Microsoft Defender ポータルで電子メール セキュリティ レポートを表示する
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
すべての Microsoft 365 組織では、電子メール セキュリティ機能によってorganizationがどのように保護されているかを確認するのに役立つさまざまなレポートを利用できます。 必要なアクセス許可がある場合は、この記事の説明に従ってこれらのレポートを表示およびダウンロードできます。
レポートは、Email & コラボレーション レポート ページのhttps://security.microsoft.comにあるMicrosoft Defender ポータルのレポート>Email &コラボレーション レポート>Email &使用できます。 または、[Email & コラボレーション レポート] ページに直接移動するには、https://security.microsoft.com/emailandcollabreportを使用します。
各レポートの概要情報は、ページで入手できます。 表示するレポートを特定し、[そのレポートの 詳細の表示 ] を選択します。
この記事の残りの部分では、Defender for Office 365専用のレポートについて説明します。
注:
[Email & コラボレーション レポート] ページのレポートの一部は、Microsoft Defender for Office 365専用です。 これらのレポートの詳細については、「Microsoft Defender ポータルでDefender for Office 365 レポートを表示する」を参照してください。
メール フローに関連するレポートが Exchange 管理センターに表示されるようになりました。 これらのレポートの詳細については、「 新しい Exchange 管理センターのメール フロー レポート」を参照してください。
これらのレポートへのリンクは、Defender ポータルの Reports>Email & collaboration>Email & コラボレーション レポート>Exchange メール フロー レポートで利用できます。このレポートを使用すると、https://admin.exchange.microsoft.com/#/reports/mailflowreportsmainに移動できます。
Microsoft Defender ポータルでのセキュリティ レポートの変更のEmail
Microsoft Defender ポータルのExchange Online Protection (EOP) レポートとMicrosoft Defender for Office 365 レポートについて、次の表で説明します。
非推奨のレポートとコマンドレット | 新しいレポートとコマンドレット | メッセージ センター ID | Date |
---|---|---|---|
URL 追跡 Get-URLTrace |
URL の保護に関するレポート Get-SafeLinksAggregateReport Get-SafeLinksDetailReport |
MC239999 | 2021 年 6 月 |
送受信された電子メール レポート Get-MailTrafficReport Get-MailDetailReport |
脅威保護の状態レポート メールフローの状態レポート Get-MailTrafficATPReport Get-MailDetailATPReport Get-MailFlowStatusReport |
MC236025 | 2021 年 6 月 |
転送レポート コマンドレットなし |
EAC の自動転送メッセージ レポート コマンドレットなし |
MC250533 | 2021 年 6 月 |
安全な添付ファイルの種類レポート Get-AdvancedThreatProtectionTrafficReport Get-MailDetailMalwareReport |
脅威保護の状態レポート: Email >マルウェア別にデータを表示する Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250532 | 2021 年 6 月 |
添付ファイルの安全なメッセージ処理レポート Get-AdvancedThreatProtectionTrafficReport Get-MailDetailMalwareReport |
脅威保護の状態レポート: Email >マルウェア別にデータを表示する Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250531 | 2021 年 6 月 |
電子メール レポートで検出されたマルウェア Get-MailTrafficReport Get-MailDetailMalwareReport |
脅威保護の状態レポート: Email >マルウェア別にデータを表示する Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250530 | 2021 年 6 月 |
スパム検出レポート Get-MailTrafficReport Get-MailDetailSpamReport |
脅威保護の状態レポート: Email >スパム別にデータを表示する Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250529 | 2021 年 10 月 |
Get-AdvancedThreatProtectionDocumentReport Get-AdvancedThreatProtectionDocumentDetail |
Get-ContentMalwareMdoAggregateReport Get-ContentMalwareMdoDetailReport |
MC343433 | 2022 年 5 月 |
Exchange トランスポート ルール レポート Get-MailTrafficPolicyReport Get-MailDetailTransportRuleReport |
EAC の Exchange トランスポート ルール レポート Get-MailTrafficPolicyReport Get-MailDetailTransportRuleReport |
MC316157 | 2022 年 4 月 |
Get-MailTrafficTopReport |
上位の送信者と受信者レポート Get-MailTrafficSummaryReport 注: Get-MailTrafficTopReport の暗号化レポート機能に代わる機能はありません。 |
MC315742 | 2022 年 4 月 |
侵害されたユーザー レポート
[侵害されたユーザー] レポートには、過去 7 日以内に [疑わしい] または [制限付き] としてマークされたユーザー アカウントの数が表示されます。 これらの状態のいずれかのアカウントは、問題が発生したり、侵害されたりします。 頻繁に使用すると、レポートを使用して、疑わしいアカウントや制限されたアカウントのスパイクや傾向を特定できます。 侵害されたユーザーの詳細については、「 侵害されたメール アカウントへの応答」を参照してください。
集計ビューには過去 90 日間のデータが表示され、詳細ビューには過去 30 日間のデータが表示されます。
https://security.microsoft.com/emailandcollabreportの [Email & コラボレーション レポート] ページで、[侵害されたユーザー] を見つけて、[詳細の表示] を選択します。 または、レポートに直接移動するには、 https://security.microsoft.com/reports/CompromisedUsersを使用します。
[ 侵害されたユーザー ] ページのグラフには、指定した日付範囲に関する次の情報が表示されます。
- 制限付き: ユーザー アカウントは、非常に疑わしいパターンのため、電子メールの送信が制限されています。
- 疑わしい: ユーザー アカウントから不審なメールが送信され、電子メールの送信が制限されるリスクがあります。
グラフの下の詳細表は、次の情報を示しています。
- 作成時間
- [ユーザー ID]
- 操作
- タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
[ フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択して、レポートと詳細テーブルを変更します。
- 日付 (UTC):開始日 と 終了日。
- アクティビティ: 制限付き または 疑わしい
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
[ 侵害されたユーザー ] ページで、 スケジュールの作成、 Request レポート、 Export アクションを使用できます。
Exchange トランスポート ルール レポート
注:
Exchange トランスポート ルール レポートが EAC で使用できるようになりました。 詳細については、「 新しい EAC の Exchange トランスポート ルール レポート」を参照してください。
転送レポート
注:
このレポートは EAC で使用できるようになりました。 詳細については、「 新しい EAC での自動転送メッセージ レポート」を参照してください。
メールフローの状態レポート
Mailflow 状態レポートは、受信メールと送信メール、スパム検出、マルウェア、"良好" と識別された電子メール、およびエッジで許可またはブロックされたメールに関する情報を示すスマート レポートです。 これは、エッジ保護情報を含む唯一のレポートです。 レポートには、Exchange Online Protection (EOP) または Defender for Microsoft 365 による審査のためにサービスに入る前にブロックされたメールの量が表示されます。
ヒント
