライマリ オーバーライド ソース メッセージには、「ソースのオーバーライド」で識別される複数の許可またはブロック のオーバーライドを含めることができます。 最終的にメッセージを許可またはブロックしたオーバーライドは、 プライマリ オーバーライド ソースで識別されます。
1 つ以上の値を選択します。
  • サード パーティ製フィルター
  • 管理開始されたタイム トラベル (ZAP)
  • ファイルの種類別マルウェア対策ポリシー ブロック
  • スパム対策ポリシー設定
  • 接続ポリシー
  • Exchange トランスポート ルール
  • 排他モード (ユーザーオーバーライド)
  • オンプレミスのorganizationが原因でフィルター処理がスキップされました
  • ポリシーからの IP リージョン フィルター
  • ポリシーからの言語フィルター
  • フィッシング シミュレーション
  • 検疫のリリース
  • SecOps メールボックス
  • 送信者アドレス一覧 (管理オーバーライド)
  • 送信者アドレス一覧 (ユーザーのオーバーライド)
  • 送信者ドメインの一覧 (管理オーバーライド)
  • 送信者ドメインの一覧 (ユーザーのオーバーライド)
  • テナント許可/ブロック リスト ファイル ブロック
  • テナントの許可/ブロック リストの送信者の電子メール アドレス ブロック
  • テナントの許可/ブロック リストのスプーフィング ブロック
  • テナント許可/ブロック リスト URL ブロック
  • 信頼された連絡先リスト (ユーザーのオーバーライド)
  • 信頼されたドメイン (ユーザーのオーバーライド)
  • 信頼された受信者 (ユーザーのオーバーライド)
  • 信頼された送信者のみ (ユーザーのオーバーライド)
ソースをオーバーライドする プライマリ オーバーライド ソースと同じ値
ポリシーの種類 1 つ以上の値を選択します。
  • マルウェア対策ポリシー
  • フィッシング対策ポリシー
  • Exchange トランスポート ルール (メール フロー ルール)、 ホストされたコンテンツ フィルター ポリシー (スパム対策ポリシー)、 ホストされた送信スパム フィルター ポリシー (送信スパム ポリシー)、 安全な添付ファイル ポリシー
  • 不明
ポリシー アクション 1 つ以上の値を選択します。
  • x-header を追加する
  • Bcc メッセージ
  • メッセージを削除する
  • 件名を変更する
  • 迷惑メール Email フォルダーに移動する
  • アクションは実行されません
  • リダイレクト メッセージ
  • 検疫に送信する
脅威の種類 1 つ以上の値を選択します。
  • Malware
  • フィッシング
  • スパム
転送されたメッセージ 1 つ以上の値を選択します。
  • True
  • False
配布リスト 文字列。 複数の値をコンマで区切ります。
Email サイズ 整数型 複数の値をコンマで区切ります。
詳細設定
インターネット メッセージ ID 文字列。 複数の値をコンマで区切ります。

メッセージ ヘッダーの [Message-ID ヘッダー] フィールドで使用できます。 値の例を <08f1e0f6806a47b4ac103961109ae6ef@server.domain> します (山かっこに注意してください)。
ネットワーク メッセージ ID 文字列。 複数の値をコンマで区切ります。

メッセージ ヘッダーの X-MS-Exchange-Organization-Network-Message-Id ヘッダー フィールドで使用できる GUID 値。
[Sender IP (送信者の IP)] 文字列。 複数の値をコンマで区切ります。
添付ファイル SHA256 文字列。 複数の値をコンマで区切ります。
クラスター ID 文字列。 複数の値をコンマで区切ります。
アラート ID 文字列。 複数の値をコンマで区切ります。
アラート ポリシー ID 文字列。 複数の値をコンマで区切ります。
キャンペーン ID 文字列。 複数の値をコンマで区切ります。
ZAP URL シグナル 文字列。 複数の値をコンマで区切ります。
Urls
URL カウント 整数型 複数の値をコンマで区切ります。
URL domain² 文字列。 複数の値をコンマで区切ります。
URL ドメインとパス² 文字列。 複数の値をコンマで区切ります。
URL² 文字列。 複数の値をコンマで区切ります。
URL パス² 文字列。 複数の値をコンマで区切ります。
URL ソース 1 つ以上の値を選択します。
  • 添付ファイル
  • クラウドの添付ファイル
  • Email本文
  • Email ヘッダー
  • QRコード
  • 件名
  • 不明
クリック判定 1 つ以上の値を選択します。
  • 許可: ユーザーが URL を開くことを許可されました。
  • オーバーライドされたブロック: ユーザーは URL を直接開くのをブロックされましたが、ブロックをオーバーロードして URL を開きます。
  • ブロック: ユーザーが URL を開くのをブロックされました。
  • エラー: ユーザーにエラー ページが表示されたか、判定のキャプチャ中にエラーが発生しました。
  • 失敗: 判定のキャプチャ中に不明な例外が発生しました。 ユーザーが URL を開いている可能性があります。
  • なし: URL の判定をキャプチャできません。 ユーザーが URL を開いている可能性があります。
  • 保留中の判定: ユーザーに爆発保留中のページが表示されました。
  • 保留中の判定がバイパスされました: ユーザーに爆発ページが表示されましたが、URL を開くためにメッセージがオーバーロードされました。
URL 脅威 1 つ以上の値を選択します。
  • Malware
  • フィッシング
  • スパム
ファイル
添付ファイル数 整数型 複数の値をコンマで区切ります。
添付ファイルの名前 文字列。 複数の値をコンマで区切ります。
ファイルの種類 文字列。 複数の値をコンマで区切ります。
File Extension 文字列。 複数の値をコンマで区切ります。
File Size 整数型 複数の値をコンマで区切ります。
認証
SPF 1 つ以上の値を選択します。
  • Fail/失敗
  • 中間
  • なし
  • 通る
  • 永続的エラー
  • Soft fail
  • 一時的なエラー
DKIM 1 つ以上の値を選択します。
  • Error
  • Fail/失敗
  • 無視
  • なし
  • 通る
  • テスト
  • Timeout
  • 不明
DMARC 1 つ以上の値を選択します。
  • 最適な推測パス
  • Fail/失敗
  • なし
  • 通る
  • 永続的エラー
  • セレクター パス
  • 一時的なエラー
  • 不明
複合 1 つ以上の値を選択します。
  • Fail/失敗
  • なし
  • 通る
  • ソフト パス

ヒント

¹ 最新の配信場所 には、メッセージに対するエンドユーザーのアクションは含まれません。 たとえば、ユーザーがメッセージを削除した場合、またはメッセージをアーカイブまたは PST ファイルに移動した場合などです。

元の配信場所/Latest 配信場所または配信アクションの値が不明であるシナリオがあります。 以下に例を示します。

  • メッセージは配信されました ([配信] アクション[配信済み] ですが、受信トレイ ルールは、メッセージを [受信トレイ] フォルダーまたは [迷惑メール] Email フォルダー (下書きフォルダーやアーカイブ フォルダーなど) 以外の既定のフォルダーに移動しました。
  • ZAP は配信後にメッセージを移動しようとしましたが、メッセージが見つかりませんでした (たとえば、ユーザーがメッセージを移動または削除した場合)。

² URL 検索は、別の値が明示的に指定されていない限り、既定では httpにマップされます。 以下に例を示します。

  • URL、URL ドメインおよび URLドメインとパスhttp:// プレフィックスを指定して検索すると、同じ結果が表示されます。
  • URL で https:// プレフィックスを検索 します。 値を指定しない場合、 http:// プレフィックスが想定されます。
  • / URL パスURL ドメイン、URL ドメインおよびパス フィールドの先頭と末尾は無視されます。
  • / URL フィールドの末尾は無視されます。

Threat エクスプローラー の [すべてのメール] ビューのグラフのピボット

グラフには既定のビューがありますが、[ ヒストグラム グラフのピボットの選択] から値を選択して、フィルター処理されたグラフ データまたはフィルター処理されていないグラフ データの編成と表示方法を変更できます。

使用可能なグラフ ピボットについては、次のサブセクションで説明します。

Threat エクスプローラー の [すべてのメール] ビューの配信アクション グラフ ピボット

このピボットは既定では選択されていませんが、[ 配信] アクション[すべてのメール ] ビューの既定のグラフ ピボットです。

配信アクション ピボットは、指定された日付/時刻範囲とプロパティ フィルターに対してメッセージに対して実行されたアクションによってグラフを整理します。

[配信アクション] ピボットを使用した脅威エクスプローラーの [すべてのメール] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各配信アクションの数が表示されます。

[脅威] エクスプローラーの [すべてのメール] ビューの送信者ドメイン グラフ ピボット

Sender ドメイン ピボットは、指定された日付/時刻範囲とプロパティ フィルターのメッセージ内のドメイン別にグラフを整理します。

Sender ドメイン ピボットを使用した Threat エクスプローラーの [すべてのメール] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各送信者ドメインの数が表示されます。

[脅威] エクスプローラーの [すべてのメール] ビューの [送信者 IP グラフ] ピボット

Sender IP ピボットは、指定された日付/時刻範囲とプロパティ フィルターのメッセージのソース IP アドレスによってグラフを整理します。

Sender IP ピボットを使用した脅威エクスプローラーの [すべてのメール] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各送信者 IP アドレスの数が表示されます。

脅威エクスプローラーの [すべての電子メール] ビューの検出テクノロジ グラフピボット

検出テクノロジ ピボットは、指定した日付/時刻範囲とプロパティ フィルターのメッセージを識別した機能によってグラフを整理します。

[検出テクノロジ] ピボットを使用した脅威エクスプローラーの [すべてのメール] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各検出テクノロジの数が表示されます。

脅威エクスプローラーの [すべてのメール] ビューの完全な URL グラフ ピボット

[完全な URL] ピボットは、指定された日付/時刻範囲とプロパティ フィルターのメッセージ内の完全な URL によってグラフを整理します。

[完全な URL] ピボットを使用した脅威エクスプローラーの [すべてのメール] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、完全な URL ごとの数が表示されます。

脅威エクスプローラーの [すべてのメール] ビューの URL ドメイン グラフ ピボット

URL ドメイン ピボットは、指定された日付/時刻範囲とプロパティ フィルターのメッセージ内の URL 内のドメイン別にグラフを整理します。

URL ドメイン ピボットを使用した Threat エクスプローラーの [すべてのメール] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各 URL ドメインの数が表示されます。

脅威エクスプローラーの [すべての電子メール] ビューの URL ドメインとパス チャートのピボット

URL ドメインとパス ピボットは、指定された日付/時刻範囲とプロパティ フィルターのメッセージ内の URL 内のドメインとパスによってグラフを整理します。

URL ドメインとパス ピボットを使用した Threat エクスプローラーのすべての電子メール ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各 URL ドメインとパスの数が表示されます。

脅威エクスプローラーのすべての電子メール ビューの詳細領域のビュー

[すべての電子メール] ビューの詳細領域にある使用可能なビュー (タブ) については、次のサブセクションで説明します。

脅威エクスプローラーの [すべての電子メール] ビューの詳細領域のEmailビュー

Emailは、[すべてのメール] ビューの詳細領域の既定のビューです。

Email ビューには、詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定値にはアスタリスク (*) が付いています。

