自動調査と対応で侵害されたユーザー アカウントに対処する
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。
Microsoft Defender for Office 365プラン 2 には、強力な自動調査と対応 (AIR) 機能が含まれています。 このような機能により、セキュリティ運用チームが脅威に対処する多くの時間と労力を節約できます。 この記事では、AIR 機能のファセットの 1 つである、侵害されたユーザー セキュリティ プレイブックについて説明します。
侵害されたユーザー セキュリティ プレイブックを使用すると、organizationのセキュリティ チームは次のことが可能になります。
- 侵害されたユーザー アカウントの検出を高速化します。
- アカウントが侵害された場合の侵害の範囲を制限する。そして
- 侵害されたユーザーに対して、より効果的かつ効率的に対応します。
侵害されたユーザー アラート
ユーザー アカウントが侵害されると、非定型または異常な動作が発生します。 たとえば、フィッシングメッセージやスパム メッセージは、信頼されたユーザー アカウントから内部的に送信される場合があります。 Defender for Office 365は、Office 365内の電子メール パターンとコラボレーション アクティビティでこのような異常を検出できます。 この場合、アラートがトリガーされ、脅威軽減プロセスが開始されます。
侵害されたユーザーを調査して対応する
ユーザー アカウントが侵害されると、アラートがトリガーされます。 また、場合によっては、そのユーザー アカウントがブロックされ、organizationのセキュリティ運用チームによって問題が解決されるまで、それ以上の電子メール メッセージを送信できなくなります。 その他の場合は、自動調査が開始され、セキュリティ チームが実行する必要がある推奨アクションが発生する可能性があります。
重要
次のタスクを実行するには、適切なアクセス許可が必要です。 「AIR 機能を使用するために必要なアクセス許可」を参照してください。
この短いビデオでは、自動調査と応答 (AIR) と侵害されたユーザー アラートを使用して、Microsoft Defender for Office 365でユーザーの侵害を検出して対応する方法について説明します。
制限付きユーザーの表示と調査
制限付きユーザーの一覧に移動するためのオプションがいくつかあります。 たとえば、Microsoft Defender ポータルで、[制限付きユーザーの確認>] Email &コラボレーション>に移動できます。 次の手順では、 アラート ダッシュボードを使用したナビゲーションについて説明します。これは、トリガーされた可能性のあるさまざまな種類のアラートを表示する良い方法です。
Microsoft Defender ポータルhttps://security.microsoft.comを開き、[インシデント] & [アラート>] に移動します。 または、[アラート] ページに直接移動するには、https://security.microsoft.com/alerts を使用します。
[ アラート ] ページで、期間とユーザー制限付き メールの送信という名前のポリシーで結果をフィルター処理します。
![制限付きユーザー用にフィルター処理されたMicrosoft Defender ポータルの [アラート] ページ](media/m365-sc-alerts-page-with-restricted-user.png)
名前をクリックしてエントリを選択すると、[メールの送信を 制限されたユーザー ] ページが開き、詳細が表示され、確認できます。 [アラートの管理] ボタンの横にある [その他のオプション] をクリック
し、[制限付きユーザーの詳細の表示] を選択して [制限付きユーザー] ページに移動します。そこで、制限付きユーザーを解放できます。
![制限付きユーザー用にフィルター処理されたMicrosoft Defender ポータルの [アラート] ページ](media/m365-sc-alerts-page-with-restricted-user.png#lightbox)
![[ユーザーがメールの送信を制限された] ページ](media/m365-sc-alerts-user-restricted-from-sending-email-page.png#lightbox)
自動調査の詳細を表示する
自動調査が開始されると、その詳細と結果は、Microsoft Defender ポータルのアクション センターで確認できます。
詳細については、「 調査の詳細を表示する」を参照してください。
以下の点にご注意ください。
アラートを確認します。 ご存知のように、侵害が検出されなくなるほど、organization、顧客、パートナーに広範な影響とコストが発生する可能性が大きくなります。 脅威を軽減するには、特にユーザーのアカウントが侵害された場合に、早期検出とタイムリーな対応が重要です。
自動化は、セキュリティ運用チームを支援します。 自動調査と対応機能により、侵害されたユーザーを早期に検出し、セキュリティ運用チームが脅威を修復するためのアクションを実行できます。 これに関するヘルプが必要ですか? 「 アクションの確認と承認」を参照してください。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示