Microsoft Defender for Office 365 の使用を開始する
Microsoft Defender for Office 365 を使用する新しい Microsoft 365 組織 (追加またはアドオン サブスクリプションとして) では、この記事では、組織の最も早い日に Exchange Online Protection (EOP) と Defender for Office 365 で実行する必要がある構成手順について説明します。
Microsoft 365 組織には、作成した時点からの既定の保護レベル (または Defender for Office 365 を追加) が含まれていますが、この記事の手順では、EOP と Defender for Office 365 の完全な保護機能を最大限に活用するための実用的な計画を示します。 手順を完了したら、この記事を使用して、Microsoft 365 への投資を最大化していることを管理に示すこともできます。
EOP と Defender for Office 365 を構成する手順を次の図に示します。
ヒント
この記事のコンパニオンとして、Microsoft Defender for Office 365 の自動セットアップ ガイドを https://admin.microsoft.com/Adminportal/Home?Q=learndocs#/modernonboarding/office365advancedthreatprotectionadvisorで使用することをお勧めします。 このガイドでは、環境に基づいてエクスペリエンスをカスタマイズします。 サインインせずに自動セットアップ機能をアクティブ化せずにベスト プラクティスを確認するには、 https://setup.microsoft.com/defender/office-365-setup-guideの Microsoft 365 セットアップ ポータルにアクセスします。
要件
電子メール脅威保護機能は、EOP を介してクラウド メールボックスを使用 するすべての Microsoft 365 サブスクリプションに含まれています。 Defender for Office 365 には、追加の保護機能が含まれています。 EOP、Defender for Office 365 for Plan 1、Defender for Office 365 Plan 2 の機能の詳細な比較については、「 Microsoft Defender for Office 365 の概要」を参照してください。
ロールと権限
EOP と Defender for Office 365 の機能を構成するには、アクセス許可が必要です。 次の表に、この記事の手順を実行するために必要なアクセス許可の一覧を示します (1 つで十分です。それらすべては必要ありません)。
| 役割または役割グループ | 詳細情報 |
|---|---|
| Microsoft Entra のグローバル管理者* | Microsoft Entra 組み込みロール |
| 電子メール & コラボレーション役割グループの組織の管理 | Microsoft Defender for Office 365 の役割グループ |
| Microsoft Entra のセキュリティ管理者 | Microsoft Entra 組み込みロール |
| 電子メール & コラボレーション ロール グループのセキュリティ管理者 | Microsoft Defender for Office 365 での電子メール & コラボレーションのアクセス許可 |
| Exchange Online 組織の管理 | Exchange Online のアクセス許可 |
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。
手順 1: Microsoft 365 ドメインの電子メール認証を構成する
概要: すべてのカスタム Microsoft 365 ドメイン (パークされたドメインとサブドメインを含む) に対して SPF、 DKIM、 DMARC レコード (この順序で) を構成します。 必要に応じて、 信頼できる ARC シーラーを構成します。
詳細:
電子メール認証 ( 電子メール検証とも呼ばれます) は、電子メール メッセージが正当で変更されておらず、送信者の電子メール ドメインの予想されるソースからのものであることを確認するための標準のグループです。 詳細については、「 EOP での電子メール認証」を参照してください。
Microsoft 365 の 1 つ以上の カスタム ドメイン を電子メールに使用していることを前提に進みます (たとえば、contoso.com) ので、メールに使用しているカスタム ドメインごとに特定の電子メール認証 DNS レコードを作成する必要があります。