  • 日付*
  • 件名*
  • 受信者*
  • 受信者ドメイン
  • タグ*
  • 送信者アドレス*
  • 送信者の表示名
  • 送信者ドメイン*
  • [Sender IP (送信者の IP)]
  • アドレスからの差出人メール
  • ドメインからのメールの送信者
  • その他のアクション*
  • 配信アクション
  • 最新の配送場所*
  • 元の配送場所*
  • システムがソースをオーバーライドする
  • システムオーバーライド
  • アラート ID
  • インターネット メッセージ ID
  • ネットワーク メッセージ ID
  • メール言語
  • Exchange トランスポート ルール
  • Connector
  • Context
  • データ損失防止ルール
  • 脅威の種類*
  • 検出技術
  • 添付ファイル数
  • URL カウント
  • Email サイズ

ヒント

すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。

  • Web ブラウザーで水平方向にスクロールします。
  • 適切な列の幅を狭くします。
  • ビューから列を削除します。
  • Web ブラウザーで縮小します。

カスタマイズされた列設定は、ユーザーごとに保存されます。 Incognito または InPrivate 閲覧モードのカスタマイズされた列設定は、Web ブラウザーを閉じるまで保存されます。

最初の列の横にある [チェック] ボックスを選択して一覧から 1 つ以上のエントリを選択すると、Take アクションを使用できます。 詳細については、「脅威ハンティング: Email修復」を参照してください。

メッセージが選択され、[アクションの実行] がアクティブになっている詳細テーブルのEmail ビュー (タブ) のスクリーンショット。

エントリの [件名] の値で、[新しいウィンドウで開く] アクションを使用できます。 このアクションにより、Email エンティティ ページでメッセージが開きます。

エントリの [件名 ] または [ 受信者 ] の値をクリックすると、詳細ポップアップが開きます。 これらのポップアップについては、次のサブセクションで説明します。

[すべての電子メール] ビューの詳細領域のEmail ビューから詳細をEmailする

テーブル内のエントリの [件名] 値を選択すると、電子メールの詳細ポップアップが開きます。 この詳細ポップアップは、Email概要パネルと呼ばれ、メッセージのEmailエンティティ ページでも使用できる標準化された概要情報が含まれています。

Email概要パネルの情報の詳細については、「Defender のEmail概要パネル」を参照してください。

脅威のエクスプローラーとリアルタイム検出のEmail概要パネルの上部には、次のアクションを使用できます。

  • 電子メール エンティティを開く
  • ヘッダーの表示
  • アクションの実行: 詳細については、「脅威ハンティング: Email修復」を参照してください。
  • その他のオプション:
    • Email プレビュー¹ ²
    • 電子メールのダウンロード¹ ² ² ²
    • エクスプローラーで表示
    • Go hunt

¹ Email のプレビュー電子メールのダウンロードアクションには、コラボレーションのアクセス許可Email &プレビュー ロールが必要です。 既定では、このロールは Data InvestigatoreDiscovery Manager の役割グループに割り当てられます。 既定では、 組織の管理 または セキュリティ管理者の 役割グループのメンバーは、これらのアクションを実行できません。 これらのグループのメンバーに対してこれらのアクションを許可するには、次のオプションがあります。

  • データ調査または電子情報開示マネージャーの役割グループにユーザーを追加します。
  • 検索ロールと消去ロールが割り当てられた新しいロール グループを作成し、ユーザーをカスタム ロール グループに追加します。

² Microsoft 365 メールボックスで使用できる電子メール メッセージをプレビューまたはダウンロードできます。 メールボックスでメッセージが使用できなくなった場合の例を次に示します。

  • 配信または配信が失敗する前にメッセージが削除されました。
  • メッセージは 論理的に削除 されました (削除済みアイテム フォルダーから削除され、メッセージは回復可能なアイテム\削除フォルダーに移動されます)。
  • ZAP はメッセージを検疫に移動しました。

² メールの ダウンロード は、検疫されたメッセージでは使用できません。 代わりに、 検疫からメッセージのパスワードで保護されたコピーをダウンロードします

Go ハントは Threat エクスプローラー でのみ使用できます。 リアルタイム検出では使用できません。

[すべての電子メール] ビューの詳細領域のEmail ビューからの受信者の詳細

[受信者] の値をクリックしてエントリを選択すると、詳細ポップアップが開き、次の情報が表示されます。

ヒント

詳細ポップアップを残さずに他の受信者の詳細を表示するには、ポップアップの上部にある Previous アイテム次の項目 を使用します。

  • [概要 ] セクション:

    • ロール: 受信者に管理者ロールが割り当てられているかどうか。
    • ポリシー:
      • ユーザーがアーカイブ情報を表示するアクセス許可を持っているかどうか。
      • ユーザーが保持情報を表示するアクセス許可を持っているかどうか。
      • ユーザーがデータ損失防止 (DLP) によってカバーされているかどうか。
      • ユーザーがhttps://portal.office.com/EAdmin/Device/IntuneInventory.aspxでのモバイル管理の対象になっているかどうか。
  • Email セクション: 受信者に送信されるメッセージに関する次の関連情報を示す表。

    • Date
    • 件名
    • [受信者]

    [すべてのメールを表示] を選択して、受信者によってフィルター処理された新しいタブで [脅威のエクスプローラー] を開きます。

  • [最近のアラート ] セクション: 関連する最近のアラートに関する次の関連情報を示す表。

    • 重大度
    • アラート ポリシー
    • [カテゴリ]
    • アクティビティ

    最新のアラートが 3 つ以上ある場合は、[ 最近のすべてのアラートを表示 する] を選択して、すべてのアラートを表示します。

    • [最近のアクティビティ ] セクション: 受信者の 監査ログ検索 の集計結果を表示します。

      • Date
      • IP アドレス
      • アクティビティ
      • 項目

      受信者に 3 つ以上の監査ログ エントリがある場合は、[ 最近のすべてのアクティビティを表示 する] を選択して、すべてのアクティビティを表示します。

    ヒント

    Email &コラボレーションのアクセス許可セキュリティ管理者ロール グループのメンバーは、[最近のアクティビティ] セクションを展開できません。 監査ログ、Information Protection アナリスト、またはInformation Protection調査担当者ロールが割り当てられているExchange Onlineアクセス許可のロール グループのメンバーである必要があります。 既定では、これらのロールはレコード管理コンプライアンス管理Information ProtectionInformation Protection アナリストInformation Protection調査担当者組織管理ロール グループに割り当てられます。 セキュリティ管理者のメンバーをそれらの役割グループに追加することも、監査ログ ロールが割り当てられた新しいロール グループを作成することもできます。

[すべてのメール] ビューの詳細領域の [Email] タブで [受信者] の値を選択した後の受信者の詳細ポップアップのスクリーンショット。

脅威エクスプローラーのすべてのメール ビューの詳細領域の URL クリック ビュー

URL クリック ビューには、ピボットを使用して整理できるグラフが表示されます。 グラフには既定のビューがありますが、[ ヒストグラム グラフのピボットの選択] から値を選択して、フィルター処理されたグラフ データまたはフィルター処理されていないグラフ データの編成と表示方法を変更できます。

グラフのピボットについては、次のサブセクションで説明します。

[URL のクリック] タブが選択され、ピボットが選択されていない使用可能なピボットが表示されている、脅威エクスプローラーのすべてのメール ビューの詳細領域のスクリーンショット。

ヒント

脅威エクスプローラーでは、URL クリック ビューの各ピボットに[すべてのクリックを表示する] アクションが表示され、URL クリック ビューが新しいタブで開きます。

脅威エクスプローラーのすべての電子メール ビューの詳細領域の URL クリック ビューの URL ドメイン ピボット

このグラフ ピボットは選択されていないように見えますが、 URL ドメイン は URL クリック ビューの既定のグラフ ピボットです。

URL ドメイン ピボットには、指定した日付/時刻範囲とプロパティ フィルターの電子メール メッセージ内の URL のさまざまなドメインが表示されます。

[URL のクリック] タブと [URL ドメイン] ピボットが選択されている[脅威エクスプローラーのすべての電子メール] ビューの詳細領域のスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各 URL ドメインの数が表示されます。

脅威エクスプローラーの [すべての電子メール] ビューの詳細領域の URL クリック ビューの [判定ピボット] をクリックします

[クリック判定] ピボットには、指定した日付/時刻範囲とプロパティ フィルターの電子メール メッセージ内のクリックされた URL に対するさまざまな判定が表示されます。

[URL のクリック] タブと [クリック判定] ピボットが選択されている [脅威のエクスプローラー] の [すべてのメール] ビューの詳細領域のスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、クリック判定ごとのカウントが表示されます。

脅威エクスプローラーのすべてのメール ビューの詳細領域の URL クリック ビューの URL ピボット

URL ピボットには、指定した日付/時刻範囲とプロパティ フィルターの電子メール メッセージでクリックされたさまざまな URL が表示されます。

[URL のクリック] タブと [URL] ピボットが選択されている [脅威のエクスプローラー] の [すべてのメール] ビューの詳細領域のスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各 URL の数が表示されます。

脅威エクスプローラーの [すべての電子メール] ビューの詳細領域の URL クリック ビューの URL ドメインとパス ピボット

URL ドメインとパス のピボットには、指定した日付/時刻範囲とプロパティ フィルターの電子メール メッセージでクリックされた URL のさまざまなドメインとファイル パスが表示されます。

[URL のクリック] タブと [URL ドメインとパス] ピボットが選択されている[脅威エクスプローラーのすべての電子メール] ビューの詳細領域のスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各 URL ドメインとファイル パスの数が表示されます。

脅威エクスプローラーのすべてのメール ビューの詳細領域の上位 URL ビュー

[ 上位 URL] ビューには、詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。

  • URL
  • ブロックされたメッセージ
  • 迷惑メッセージ
  • 配信されたメッセージ
[すべてのメール] ビューの上位 URL の詳細

最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開き、次の情報が表示されます。

ヒント

詳細ポップアップを残さずに他の URL の詳細を表示するには、ポップアップの上部にある Previous 項目次の項目 を使用します。

  • ポップアップの上部には、次のアクションを使用できます。
    • URL ページを開く

    • 分析のために送信する:

      • レポート クリーン
      • フィッシングを報告する
      • マルウェアの報告
    • 管理インジケーター:

      • インジケーターの追加
      • テナント ブロック リストで管理する

      これらのオプションのいずれかを選択すると、Defender ポータルの [申請] ページに移動します。

    • その他:

      • エクスプローラーで表示
      • Go hunt
  • 元の URL
  • 検出 セクション:
    • 脅威インテリジェンスの判定
    • x アクティブなアラート y インシデント: このリンクに関連する および情報 のアラートの数を示す横棒グラフ。
    • [URL] ページですべてのインシデント & アラートを表示するためのリンク。
  • [ドメインの詳細 ] セクション:
    • ドメイン名 と [ドメインの 表示] ページへのリンク。
    • 登録
    • 登録済み
    • 更新日
    • 有効期限が切れる
  • [登録者の連絡先情報 ] セクション:
    • 記録係
    • 国/地域設定
    • 郵送先住所
    • 電子メール
    • 電話
    • 詳細情報: Whois で開くへのリンク。
  • URL の普及率 (過去 30 日間) セクション: デバイスEmailクリック数が含まれます。 各値を選択して、完全な一覧を表示します。
  • デバイス: 影響を受けるデバイスを表示します。
    • 日付 (最初/最後)