1 つのメッセージが 5 人の受信者に送信された場合、1 つのメッセージではなく、5 つの異なるメッセージとしてカウントされます。
https://security.microsoft.com/emailandcollabreportの [Email & コラボレーション レポート] ページで、[メールフローの状態の概要] を見つけて、[詳細の表示] を選択します。 または、レポートに直接移動するには、 https://security.microsoft.com/reports/mailflowStatusReportを使用します。
メールフロー状態レポートで使用可能なビューについては、次のサブセクションで説明します。
メールフロー状態レポートの種類ビュー
[ メールフローの状態レポート ] ページで、既定で [ 種類 ] タブが選択されています。 グラフには、指定した日付範囲に関する次の情報が表示されます。
- マルウェア: さまざまなフィルターによってマルウェアとしてブロックされているEmail。
- 合計
- 適切なメール: スパムでないと判断されたEmail、またはユーザーまたは組織のポリシーによって許可されているEmail。
- フィッシングメール: さまざまなフィルターによってフィッシングとしてブロックされているEmail。
- スパム: さまざまなフィルターによってスパムとしてブロックされているEmail。
- エッジ保護: EOP またはDefender for Office 365による検査の前にエッジ/境界で拒否されるEmail。
- ルール メッセージ: メール フロー ルール (トランスポート ルールとも呼ばれます) によって検疫されたメッセージをEmailします。
- データ損失防止: データ損失防止(DLP) ポリシーによって検疫されたメッセージをEmailします。
グラフの下の詳細表は、次の情報を示しています。
- 方向
- 型
- 24 時間
- 3 日間
- 7 日間
- 15 日
- 30 日間
[ フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択して、レポートと詳細テーブルを変更します。
- 日付 (UTC):開始日 と 終了日。
- [メールの方向]: [ 受信]、[ 送信]、[ 組織内] を選択します。
-
型: 次の値の 1 つ以上を選択します。
- 良いメール
- Malware
- スパム
- エッジ保護
- ルール メッセージ
- フィッシング詐欺メール
- データ損失防止
- [ドメイン]: [ すべて] または [承認済みドメイン] を選択します。
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
[ 種類 ] タブで、[ カテゴリの選択 ] を選択して詳細を確認します。
- フィッシングメール: この選択により、[脅威保護の状態] レポートの [フィッシングによるデータの表示] と [検出テクノロジ別のグラフの内訳] Email >表示されます。
- 電子メール内のマルウェア: この選択により、[脅威保護の状態] レポートの [Email >マルウェアによるデータの表示] と [検出テクノロジ別のグラフの内訳] に移動します。
- スパム検出: この選択により、[脅威保護の状態] レポートの [スパムEmail >データの表示] と [検出テクノロジ別のグラフの内訳] に移動します。
[ 種類 ] タブで、 スケジュール と エクスポート アクションを使用できます。
メールフロー状態レポートの方向ビュー
[ 方向 ] タブのグラフには、指定した日付範囲に関する次の情報が表示されます。
- 受信
- 組織内
- 送信
[ フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択して、レポートと詳細テーブルを変更します。
日付 (UTC):開始日 と 終了日。
注:
特定の日付のデータを表示するには、翌日を使用します。 たとえば、1 月 10 日のデータを表示するには、フィルターで 1 月 11 日を使用します。 今日のデータは、明日のフィルター処理に使用できます。
一部の日のレポート データは継続的に更新されるため、レポートの実行を待つ時間が長いほど、メッセージの数と分類が安定します。 たとえば、日曜日の 10 日から 17 日の土曜日までの包括的な毎週のデータを返すには、23 日の金曜日にレポートを実行します。 18 日または 20 日の火曜日の日曜日に実行される同じレポートには、メッセージの数と分類が若干異なる場合があります。
[メールの方向]: [ 受信]、[ 送信]、[ 組織内] を選択します。
型: 次の値の 1 つ以上を選択します。
- 良いメール
- Malware
- スパム
- エッジ保護
- ルール メッセージ
- フィッシング詐欺メール
- データ損失防止: データ損失防止(DLP) ポリシーによって検疫されたメッセージをEmailします。
[ドメイン]: [ すべて] または [承認済みドメイン] を選択します。
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
[ 方向 ] タブで、[ カテゴリの選択 ] を選択して詳細を確認します。
- フィッシングメール: この選択により、[脅威保護の状態] レポートの [フィッシングによるデータの表示] と [検出テクノロジ別のグラフの内訳] Email >表示されます。
- 電子メール内のマルウェア: この選択により、[脅威保護の状態] レポートの [Email >マルウェアによるデータの表示] と [検出テクノロジ別のグラフの内訳] に移動します。
- スパム検出: この選択により、[脅威保護の状態] レポートの [スパムEmail >データの表示] と [検出テクノロジ別のグラフの内訳] に移動します。
[ 方向 ] タブで、[ スケジュールの作成 ] アクションと [ エクスポート ] アクションを使用できます。
メールフロー状態レポートのメールフロー ビュー
[メールフロー] タブには、Microsoft の電子メール脅威保護機能が、organization内の受信メールと送信メールをフィルター処理する方法が表示されます。 このビューでは、水平方向のフロー図 ( Sankey ダイアグラムと呼ばれます) を使用して、電子メールの合計数の詳細と、脅威保護機能がこのカウントに与える影響について説明します。
集計ビューと詳細テーブル ビューでは、90 日間のフィルター処理が可能です。
図の情報は、EOP および Defender for Office 365 テクノロジによって色分けされています。
この図は、次の水平バンドに編成されています。
- [合計メール バンド]: この値は常に最初に表示されます。
-
エッジ ブロック と 処理された バンド:
- エッジ ブロック: エッジでフィルター処理され、エッジ保護として識別されたメッセージ。
- 処理済み: フィルター 処理スタックによって処理されたメッセージ。
- 結果バンド:
- データ損失防止ブロック
- ルール ブロック: Exchange メール フロー ルール (トランスポート ルール) によって検疫されたメッセージ。
- マルウェア ブロック: マルウェアとして識別されたメッセージ。*
- フィッシング ブロック: フィッシングとして識別されたメッセージ。*
- スパム ブロック: スパムとして識別されたメッセージ。*
- 偽装ブロック: Defender for Office 365でユーザー偽装またはドメイン偽装として検出されたメッセージ。*
- 爆発ブロック: Defender for Office 365の安全な添付ファイル ポリシーまたは安全なリンク ポリシーによってファイルまたは URL の爆発中に検出されたメッセージ。*
- ZAP が削除されました: 0 時間自動消去 (ZAP) によって削除されたメッセージ。*
- 配信済み: 許可のためにユーザーに配信されたメッセージ。*
図の水平方向のバンドにカーソルを合わせると、関連するメッセージの数が表示されます。
* この要素を選択すると、ダイアグラムが展開され、詳細が表示されます。 展開されたノード内の各要素の説明については、「 検出テクノロジ」を参照してください。
図の下の詳細表は、次の情報を示しています。
- 日付 (UTC)
- 合計メール数
- フィルター処理されたエッジ
- ルール メッセージ
- マルウェア対策エンジン、安全な添付ファイル、フィルター処理されたルール
- DMARC 偽装、なりすまし、フィッシング フィルター処理
- 爆発検出
- スパム対策フィルター処理
- ZAP が削除されました
- 脅威が検出されなかったメッセージ
詳細テーブルの行を選択すると、開く詳細ポップアップでメール数の詳細な内訳が表示されます。
[ フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択して、レポートと詳細テーブルを変更します。
- 日付 (UTC)開始日 と 終了日。
- [メールの方向]: [ 受信]、[ 送信]、[ 組織内] を選択します。
- [ドメイン]: [ すべて] または [承認済みドメイン] を選択します。
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
[ メールフロー ] タブで、[ 傾向の表示 ] を選択して、開いた [メールフローの傾向 ] ポップアップに傾向グラフを表示します。
[ メールフロー ] タブで、 Export アクションを使用できます。
マルウェア検出レポート
注:
このレポートは非推奨になりました。 脅威 保護の状態レポートでも同じ情報を使用できます。
メール遅延レポート
Defender for Office 365の [メール待機時間] レポートには、organization内で発生したメール配信と爆発の待機時間に関する情報が含まれています。 詳細については、「 メール待機時間レポート」を参照してください。
配信後のアクティビティ レポート
配信後アクティビティ レポートは、プラン 2 をMicrosoft Defender for Office 365している組織でのみ使用できます。 レポートの詳細については、「 配信後アクティビティ レポート」を参照してください。