Microsoft 365 のメールに使用するカスタム ドメインごとに、DNS レジストラーまたは DNS ホスティング サービスで次の電子メール認証 DNS レコードを作成します。
Sender Policy Framework (SPF): SPF TXT レコードは、ドメイン内の送信者からの有効なメール ソースを識別します。 手順については、「 スプーフィングを防ぐために SPF を設定する」を参照してください。
DomainKeys Identified Mail (DKIM): DKIM は送信メッセージに署名し、メッセージ転送を存続させるメッセージ ヘッダーに署名を格納します。 手順については、「 DKIM を使用してカスタム ドメインから送信された送信メールを検証する」を参照してください。
ドメイン ベースのメッセージ認証、レポート、および準拠 (DMARC): DMARC は、SPF と DKIM のチェックに失敗したカスタム ドメインからのメッセージを宛先の電子メール サーバーが決定するのに役立ちます。 DMARC レコードには、DMARC ポリシー (
p=rejectまたはp=quarantine) と DMARC レポートの宛先 (集計レポートとフォレンジック レポート) を必ず含めます。 手順については、「 DMARC を使用して電子メールを検証する」を参照してください。認証済み受信チェーン (ARC): Microsoft 365 への配信前に転送中の 受信 メッセージを変更するサード パーティのサービスを使用する場合は、 サービスを信頼できる ARC シーラー (サポートしている場合) として識別できるため、変更されたメッセージは Microsoft 365 の電子メール認証チェックに自動的に失敗しません。 手順については、「 信頼できる ARC シーラーを構成する」を参照してください。
電子メールに *.onmicrosoft.com ドメイン (Microsoft Online メール ルーティング アドレスまたは MOERA ドメインとも呼ばれます) を使用している場合は、以下を実行する必要はありません。
- SPF: SPF レコードは既に *.onmicrosoft.com ドメイン用に構成されています。
- DKIM: DKIM 署名は、*.onmicrosoft.com ドメインを使用して送信メール用に既に構成されていますが、 手動でカスタマイズすることもできます。
- DMARC: ここで説明するように、*.onmicrosoft.com ドメインの DMARC レコードを手動で設定する必要 があります。
手順 2: 保護ポリシーを構成する
概要: すべての受信者に対して Standard または Strict の事前設定されたセキュリティ ポリシーを 有効にして使用します。 または、 ビジネス ニーズに応じて、代わりにカスタム保護ポリシーを作成して使用しますが、 構成アナライザーを使用して定期的に確認します。
詳細:
ご想像のとおり、EOP と Defender for Office 365 では、多くの保護ポリシーを使用できます。 保護ポリシーには、次の 3 つの基本的な種類があります。
既定のポリシー: これらのポリシーは、組織が作成された時点から存在します。 これらは組織内のすべての受信者に適用されます。ポリシーをオフにすることも、ポリシーを適用するユーザーを変更することもできません。 ただし、カスタム ポリシーと同様に、ポリシーのセキュリティ設定を変更できます。 既定のポリシーの設定については、「 EOP および Microsoft Defender for Office 365 セキュリティの推奨設定」の表を参照してください。
事前設定されたセキュリティ ポリシー: 既定のセキュリティは、実際には、特定のレベルの保護に合わせて調整された設定を含む、EOP および Defender for Office 365 で使用可能な保護ポリシーの大部分を含むプロファイルです。 事前設定されたセキュリティ ポリシーは次のとおりです。
- 厳密な事前設定されたセキュリティ ポリシー。
- Standard プリセット セキュリティ ポリシー。
- 組み込みの保護。
Standard および Strict の事前設定されたセキュリティ ポリシーは、オンにするまで既定でオフになっています。 EOP 保護機能と Defender for Office 365 保護機能の受信者の条件と例外 (ユーザー、グループ メンバー、ドメイン、またはすべての受信者) は、Standard および Strict の事前設定されたセキュリティ ポリシー内で指定します。
Defender for Office 365 の組み込み保護は、すべての受信者に基本的な安全な添付ファイルと安全なリンク保護を提供するために既定でオンになっています。 受信者の例外を指定して、保護を受けないユーザーを特定できます。