    • デバイス

      複数のデバイスが関与している場合は、[ すべてのデバイスを表示 ] を選択して、すべてのデバイスを表示します。

Threat エクスプローラー の [すべてのメール] ビューの [上位 URL] タブでエントリを選択した後の詳細ポップアップのスクリーンショット。

脅威エクスプローラーの [すべてのメール] ビューの詳細領域の上部クリック ビュー

[ 上位クリック ] ビューに詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。

  • URL
  • ブロック済み
  • オーバーライドされたブロック
  • 保留中の評決
  • 保留中の判定がバイパスされました
  • なし
  • [エラー] ページ
  • 失敗

ヒント

使用可能なすべての列が選択されます。 [ 列のカスタマイズ] を選択した場合、列の選択を解除することはできません。

すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。

  • Web ブラウザーで水平方向にスクロールします。
  • 適切な列の幅を狭くします。
  • Web ブラウザーで縮小します。

最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、「 すべてのメール ビューの上位 URL の詳細」で説明されている情報と同じです。

脅威エクスプローラーの [すべてのメール] ビューの詳細領域を対象とする上位のユーザー ビュー

[ 上位の対象ユーザー ] ビューでは、最も脅威の対象であった上位 5 人の受信者のテーブルにデータが整理されます。 テーブルには、次の情報が含まれています。

  • 上位の対象ユーザー: 受信者のメール アドレス。 受信者のアドレスを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、[すべての電子メール] ビューの詳細領域のEmailビューの [受信者の詳細] で説明されているのと同じです。

  • 試行回数: 試行回数を選択すると、脅威エクスプローラーが受信者によってフィルター処理された新しいタブで開きます。

ヒント

Export を使用して、最大 3,000 人のユーザーと対応する試行の一覧をエクスポートします。

脅威エクスプローラーの [すべての電子メール] ビューの詳細領域の配信元ビューをEmailします

Email配信元ビューには、世界地図上のメッセージ ソースが表示されます。

Threat エクスプローラー のすべてのメール ビューの詳細領域にあるEmail配信元ビューのワールド マップのスクリーンショット。

脅威エクスプローラーのすべてのメール ビューの詳細領域のキャンペーン ビュー

[ キャンペーン] ビューに詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。

表の情報は、[ キャンペーン] ページの詳細テーブルで説明されている情報と同じです。

[名前] の横にある [チェック] ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、「 キャンペーンの詳細」で説明されている情報と同じです。

脅威のエクスプローラーとリアルタイム検出のマルウェア ビュー

[脅威のエクスプローラーとリアルタイム検出] の [マルウェア] ビューには、マルウェアが含まれていることが検出された電子メール メッセージに関する情報が表示されます。 このビューは、リアルタイム検出の既定値です。

[マルウェア] ビューを開くには、次のいずれかの手順を実行します。

  • 脅威エクスプローラー: https://security.microsoft.comの Defender ポータルの [エクスプローラー] ページで、[コラボレーション]、[>エクスプローラー>マルウェア] タブEmail &移動します。または、https://security.microsoft.com/threatexplorerv3を使用してエクスプローラー ページに直接移動し、[マルウェア] タブを選択します。
  • リアルタイム検出: https://security.microsoft.comの Defender ポータルの [リアルタイム検出] ページで、[コラボレーション]、[>エクスプローラー>[マルウェア] タブEmail &移動します。または、https://security.microsoft.com/realtimereportsv3を使用して [リアルタイム検出] ページに直接移動し、[マルウェア] タブが選択されていることを確認します。

[脅威] エクスプローラーの [マルウェア] ビューのスクリーンショット。グラフ、グラフで使用可能なピボット、詳細テーブルのビューが表示されています。

脅威のエクスプローラーとリアルタイム検出の [マルウェア] ビューのフィルター可能なプロパティ

既定では、プロパティ フィルターはデータに適用されません。 フィルター (クエリ) を作成する手順については、この記事の後半の「脅威のエクスプローラーとリアルタイム検出のフィルター」セクションで説明します。

[マルウェア] ビューの [送信者アドレス] ボックスで使用できるフィルター可能なプロパティについて、次の表で説明します。

プロパティ 脅威
エクスプローラー
リアルタイム
検出
基本
[送信者のアドレス] 文字列。 複数の値をコンマで区切ります。
受信者 文字列。 複数の値をコンマで区切ります。
送信者ドメイン 文字列。 複数の値をコンマで区切ります。
受信者ドメイン 文字列。 複数の値をコンマで区切ります。
件名 文字列。 複数の値をコンマで区切ります。
送信者の表示名 文字列。 複数の値をコンマで区切ります。
アドレスからの差出人メール 文字列。 複数の値をコンマで区切ります。
ドメインからのメールの送信者 文字列。 複数の値をコンマで区切ります。
戻りパス 文字列。 複数の値をコンマで区切ります。
戻りパス ドメイン 文字列。 複数の値をコンマで区切ります。
マルウェア ファミリ 文字列。 複数の値をコンマで区切ります。
タグ 文字列。 複数の値をコンマで区切ります。

ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
Exchange トランスポート ルール 文字列。 複数の値をコンマで区切ります。
データ損失防止ルール 文字列。 複数の値をコンマで区切ります。
Context 1 つ以上の値を選択します。
  • 評価
  • 優先アカウント保護
Connector 文字列。 複数の値をコンマで区切ります。
配信アクション 1 つ以上の値を選択します。
  • ブロック済み
  • 配信済み
  • 迷惑メールに配信
  • 置換済み: 安全な添付ファイル ポリシーで動的配信に置き換えられたメッセージ添付ファイル。
追加アクション 1 つ以上の値を選択します。
方向性 1 つ以上の値を選択します。
  • 受信
  • Intra-irg
  • 送信
検出技術 1 つ以上の値を選択します。
  • 高度なフィルター: 機械学習に基づくシグナル。
  • マルウェア対策保護
  • バルク
  • Campaign
  • ドメイン評判
  • ファイルの爆発: 安全な添付ファイルは、 爆発分析中に悪意のある添付ファイルを検出しました。
  • ファイル爆発の評判: 他の Microsoft 365 組織の 安全な添付ファイル の爆発によって以前に検出された添付ファイル。
  • ファイルの評判: メッセージには、以前に他の Microsoft 365 組織で悪意があると識別されたファイルが含まれています。
  • 指紋照合: メッセージは、以前に検出された悪意のあるメッセージによく似ています。
  • 一般的なフィルター
  • 偽装ブランド: 既知のブランドの送信者偽装。
  • 偽装ドメイン: フィッシング対策ポリシーで保護するために所有または指定した送信者ドメインの偽装
  • 偽装ユーザー
  • IP 評判
  • メールボックス インテリジェンス偽装: フィッシング対策ポリシーでのメールボックス インテリジェンスからの偽装検出。
  • 混合分析の検出: 複数のフィルターがメッセージの判定に貢献しました。
  • スプーフィング DMARC: メッセージが DMARC 認証に失敗しました。
  • 外部ドメインのスプーフィング: organizationの外部にあるドメインを使用した送信者の電子メール アドレスのスプーフィング。
  • 組織内でのスプーフィング: organizationの内部にあるドメインを使用した送信者のメール アドレススプーフィング。
  • URL の爆発: 安全なリンク は、爆発分析中にメッセージ内の悪意のある URL を検出しました。
  • URL 爆発評判: 他の Microsoft 365 組織の 安全なリンク 爆発によって以前に検出された URL。
  • URL の悪意のある評判: メッセージには、以前に他の Microsoft 365 組織で悪意があると識別された URL が含まれています。
元の配送場所 1 つ以上の値を選択します。
  • 削除済みアイテム フォルダー
  • 削除
  • Failed
  • 受信トレイ/フォルダー
  • [Junk folder (迷惑メール フォルダー)]
  • オンプレミス/外部
  • 検疫
  • 不明
最新の配送場所 元の配信場所と同じ値
プライマリオーバーライド 1 つ以上の値を選択します。
  • organization ポリシーで許可
  • ユーザー ポリシーで許可される
  • organization ポリシーによってブロックされる
  • ユーザー ポリシーによってブロックされる
  • なし
プライマリ オーバーライド ソース メッセージには、「ソースのオーバーライド」で識別される複数の許可またはブロック のオーバーライドを含めることができます。 最終的にメッセージを許可またはブロックしたオーバーライドは、 プライマリ オーバーライド ソースで識別されます。
1 つ以上の値を選択します。
  • サード パーティ製フィルター
  • 管理開始されたタイム トラベル (ZAP)
  • ファイルの種類別マルウェア対策ポリシー ブロック
  • スパム対策ポリシー設定
  • 接続ポリシー
  • Exchange トランスポート ルール
  • 排他モード (ユーザーオーバーライド)
  • オンプレミスのorganizationが原因でフィルター処理がスキップされました
  • ポリシーからの IP リージョン フィルター
  • ポリシーからの言語フィルター
  • フィッシング シミュレーション
  • 検疫のリリース
  • SecOps メールボックス
  • 送信者アドレス一覧 (管理オーバーライド)
  • 送信者アドレス一覧 (ユーザーのオーバーライド)
  • 送信者ドメインの一覧 (管理オーバーライド)
  • 送信者ドメインの一覧 (ユーザーのオーバーライド)
  • テナント許可/ブロック リスト ファイル ブロック
  • テナントの許可/ブロック リストの送信者の電子メール アドレス ブロック
  • テナントの許可/ブロック リストのスプーフィング ブロック
  • テナント許可/ブロック リスト URL ブロック
  • 信頼された連絡先リスト (ユーザーのオーバーライド)
  • 信頼されたドメイン (ユーザーのオーバーライド)
  • 信頼された受信者 (ユーザーのオーバーライド)
  • 信頼された送信者のみ (ユーザーのオーバーライド)
ソースをオーバーライドする プライマリ オーバーライド ソースと同じ値
ポリシーの種類 1 つ以上の値を選択します。
  • マルウェア対策ポリシー
  • フィッシング対策ポリシー
  • Exchange トランスポート ルール (メール フロー ルール)、 ホストされたコンテンツ フィルター ポリシー (スパム対策ポリシー)、 ホストされた送信スパム フィルター ポリシー (送信スパム ポリシー)、 安全な添付ファイル ポリシー
  • 不明
ポリシー アクション 1 つ以上の値を選択します。
  • x-header を追加する
  • Bcc メッセージ
  • メッセージを削除する
  • 件名を変更する
  • 迷惑メール Email フォルダーに移動する
  • アクションは実行されません
  • リダイレクト メッセージ
  • 検疫に送信する
Email サイズ 整数型 複数の値をコンマで区切ります。
詳細設定
インターネット メッセージ ID 文字列。 複数の値をコンマで区切ります。