スパム検出レポート
注:
このレポートは非推奨になりました。 脅威 保護の状態レポートでも同じ情報を使用できます。
なりすまし検出レポート
スプーフィング検出レポートには、スプーフィングによってブロックまたは許可されたメッセージに関する情報が表示されます。 スプーフィングの詳細については、「 EOP でのスプーフィング対策保護」を参照してください。
レポートの集計ビューと詳細ビューでは、90 日間のフィルター処理が可能です。
注:
レポートで利用可能な最新のデータは、3 日から 4 日前です。
https://security.microsoft.com/emailandcollabreportの [Email & コラボレーション レポート] ページで、[スプーフィング検出] を見つけて、[詳細の表示] を選択します。 または、レポートに直接移動するには、 https://security.microsoft.com/reports/SpoofMailReportを使用します。
グラフには、次の情報が表示されます。
- 通る
- Fail/失敗
- SoftPass
- なし
- その他
グラフの 1 日 (データ ポイント) にカーソルを合わせると、検出されたなりすましメッセージの数とその理由が表示されます。
グラフの下の詳細表は、次の情報を示しています。
Date
なりすましユーザー
送信インフラストラクチャ
スプーフィングの種類
結果
結果コード
SPF
DKIM
DMARC
メッセージ数
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- Web ブラウザーで縮小します。
複合認証結果コードの詳細については、「 Microsoft 365 のスパム対策メッセージ ヘッダー」を参照してください。
[ フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択して、レポートと詳細テーブルを変更します。
- 日付 (UTC)開始日 と 終了日
-
結果:
- 通る
- Fail/失敗
- SoftPass
- なし
- その他
- スプーフィングの種類: 内部 および 外部
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
[ なりすましメール レポート ] ページで、 スケジュールの作成、 Request レポート、および Export アクションを使用できます。
申請レポート
[申請] レポートには、管理者が過去 30 日間の分析のために Microsoft に報告したアイテムに関する情報が表示されます。 管理者の申請の詳細については、「管理申請を使用して、疑わしいスパム、フィッシング、URL、ファイルを Microsoft に送信する」を参照してください。
https://security.microsoft.com/emailandcollabreportの [Email & コラボレーション レポート] ページで、[申請] を見つけて、[詳細の表示] を選択します。 または、レポートに直接移動するには、 https://security.microsoft.com/adminSubmissionReportを使用します。
Defender ポータルの [申請 ] ページに直接移動するには、[ 申請に移動] を選択します。
グラフには、次の情報が表示されます。
- Pending
- Completed
グラフの下の詳細テーブルには、同じ情報が表示され、https://security.microsoft.com/reportsubmission?viewid=emailの [申請] ページの [電子メール] タブと同じアクションが表示されます。
- 列のカスタマイズ
- 群
- 分析のために Microsoft に送信する
詳細については、「 Microsoft へのメール管理者の申請を表示する」を参照してください。
[ フィルター] を選択して、表示されるポップアップで次の値の 1 つ以上を選択して、レポートと詳細テーブルを変更します。
- 送信日: 開始日 と 終了日
- 申請 ID
- ネットワーク メッセージ ID
- Sender
- [受信者]
- 申請名
- 作成者:
-
送信の理由:
- 迷惑メールではない
- 表示クリーン
- 疑わしいと表示される
- フィッシング
- Malware
- スパム
-
再スキャンの状態:
- Pending
- Completed
- タグ: すべて または 1 つ以上の ユーザー タグ。
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
[申請] ページ で 、[ エクスポート ] アクションを使用できます。
脅威保護の状態レポート
脅威保護の状態レポートは、EOP とDefender for Office 365の両方で使用できます。 ただし、レポートには異なるデータが含まれています。 たとえば、EOP のお客様は、メールで検出されたマルウェアに関する情報を表示できますが、 SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイルによって検出された悪意のあるファイルに関する情報は表示されません。
レポートには、悪意のあるコンテンツを含む電子メール メッセージの数が表示されます。 以下に例を示します。
- マルウェア対策エンジンによってブロックされたファイルまたは Web サイト アドレス (URL)。
- 0 時間自動消去 (ZAP) の影響を受けるファイルまたはメッセージ
- Defender for Office 365機能によってブロックされたファイルまたはメッセージ: フィッシング対策ポリシーの安全なリンク、安全な添付ファイル、偽装保護機能。
このレポートの情報を使用して、傾向を特定したり、組織のポリシーを調整する必要があるかどうかを判断したりできます。
ヒント
メッセージが 5 人の受信者に送信された場合、1 つのメッセージではなく、5 つの異なるメッセージとしてカウントされます。
https://security.microsoft.com/emailandcollabreportの [Email & コラボレーション レポート] ページで、[申請] を見つけて、[詳細の表示] を選択します。 または、レポートに直接移動するには、次のいずれかの URL を使用します。
- Defender for Office 365:https://security.microsoft.com/reports/TPSAggregateReportATP
- EOP: https://security.microsoft.com/reports/TPSAggregateReport
既定では、グラフには過去 7 日間のデータが表示されます。 脅威保護の状態レポート ページで [Filter] を選択して、90 日間の日付範囲を選択します (試用版サブスクリプションは 30 日に制限される場合があります)。 詳細テーブルでは、30 日間フィルター処理できます。
使用可能なビューについては、次のサブセクションで説明します。
概要でデータを表示する
[ 概要によるデータの表示] ビューでは、次の検出情報がグラフに表示されます。
- マルウェアのEmail
- フィッシングEmail
- Emailスパム
- コンテンツマルウェア (Defender for Office 365のみ: SharePoint Online、OneDrive、および SharePoint、OneDrive、およびMicrosoft TeamsのMicrosoft Teamsおよび安全な添付ファイルの組み込みウイルス保護によって検出されたファイル)
グラフの下に詳細テーブルはありません。
[ Filter] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
- 日付 (UTC)開始日 と 終了日。
- 検出: グラフと同じ値。
- 保護対象: MDO (Defender for Office 365) と EOP。
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
- 方向: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[ 受信]、[ 送信]、または [組織内] を選択します。
- [ドメイン]: [ すべて] のままにするか、削除し、空のボックスをダブルクリックして、 承認済みのドメインを選択します。
-
ポリシーの種類: [ すべて] のままにするか、削除し、空のボックスをダブルクリックして、次のいずれかの値を選択します。
- マルウェア対策
- 添付ファイル保護
- フィッシング対策
- スパム対策
- メール フロー ルール (トランスポート ルール)
- Others
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
Email >フィッシングによるデータの表示と検出テクノロジ別のグラフの内訳
注:
2021 年 5 月に、電子メールのフィッシング検出が更新され、フィッシング URL を含む メッセージの添付ファイル が含まれます。 この変更により、検出ボリュームの一部が [マルウェアによるデータの表示] ビュー Email >、[フィッシングによるデータの表示] ビュー Email >シフトされる可能性があります。 つまり、従来はマルウェアとして識別されていたフィッシング URL を含むメッセージ添付ファイルが、代わりにフィッシングとして識別される可能性があります。
[フィッシングによるデータ Email >の表示] ビューと [検出テクノロジ別のグラフの内訳] ビューには、次の情報がグラフに表示されます。
- 高度なフィルター: 機械学習に基づくフィッシングシグナル。
- キャンペーン*: キャンペーンの一部として識別されるメッセージ。
- ファイルの爆発*: 安全な添付ファイルは 、爆発分析中に悪意のある添付ファイルを検出しました。