Defender for Office 365 組織の Standard および Strict の事前設定されたセキュリティ ポリシーでは、ユーザーとドメインの偽装保護に関するエントリとオプションの例外を構成する必要があります。 その他の設定はすべて、推奨される標準値と厳密な値にロックされています (その多くは同じです)。 「 EOP と Microsoft Defender for Office 365 セキュリティの推奨設定」の表の Standard と Strict の値を確認できます。Standard と Strict の違い については、こちらを参照してください。
新しい保護機能が EOP と Defender for Office 365 に追加され、セキュリティ環境が変化すると、事前設定されたセキュリティ ポリシーの設定が推奨設定に自動的に更新されます。
カスタム ポリシー: 使用可能なほとんどの保護ポリシーでは、任意の数のカスタム ポリシーを作成できます。 受信者の条件と例外 (ユーザー、グループ メンバー、またはドメイン) を使用してユーザーにポリシーを適用し、設定をカスタマイズできます。
前の情報と関連する保護ポリシーを次の表にまとめます。
| 既定のポリシー | 事前設定されたセキュリティ ポリシー | カスタム ポリシー | |
|---|---|---|---|
| EOP 保護ポリシー: | |||
| マルウェア対策 | ✔ | ✔ | ✔ |
| スパム対策 | ✔ | ✔ | ✔ |
| フィッシング対策 (なりすまし保護) | ✔ | ✔ | ✔ |
| 送信スパム | ✔ | ✔ | |
| 接続フィルター | ✔¹ | ||
| Defender for Office 365 ポリシー: | |||
| フィッシング対策 (スプーフィング保護) に加えて、次の手順を実行します。 | ✔² | ✔² | ✔ |
| リンク保護 | ³ | ✔ | ✔ |
| 添付ファイル保護 | ³ | ✔ | ✔ |
| 一般的な動作 | |||
| 既定で保護がオンになっていますか? | ✔ | ⁴ | |
| 保護の条件/例外を構成しますか? | ✔⁵ | ✔ | |
| セキュリティ設定をカスタマイズしますか? | ✔ | ⁶ | ✔ |
| 保護設定が自動的に更新されますか? | ✔ |
¹ IP 許可リストまたは IP ブロック リストには既定のエントリがないため、設定をカスタマイズしない限り、既定の接続フィルター ポリシーは実質的に何も行いません。
² Defender for Office 365 でユーザー偽装またはドメイン偽装保護を構成するまで、エントリやオプションの例外はありません。
² Defender for Office 365 には既定の安全な添付ファイルまたは安全なリンク ポリシーはありませんが、組み込み保護では、常に有効な基本的な安全な添付ファイルと安全なリンク保護が提供されます。
⁴ 組み込みの保護 (Defender for Office 365 の安全な添付ファイルと安全なリンク保護) は、既定でオンになっている唯一の事前設定されたセキュリティ ポリシーです。
⁵ 標準および厳密な事前設定されたセキュリティ ポリシーの場合は、EOP と Defender for Office 365 保護に対して個別の受信者条件とオプションの例外を構成できます。 Defender for Office 365 の組み込み保護では、保護からの受信者の例外のみを構成できます。
⁶ 既定のセキュリティ ポリシーのカスタマイズ可能なセキュリティ設定は、Defender for Office 365 の Standard および Strict プリセット セキュリティ ポリシーのユーザー偽装保護とドメイン偽装保護のエントリとオプションの例外のみです。
保護ポリシーの優先順位
保護ポリシーの適用方法は、ユーザーのセキュリティ設定を構成する方法を決定する際に重要な考慮事項です。 覚えておくべき重要なポイントは次のとおりです。
- 保護機能には、構成できない 処理順序があります。 たとえば、受信メッセージは常に、スパムの前にマルウェアに対して評価されます。
- 特定の機能 (スパム対策、マルウェア対策、フィッシング対策など) の保護ポリシーは、特定の優先順位で適用されます (優先順位の詳細については後で説明します)。
- ユーザーが特定の機能の複数のポリシーに意図的または意図せずに含まれている場合、ユーザーが定義されているその機能の最初の保護ポリシー (優先順位に基づいて) によって、アイテムの動作 (メッセージ、ファイル、URL など) が決まります。
- その最初の保護ポリシーがユーザーの特定の項目に適用されると、その機能のポリシー処理は停止します。 そのユーザーとその特定のアイテムに対して、その機能の保護ポリシーが評価されなくなります。
優先順位については、「 事前設定されたセキュリティ ポリシーやその他のポリシーの優先順位」で詳しく説明しますが、簡単に要約します。