メッセージ ヘッダーの [Message-ID ヘッダー] フィールドで使用できます。 値の例を <08f1e0f6806a47b4ac103961109ae6ef@server.domain> します (山かっこに注意してください)。
ネットワーク メッセージ ID 文字列。 複数の値をコンマで区切ります。

メッセージ ヘッダーの X-MS-Exchange-Organization-Network-Message-Id ヘッダー フィールドで使用できる GUID 値。
[Sender IP (送信者の IP)] 文字列。 複数の値をコンマで区切ります。
添付ファイル SHA256 文字列。 複数の値をコンマで区切ります。
クラスター ID 文字列。 複数の値をコンマで区切ります。
アラート ID 文字列。 複数の値をコンマで区切ります。
アラート ポリシー ID 文字列。 複数の値をコンマで区切ります。
キャンペーン ID 文字列。 複数の値をコンマで区切ります。
ZAP URL シグナル 文字列。 複数の値をコンマで区切ります。
Urls
URL カウント 整数型 複数の値をコンマで区切ります。
URL ドメイン 文字列。 複数の値をコンマで区切ります。
URL ドメインとパス 文字列。 複数の値をコンマで区切ります。
URL 文字列。 複数の値をコンマで区切ります。
URL のパス 文字列。 複数の値をコンマで区切ります。
URL ソース 1 つ以上の値を選択します。
  • 添付ファイル
  • クラウドの添付ファイル
  • Email本文
  • Email ヘッダー
  • QRコード
  • 件名
  • 不明
クリック判定 1 つ以上の値を選択します。
  • 許可
  • オーバーライドされたブロック
  • ブロック済み
  • Error
  • 失敗
  • なし
  • 保留中の評決
  • 保留中の判定がバイパスされました
URL 脅威 1 つ以上の値を選択します。
  • Malware
  • フィッシング
  • スパム
ファイル
添付ファイル数 整数型 複数の値をコンマで区切ります。
添付ファイルの名前 文字列。 複数の値をコンマで区切ります。
ファイルの種類 文字列。 複数の値をコンマで区切ります。
File Extension 文字列。 複数の値をコンマで区切ります。
File Size 整数型 複数の値をコンマで区切ります。
認証
SPF 1 つ以上の値を選択します。
  • Fail/失敗
  • 中間
  • なし
  • 通る
  • 永続的エラー
  • Soft fail
  • 一時的なエラー
DKIM 1 つ以上の値を選択します。
  • Error
  • Fail/失敗
  • 無視
  • なし
  • 通る
  • テスト
  • Timeout
  • 不明
DMARC 1 つ以上の値を選択します。
  • 最適な推測パス
  • Fail/失敗
  • なし
  • 通る
  • 永続的エラー
  • セレクター パス
  • 一時的なエラー
  • 不明
複合 1 つ以上の値を選択します。
  • Fail/失敗
  • なし
  • 通る
  • ソフト パス

[脅威のエクスプローラーとリアルタイム検出] の [マルウェア] ビューのグラフのピボット

グラフには既定のビューがありますが、[ ヒストグラム グラフのピボットの選択] から値を選択して、フィルター処理されたグラフ データまたはフィルター処理されていないグラフ データの編成と表示方法を変更できます。

[脅威のエクスプローラーとリアルタイム検出] の [マルウェア] ビューで使用できるグラフ ピボットを次の表に示します。

ピボット 脅威
エクスプローラー
リアルタイム
検出
マルウェア ファミリ
送信元ドメイン
[Sender IP (送信者の IP)]
配信アクション
検出技術

使用可能なグラフ ピボットについては、次のサブセクションで説明します。

脅威エクスプローラーの [マルウェア] ビューのマルウェア ファミリ グラフ ピボット

このピボットは既定では選択されていませんが、マルウェア ファミリは、[脅威] エクスプローラーの [マルウェア] ビューの既定のグラフ ピボットです。

マルウェア ファミリ ピボットは、指定された日付/時刻範囲とプロパティ フィルターのメッセージで検出されたマルウェア ファミリによってグラフを整理します。

マルウェア ファミリ ピボットを使用した脅威エクスプローラーの [マルウェア] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各マルウェア ファミリの数が表示されます。

脅威エクスプローラーの [マルウェア] ビューの送信者ドメイン グラフ ピボット

Sender Domain ピボットは、指定した日付/時刻範囲とプロパティ フィルターに対するマルウェアが含まれていると検出されたメッセージの送信者ドメインによってグラフを整理します。

Sender ドメイン ピボットを使用した脅威エクスプローラーの [マルウェア] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各送信者ドメインの数が表示されます。

脅威エクスプローラーの [マルウェア] ビューの [送信者 IP グラフ] ピボット

Sender IP ピボットは、指定された日付/時刻範囲とプロパティ フィルターに対するマルウェアが含まれていることが検出されたメッセージのソース IP アドレスによってグラフを整理します。

Sender IP ピボットを使用した脅威エクスプローラーの [マルウェア] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各ソース IP アドレスの数が表示されます。

[脅威のエクスプローラーとリアルタイム検出] の [マルウェア] ビューの配信アクション グラフ ピボット

このピボットは既定では選択されていませんが、 配信アクション は、リアルタイム検出の [ マルウェア ] ビューの既定のグラフ ピボットです。

配信アクション ピボットは、指定された日付/時刻範囲とプロパティ フィルターに対するマルウェアが含まれていることが検出されたメッセージに何が起こったかによってグラフを整理します。

配信アクション ピボットを使用した脅威エクスプローラーの [マルウェア] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各配信アクションの数が表示されます。

脅威のエクスプローラーとリアルタイム検出の [マルウェア] ビューの検出テクノロジ チャート ピボット

検出テクノロジ ピボットは、指定された日付/時刻範囲とプロパティ フィルターのメッセージ内のマルウェアを識別した機能によってグラフを整理します。

検出テクノロジ ピボットを使用した脅威エクスプローラーの [マルウェア] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各検出テクノロジの数が表示されます。

脅威のエクスプローラーとリアルタイム検出の [マルウェア] ビューの詳細領域のビュー

[マルウェア] ビューの詳細領域にある使用可能なビュー (タブ) を次の表に示し、次のサブセクションで説明します。

表示 脅威
エクスプローラー
リアルタイム
検出
電子メール
上位のマルウェア ファミリ
上位の対象ユーザー
Email配信元
Campaign

[脅威のエクスプローラーとリアルタイム検出] の [マルウェア] ビューの詳細領域のEmailビュー

Emailは、[脅威のエクスプローラーとリアルタイム検出] の [マルウェア] ビューの詳細領域の既定のビューです。

Email ビューには、詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。

次の表は、Threat エクスプローラー とリアルタイム検出で使用できる列を示しています。 既定値はアスタリスク (*) でマークされます。

Column 脅威
エクスプローラー
リアルタイム
検出
日付*
件名*
受信者*
受信者ドメイン
タグ*
送信者アドレス*
送信者の表示名
送信者ドメイン*
[Sender IP (送信者の IP)]
アドレスからの差出人メール
ドメインからのメールの送信者
その他のアクション*
配信アクション
最新の配送場所*
元の配送場所*
システムがソースをオーバーライドする
システムオーバーライド
アラート ID
インターネット メッセージ ID
ネットワーク メッセージ ID
メール言語
Exchange トランスポート ルール
Connector
Context
データ損失防止ルール
脅威の種類*
検出技術
添付ファイル数
URL カウント
メール サイズ

ヒント

すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。

  • Web ブラウザーで水平方向にスクロールします。
  • 適切な列の幅を狭くします。
  • ビューから列を削除します。
  • Web ブラウザーで縮小します。

カスタマイズされた列設定は、ユーザーごとに保存されます。 Incognito または InPrivate 閲覧モードのカスタマイズされた列設定は、Web ブラウザーを閉じるまで保存されます。

最初の列の横にあるチェック ボックスをオンにして一覧から 1 つ以上のエントリを選択すると、 Take アクション を使用できます。 詳細については、「 脅威ハンティング: 電子メールの修復」を参照してください。

メッセージが選択され、[アクションの実行] がアクティブになっている詳細テーブルの [電子メール] ビュー (タブ) のスクリーンショット。

エントリの [件名 ] または [ 受信者 ] の値をクリックすると、詳細ポップアップが開きます。 これらのポップアップについては、次のサブセクションで説明します。

[マルウェア] ビューの詳細領域の [電子メール] ビューからの電子メールの詳細

テーブル内のエントリの [件名] 値を選択すると、電子メールの詳細ポップアップが開きます。 この詳細ポップアップは、Email概要パネルと呼ばれ、メッセージのEmailエンティティ ページでも使用できる標準化された概要情報が含まれています。

Email概要パネルの情報の詳細については、「Emailの概要パネル」を参照してください。

[脅威のエクスプローラーとリアルタイム検出] のEmailの概要パネルの上部にある使用可能なアクションは、[すべての電子メール] ビューの詳細領域のEmailビューのEmailの詳細で説明されています。

[マルウェア] ビューの詳細領域のEmail ビューからの受信者の詳細

[受信者] の値をクリックしてエントリを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、[すべての電子メール] ビューの詳細領域のEmailビューの [受信者の詳細] で説明されているのと同じです。

脅威エクスプローラーの [マルウェア] ビューの詳細領域の上位マルウェア ファミリ ビュー

詳細領域 の [上位マルウェア ファミリ ] ビューでは、上位のマルウェア ファミリのテーブルにデータが整理されます。 表は、以下を示しています。

  • [上位のマルウェア ファミリ ] 列: マルウェア ファミリ名。

    マルウェア ファミリ名を選択すると、次の情報を含む詳細ポップアップが開きます。

    • Email セクション: マルウェア ファイルを含むメッセージに関する次の関連情報を示す表。

      • Date
      • 件名
      • [受信者]

      [すべてのメールを表示] を選択して、マルウェア ファミリ名でフィルター処理された新しいタブで [脅威のエクスプローラー] を開きます。

    • 技術的な詳細 セクション

    脅威エクスプローラーの [マルウェア] ビューの詳細領域の [上位のマルウェア ファミリ] タブからマルウェア ファミリを選択した後の詳細ポップアップのスクリーンショット。

  • 試行回数: 試行回数を選択すると、脅威のエクスプローラーが、マルウェア ファミリ名でフィルター処理された新しいタブで開きます。

脅威エクスプローラーの [マルウェア] ビューの詳細領域を対象とする上位のユーザー ビュー

[ 上位の対象ユーザー ] ビューでは、マルウェアの対象になった上位 5 人の受信者のテーブルにデータが整理されます。 表は、以下を示しています。

ヒント

Export を使用して、最大 3,000 人のユーザーと対応する試行の一覧をエクスポートします。

脅威エクスプローラーの [マルウェア] ビューの詳細領域の配信元ビューをEmailします

Email配信元ビューには、世界地図上のメッセージ ソースが表示されます。

脅威エクスプローラーの [マルウェア] ビューの詳細領域のキャンペーン ビュー

[ キャンペーン] ビューに詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。

詳細テーブルは、[ キャンペーン] ページの詳細テーブルと同じです。

[名前] の横にある [チェック] ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、「 キャンペーンの詳細」で説明されている情報と同じです。

