Office 365 セキュリティにおける脅威の調査と対応

サイバー犯罪のリスクがますます高まる中、世界中の企業が最も貴重な資産であるデータを保護するために苦心しています。幸いなことに、"Microsoft Defender for Office 365"は、IT 管理者やアナリストに脅威の調査および対応機能を提供し、ユーザーとデータを積極的に保護することを可能にします。

これらの Office 365 に組み込まれたセキュリティ機能を活用することで、一般的な脅威に関する貴重な知見を得たり、実用的なデータを収集したり、効果的な対応策を計画したりすることができます。 セキュリティチームは、悪意のある活動が組織に回復不可能な損害を与える前に、それらを容易に特定、監視、そして防ぐことができます。

本記事では、Microsoftの脅威調査および対応機能に含まれるさまざまなツールについて解説します。ファイルや電子メールを介した攻撃に対する堅牢な防御体制を構築するために、各機能がどのように組み合わさっているのか、その概要をぜひご覧ください。

Microsoft 365 データのバックアップ

NAKIVOソリューションを活用して、Exchange Online、Teams、OneDrive、SharePoint Online内のMicrosoft 365データをバックアップし、ワークフローの中断を防ぎ、ダウンタイムをゼロにしましょう。

ソリューションを見る

Office 365 脅威の調査と対応とは何ですか？

"Office 365 の脅威調査および対応"とは、以下の機能群を指す総称です。 Microsoft Defender for Office 365 プラン 2. これらのツールは、IT管理者やアナリストが潜在的な脅威に関する情報を監視・収集するのに役立ちます。セキュリティチームは、Microsoft 365 Defender ポータルで利用可能な対応措置を活用して、SharePoint Online、OneDrive for Business、Exchange Online、および Microsoft Teams におけるリスクに対処できます。

これらの Office 365 セキュリティ機能を使用すると、過去のセキュリティインシデント、ユーザーのアクティビティ、認証情報、電子メール、侵害されたコンピュータなど、さまざまなソースからデータを収集できます。脅威の調査および対応ワークフローには、以下の内容が含まれます:

• エクスプローラー(Office 365 プラン 1 向け Microsoft Defender でのリアルタイム検出)
• 事案(調査とも呼ばれる)
• 攻撃シミュレーション訓練
• 自動化された調査と対応

ここで重要なのは、これらの機能のすべてが、内蔵の 脅威トラッカー Microsoft Defender では、まずこれらについて詳しく見ていきましょう。

脅威トラッカー

脅威トラッカーは、Office 365 の監視機能を提供する、有益なウィジェット、グラフ、表の集合体です。これらは、組織に影響を及ぼす可能性のあるサイバー脅威に関する有用な詳細情報を表示します。トラッカーのページには、マルウェアやフィッシング詐欺などの注目すべきリスクに関する定期的に更新される数値が掲載されており、現在、組織にとって最も危険な問題が何かを示しています。さらに、 Actions 次のページへリダイレクトするコラム Threat Explorer こちらから、より詳しい情報をご覧いただけます。

注:

• 脅威トラッカーは、Microsoft Defender for Office 365 Plan 2 また、これらを使用するには、グローバル管理者、セキュリティ管理者、またはセキュリティ閲覧者の権限が必要です。
• 組織のThreat Trackersにアクセスするには、以下のURLにアクセスしてください https://security.microsoft.com/、をクリックして Email & collaboration、そして Threat tracker. 直接アクセスすることもできます https://security.microsoft.com/threattrackerv2.

脅威トラッカーには、4つの異なる機能があります: 注目すべきトラッカー, 注目のトラッカー, 追跡されたクエリ そして 保存済みクエリ.

注目すべきトラッカー

このウィジェットは、深刻度の異なる新規または既存の脅威と、それらがお客様の Microsoft 365 環境内に存在するかどうかを表示します。脅威が存在する場合、その問題の詳細や、組織の Office 365 セキュリティにどのような影響を与える可能性があるかを解説した役立つ記事へのリンクも確認できます。

注目すべきトラッカーは数週間しか掲載されず、その後より新しい項目に置き換えられるため、セキュリティチームは定期的に確認する必要があります。これによりリストが最新の状態に保たれ、より関連性の高いリスクに関する情報を常に把握できるようになります。

注目のトラッカー

"トレンドトラッカー"では、過去1週間に組織のメール宛てに送信された最新の脅威を可視化します。管理者は、テナント単位のマルウェア動向に関する動的な分析を確認し、マルウェアファミリーの挙動を特定することで、より深い洞察を得ることができます。

追跡されたクエリ

"追跡クエリ"は、保存されたクエリを活用してMicrosoft環境内のアクティビティを定期的に評価する、もう1つのOffice 365監視ツールです。これは自動プロセスであり、不審なアクティビティに関する最新情報を提供することで、 Office 365 脅威対策.