- ファイル爆発の評判*: 他の Microsoft 365 組織の 安全な添付ファイル 爆発によって以前に検出された添付ファイル。
- ファイルの評判: メッセージには、以前に他の Microsoft 365 組織で悪意があると識別されたファイルが含まれています。
- 指紋照合: メッセージは、以前に検出された悪意のあるメッセージによく似ています。
- 一般的なフィルター: アナリスト ルールに基づくフィッシングシグナル。
- 偽装ブランド: 既知のブランドの送信者偽装。
- 偽装ドメイン*: フィッシング対策ポリシーで保護するために所有または指定した送信者ドメインの偽装。
- 偽装ユーザー*: フィッシング対策ポリシー で指定した、またはメールボックス インテリジェンスを通じて学習した保護された送信者の偽装。
- メールボックス インテリジェンス偽装*: フィッシング対策ポリシーでのメールボックス インテリジェンスからの偽装検出。
- 混合分析の検出: 複数のフィルターがメッセージの判定に貢献しました。
- DMARC のスプーフィング: メッセージが DMARC 認証に失敗しました。
- 外部ドメインのスプーフィング: organizationの外部にあるドメインを使用した送信者の電子メール アドレスのスプーフィング。
- 組織内でのスプーフィング: organizationの内部にあるドメインを使用した送信者のメール アドレススプーフィング。
- URL の爆発*: セーフ リンク は、爆発分析中にメッセージ内の悪意のある URL を検出しました。
- URL 爆発評判*: 他の Microsoft 365 組織の 安全なリンク 爆発によって以前に検出された URL。
- URL の悪意のある評判: メッセージには、以前に他の Microsoft 365 組織で悪意があると識別された URL が含まれています。
*Defender for Office 365のみ
グラフの下の詳細テーブルでは、次の情報を使用できます。
- Date
- 件名
- Sender
- 受信者
- 検出テクノロジ: グラフの同じ検出テクノロジ値。
- 配信状態
- [Sender IP (送信者の IP)]
- タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- Web ブラウザーで縮小します。
[ Filter] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
- 日付 (UTC):開始日 と 終了日
- 検出: グラフと同じ値。
- 優先アカウント保護: はい 、 いいえ。 詳細については、「Microsoft Defender for Office 365での優先度アカウント保護の構成と確認」を参照してください。
- 評価: はい または いいえ。
- 保護対象: MDO (Defender for Office 365) と EOP
- 方向: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[ 受信]、[ 送信]、または [組織内] を選択します。
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
- [ドメイン]: [ すべて] のままにするか、削除し、空のボックスをダブルクリックして、 承認済みのドメインを選択します。
-
ポリシーの種類: [すべて] または次のいずれかの値を選択します。
- マルウェア対策
- 添付ファイル保護
- フィッシング対策
- スパム対策
- メール フロー ルール (トランスポート ルール)
- Others
- ポリシー名 (詳細テーブル ビューのみ): [すべて ] または特定のポリシーを選択します。
- 受信者 (コンマで区切られた)
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックして、詳細テーブルからエントリを選択すると、電子メールの詳細ポップアップが開きます。 この詳細ポップアップは、Emailの概要パネルと呼ばれ、メッセージのDefender for Office 365のEmail エンティティ ページでも使用できる概要情報が含まれています。 Email概要パネルの情報の詳細については、「Email概要パネル」を参照してください。
Defender for Microsoft 365 では、脅威保護の状態レポートのEmailの概要パネルの上部で、次のアクションを使用できます。
- 電子メール エンティティを開く: 詳細については、「Microsoft Defender for Office 365の [Email エンティティ] ページ」を参照してください。
- アクションの実行: 詳細については、「 脅威ハンティング: アクションの実行ウィザード」を参照してください。
[ 脅威保護の状態 ] ページで、[ 作成] スケジュール、 Request レポート、および Export アクションを使用できます。
検出テクノロジ別Email >スパムとグラフの内訳別にデータを表示する
[検出テクノロジ別にデータをEmail >してデータを表示する] ビューと [グラフの内訳] ビューに、次の情報がグラフに表示されます。
- 高度なフィルター: 機械学習に基づくフィッシングシグナル。
- 一括: メッセージの 一括苦情レベル (BCL) が、スパムに対して定義されたしきい値を超えています。
- ドメイン評判: メッセージは、以前に他の Microsoft 365 組織でスパムを送信していると識別されたドメインからのメッセージでした。
- 指紋照合: メッセージは、以前に検出された悪意のあるメッセージによく似ています。
- 一般的なフィルター
- IP 評判: メッセージは、以前に他の Microsoft 365 組織でスパムを送信していると識別されたソースからのメッセージでした。
- 混合分析検出: 複数のフィルターがメッセージの判定に貢献しました。
- URL の悪意のある評判: メッセージには、以前に他の Microsoft 365 組織で悪意があると識別された URL が含まれています。
グラフの下の詳細テーブルでは、次の情報を使用できます。
- Date
- 件名
- Sender
- 受信者
- 検出テクノロジ: グラフの同じ検出テクノロジ値。
- 配信状態
- [Sender IP (送信者の IP)]
- タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- Web ブラウザーで縮小します。
[ Filter] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
日付 (UTC)開始日 と 終了日
検出: グラフと同じ値。
一括苦情レベル: [検出 ] 値 [ 一括 ] が選択されている場合、スライダーを使用して、選択した BCL 範囲でレポートをフィルター処理できます。 この情報を使用して、スパム対策ポリシーの BCL しきい値を確認または調整して、organizationへの一括メールを多かれ少なかれ許可することができます。
[検出] 値 [一括] が選択されていない場合、スライダーは淡色表示され、一括検出はレポートに含まれません。
優先アカウント保護: はい 、 いいえ。 詳細については、「Microsoft Defender for Office 365での優先度アカウント保護の構成と確認」を参照してください。
方向: [すべて]、[受信]、[送信]、[組織内] の順に入力します。
方向: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[ 受信]、[ 送信]、または [組織内] を選択します。
タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
[ドメイン]: [ すべて] のままにするか、削除し、空のボックスをダブルクリックして、 承認済みのドメインを選択します。
ポリシーの種類: [すべて] または次のいずれかの値を選択します。
- マルウェア対策
- 添付ファイル保護
- フィッシング対策
- スパム対策
- メール フロー ルール (トランスポート ルール)
- Others
ポリシー名 (詳細テーブル ビューのみ): [すべて ] または特定のポリシーを選択します。
受信者
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックして、詳細テーブルからエントリを選択すると、電子メールの詳細ポップアップが開きます。 この詳細ポップアップは、Emailの概要パネルと呼ばれ、メッセージのDefender for Office 365のEmail エンティティ ページでも使用できる概要情報が含まれています。 Email概要パネルの情報の詳細については、「Email概要パネル」を参照してください。
Defender for Microsoft 365 では、脅威保護の状態レポートのEmailの概要パネルの上部で、次のアクションを使用できます。
- 電子メール エンティティを開く: 詳細については、「Microsoft Defender for Office 365の [Email エンティティ] ページ」を参照してください。
- アクションの実行: 詳細については、「 脅威ハンティング: アクションの実行ウィザード」を参照してください。
[ 脅威保護の状態 ] ページで、[ 作成] スケジュール、 Request レポート、および Export アクションを使用できます。
Email >マルウェア別のデータの表示と検出テクノロジ別のグラフの内訳
注:
2021 年 5 月、メールのマルウェア検出が更新され、 有害な URL が メッセージの添付ファイルに含まれるよう変更されました。 この変更により、検出ボリュームの一部が [フィッシングによるデータの表示] ビューから 、[マルウェアによるデータの表示] ビュー Email >移動Email >可能性があります。 言い換えると、従来はフィッシングとして識別されていたメッセージ添付ファイルの有害な URL が、代わりにマルウェアとして識別される可能性があります。