脅威のエクスプローラーとリアルタイム検出のフィッシング ビュー

[脅威のエクスプローラーとリアルタイム検出] の [フィッシング] ビューには、フィッシングとして識別された電子メール メッセージに関する情報が表示されます。

フィッシング ビューを開くには、次のいずれかの手順を実行します。

  • 脅威のエクスプローラー: https://security.microsoft.comの Defender ポータルの [エクスプローラー] ページで、[Email &コラボレーション]、[>エクスプローラー>Phish] タブに移動します。または、https://security.microsoft.com/threatexplorerv3を使用してエクスプローラー ページに直接移動し、[フィッシング] タブを選択します。
  • リアルタイム検出: https://security.microsoft.comの Defender ポータルの [リアルタイム検出] ページで、[コラボレーション]、[>エクスプローラー>Phish] タブEmail &移動します。または、https://security.microsoft.com/realtimereportsv3を使用して [リアルタイム検出] ページに直接移動し、[フィッシング] タブを選択します。

[脅威] エクスプローラーのフィッシング ビューのスクリーンショット。グラフ、グラフで使用可能なピボット、詳細テーブルのビューが表示されています。

脅威のエクスプローラーとリアルタイム検出の [フィッシング] ビューのフィルター可能なプロパティ

既定では、プロパティ フィルターはデータに適用されません。 フィルター (クエリ) を作成する手順については、この記事の後半の「脅威のエクスプローラーとリアルタイム検出のフィルター」セクションで説明します。

[マルウェア] ビューの [送信者アドレス] ボックスで使用できるフィルター可能なプロパティについて、次の表で説明します。

プロパティ 脅威
エクスプローラー
リアルタイム
検出
基本
[送信者のアドレス] 文字列。 複数の値をコンマで区切ります。
受信者 文字列。 複数の値をコンマで区切ります。
送信者ドメイン 文字列。 複数の値をコンマで区切ります。
受信者ドメイン 文字列。 複数の値をコンマで区切ります。
件名 文字列。 複数の値をコンマで区切ります。
送信者の表示名 文字列。 複数の値をコンマで区切ります。
アドレスからの差出人メール 文字列。 複数の値をコンマで区切ります。
ドメインからのメールの送信者 文字列。 複数の値をコンマで区切ります。
戻りパス 文字列。 複数の値をコンマで区切ります。
戻りパス ドメイン 文字列。 複数の値をコンマで区切ります。
タグ 文字列。 複数の値をコンマで区切ります。

ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
偽装ドメイン 文字列。 複数の値をコンマで区切ります。
偽装ユーザー 文字列。 複数の値をコンマで区切ります。
Exchange トランスポート ルール 文字列。 複数の値をコンマで区切ります。
データ損失防止ルール 文字列。 複数の値をコンマで区切ります。
Context 1 つ以上の値を選択します。
  • 評価
  • 優先アカウント保護
Connector 文字列。 複数の値をコンマで区切ります。
配信アクション 1 つ以上の値を選択します。
  • ブロック済み
  • 配信済み
  • 迷惑メールに配信
  • 置換済み: 安全な添付ファイル ポリシーで動的配信に置き換えられたメッセージ添付ファイル。
追加アクション 1 つ以上の値を選択します。
  • 自動修復
  • 動的配信
  • 手動修復
  • なし
  • 検疫のリリース
  • 再処理済み
  • ZAP
方向性 1 つ以上の値を選択します。
  • 受信
  • Intra-irg
  • 送信
検出技術 1 つ以上の値を選択します。
  • 高度なフィルター
  • マルウェア対策保護
  • バルク
  • Campaign
  • ドメイン評判
  • ファイルのデトネーション
  • ファイルのデトネーションの評価
  • ファイルの評価
  • 指紋の一致
  • 一般的なフィルター
  • 偽装ブランド
  • 偽装ドメイン
  • 偽装ユーザー
  • IP 評判
  • メールボックス インテリジェンス偽装
  • 複合分析の検出
  • なりすまし DMARC
  • 外部ドメインになりすます
  • 組織内のなりすまし
  • URL のデトネーション
  • URL のデトネーションの評価
  • URL に悪意があるとする評価
元の配送場所 1 つ以上の値を選択します。
  • 削除済みアイテム フォルダー
  • 削除
  • Failed
  • 受信トレイ/フォルダー
  • [Junk folder (迷惑メール フォルダー)]
  • オンプレミス/外部
  • 検疫
  • 不明
最新の配送場所 元の配信場所と同じ値
フィッシングの信頼度レベル 1 つ以上の値を選択します。
  • High
  • Normal
プライマリオーバーライド 1 つ以上の値を選択します。
  • organization ポリシーで許可
  • ユーザー ポリシーで許可される
  • organization ポリシーによってブロックされる
  • ユーザー ポリシーによってブロックされる
  • なし
プライマリ オーバーライド ソース メッセージには、「ソースのオーバーライド」で識別される複数の許可またはブロック のオーバーライドを含めることができます。 最終的にメッセージを許可またはブロックしたオーバーライドは、 プライマリ オーバーライド ソースで識別されます。
1 つ以上の値を選択します。
  • サード パーティ製フィルター
  • 管理開始されたタイム トラベル (ZAP)
  • ファイルの種類別マルウェア対策ポリシー ブロック
  • スパム対策ポリシー設定
  • 接続ポリシー
  • Exchange トランスポート ルール
  • 排他モード (ユーザーオーバーライド)
  • オンプレミスのorganizationが原因でフィルター処理がスキップされました
  • ポリシーからの IP リージョン フィルター
  • ポリシーからの言語フィルター
  • フィッシング シミュレーション
  • 検疫のリリース
  • SecOps メールボックス
  • 送信者アドレス一覧 (管理オーバーライド)
  • 送信者アドレス一覧 (ユーザーのオーバーライド)
  • 送信者ドメインの一覧 (管理オーバーライド)
  • 送信者ドメインの一覧 (ユーザーのオーバーライド)
  • テナント許可/ブロック リスト ファイル ブロック
  • テナントの許可/ブロック リストの送信者の電子メール アドレス ブロック
  • テナントの許可/ブロック リストのスプーフィング ブロック
  • テナント許可/ブロック リスト URL ブロック
  • 信頼された連絡先リスト (ユーザーのオーバーライド)
  • 信頼されたドメイン (ユーザーのオーバーライド)
  • 信頼された受信者 (ユーザーのオーバーライド)
  • 信頼された送信者のみ (ユーザーのオーバーライド)
ソースをオーバーライドする プライマリ オーバーライド ソースと同じ値
ポリシーの種類 1 つ以上の値を選択します。
  • マルウェア対策ポリシー
  • フィッシング対策ポリシー
  • Exchange トランスポート ルール (メール フロー ルール)、 ホストされたコンテンツ フィルター ポリシー (スパム対策ポリシー)、 ホストされた送信スパム フィルター ポリシー (送信スパム ポリシー)、 安全な添付ファイル ポリシー
  • 不明
ポリシー アクション 1 つ以上の値を選択します。
  • x-header を追加する
  • Bcc メッセージ
  • メッセージを削除する
  • 件名を変更する
  • 迷惑メール Email フォルダーに移動する
  • アクションは実行されません
  • リダイレクト メッセージ
  • 検疫に送信する
Email サイズ 整数型 複数の値をコンマで区切ります。
詳細設定
インターネット メッセージ ID 文字列。 複数の値をコンマで区切ります。

メッセージ ヘッダーの [Message-ID ヘッダー] フィールドで使用できます。 値の例を <08f1e0f6806a47b4ac103961109ae6ef@server.domain> します (山かっこに注意してください)。
ネットワーク メッセージ ID 文字列。 複数の値をコンマで区切ります。

メッセージ ヘッダーの X-MS-Exchange-Organization-Network-Message-Id ヘッダー フィールドで使用できる GUID 値。
[Sender IP (送信者の IP)] 文字列。 複数の値をコンマで区切ります。
添付ファイル SHA256 文字列。 複数の値をコンマで区切ります。
クラスター ID 文字列。 複数の値をコンマで区切ります。
アラート ID 文字列。 複数の値をコンマで区切ります。
アラート ポリシー ID 文字列。 複数の値をコンマで区切ります。
キャンペーン ID 文字列。 複数の値をコンマで区切ります。
ZAP URL シグナル 文字列。 複数の値をコンマで区切ります。
Urls
URL カウント 整数型 複数の値をコンマで区切ります。
URL ドメイン 文字列。 複数の値をコンマで区切ります。
URL ドメインとパス 文字列。 複数の値をコンマで区切ります。
URL 文字列。 複数の値をコンマで区切ります。
URL のパス 文字列。 複数の値をコンマで区切ります。
URL ソース 1 つ以上の値を選択します。
  • 添付ファイル
  • クラウドの添付ファイル
  • Email本文
  • Email ヘッダー
  • QRコード
  • 件名
  • 不明
クリック判定 1 つ以上の値を選択します。
  • 許可
  • オーバーライドされたブロック
  • ブロック済み
  • Error
  • 失敗
  • なし
  • 保留中の評決
  • 保留中の判定がバイパスされました
URL 脅威 1 つ以上の値を選択します。
  • Malware
  • フィッシング
  • スパム
ファイル
添付ファイル数 整数型 複数の値をコンマで区切ります。
添付ファイルの名前 文字列。 複数の値をコンマで区切ります。
ファイルの種類 文字列。 複数の値をコンマで区切ります。
File Extension 文字列。 複数の値をコンマで区切ります。
File Size 整数型 複数の値をコンマで区切ります。
認証
SPF 1 つ以上の値を選択します。
  • Fail/失敗
  • 中間
  • なし
  • 通る
  • 永続的エラー
  • Soft fail
  • 一時的なエラー
DKIM 1 つ以上の値を選択します。
  • Error
  • Fail/失敗
  • 無視
  • なし
  • 通る
  • テスト
  • Timeout
  • 不明
DMARC 1 つ以上の値を選択します。
  • 最適な推測パス
  • Fail/失敗
  • なし
  • 通る
  • 永続的エラー
  • セレクター パス
  • 一時的なエラー
  • 不明
複合 1 つ以上の値を選択します。
  • Fail/失敗
  • なし
  • 通る
  • ソフト パス

[脅威のエクスプローラーとリアルタイム検出] の [フィッシング] ビューのグラフのピボット

グラフには既定のビューがありますが、[ ヒストグラム グラフのピボットの選択] から値を選択して、フィルター処理されたグラフ データまたはフィルター処理されていないグラフ データの編成と表示方法を変更できます。

[脅威のエクスプローラーとリアルタイム検出] の [フィッシング] ビューで使用できるグラフ ピボットを次の表に示します。

ピボット 脅威
エクスプローラー
リアルタイム
検出
送信元ドメイン
[Sender IP (送信者の IP)]
配信アクション
検出技術
完全な URL
URL ドメイン
URL ドメインとパス