保存済みクエリ

普段よく行う一般的なExplorer検索やNoteworthyトラッカーのクエリは、"保存済みクエリ"として保存できます。これにより、毎回新しい検索を作成する必要がなくなり、以前に保存したクエリに簡単にアクセスできるようになります。

Threat Explorer とリアルタイム検出

Microsoft Defender for Office 365 の"Explorer"(別名"Threat Explorer")を使用すると、セキュリティ担当者は、組織を標的とした潜在的な脅威を分析し、時間の経過に伴う攻撃の発生状況を監視することができます。この機能により、包括的なレポートやポリシーの推奨事項を確認し、組織への侵入を試みるリスクに効率的に対処する方法を把握することができます。

注:

• Explorer は Microsoft Defender for に含まれています Office 365 plan 2 一方で plan 1 リアルタイムでの検知機能を提供します。
• これらのツールのいずれかを利用するには、 Security & Compliance Center それから Threat management.

Threat Explorerは、基本的な履歴データ、一般的な感染経路、および引き起こされる可能性のある被害など、脅威に関する重要な情報を提供します。アナリストはこのツールを調査の出発点として活用し、攻撃者のインフラストラクチャ、脅威のファミリー、その他のパラメータごとにデータを分析することができます。

検出されたマルウェアを確認する

エクスプローラーを使用すると、組織内のメールで検出されたマルウェアを確認できます。レポートは、さまざまな Microsoft 365 テクノロジーごとにフィルタリングできます。

フィッシングURLとクリック判定データを表示する

メール本文内のURLを介したフィッシング攻撃の試みも、Threat Explorerに表示されます。このレポートには、許可されたURL、ブロックされたURL、および上書きされたURLのリストが、2つの表に分類されて含まれています:

• 人気のURL: 攻撃者は、受信者を惑わすために、悪意のあるリンクの横に正当なURLを混在させることがあります。このリストには、フィルタリングされたメッセージの中から見つかった正当なURLが主に含まれており、メールの総数順に並べられています。
• 人気記事: これらは"Safe Links"で保護されたURLのうち、実際に開かれたものであり、クリック総数順に並べられています。ここに表示されているリンクは悪意のあるものである可能性が高く、各URLの横には"Safe Links"によるクリック判定結果の件数が表示されています。

注: Office 365 のフィッシングフィルターを設定する際は、以下の設定を行う必要があります Safe Links また、どのURLがクリックされたかを特定し、"クリック時の保護"機能やクリック判定のログ記録を活用するためのポリシーも設定できます。

Explorerに表示されるクリック判定の値は、URLが選択された後にどのようなアクションが行われたかを把握するのに役立ちます:

• Allowed: ユーザーは指定されたURLにアクセスすることができました。
• Blocked: ユーザーは指定されたURLにアクセスできませんでした。
• Pending verdict: ユーザーがURLをクリックした際、"表示準備中"のページが表示されました。
• Error: 判定の取得中にエラーが発生したため、ユーザーにエラーページが表示されました。
• Failure: 判定結果を取得しようとした際に、不明な例外が発生しました。ユーザーがURLをクリックして移動した可能性があります。
• None: 判定を捕捉できませんでした。ユーザーがURLをクリックして移動した可能性があります。
• Blocked overridden: ユーザーはブロックを無視して、そのURLに移動しました。
• Pending verdict bypassed: 警告ページが表示されましたが、ユーザーはそのメッセージを無視してURLにアクセスしました。

ユーザーから報告されたメールメッセージを確認する

このレポートには、組織内のユーザーが迷惑メール、迷惑メールではない、またはフィッシングとして報告したメッセージに関するデータが表示されています。より正確な結果を得るには、設定を行うことをお勧めします。 Office 365 のスパム対策.

配信された悪意のあるメールを特定し、調査する

リアルタイム検知機能とThreat Explorerにより、セキュリティ担当者は、組織にリスクをもたらす可能性のある悪意のある活動を調査することができます。利用可能なアクションは以下の通りです:

• 悪意のあるメール送信者のIPアドレスの特定と識別
• メッセージの検索と削除
• さらなる調査を行うため、インシデントを登録する
• 配送方法と配送先を確認してください
• メールのタイムラインを表示する

SharePoint Online、OneDrive、および Microsoft Teams で検出された悪意のあるファイルを表示する

エクスプローラーのレポートには、OneDrive、Microsoft Teams、およびSharePoint Online向けの"Safe Attachments"によって悪意のあるファイルとして識別されたファイルに関する情報が表示されます。管理者は、隔離されたこれらのファイルを確認することもできます。

脅威対策ステータスレポートを確認する

このウィジェットは、Office 365 のセキュリティ状態を表示します。悪意のあるコンテンツを含むメールの件数に加え、以下の情報も確認できます:

• ブロックされたファイルまたはURL
• ゼロアワー自動削除(ZAP)
• 安全なリンク
• 安全なアタッチメント
• フィッシング対策ポリシーにおけるなりすまし防止機能

この情報をもとにセキュリティの動向を分析することで、ポリシーの見直しが必要かどうかを判断することができます。

攻撃シミュレーション訓練

組織内で、現実的でありながら無害なサイバー攻撃を模擬的に実施し、実際の攻撃が発生する前にセキュリティポリシーを検証し、脆弱性を特定します。こうしたシミュレーションは、フィッシング攻撃などのソーシャルエンジニアリングの手口に対して従業員が常に警戒心を保つよう訓練する上で役立つため、Office 365 脅威対策の一部となっています。

注: この機能には、[ ] に移動することでアクセスできます。 Microsoft 365 Defender ポータル > Email & collaboration > Attack simulation training。または、直接 攻撃シミュレーション訓練ページ.