[Email >マルウェア別のデータの表示] ビューと [検出テクノロジ別のグラフの内訳] ビューでは、次の情報がグラフに表示されます。
- ファイルの爆発*: 安全な添付ファイルは 、爆発分析中に悪意のある添付ファイルを検出しました。
- ファイル爆発の評判*: 他の Microsoft 365 組織の 安全な添付ファイル 爆発によって以前に検出された添付ファイル。
- ファイルの評判: メッセージには、以前に他の Microsoft 365 組織で悪意があると識別されたファイルが含まれています。
- マルウェア対策エンジン*: マルウェア対策からの検出。
- URL に悪意があるとする評価
- URL の爆発*: セーフ リンク は、爆発分析中にメッセージ内の悪意のある URL を検出しました。
- URL 爆発評判*: 他の Microsoft 365 組織の 安全なリンク 爆発によって以前に検出された URL。
- キャンペーン*: キャンペーンの一部として識別されるメッセージ。
*Defender for Office 365のみ
グラフの下の詳細テーブルでは、次の情報を使用できます。
Date
件名
Sender
受信者
検出テクノロジ: グラフの同じ検出テクノロジ値。
配信状態
[Sender IP (送信者の IP)]
タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- Web ブラウザーで縮小します。
[ Filter] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
- 日付 (UTC)開始日 と 終了日
- 検出: グラフと同じ値。
- 優先アカウント保護: はい 、 いいえ。 詳細については、「Microsoft Defender for Office 365の優先度アカウントの構成と確認」を参照してください。
- 評価: はい または いいえ。
- 保護対象: MDO (Defender for Office 365) と EOP
- 方向: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[ 受信]、[ 送信]、または [組織内] を選択します。
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
- [ドメイン]: [ すべて] のままにするか、削除し、空のボックスをダブルクリックして、 承認済みのドメインを選択します。
-
ポリシーの種類: [すべて] または次のいずれかの値を選択します。
- マルウェア対策
- 添付ファイル保護
- フィッシング対策
- スパム対策
- メール フロー ルール (トランスポート ルール)
- Others
- ポリシー名 (詳細テーブル ビューのみ): [すべて ] または特定のポリシーを選択します。
- 受信者 (コンマで区切られた)
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックして、詳細テーブルからエントリを選択すると、電子メールの詳細ポップアップが開きます。 この詳細ポップアップは、Emailの概要パネルと呼ばれ、メッセージのDefender for Office 365のEmail エンティティ ページでも使用できる概要情報が含まれています。 Email概要パネルの情報の詳細については、「Email概要パネル」を参照してください。
Defender for Microsoft 365 では、脅威保護の状態レポートのEmailの概要パネルの上部で、次のアクションを使用できます。
- 電子メール エンティティを開く: 詳細については、「Microsoft Defender for Office 365の [Email エンティティ] ページ」を参照してください。
- アクションの実行: 詳細については、「 脅威ハンティング: アクションの実行ウィザード」を参照してください。
[ 脅威保護の状態 ] ページで、[ 作成] スケジュール、 Request レポート、および Export アクションを使用できます。
ポリシーの種類別のグラフの内訳
[Email >フィッシングによるデータの表示]、[Email >スパム別のデータの表示]、または [Email >マルウェアによるデータの表示] ビューで、[ポリシーの種類別のグラフの内訳] を選択すると、次の情報がグラフに表示されます。
- マルウェア対策
- 安全な添付ファイル*
- フィッシング対策
- スパム対策
- メール フロー ルール (トランスポート ルールとも呼ばれます)
- Others
グラフの下の詳細テーブルでは、次の情報を使用できます。
Date
件名
Sender
受信者
検出テクノロジ: グラフの同じ検出テクノロジ値。
配信状態
[Sender IP (送信者の IP)]
タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- Web ブラウザーで縮小します。
[ Filter] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
- 日付 (UTC)開始日 と 終了日
- 検出: この記事および「検出テクノロジ」で説明したように 、検出テクノロジの値。
- 優先アカウント保護: はい 、 いいえ。 詳細については、「Microsoft Defender for Office 365の優先度アカウントの構成と確認」を参照してください。
- 評価: はい または いいえ。
- 保護対象: MDO (Defender for Office 365) と EOP
- 方向: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[ 受信]、[ 送信]、または [組織内] を選択します。
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
- [ドメイン]: [ すべて] のままにするか、削除し、空のボックスをダブルクリックして、 承認済みのドメインを選択します。
-
ポリシーの種類: [すべて] または次のいずれかの値を選択します。
- マルウェア対策
- 添付ファイル保護
- フィッシング対策
- スパム対策
- メール フロー ルール (トランスポート ルール)
- Others
- ポリシー名 (詳細テーブル ビューのみ): [すべて ] または特定のポリシーを選択します。
- 受信者 (コンマで区切られた)
*Defender for Office 365のみ
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックして、詳細テーブルからエントリを選択すると、電子メールの詳細ポップアップが開きます。 この詳細ポップアップは、Emailの概要パネルと呼ばれ、メッセージのDefender for Office 365のEmail エンティティ ページでも使用できる概要情報が含まれています。 Email概要パネルの情報の詳細については、「Email概要パネル」を参照してください。
Defender for Microsoft 365 では、脅威保護の状態レポートのEmailの概要パネルの上部で、次のアクションを使用できます。
- 電子メール エンティティを開く: 詳細については、「Microsoft Defender for Office 365の [Email エンティティ] ページ」を参照してください。
- アクションの実行: 詳細については、「 脅威ハンティング: アクションの実行ウィザード」を参照してください。
[ 脅威保護の状態 ] ページで、[ 作成] スケジュール、 Request レポート、および Export アクションを使用できます。
配送状況別のグラフの内訳
[Email >フィッシングによるデータの表示]、[Email >スパムによるデータの表示]、または [Email >マルウェアによるデータの表示] ビューで、[配信状態別のグラフの内訳] を選択すると、次の情報がグラフに表示されます。
- ホステッド メールボックス: 受信トレイ
- ホステッド メールボックス: 迷惑メール
- ホステッド メールボックス: カスタム フォルダー
- ホステッド メールボックス: 削除済みアイテム
- 転送
- オンプレミス サーバー: 配信済み
- 検疫
- 配信に失敗しました
- 削除
グラフの下の詳細テーブルでは、次の情報を使用できます。
Date
件名
Sender
受信者
検出テクノロジ: グラフの同じ検出テクノロジ値。
配信状態
[Sender IP (送信者の IP)]
タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
すべての列を表示するには、次の 1 つ以上の手順を実行する必要があります。
- Web ブラウザーで水平方向にスクロールします。
- 適切な列の幅を狭くします。
- Web ブラウザーで縮小します。
[ Filter] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
- 日付 (UTC)開始日 と 終了日
- 検出: この記事および「検出テクノロジ」で説明したように 、検出テクノロジの値。
- 保護対象: MDO (Defender for Office 365) と EOP
- 方向: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[ 受信]、[ 送信]、または [組織内] を選択します。
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
- [ドメイン]: [ すべて] のままにするか、削除し、空のボックスをダブルクリックして、 承認済みのドメインを選択します。
-
ポリシーの種類: [すべて] または次のいずれかの値を選択します。
- マルウェア対策
- 添付ファイル保護
- フィッシング対策
- スパム対策
- メール フロー ルール (トランスポート ルール)
- Others