使用可能なグラフ ピボットについては、次のサブセクションで説明します。

脅威エクスプローラーとリアルタイム検出のフィッシング ビューの送信者ドメイン グラフ ピボット

このピボットは既定では選択されていませんが、 送信者ドメイン は、リアルタイム検出の [フィッシング ] ビューの既定のグラフ ピボットです。

Sender ドメイン ピボットは、指定された日付/時刻範囲とプロパティ フィルターのメッセージ内のドメイン別にグラフを整理します。

Sender ドメイン ピボットを使用した Threat エクスプローラー の [フィッシング] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各送信者ドメインの数が表示されます。

脅威エクスプローラーの [フィッシング] ビューの [送信者 IP グラフ] ピボット

Sender IP ピボットは、指定された日付/時刻範囲とプロパティ フィルターのメッセージのソース IP アドレスによってグラフを整理します。

Sender IP ピボットを使用した脅威エクスプローラーのフィッシング ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各ソース IP アドレスの数が表示されます。

[脅威のエクスプローラーとリアルタイム検出] の [フィッシング] ビューの配信アクション グラフ ピボット

このピボットは既定では選択されていませんが、配信アクションは、Threat エクスプローラー の [フィッシング] ビューの既定のグラフ ピボットです。

配信アクション ピボットは、指定された日付/時刻範囲とプロパティ フィルターに対してメッセージに対して実行されたアクションによってグラフを整理します。

[配信アクション] ピボットを使用した脅威エクスプローラーの [フィッシング] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各配信アクションの数が表示されます。

脅威エクスプローラーとリアルタイム検出のフィッシング ビューの検出テクノロジ グラフ ピボット

検出テクノロジ ピボットは、指定された日付/時刻範囲とプロパティ フィルターのフィッシング メッセージを識別した機能によってグラフを整理します。

検出テクノロジ ピボットを使用した脅威エクスプローラーの [フィッシング] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各検出テクノロジの数が表示されます。

脅威エクスプローラーの [フィッシング] ビューの完全な URL グラフ ピボット

[完全な URL] ピボットは、指定された日付/時刻範囲とプロパティ フィルターのフィッシング メッセージの完全な URL によってグラフを整理します。

[完全な URL] ピボットを使用した脅威エクスプローラーの [フィッシング] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、完全な URL ごとの数が表示されます。

脅威エクスプローラーとリアルタイム検出のフィッシング ビューの URL ドメイン グラフ ピボット

URL ドメイン ピボットは、指定された日付/時刻範囲とプロパティ フィルターのフィッシング メッセージ内の URL 内のドメイン別にグラフを整理します。

URL ドメイン ピボットを使用した Threat エクスプローラーの [フィッシング] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各 URL ドメインの数が表示されます。

脅威エクスプローラーの [フィッシング] ビューの URL ドメインとパス チャートピボット

URL ドメインとパス ピボットは、指定された日付/時刻範囲とプロパティ フィルターのフィッシング メッセージ内の URL 内のドメインとパスによってグラフを整理します。

URL ドメインとパス ピボットを使用した脅威エクスプローラーのフィッシング ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各 URL ドメインとパスの数が表示されます。

脅威エクスプローラーのフィッシング ビューの詳細領域のビュー

フィッシング ビューの詳細領域にある使用可能なビュー (タブ) を次の表に示し、次のサブセクションで説明します。

表示 脅威
エクスプローラー
リアルタイム
検出
電子メール
URL のクリック
上位 URL
上位のクリック数
上位の対象ユーザー
Email配信元
Campaign

脅威エクスプローラーとリアルタイム検出のフィッシング ビューの詳細領域のEmailビュー

Emailは、[脅威のエクスプローラーとリアルタイム検出] の [フィッシング] ビューの詳細領域の既定のビューです。

Email ビューには、詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。

次の表は、Threat エクスプローラー とリアルタイム検出で使用できる列を示しています。 既定値はアスタリスク (*) でマークされます。

Column 脅威
エクスプローラー
リアルタイム
検出
日付*
件名*
受信者*
受信者ドメイン
タグ*
送信者アドレス*
送信者の表示名
送信者ドメイン*
[Sender IP (送信者の IP)]
アドレスからの差出人メール
ドメインからのメールの送信者
その他のアクション*
配信アクション
最新の配送場所*
元の配送場所*
システムがソースをオーバーライドする
システムオーバーライド
アラート ID
インターネット メッセージ ID
ネットワーク メッセージ ID
メール言語
Exchange トランスポート ルール
Connector
フィッシングの信頼度レベル
Context
データ損失防止ルール
脅威の種類*
検出技術
添付ファイル数
URL カウント
Email サイズ

ヒント

すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。

  • Web ブラウザーで水平方向にスクロールします。
  • 適切な列の幅を狭くします。
  • ビューから列を削除します。
  • Web ブラウザーで縮小します。

カスタマイズされた列設定は、ユーザーごとに保存されます。 Incognito または InPrivate 閲覧モードのカスタマイズされた列設定は、Web ブラウザーを閉じるまで保存されます。

最初の列の横にある [チェック] ボックスを選択して一覧から 1 つ以上のエントリを選択すると、Take アクションを使用できます。 詳細については、「脅威ハンティング: Email修復」を参照してください。

メッセージが選択され、[アクションの実行] がアクティブになっている詳細テーブルのEmail ビュー (タブ) のスクリーンショット。

エントリの [件名 ] または [ 受信者 ] の値をクリックすると、詳細ポップアップが開きます。 これらのポップアップについては、次のサブセクションで説明します。

フィッシング ビューの詳細領域のEmail ビューから詳細をEmailする

テーブル内のエントリの [件名] 値を選択すると、電子メールの詳細ポップアップが開きます。 この詳細ポップアップは、Email概要パネルと呼ばれ、メッセージのEmailエンティティ ページでも使用できる標準化された概要情報が含まれています。

Email概要パネルの情報の詳細については、「Defender for Office 365機能のEmail概要パネル」を参照してください。

[脅威のエクスプローラーとリアルタイム検出] のEmailの概要パネルの上部にある使用可能なアクションは、[すべての電子メール] ビューの詳細領域のEmailビューのEmailの詳細で説明されています。

フィッシング ビューの詳細領域のEmail ビューからの受信者の詳細

[受信者] の値をクリックしてエントリを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、[すべての電子メール] ビューの詳細領域のEmailビューの [受信者の詳細] で説明されているのと同じです。

脅威エクスプローラーとリアルタイム検出のフィッシング ビューの詳細領域の URL クリック ビュー

URL クリック ビューには、ピボットを使用して整理できるグラフが表示されます。 グラフには既定のビューがありますが、[ ヒストグラム グラフのピボットの選択] から値を選択して、フィルター処理されたグラフ データまたはフィルター処理されていないグラフ データの編成と表示方法を変更できます。

[脅威のエクスプローラーとリアルタイム検出] の [マルウェア] ビューで使用できるグラフ ピボットを次の表に示します。

ピボット 脅威
エクスプローラー
リアルタイム
検出
URL ドメイン
クリック判定
URL
URL ドメインとパス

Threat エクスプローラー の [すべてのメール] ビューで、同じグラフ ピボットを使用して説明します。

[URL クリック] タブが選択され、ピボットが選択されていない使用可能なピボットが表示されている、脅威エクスプローラーのフィッシング ビューの詳細領域のスクリーンショット。

ヒント

脅威エクスプローラーでは、URL クリック ビューの各ピボットに[すべてのクリックを表示する] アクションが表示され、新しいタブの [脅威] エクスプローラーで URL クリック ビューが開きます。URL クリック ビューはリアルタイム検出では使用できないため、このアクションはリアルタイム検出では使用できません。

脅威エクスプローラーとリアルタイム検出のフィッシング ビューの詳細領域の上位 URL ビュー

[ 上位 URL] ビューには、詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。

  • URL
  • ブロックされたメッセージ
  • 迷惑メッセージ
  • 配信されたメッセージ
フィッシング ビューの上位 URL の詳細

最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、「 すべてのメール ビューの上位 URL の詳細」で説明されている情報と同じです。

ヒント

Go ハント アクションは、Threat エクスプローラー でのみ使用できます。 リアルタイム検出では使用できません。

脅威エクスプローラーとリアルタイム検出のフィッシング ビューの詳細領域のトップ クリック ビュー

[ 上位クリック ] ビューに詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。

  • URL
  • ブロック済み
  • オーバーライドされたブロック
  • 保留中の評決
  • 保留中の判定がバイパスされました
  • なし
  • [エラー] ページ
  • 失敗

ヒント

使用可能なすべての列が選択されます。 [ 列のカスタマイズ] を選択した場合、列の選択を解除することはできません。

すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。

  • Web ブラウザーで水平方向にスクロールします。
  • 適切な列の幅を狭くします。
  • Web ブラウザーで縮小します。

最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、「 すべてのメール ビューの上位 URL の詳細」で説明されている情報と同じです。

脅威エクスプローラーの [フィッシング] ビューの詳細領域を対象とする上位のユーザー ビュー

[ 上位の対象ユーザー ] ビューでは、フィッシング詐欺の対象になった上位 5 人の受信者のテーブルにデータが整理されます。 表は、以下を示しています。

ヒント

Export を使用して、最大 3,000 人のユーザーと対応する試行の一覧をエクスポートします。

脅威エクスプローラーのフィッシング ビューの詳細領域の配信元ビューをEmailします

Email配信元ビューには、世界地図上のメッセージ ソースが表示されます。

脅威エクスプローラーのフィッシング ビューの詳細領域のキャンペーン ビュー

[ キャンペーン] ビューに詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。

表の情報は、[ キャンペーン] ページの詳細テーブルで説明されている情報と同じです。

[名前] の横にある [チェック] ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、「 キャンペーンの詳細」で説明されている情報と同じです。

[脅威] エクスプローラーの [キャンペーン] ビュー

[脅威] エクスプローラーの [キャンペーン] ビューには、organizationに固有の、または Microsoft 365 の他の組織に対して、調整されたフィッシング攻撃とマルウェア攻撃として識別された脅威に関する情報が表示されます。

https://security.microsoft.comの Defender ポータルの [エクスプローラー] ページで [キャンペーン] ビューを開くには、[コラボレーション]、[>エクスプローラー>Campaigns] タブEmail &移動します。または、https://security.microsoft.com/threatexplorerv3を使用してエクスプローラー ページに直接移動し、[キャンペーン] タブ選択します。

使用可能なすべての情報とアクションは、https://security.microsoft.com/campaignsv3[キャンペーン] ページの情報とアクションと同じです。 詳細については、Microsoft Defender ポータルの「キャンペーン」ページを参照してください。