攻撃シミュレーション演習には、シミュレーション攻撃を開始する前に完了する必要がある一連の手順からなる特定のワークフローがあります。

ソーシャルエンジニアリングの手法を選んでください

まず、利用可能なソーシャルエンジニアリングの手口の中から1つを選択する必要があります:

• Link to malware: 信頼できるファイル共有サービス上にホストされたファイルから任意のコードを実行し、その悪意のあるファイルへのリンクを含むメッセージを送信します。ユーザーがファイルを開くと、デバイスが侵害されます。
• Credential harvest: ユーザーは、一見すると有名なウェブサイトのように見えるページにリダイレクトされ、そこでユーザー名とパスワードを入力するよう求められます。
• Link in attachment: 電子メールの添付ファイルにURLが追加され、認証情報の収集と同様の動作をします。
• Malware attachment: メッセージに悪意のある添付ファイルが添付されています。この添付ファイルを開くと、標的の端末が乗っ取られてしまいます。
• Drive-by URL: あるURLにアクセスすると、ユーザーは見慣れたWebサイトにリダイレクトされ、そのサイトがバックグラウンドで悪意のあるコードをインストールします。Office 365のエンドポイント保護では、このような脅威を阻止できない場合があり、その結果、デバイスが感染してしまう可能性があります。

名前を選んで、シミュレーションの内容を説明してください

次に、作成するシミュレーションに、一意で説明的な名前を入力します。詳細な説明は任意です。

ペイロードを選択してください

このページでは、シミュレーションでユーザーに提示するペイロードを選択してください。ペイロードには、電子メールやウェブページなどが含まれます。利用可能なペイロードが収録された組み込みカタログから選択できます。また、組織のニーズに合わせて、独自のペイロードを作成することも可能です。

対象ユーザー

ここでは、攻撃シミュレーション研修を受ける社内のユーザーを選択します。すべてのユーザーを含めることも、特定の対象者やグループを選択することも可能です。

研修を割り当てる

マイクロソフトでは、作成した各シミュレーションに対して研修を割り当てることを推奨しています。これは、シミュレーションを受講した従業員は、同様の攻撃の被害に遭う可能性が低くなるためです。推奨されるコースやモジュールを確認し、ユーザーの成績に基づいて、ニーズに最も適したものを選択することができます。

エンドユーザーへの通知を選択

このタブでは、通知設定を行うことができます。必要に応じて、ポジティブ・リインフォースメント通知を追加することも可能です。 Customized end user notifications トレーニング終了後にユーザーを励ますため。

自動調査・対応(AIR)

Office 365 のセキュリティにおいて、自動調査および対応 (AIR) 機能は、既知の脅威が組織を標的とした場合に自動アラートを発動します。これにより手作業が軽減され、セキュリティチームは状況を確認し、優先順位を付け、適切な対応を行うことで、より効率的に業務を遂行できるようになります。

自動調査は、電子メールに添付された不審なファイルによって、またはアナリストが Threat Explorer を使用して開始することができます。AIR は、対象の電子メールに関連するデータ(宛先、ファイル、URL など)を収集します。管理者やセキュリティ担当者は、調査結果を確認し、推奨事項を精査した上で、是正措置を承認または却下することができます。

AIR は、以下のいずれかのアラートによってトリガーされます:

• 悪意のある可能性のあるURLがクリックされました
• あるユーザーが、あるメールをフィッシングまたはマルウェアとして報告しました
• マルウェアやフィッシングURLを含むメールは、配信後に削除されました
• 不審なメール送信パターンが検出されました
• ユーザーはメッセージの送信が制限されています

結論

Office 365 の脅威調査機能には、データの保護に役立つさまざまな機能が備わっています。Microsoft Defender for Office 365 プラン 2 を利用すれば、脅威トラッカーや脅威エクスプローラーなどの高度な機能を活用できます。また、攻撃シミュレーションによるトレーニングを実施することで、ユーザーの警戒心を高め、潜在的なサイバー攻撃からユーザーを守ることができます。 さらに、自動調査および対応(AIR)を設定することで、セキュリティチームの負担を軽減し、より優先度の高い脅威への対応に集中させることができます。

とはいえ、Office 365 環境を完全に保護する唯一の方法は、次のような最新のデータ保護ソリューションを導入することです。 NAKIVO Backup & Replicationこのソリューションは、Exchange Online、Teams、OneDrive for Business、およびSharePoint Online向けに、強力なバックアップおよび復旧機能を提供します。

1年間の無料データ保護: NAKIVO Backup & Replication

2分で導入でき、仮想環境、クラウド、物理環境、SaaSのデータを保護します。バックアップ、レプリケーション、即時復旧のオプションをご用意しています。

無料版を入手する