- ポリシー名 (詳細テーブル ビューのみ): [すべて ] または特定のポリシーを選択します。
- 受信者 (コンマで区切られた)
*Defender for Office 365のみ
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックして、詳細テーブルからエントリを選択すると、電子メールの詳細ポップアップが開きます。 この詳細ポップアップは、Emailの概要パネルと呼ばれ、メッセージのDefender for Office 365のEmail エンティティ ページでも使用できる概要情報が含まれています。 Email概要パネルの情報の詳細については、「Email概要パネル」を参照してください。
Defender for Microsoft 365 では、脅威保護の状態レポートのEmailの概要パネルの上部で、次のアクションを使用できます。
- 電子メール エンティティを開く: 詳細については、「Microsoft Defender for Office 365の [Email エンティティ] ページ」を参照してください。
- アクションの実行: 詳細については、「 脅威ハンティング: アクションの実行ウィザード」を参照してください。
[ 脅威保護の状態 ] ページで、[ 作成] スケジュール、 Request レポート、および Export アクションを使用できます。
コンテンツ > マルウェア別にデータを表示する
[コンテンツ>マルウェアによるデータの表示] ビューでは、Microsoft Defender for Office 365組織のグラフに次の情報が表示されます。
- マルウェア対策エンジン: Microsoft 365 の組み込みウイルス検出によって SharePoint、OneDrive、Microsoft Teamsで検出された悪意のあるファイル。
- MDO爆発: SharePoint、OneDrive、およびMicrosoft Teamsの安全な添付ファイルによって検出された悪意のあるファイル。
- ファイルの評判: メッセージには、以前に他の Microsoft 365 組織で悪意があると識別されたファイルが含まれています。
グラフの下の詳細テーブルでは、次の情報を使用できます。
- Date
- 添付ファイルの名前
- Workload
- 検出テクノロジ: グラフの同じ検出テクノロジ値。
- ファイル サイズ
- 最後にユーザーを変更する
[ Filter] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
- 日付 (UTC)開始日 と 終了日。
- 検出: グラフと同じ値。
- ワークロード: Teams、 SharePoint、 OneDrive
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
[ 脅威保護の状態] ページで、 Export アクションを使用できます。
システムオーバーライド別にデータを表示し、理由別にグラフの内訳を表示する
[ システムオーバーライド別のデータの表示 ] ビューと [ 理由別のグラフの内訳 ] ビューでは、次のオーバーライド理由情報がグラフに表示されます。
- データ損失防止: データ損失防止 (DLP) ポリシーによって検疫されたメッセージをEmailします。
- Exchange トランスポート ルール
- 排他設定 (Outlook)
- IP 許可
- オンプレミスのスキップ
- 組織で許可されているドメイン: ドメインは 、スパム対策ポリシーの許可されたドメインの一覧で指定されます。
- 組織で許可される送信者: 送信者は、 スパム対策ポリシーの許可された送信者の一覧で指定されます。
- フィッシング シミュレーション: 詳細については、「 サードパーティ製フィッシング シミュレーションをユーザーに配信し、フィルター処理されていないメッセージを SecOps メールボックスに配信する」を参照してください。
- 送信者ドメイン一覧
- TABL - URL とファイルの両方が許可されます
- TABL - 許可されるファイル
- TABL - ファイルがブロックされました
- TABL - 許可される URL
- TABL - URL がブロックされました
- TABL 送信者の電子メール アドレス許可
- TABL 送信者の電子メール アドレス ブロック
- TABL スプーフィング ブロック
- サード パーティ製フィルター
- 信頼された連絡先リスト - アドレス帳の送信者
- 信頼された受信者アドレス一覧
- 信頼された受信者ドメインの一覧
- 信頼された送信者の一覧 (Outlook)
- ユーザー セーフ ドメイン
- ユーザーセーフセンダー
- ZAP が有効になっていない
グラフの下の詳細テーブルでは、次の情報を使用できます。
- Date
- 件名
- Sender
- 受信者
- システムオーバーライド
- [Sender IP (送信者の IP)]
- タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
[ Filter] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
- 日付 (UTC)開始日 と 終了日
- 理由: グラフと同じ値。
- 配信場所: 迷惑メール フォルダーが有効になっていない と SecOps メールボックス。
- 方向: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[ 受信]、[ 送信]、または [組織内] を選択します。
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
- [ドメイン]: [ すべて] のままにするか、削除し、空のボックスをダブルクリックして、 承認済みのドメインを選択します。
-
ポリシーの種類: [すべて] または次のいずれかの値を選択します。
- マルウェア対策
- 添付ファイル保護
- フィッシング対策
- スパム対策
- メール フロー ルール (トランスポート ルール)
- Others
- ポリシー名 (詳細テーブル ビューのみ): [すべて ] または特定のポリシーを選択します。
- 受信者 (コンマで区切られた)
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
[ 脅威保護の状態] ページで、 Export アクションを使用できます。
システムオーバーライド別にデータを表示し、配信場所別にグラフの内訳を表示する
[ システムオーバーライド別のデータの表示 ] ビューと [ 配信場所別のグラフの内訳 ] ビューでは、次のオーバーライド理由情報がグラフに表示されます。
- 迷惑メール フォルダーが有効になっていない
- SecOps メールボックス: 詳細については、「 サード パーティ製フィッシング シミュレーションをユーザーに配信し、フィルター処理されていないメッセージを SecOps メールボックスに配信する」を参照してください。
グラフの下の詳細テーブルでは、次の情報を使用できます。
- Date
- 件名
- Sender
- 受信者
- システムオーバーライド
- [Sender IP (送信者の IP)]
- タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
[ Filter] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
- 日付 (UTC)開始日 と 終了日
- 理由: ポリシーの種類別のグラフの内訳と同じ値
- 配信場所: 迷惑メール フォルダーが有効になっていない と SecOps メールボックス。
- 方向: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[ 受信]、[ 送信]、または [組織内] を選択します。
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
- [ドメイン]: [ すべて] のままにするか、削除し、空のボックスをダブルクリックして、 承認済みのドメインを選択します。
-
ポリシーの種類: [すべて] または次のいずれかの値を選択します。
- マルウェア対策
- 添付ファイル保護
- フィッシング対策
- スパム対策
- メール フロー ルール (トランスポート ルール)
- Others
- ポリシー名 (詳細テーブル ビューのみ): [すべて ] または特定のポリシーを選択します。
- 受信者 (コンマで区切られた)
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
[ 脅威保護の状態] ページで、 Export アクションを使用できます。
上位のマルウェア レポート
[上位のマルウェア] レポートには、EOP のマルウェア対策保護によって検出されたさまざまな種類のマルウェアが表示されます。
https://security.microsoft.com/emailandcollabreportの [Email & コラボレーション レポート] ページで、[トップ マルウェア] を見つけます。
円グラフのくさびの上にマウス ポインターを合わせると、マルウェア名と、マルウェアに含まれるメッセージの数が表示されます。
[ 詳細の表示] を選択して、[ 上位のマルウェア レポート ] ページに移動します。 または、レポートに直接移動するには、 https://security.microsoft.com/reports/TopMalwareを使用します。
[ 上位マルウェア レポート ] ページに、より大きなバージョンの円グラフが表示されます。 グラフの下の詳細テーブルは、次の情報を示しています。
- 上位のマルウェア: マルウェア名
- カウント: マルウェアを含むメッセージの数。
[ Filter] を選択して、開いたポップアップで [開始日 ] と [ 終了日 ] の値を選択してレポートを変更します。