[脅威] エクスプローラーの [キャンペーン] ビューのスクリーンショット。グラフ、グラフで使用できるピボット、詳細テーブルのビューが表示されています。

脅威エクスプローラーとリアルタイム検出のコンテンツ マルウェア ビュー

[脅威のエクスプローラーとリアルタイム検出] の [コンテンツ マルウェア] ビューには、マルウェアとして識別されたファイルに関する情報が表示されます。

[コンテンツ マルウェア] ビューを開くには、次のいずれかの手順を実行します。

  • 脅威のエクスプローラー: https://security.microsoft.comの Defender ポータルの [エクスプローラー] ページで、[Email &のコラボレーション]、[>エクスプローラー>[マルウェア] タブに移動します。または、https://security.microsoft.com/threatexplorerv3を使用してエクスプローラー ページに直接移動し、[コンテンツマルウェア] タブを選択します。
  • リアルタイム検出: https://security.microsoft.comの Defender ポータルの [リアルタイム検出] ページで、[Email &のコラボレーション]、[>エクスプローラー>[Content malware]\(マルウェアのEmail &\) タブに移動します。または、https://security.microsoft.com/realtimereportsv3を使用して [リアルタイム検出] ページに直接移動し、[コンテンツ マルウェア] タブを選択します。

Threat エクスプローラーの Cotent マルウェア ビューのスクリーンショット。グラフ、グラフで使用可能なピボット、および詳細テーブルのビューが表示されています。

脅威のエクスプローラーとリアルタイム検出の [コンテンツ マルウェア] ビューのフィルター可能なプロパティ

既定では、プロパティ フィルターはデータに適用されません。 フィルター (クエリ) を作成する手順については、この記事の後半の「脅威のエクスプローラーとリアルタイム検出のフィルター」セクションで説明します。

[脅威のエクスプローラーとリアルタイム検出] の [コンテンツ マルウェア] ビューの [ファイル名] ボックスで使用できるフィルター可能なプロパティを次の表に示します。

プロパティ 脅威
エクスプローラー
リアルタイム
検出
ファイル
ファイル名 文字列。 複数の値をコンマで区切ります。
Workload 1 つ以上の値を選択します。
  • OneDrive
  • SharePoint
  • Teams
サイト 文字列。 複数の値をコンマで区切ります。
ファイル所有者 文字列。 複数の値をコンマで区切ります。
最終更新者 文字列。 複数の値をコンマで区切ります。
SHA256 整数型 複数の値をコンマで区切ります。

Windows でファイルの SHA256 ハッシュ値を見つけるには、コマンド プロンプトで次のコマンドを実行します: certutil.exe -hashfile "<Path>\<Filename>" SHA256
マルウェア ファミリ 文字列。 複数の値をコンマで区切ります。
検出技術 1 つ以上の値を選択します。
  • 高度なフィルター
  • マルウェア対策保護
  • バルク
  • Campaign
  • ドメイン評判
  • ファイルのデトネーション
  • ファイルのデトネーションの評価
  • ファイルの評価
  • 指紋の一致
  • 一般的なフィルター
  • 偽装ブランド
  • 偽装ドメイン
  • 偽装ユーザー
  • IP 評判
  • メールボックス インテリジェンス偽装
  • 複合分析の検出
  • なりすまし DMARC
  • 外部ドメインになりすます
  • 組織内のなりすまし
  • URL のデトネーション
  • URL のデトネーションの評価
  • URL に悪意があるとする評価
脅威の種類 1 つ以上の値を選択します。
  • Block
  • Malware
  • フィッシング
  • スパム

[脅威のエクスプローラーとリアルタイム検出] の [コンテンツ マルウェア] ビューのグラフのピボット

グラフには既定のビューがありますが、[ ヒストグラム グラフのピボットの選択] から値を選択して、フィルター処理されたグラフ データまたはフィルター処理されていないグラフ データの編成と表示方法を変更できます。

[脅威のエクスプローラーとリアルタイム検出] の [コンテンツ マルウェア] ビューで使用できるグラフ ピボットを次の表に示します。

ピボット 脅威
エクスプローラー
リアルタイム
検出
マルウェア ファミリ
検出技術
Workload

使用可能なグラフ ピボットについては、次のサブセクションで説明します。

脅威エクスプローラーとリアルタイム検出のコンテンツ マルウェア ビューのマルウェア ファミリ チャート ピボット

このピボットは既定では選択されていませんが、マルウェア ファミリは、[脅威のエクスプローラーとリアルタイム検出] の [コンテンツマルウェア] ビューの既定のグラフ ピボットです。

マルウェア ファミリ ピボットは、指定した日付/時刻範囲とプロパティ フィルターを使用して、SharePoint、OneDrive、およびMicrosoft Teamsのファイルで識別されたマルウェアによってグラフを整理します。

マルウェア ファミリ ピボットを使用した Threat エクスプローラー の [コンテンツ マルウェア] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各マルウェア ファミリの数が表示されます。

脅威エクスプローラーとリアルタイム検出のコンテンツ マルウェア ビューの検出テクノロジ チャート ピボット

検出テクノロジ ピボットは、指定された日付/時刻範囲とプロパティ フィルターの SharePoint、OneDrive、およびMicrosoft Teams内のファイル内のマルウェアを識別した機能によってグラフを整理します。

検出テクノロジ ピボットを使用した Threat エクスプローラーの [コンテンツ マルウェア] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各検出テクノロジの数が表示されます。

脅威エクスプローラーとリアルタイム検出のコンテンツ マルウェア ビューのワークロード グラフ ピボット

ワークロード ピボットは、指定された日付/時刻範囲とプロパティ フィルターに対してマルウェアが特定された場所 (SharePoint、OneDrive、またはMicrosoft Teams) によってグラフを整理します。

ワークロード ピボットを使用した脅威エクスプローラーの [マルウェア] ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各ワークロードの数が表示されます。

脅威のエクスプローラーとリアルタイム検出のコンテンツ マルウェア ビューの詳細領域のビュー

[脅威のエクスプローラーとリアルタイム検出] で、[コンテンツ マルウェア] ビューの詳細領域に含まれる [ドキュメント] という名前のビュー (タブ) は 1 つだけです。 このビューについては、次のサブセクションで説明します。

脅威エクスプローラーとリアルタイム検出のコンテンツ マルウェア ビューの詳細領域のドキュメント ビュー

ドキュメント は既定で、[ コンテンツ マルウェア ] ビューの詳細領域のみを表示します。

[ドキュメント] ビューには、詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定値にはアスタリスク (*) が付いています。

  • 日付*
  • 名前*
  • ワークロード*
  • 威嚇*
  • 検出技術*
  • 最後にユーザーを変更する*
  • ファイル所有者*
  • サイズ (バイト)*
  • 最終変更時刻
  • サイト パス
  • ファイル パス
  • ドキュメント ID
  • SHA256
  • 検出された日付
  • マルウェア ファミリ
  • Context

ヒント

すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。

  • Web ブラウザーで水平方向にスクロールします。
  • 適切な列の幅を狭くします。
  • ビューから列を削除します。
  • Web ブラウザーで縮小します。

カスタマイズされた列設定は、ユーザーごとに保存されます。 Incognito または InPrivate 閲覧モードのカスタマイズされた列設定は、Web ブラウザーを閉じるまで保存されます。

[名前] 列からファイル名の値を選択すると、詳細ポップアップが開きます。 ポップアップには、次の情報が含まれています。

  • [概要 ] セクション:

    • Filename
    • サイト パス
    • ファイル パス
    • ドキュメント ID
    • SHA256
    • 最終日付の変更
    • 最終更新者
    • 脅威
    • 検出技術
  • 詳細 セクション:

    • 検出された日付
    • によって検出される
    • マルウェア名
    • 最終更新者
    • ファイル サイズ
    • ファイル所有者
  • Emailリスト セクション: マルウェア ファイルを含むメッセージに関する次の関連情報を示す表。

    • Date
    • 件名
    • [受信者]

    [すべてのメールを表示] を選択して、マルウェア ファミリ名でフィルター処理された新しいタブで [脅威のエクスプローラー] を開きます。

  • 最近のアクティビティ: 受信者の 監査ログ検索 の集計結果を表示します。

    • Date
    • IP アドレス
    • アクティビティ
    • 項目

    受信者に 3 つ以上の監査ログ エントリがある場合は、[ 最近のすべてのアクティビティを表示 する] を選択して、すべてのアクティビティを表示します。

    ヒント

    Email &コラボレーションのアクセス許可セキュリティ管理者ロール グループのメンバーは、[最近のアクティビティ] セクションを展開できません。 監査ログ、Information Protection アナリスト、またはInformation Protection調査担当者ロールが割り当てられているExchange Onlineアクセス許可のロール グループのメンバーである必要があります。 既定では、これらのロールはレコード管理コンプライアンス管理Information ProtectionInformation Protection アナリストInformation Protection調査担当者組織管理ロール グループに割り当てられます。 セキュリティ管理者のメンバーをそれらの役割グループに追加することも、監査ログ ロールが割り当てられた新しいロール グループを作成することもできます。

[脅威のエクスプローラーとリアルタイム検出] の [コンテンツ] マルウェア ビューの詳細領域の [ドキュメント] ビューからの詳細ポップアップのスクリーンショット。

脅威エクスプローラーの URL クリック ビュー

脅威エクスプローラーの URL クリック ビューには、メール内の URL、SharePoint と OneDrive のサポートされている Office ファイル、およびMicrosoft Teamsのすべてのユーザークリックが表示されます。

https://security.microsoft.comの Defender ポータルの [エクスプローラー] ページで URL クリック ビューを開くには、[Email &コラボレーション>エクスプローラーURL クリック] タブに移動します。または、を使用してエクスプローラー ページに直接移動し、[URL のクリック] タブを選択します。

[脅威] エクスプローラーの URL クリック ビューのスクリーンショット。グラフ、グラフで使用可能なピボット、詳細テーブルのビューが表示されています。

脅威エクスプローラーの URL クリック ビューのフィルター可能なプロパティ

既定では、プロパティ フィルターはデータに適用されません。 フィルター (クエリ) を作成する手順については、この記事の後半の「脅威のエクスプローラーとリアルタイム検出のフィルター」セクションで説明します。

脅威エクスプローラーの URL クリック ビューの [受信者] ボックスで使用できるフィルター可能なプロパティを次の表に示します。

プロパティ
基本
受信者 文字列。 複数の値をコンマで区切ります。
タグ 文字列。 複数の値をコンマで区切ります。

ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
ネットワーク メッセージ ID 文字列。 複数の値をコンマで区切ります。

メッセージ ヘッダーの X-MS-Exchange-Organization-Network-Message-Id ヘッダー フィールドで使用できる GUID 値。
URL 文字列。 複数の値をコンマで区切ります。
アクションをクリックする 1 つ以上の値を選択します。
  • 許可
  • [ブロック] ページ
  • ページのオーバーライドをブロックする
  • [エラー] ページ
  • 失敗
  • なし
  • [保留中の爆発] ページ
  • [保留中のデトネーション] ページのオーバーライド
脅威の種類 1 つ以上の値を選択します。
  • 許可
  • Block
  • Malware
  • フィッシング
  • スパム
検出技術 1 つ以上の値を選択します。
  • URL のデトネーション
  • URL のデトネーションの評価
  • URL に悪意があるとする評価
[ID] をクリックします 文字列。 複数の値をコンマで区切ります。
クライアント IP 文字列。 複数の値をコンマで区切ります。

脅威エクスプローラーの URL クリック ビューのグラフのピボット

グラフには既定のビューがありますが、[ ヒストグラム グラフのピボットの選択] から値を選択して、フィルター処理されたグラフ データまたはフィルター処理されていないグラフ データの編成と表示方法を変更できます。

