Office365 Advanced Threat Protection (ATP) の保護対象拡張について

こんにちは、コラボレーション担当の辻本 英明です。

Office 365 には、お客様が保有している重要情報をネットワーク上の脅威から保護するための様々なサービスが提供されております。

そのうちの 1 つ Office 365 Advanced Threat Protection (ATP) について、先日機能のアップデートがありましたので、本ブログではその概要についてご紹介いたします。
これまで、E メールの不正な添付ファイルおよび URL を対象としていた本サービスについて、新たに SharePoint Online 、OneDrive for Business および Microsoft Teams 上で他のユーザーと共有したファイルについても ATP の保護対象とすることが可能になりました。本機能は、2017 年 11 月下旬よりご利用中の Office 365 テナントに順次展開が進められております。

Title:Office 365 ATP for SharePoint, OneDrive, and Microsoft Teams
URL:https://support.office.com/en-us/article/26261670-db33-4c53-b125-af0662c34607

 

本機能は執筆時点で順次展開中となりますので、現在ご利用中の Office 365 画面と異なる場合がございます。

 

1. Offie 365 Advanced Threat Protection (ATP) について

ATP の機能概要については以下リンクにてご紹介しておりますので、本ページでの説明は割愛させて頂きます。

Title:Office 365 脅威保護の詳細の概要
URL:https://support.office.com/ja-jp/article/e100fe7c-f2a1-4b7d-9e08-622330b83653

Office 365 Advanced Threat Protection には、安全なリンク、安全な添付ファイル、スプーフィング インテリジェンス、および高度なフィッシング先対策機能が含まれています。
Advanced Threat Protection は、添付ファイル、メール メッセージ内のハイパーリンク、 未承認のなりすましメールなどのコンテンツをチェックすることで、
悪意のある攻撃から組織を保護するのに役立ちます。グローバル管理者またはセキュリティ管理者が定義した安全なリンクおよび安全な添付ファイルのポリシーに基づいて保護が決定されます。

2. 動作詳細

本機能が有効化された環境で、対象サービス上にアップロードされたファイルがユーザーに悪影響を及ぼす不正なファイルと判断された場合、当該ファイルがロックされます。ロックされたファイルは引き続きドキュメントライブラリ上に表示され、ブラウザーやアプリケーション上から確認することが可能ですが、ダウンロードや実行が制限されます。

3. 注意点/Point

本機能のご利用にあたって、以下の注意点 / Point があります。

  • 今回拡張された ATP の保護機能は、対象サービス上のファイルを全てスキャンする動作とはなりません (仕様となります)。ファイル共有のアクティビティや外部共有のアクティビティと、スマート ヒューリスティックおよび脅威信号により悪意のあるファイルを識別するプロセスを通じて、非同期にスキャンされます。
  • [不正なファイル]と判断されたファイルについて、ユーザーは画面上にファイルが表示された状態となりますが、ファイル名とマーカーが、該当のファイルが不正なものであることを示す表示となります。
    ⇒以下は画面サンプルとなります。SharePoint / OneDrive 上での警告表示機能は 2017 年 12 月以降、順次展開されます。
    (画像は英語表記となっておりますが、実際の画面はお客様テナントにて設定頂きました言語で表示されます)

4. 拡張機能の利用方法

前提:本機能をご利用頂くにあたり、対象のテナントで監査ログ機能が有効化されている必要があります。監査ログを有効 / 無効化する手順については以下にご案内しております公開情報をご確認ください。

Title:Office 365 の監査ログの検索を有効または無効にする
URL:https://support.office.com/ja-jp/article/e893b19a-660c-41f2-9074-d3631c95a014

 

1. Office 365 にサインインし、 [Office 365 セキュリティ & コンプライアンス] を開きます。
→ グローバル管理者もしくはセキュリティ管理者 の権限を有するアカウントでサインインする必要があります。

2. 画面左のナビゲーションより、脅威の管理 > ポリシー > ATP の安全な添付ファイル を選択します。

3.「SharePoint, OneDrive, Microsoft Teams に対してATPを有効にする」をクリックし、チェックを入れます。

4.「保存」をクリックして設定を保存します。
→設定が反映されるまで最大 30 分程度かかる場合があります。

これで設定は完了です。

 

5. レポート機能について

本機能を有効化したのち、検知された不正ファイルの情報については以下の手順で確認します。

 

1. Office 365 にサインインし、 [Office 365 セキュリティ & コンプライアンス] を開きます。
→ グローバル管理者もしくはセキュリティ管理者 の権限を有するアカウントでサインインする必要があります。

 

2. 画面左のナビゲーションより、脅威の管理 > 確認 > 保護の状態 を選択します。

3. [脅威に対する保護の状態] の [データの表示方法] にて [コンテンツ(Content)] を選択します。

4. 検知された不正ファイルのレポートが出力されます。 上段には直近の検知状況グラフが、下段には関連するレポートが表示されます。

5. 上段グラフ右上より [詳細情報の表示] を選択すると、検知したマルウェアの一覧が表示されます。

 

6. 一覧情報にて任意のレポートをクリックすると、詳細な情報が表示されます。

6. 補足 : レポート機能のアラートについて

不正なファイルが検知された際に情報を受け取れるよう、以下の手順でアラート通知を設定出来ます。

1. Office 365 にサインインし、 [Office 365 セキュリティ & コンプライアンス] を開きます。
→ グローバル管理者もしくはセキュリティ管理者 の権限を有するアカウントでサインインする必要があります。

2. 画面左のナビゲーションより、アラート > アラート ポリシー を選択します。

3. [新しい通知ポリシー] を選択します。

4. 任意のポリシー名を入力し、アラートの重大度やカテゴリを選択します。

5. [アクティビティ、条件、アラートがトリガーされる状態の選択] にて、以下を選択/入力します。
・アクティビティ:ファイルでのマルウェアの検出
・通知のトリガー方法:通知のトリガーとなる条件を設定

6. [このアラートがトリガーされたときにユーザーに通知するかどうかを決定します] にてアラートを通知するユーザーを入力します。

7. 設定を確認し、設定を今すぐに有効化するか無効のままとするかを指定したのち、[完了] をクリックします。

 

7. その他

現時点では、今回ご紹介した機能拡張はオンプレミス環境については対象外となっております。ATP はOffice 365 Enterprise E5 コンポーネントに含まれており、ご利用にあたっては Office 365 E5 のご契約が必要となります。ATP 単体でもご契約頂くことが可能ですので、Office 365 その他プランをご契約のお客様は本機能を追加でご利用頂くことで未知の脅威に対し、より強固な対策を実現することが可能です。