[ Top malware ]\(トップ マルウェア\) ページで、[ ][スケジュールの作成 ] と [ エクスポート ] アクションを使用できます。
上位の送信者と受信者のレポート
上位の送信者と受信者のレポートは、EOP とDefender for Office 365の両方で使用できますが、レポートには異なるデータが含まれています。 たとえば、EOP のお客様は、上位のマルウェア、スパム、フィッシング (なりすまし) 受信者に関する情報を表示できますが、偽装保護によって検出された安全な添付ファイルやフィッシングによって検出されたマルウェアに関する情報は表示されません。
[上位の送信者と受信者] レポートには、organizationの上位 20 人のメッセージ送信者と、EOP およびDefender for Office 365保護機能によって検出されたメッセージの上位 20 人の受信者が表示されます。 既定では、レポートには過去 1 週間のデータが表示されますが、過去 90 日間はデータを使用できます。
https://security.microsoft.com/emailandcollabreportの [Email & コラボレーション レポート] ページで、[上位の送信者と受信者] を見つけます。
円グラフの楔にカーソルを合わせると、送信者または受信者のメッセージ数が表示されます。
[ 詳細の表示 ] を選択して、[ 上位の送信者と受信者 ] ページに移動します。 または、レポートに直接移動するには、次のいずれかの URL を使用します。
- Defender for Office 365:https://security.microsoft.com/reports/TopSenderRecipientsATP
- EOP: https://security.microsoft.com/reports/TopSenderRecipient
[ 上位の送信者と受信者 ] ページに、より大きなバージョンの円グラフが表示されます。 次のグラフを使用できます。
- 上位のメール送信者のデータを表示する (既定のビュー)
- 上位のメール受信者のデータを表示する
- 上位のスパム受信者のデータを表示する
- 上位のマルウェア受信者 (EOP) のデータを表示する
- 上位のフィッシング受信者のデータを表示する
- 上位のマルウェア受信者のデータを表示する (MDO)
- 上位のフィッシング受信者のデータを表示する (MDO)
- 上位 intra.org メール送信者のデータを表示する
- 上位 intra.org メール受信者のデータを表示する
- 上位 intra.org スパム受信者のデータを表示する
- 上位の intra.org マルウェア受信者のデータを表示する
- 上位 intra.org フィッシング受信者のデータを表示する
- 上位 intra.org フィッシング受信者のデータを表示する (MDO)
- 上位の intra.org マルウェア受信者のデータを表示する (MDO)
円グラフのくさびの上にマウス ポインターを合わせると、その特定の送信者または受信者のメッセージ数が表示されます。
グラフごとに、グラフの下の詳細テーブルに次の情報が表示されます。
- 電子メール アドレス
- Item count
- タグ: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
[ Filter] を選択して、表示されるポップアップで次の値の 1 つ以上を選択してレポートを変更します。
- 日付 (UTC)開始日 と 終了日
- タグ: 値 [すべて] のままにするか、削除し、空のボックスをダブルクリックして、[アカウントの 優先度] を選択します。 ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
フィルターの構成が完了したら、[ 適用]、[ キャンセル]、または [ クリア フィルター] を選択します。
[ 上位の送信者と受信者 ] ページで、[ エクスポート ] アクションを使用できます。
URL の保護に関するレポート
URL 保護レポートは、Microsoft Defender for Office 365でのみ使用できます。 詳細については、「 URL 保護レポート」を参照してください。
ユーザーが報告したメッセージ レポート
重要
ユーザーが報告したメッセージ レポートが正しく機能するためには、Microsoft 365 organizationで監査ログを有効にする必要があります (既定ではオンになっています)。 詳細については、「監査のオンとオフを切り替える」を参照してください。
[ユーザーが報告したメッセージ] レポートには、Outlook の組み込みレポート ボタンまたは Microsoft レポート メッセージアドインまたはレポート フィッシング アドインを使用して、ユーザーが迷惑メール、フィッシング詐欺、または良好なメールとして報告した電子メール メッセージに関する情報が表示されます。
https://security.microsoft.com/emailandcollabreportの [Email & コラボレーション レポート] ページで、[ユーザーが報告したメッセージ] を見つけて、[詳細の表示] を選択します。 または、レポートに直接移動するには、 https://security.microsoft.com/reports/userSubmissionReportを使用します。
Defender ポータルの [申請] ページの [ユーザーが報告した] タブに直接移動するには、[提出に移動] を選択します。
グラフには、次の情報が表示されます。
- 迷惑メールではない
- フィッシング
- スパム
グラフの下の詳細テーブルには、同じ情報が表示され、https://security.microsoft.com/reportsubmission?viewid=userの [申請] ページの [ユーザーレポート] タブで使用できるアクションと同じアクションがあります。
- 列のカスタマイズ
- 群
- フィルター
- としてマークして通知する
- 分析のために Microsoft に送信する
詳細については、「Microsoft に対してユーザーが報告したメッセージを表示する」および「ユーザーが報告したメッセージに対する管理アクション」を参照してください。
レポート ページで、 Export アクションを使用できます。
これらのレポートを表示するには、どのようなアクセス許可が必要ですか?
この記事で説明されているレポートを表示して使用するには、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
- Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。PowerShell ではなく Defender ポータルにのみ影響します。セキュリティ操作/セキュリティ データ/セキュリティ データの基本 (読み取り) または承認と設定/システム設定/管理。
-
Microsoft Defender ポータルでコラボレーションのアクセス許可をEmail &する: 次のいずれかの役割グループのメンバーシップ。
- 組織の管理¹
- セキュリティ管理者
- セキュリティ閲覧者
- グローバル リーダー
- Microsoft Entraアクセス許可: Microsoft Entra IDのグローバル管理者 ¹ ²、セキュリティ管理者、セキュリティ閲覧者、またはグローバル閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。
¹ 組織管理 役割グループまたは グローバル管理者 ロールのメンバーシップは、レポートの 作成スケジュール または Request レポート アクション (使用可能な場合) を使用するために必要です。
重要
² Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
レポートにデータが表示されない場合はどうすればよいですか?
レポートにデータが表示されない場合は、レポート フィルターをチェックし、メッセージを検出してアクションを実行するように保護ポリシーが構成されていることをダブルチェックします。 詳細については、次の記事を参照してください。
- EOP および Defender for Office 365 の構成アナライザー
- EOP と Microsoft Defender for Office 365 の事前設定されたセキュリティ ポリシー
- スパム フィルタリングをオフにする操作方法
レポート情報のダウンロードとエクスポート
レポートとレポートの特定のビューによっては、前に説明したように、次の 1 つ以上のアクションがメインレポート ページで使用できる場合があります。
レポート データをエクスポートする
ヒント
- エクスポートされたデータは、エクスポート時にレポートで構成されたすべてのフィルターの影響を受けます。
- エクスポートされたデータが 15,0000 エントリを超える場合、データは複数のファイルに分割されます。
レポート ページで、[ Export] を選択します。
開いた [ エクスポート条件] ポップアップで、次の設定を確認して構成します。
-
エクスポートするビューを選択します。次のいずれかの値を選択します。
- 概要: 過去 90 日間のデータを使用できます。 これは既定の値です。
- 詳細: 過去 30 日間のデータを使用できます。 1 日の日付範囲がサポートされています。
-
日付 (UTC):
- 開始日: 既定値は 3 か月前です。
- 終了日: 既定値は今日です。
[ 条件のエクスポート ] ポップアップが完了したら、[エクスポート] を選択 します。
[ エクスポート] ボタンが [エクスポート ] に変わり、進行状況バーが表示されます。
-
エクスポートするビューを選択します。次のいずれかの値を選択します。
開いた [ 名前を付けて保存 ] ダイアログには、.csv ファイルの既定の名前とダウンロード場所 (既定ではローカルダウンロード フォルダー) が表示されますが、これらの値を変更し、[ 保存 ] を選択してエクスポートしたデータをダウンロードできます。