使用可能なグラフ ピボットについては、次のサブセクションで説明します。

脅威エクスプローラーの URL クリック ビューの URL ドメイン グラフ ピボット

このピボットは既定では選択されていませんが、 URL ドメインは URLクリック ビューの既定のグラフ ピボットです。

URL ドメイン ピボットは、ユーザーがメール、Office ファイル、または指定した日付/時刻範囲とプロパティ フィルターのMicrosoft Teamsでクリックした URL 内のドメイン別にグラフを整理します。

URL ドメイン ピボットを使用した脅威エクスプローラーの URL クリック ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各 URL ドメインの数が表示されます。

脅威エクスプローラーの URL クリック ビューのワークロード グラフ ピボット

ワークロード ピボットは、指定された日付/時刻範囲とプロパティ フィルターのクリックされた URL (メール、Office ファイル、またはMicrosoft Teams) の場所によってグラフを整理します。

ワークロード ピボットを使用した脅威エクスプローラーの URL クリック ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各ワークロードの数が表示されます。

脅威エクスプローラーの URL クリック ビューの検出テクノロジ グラフ ピボット

検出テクノロジ ピボットは、指定された日付/時刻範囲とプロパティ フィルターの電子メール、Office ファイル、またはMicrosoft Teamsの URL クリックを識別した機能によってグラフを整理します。

検出テクノロジ ピボットを使用した脅威エクスプローラーの URL クリック ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、各検出テクノロジの数が表示されます。

脅威エクスプローラーの URL クリック ビューの脅威の種類のグラフ ピボット

[脅威の種類] ピボットでは、指定した日付/時刻範囲とプロパティ フィルターのクリックされた URL、Office ファイル、またはMicrosoft Teamsの結果によってグラフが整理されます。

脅威の種類のピボットを使用した脅威エクスプローラーの URL クリック ビューのグラフのスクリーンショット。

グラフ内のデータ ポイントにカーソルを合わせると、脅威の種類のテクノロジごとの数が表示されます。

脅威エクスプローラーの URL クリック ビューの詳細領域のビュー

URL クリック ビューの詳細領域にある使用可能なビュー (タブ) については、次のサブセクションで説明します。

脅威エクスプローラーの URL クリック ビューの詳細領域の結果ビュー

結果 は、 URL クリック ビューの詳細領域の既定のビューです。

[結果] ビューには、詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定では、すべての列が選択されます。

  • クリックされた時間
  • [受信者]
  • URL クリック アクション
  • URL
  • Tags
  • ネットワーク メッセージ ID
  • [ID] をクリックします
  • クライアント IP
  • URL チェーン
  • 脅威の種類
  • 検出技術

ヒント

すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。

  • Web ブラウザーで水平方向にスクロールします。
  • 適切な列の幅を狭くします。
  • ビューから列を削除します。
  • Web ブラウザーで縮小します。

カスタマイズされた列設定は、ユーザーごとに保存されます。 Incognito または InPrivate 閲覧モードのカスタマイズされた列設定は、Web ブラウザーを閉じるまで保存されます。

行の最初の列の横にある [チェック] ボックスを選択して 1 つまたは複数のエントリを選択し、[すべてのメールを表示] を選択し、選択したメッセージの [ネットワーク メッセージ ID] の値でフィルター処理された新しいタブの [すべてのメール] ビューで [脅威のエクスプローラー] を開きます。

脅威エクスプローラーの URL クリック ビューの詳細領域の上位クリック ビュー

[ 上位クリック ] ビューに詳細テーブルが表示されます。 使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。

  • URL
  • ブロック済み
  • オーバーライドされたブロック
  • 保留中の評決
  • 保留中の判定がバイパスされました
  • なし
  • [エラー] ページ
  • 失敗

ヒント

使用可能なすべての列が選択されます。 [ 列のカスタマイズ] を選択した場合、列の選択を解除することはできません。

すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。

  • Web ブラウザーで水平方向にスクロールします。
  • 適切な列の幅を狭くします。
  • Web ブラウザーで縮小します。

行の最初の列の横にある [チェック] ボックスを選択してエントリを選択し、[すべてのクリックを表示] を選択して、URL クリック ビューの新しいタブで [脅威のエクスプローラー] を開きます。

最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開きます。 ポップアップの情報は、「 すべてのメール ビューの上位 URL の詳細」で説明されている情報と同じです。

脅威エクスプローラーの URL クリック ビューの詳細領域の上位ターゲット ユーザー ビュー

[ 上位ターゲット ユーザー ] ビューでは、URL をクリックした上位 5 人の受信者のテーブルにデータが整理されます。 表は、以下を示しています。

ヒント

Export を使用して、最大 3,000 人のユーザーと対応する試行の一覧をエクスポートします。

脅威のエクスプローラーとリアルタイム検出のプロパティ フィルター

プロパティ フィルター/クエリの基本的な構文は次のとおりです。

Condition = <Filter プロパティ><Filter 演算子><Property 値または値>

複数の条件で、次の構文が使用されます。

<Condition1><AND |OR><Condition2><AND |OR><Condition3>... <AND |OR><ConditionN>

ヒント

ワイルドカード検索 (**** または ?) は、テキストまたは整数値ではサポートされていません。 Subject プロパティは部分的なテキスト マッチングを使用し、ワイルドカード検索のような結果が生成されます。

プロパティ フィルター/クエリ条件を作成する手順は、Threat エクスプローラー とリアルタイム検出のすべてのビューで同じです。

  1. この記事の前のプレビュー ビューの説明セクションのテーブルを使用して、フィルター プロパティを特定します。

  2. 使用可能なフィルター演算子を選択します。 使用可能なフィルター演算子は、次の表に示すようにプロパティの種類によって異なります。

    フィルター演算子 プロパティの種類
    のいずれかと等しい テキスト
    整数
    控えめな値
    のいずれも等しくない テキスト
    控えめな値
    より大きい 整数
    未満 整数
  3. 1 つ以上のプロパティ値を入力または選択します。 テキスト値と整数の場合は、複数の値をコンマで区切って入力できます。

    プロパティ値内の複数の値は、OR 論理演算子を使用します。 たとえば、 Sender address>Equal any>bob@fabrikam.com,cindy@fabrikam.com は、 Sender address>Equal any>bob@fabrikam.com OR cindy@fabrikam.comを意味します。

    1 つ以上のプロパティ値を入力または選択すると、フィルター作成ボックスの下に完了したフィルター条件が表示されます。

    ヒント

    1 つ以上の使用可能な値を選択する必要があるプロパティの場合、すべての値を選択したフィルター条件で プロパティを使用すると、フィルター条件で プロパティを使用しないのと同じ結果になります。

  4. 別の条件を追加するには、前の 3 つの手順を繰り返します。

    フィルター作成ボックスの下の条件は、2 番目以降の条件を作成した時点で選択された論理演算子で区切られます。 既定値は AND ですが、 OR を選択することもできます。

    同じ論理演算子がすべての条件の間で使用されます。これらはすべて AND であるか、すべて OR です。 既存の論理演算子を変更するには、論理演算子ボックスを選択し、 AND または OR を選択します。

    既存の条件を編集するには、それをダブルクリックして、選択したプロパティ、フィルター演算子、および値を対応するボックスに戻します。

    既存の条件を削除するには、条件の を選択します。

  5. グラフと詳細テーブルにフィルターを適用するには、[更新] を選択します

    複数の条件を示す Threat エクスプローラー またはリアルタイム検出のクエリ例のスクリーンショット。

Threat エクスプローラー に保存されたクエリ

ヒント

保存クエリ脅威トラッカー の一部であり、リアルタイム検出では使用できません。 保存されたクエリと脅威トラッカーは、Defender for Office 365プラン 2 でのみ使用できます。

保存クエリ は、[ コンテンツ] マルウェア ビューでは使用できません。

Threat エクスプローラーのほとんどのビューでは、後で使用するためにフィルター (クエリ) を保存できます。 保存されたクエリは、https://security.microsoft.com/threattrackerv2の Defender ポータルの [脅威トラッカー] ページで使用できます。 脅威トラッカーの詳細については、「Microsoft Defender for Office 365 Plan 2 の脅威トラッカー」を参照してください。

Threat エクスプローラーにクエリを保存するには、次の手順を実行します。

  1. 前に説明したようにフィルター/クエリを作成した後、[クエリの保存]>[クエリの保存] を選択します。

  2. 開いた [クエリの保存] ポップアップで、次のオプションを構成します。

    • クエリ名: クエリの一意の名前を入力します。
    • 以下のいずれかのオプションを選択します。
      • 正確な日付: ボックスで開始日と終了日を選択します。 選択できる最も古い開始日は、今日の 30 日前です。 選択できる最新の終了日は今日です。
      • 相対日付: 検索の実行時に [過去 nn 日を表示する] で日数を選択します。 既定値は 7 ですが、1 から 30 を選択できます。
    • クエリの追跡: 既定では、このオプションは選択されていません。 このオプションは、クエリが自動的に実行されるかどうかに影響します。
      • [クエリの追跡] が選択されていない: クエリは、Threat エクスプローラーで手動で実行できます。 クエリは、[脅威トラッカー] ページの [保存されたクエリ] タブに[追跡対象クエリ] プロパティ値 [いいえ] と共に保存されます。
      • 選択したクエリの追跡 : クエリはバックグラウンドで定期的に実行されます。 クエリは、[脅威トラッカー] ページの [保存されたクエリ] タブで、[追跡されたクエリ] プロパティ値 [はい] で使用できます。 クエリの定期的な結果は、[脅威トラッカー] ページの [追跡されたクエリ] タブに表示されます。

    [クエリの保存] ポップアップが完了したら、[保存] を選択し、確認ダイアログで [OK] を選択します

Defender ポータルの [脅威] エクスプローラーの [クエリの保存] ポップアップのスクリーンショット。

https://security.microsoft.com/threattrackerv2の Defender ポータルの [脅威トラッカー] ページの [保存されたクエリ] タブまたは [追跡されたクエリ] タブで、[アクション] 列の [探索] を選択して、Threat エクスプローラーでクエリを開いて使用できます。

[脅威トラッカー] ページから [探索] を選択してクエリを開くと、 エクスプローラー ページの [クエリの保存] ページで、[クエリの名前を付けて保存する] と [保存されたクエリ設定] を使用できるようになりました。

  • [クエリ名前を付けて保存] を選択すると、[クエリの保存] ポップアップが開き、以前に選択したすべての設定が表示されます。 変更を行った場合は、[保存] を選択し、[成功] ダイアログで [OK] を選択すると、更新されたクエリが [脅威トラッカー] ページに新しいクエリとして保存されます (表示するにはRefresh を選択する必要がある場合があります)。

  • [ 保存されたクエリ設定] を選択すると、[ 保存されたクエリ設定 ] ポップアップが開き、既存のクエリの日付と [クエリ設定の追跡] を更新できます。

[クエリを名前を付けて保存] と [保存されたクエリ設定] を使用できる [Threat エクスプローラー でクエリを保存する] のスクリーンショット。

詳細