複数のファイルをダウンロード security.microsoft.com ダイアログが表示された場合は、[許可] を選択 します。
定期的なレポートをスケジュールする
スケジュールされたレポートを作成するには、Exchange Onlineの組織管理ロールのメンバーであるか、Microsoft Entra IDのグローバル管理者*ロールである必要があります。
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
レポート ページで、[ スケジュールの作成 ] を選択して、新しいスケジュールされたレポート ウィザードを開始します。
[ スケジュールされたレポートの名前 ] ページで、[ 名前 ] の値を確認またはカスタマイズし、[ 次へ] を選択します。
[ 基本設定の設定 ] ページで、次の設定を確認または構成します。
-
頻度: 次のいずれかの値を選択します。
- 週単位 (既定値)
- 日単位 (この値ではグラフにデータが表示されません)
- 毎月
- 開始日: レポートの生成を開始する日付を入力します。 既定値は現在です。
- [有効期限]: レポートの生成が終了する日付を入力します。 既定値は今日から 1 年です。
[ 基本設定の設定 ] ページが終了したら、[ 次へ] を選択します。
-
頻度: 次のいずれかの値を選択します。
[ フィルターの選択] ページで、次の設定を構成します。
-
方向: 次のいずれかの値を選択します。
- すべて (既定値)
- 送信
- 受信
- [送信者のアドレス]
- 受信者の住所
[ フィルターの選択 ] ページが完了したら、[ 次へ] を選択します。
-
方向: 次のいずれかの値を選択します。
[受信者] ページ で 、[ メールの送信先 ] ボックスでレポートの受信者を選択します。 既定値はメール アドレスですが、次のいずれかの手順を実行して他のユーザーを追加できます。
- ボックス内をクリックし、解決するユーザーの一覧を待ってから、ボックスの下の一覧からユーザーを選択します。
- ボックス内をクリックし、値の入力を開始し、ボックスの下の一覧からユーザーを選択します。
一覧からエントリを削除するには、エントリの横にある [ ] を選択します。
[ 受信者] ページが完了したら、[ 次へ] を選択します。
[ レビュー ] ページで、設定を確認します。 各セクションで [編集] を選択して、そのセクション内の設定を変更することができます。 または、ウィザードで [ 戻る ] または特定のページを選択できます。
[レビュー] ページが完了したら、[送信] を選択します。
[ 新しいスケジュールされたレポートが作成されました ] ページで、リンクを選択してスケジュールされたレポートを表示したり、別のレポートを作成したりできます。
[ 新しいスケジュールされたレポートの作成 ] ページが完了したら、[完了] を選択 します。
レポートは、構成したスケジュールに基づいて、指定した受信者に電子メールで送信されます
スケジュールされたレポート エントリは、次のサブセクションで説明されているように、[ 管理されたスケジュール ] ページで使用できます。
既存のスケジュールされたレポートを管理する
前のセクションで説明したようにスケジュールされたレポートを作成した後、スケジュールされたレポート エントリは Defender ポータルの [スケジュールの管理 ] ページで使用できます。
https://security.microsoft.comのMicrosoft Defender ポータルで、[レポート>Email &コラボレーション] に移動し>[スケジュールの管理] を選択します。 または、[ スケジュールの管理 ] ページに直接移動するには、 https://security.microsoft.com/ManageSubscriptionを使用します。
[ スケジュールの管理 ] ページには、スケジュールされたレポート エントリごとに次の情報が表示されます。
- 開始日をスケジュールする
- スケジュール名
- レポートの種類
- Frequency
- 最後に送信された
リストを標準間隔からコンパクト間隔に変更するには、[ リストの間隔をコンパクトまたは標準に変更する] を選択し、[ Compact リスト] を選択します。
[ 検索 ] ボックスを使用して、既存のスケジュールされたレポート エントリを見つけます。
スケジュールされたレポート設定を変更するには、次の手順を実行します。
[チェック] ボックス以外の行の任意の場所をクリックして、スケジュールされたレポート エントリを選択します。
開いた詳細ポップアップで、次のいずれかの手順を実行します。
- [ 編集名] を選択して、スケジュールされたレポートの名前を変更します。
- セクションの [編集] リンクを選択して、対応する設定を変更します。
設定と構成手順は、「 スケジュール レポート」の説明と同じです。
スケジュールされたレポート エントリを削除するには、次のいずれかの方法を使用します。
- スケジュールされた 1 つ以上のレポートの横にある [チェック] ボックスを選択し、[メイン] ページに表示される [削除] アクションを選択します。
- [チェック] ボックス以外の行の任意の場所をクリックしてスケジュールされたレポートを選択し、開いた詳細ポップアップで [削除] を選択します。
開いた警告ダイアログを読み、[OK] を選択します。
[スケジュールの 管理 ] ページに戻ると、削除されたスケジュールされたレポート エントリは一覧に表示されなくなり、スケジュールされたレポートの以前のレポートは削除され、ダウンロードできなくなります。
オンデマンド レポートのダウンロードを要求する
オンデマンド レポートを作成するには、Exchange Onlineの Organization 管理ロールのメンバーであるか、Microsoft Entra IDのグローバル管理者*ロールである必要があります。
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
レポート ページで、 Request レポート を選択して、新しいオンデマンド レポート ウィザードを開始します。
[ オンデマンド レポートの名前 ] ページで、[ 名前 ] の値を確認またはカスタマイズし、[ 次へ] を選択します。
[ 基本設定の設定 ] ページで、次の設定を確認または構成します。
- 開始日: レポート データの開始日を入力します。 既定値は 1 か月前です。
- [有効期限]: レポート データの終了日を入力します。 既定値は現在です。
[ オンデマンド レポートの名前 ] ページが完了したら、[ 次へ] を選択します。
[受信者] ページ で 、[ メールの送信先 ] ボックスでレポートの受信者を選択します。 既定値はメール アドレスですが、次のいずれかの手順を実行して他のユーザーを追加できます。
- ボックス内をクリックし、解決するユーザーの一覧を待ってから、ボックスの下の一覧からユーザーを選択します。
- ボックス内をクリックし、値の入力を開始し、ボックスの下の一覧からユーザーを選択します。
一覧からエントリを削除するには、エントリの横にある [ ] を選択します。
[ 受信者] ページが完了したら、[ 次へ] を選択します。
[ レビュー ] ページで、設定を確認します。 各セクションで [編集] を選択して、そのセクション内の設定を変更することができます。 または、ウィザードで [ 戻る ] または特定のページを選択できます。
[レビュー] ページが完了したら、[送信] を選択します。
[ 新しいオンデマンド レポートの作成 ] ページで、リンクを選択して別のレポートを作成できます。
[新しいオンデマンド レポートの作成] ページが完了したら、[完了] を選択します。
レポート作成タスク (および最終的には完成したレポート) は、次のサブセクションで説明されているように、[ ダウンロード用レポート] ページで使用できます。
レポートのダウンロード
オンデマンド レポートをダウンロードするには、Exchange Onlineの Organization 管理ロールのメンバーであるか、Microsoft Entra IDのグローバル管理者*ロールである必要があります。
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
前のセクションで説明したようにオンデマンド レポートを要求した後、レポートの状態をチェックし、最終的に Defender ポータルの [ダウンロード用レポート] ページでレポートをダウンロードします。
https://security.microsoft.comのMicrosoft Defender ポータルで、[レポート>Email &コラボレーション] に移動し>ダウンロードするレポートを選択します。 または、[ ダウンロード用レポート] ページに直接移動するには、 https://security.microsoft.com/ReportsForDownloadを使用します。
[ ダウンロード用レポート] ページには、使用可能なレポートごとに次の情報が表示されます。
- 開始日
- 名前
- レポートの種類
- 最後に送信された
-
状態:
- 保留中: レポートはまだ作成中であり、まだダウンロードできません。
- 完了 - ダウンロードの準備完了: レポートの生成が完了し、レポートをダウンロードできます。
- 完了 - 結果が見つかりません: レポートの生成は完了しましたが、レポートにはデータが含まれていないため、ダウンロードできません。
レポートをダウンロードするには、レポートの開始日の横にある [チェック] ボックスを選択し、表示される [レポートのダウンロード] アクションを選択します。
[ 検索 ] ボックスを使用して、既存のレポートを見つけます。
開いた [ 名前を付けて保存 ] ダイアログには、.csv ファイルの既定の名前とダウンロード場所 (既定ではローカルダウンロード フォルダー) が表示されますが、これらの値を変更し、[ 保存 ] を選択してレポートをダウンロードできます。