- 事前設定されたセキュリティ ポリシーの保護ポリシー:
- 厳密な事前設定されたセキュリティ ポリシー。
- Standard プリセット セキュリティ ポリシー。
- 特定の機能のカスタム保護ポリシー (マルウェア対策ポリシーなど)。 各カスタム ポリシーには、同じ機能の他の保護ポリシーに関連してポリシーを適用する順序を決定する優先順位の値があります。
- 優先度の値が 0 のカスタム ポリシー。
- 優先度の値が 1 のカスタム ポリシー。
- などなど。
- 特定の機能 (マルウェア対策など) または Defender for Office 365 の組み込み保護 (安全なリンクと安全な添付ファイル) の既定の保護ポリシー。
前の表を参照して、特定の保護ポリシーが優先順位でどのように表されるかを確認してください。 たとえば、マルウェア対策ポリシーは各レベルに存在します。 送信スパム ポリシーは、カスタム ポリシーと既定のポリシー レベルで使用できます。 接続フィルター ポリシーは、既定のポリシー レベルでのみ使用できます。
混乱や意図しないポリシーの適用を回避するには、次のガイドラインを使用します。
- 各レベルで明確なグループまたは受信者のリストを使用します。 たとえば、Standard および Strict の事前設定されたセキュリティ ポリシーに対して、さまざまなグループまたは受信者の一覧を使用します。
- 必要に応じて、各レベルで例外を構成します。 たとえば、カスタム ポリシーを必要とする受信者を、Standard および Strict の事前設定されたセキュリティ ポリシーの例外として構成します。
- 上位レベルで識別されていない残りの受信者は、既定のポリシーまたは Defender for Office 365 の組み込み保護 (安全なリンクと安全な添付ファイル) を取得します。
この情報を使用して、組織内で保護ポリシーを実装する最善の方法を決定できます。
保護ポリシー戦略を決定する
さまざまな種類の保護ポリシーとその適用方法について理解したら、EOP と Defender for Office 365 を使用して組織内のユーザーを保護する方法を決定できます。 お客様の決定は、必然的に次の範囲のどこかに収まります。
- 標準の事前設定されたセキュリティ ポリシーのみを使用します。
- Standard および Strict の事前設定されたセキュリティ ポリシーを使用します。
- 事前設定されたセキュリティ ポリシーとカスタム ポリシーを使用します。
- カスタム ポリシーのみを使用します。
既定のポリシー (および Defender for Office 365 の組み込み保護) は、組織内のすべての受信者 (Standard または Strict の事前設定されたセキュリティ ポリシーまたはカスタム ポリシーで定義されていないすべてのユーザー) を自動的に保護します。 そのため、何も行わない場合でも、「 EOP と Microsoft Defender for Office 365 セキュリティの推奨設定」で説明されているように、組織内のすべての受信者は既定の保護を受けます。
また、最初の決定に永遠にロックされていないことを認識することも重要です。 推奨される設定テーブルの情報と Standard と Strict の比較テーブルを使用すると、情報に基づいた意思決定を行うことができます。 しかし、ニーズ、結果、状況が変化した場合、後で別の戦略に切り替えるのは難しいわけではありません。
それ以外の場合を示す説得力のあるビジネスニーズがなければ、組織内のすべてのユーザーに対して Standard の事前設定されたセキュリティ ポリシーから開始することをお勧めします。 事前設定されたセキュリティ ポリシーは、Microsoft 365 データセンターでの長年の観察に基づいて設定が構成されており、大多数の組織にとって適切な選択である必要があります。 また、ポリシーは、セキュリティ環境の脅威に合わせて自動的に更新されます。
事前設定されたセキュリティ ポリシーでは、[ すべての受信者 ] オプションを選択して、組織内のすべての受信者に保護を簡単に適用できます。
一部のユーザーを Strict プリセット セキュリティ ポリシーに含め、残りのユーザーを Standard プリセット セキュリティ ポリシーに含める場合は、この記事で前述した優先順位を次 の 方法で考慮してください。
各事前設定されたセキュリティ ポリシーで、明確なグループまたは受信者のリストを使用します。
または
厳密な事前設定されたセキュリティ ポリシーで、標準プリセット セキュリティ ポリシーの設定を例外として取得する必要がある受信者を構成します。
次の保護機能の構成は、事前設定されたセキュリティ ポリシーの影響を受けません (事前設定されたセキュリティ ポリシーを使用して、これらの保護設定を個別に構成することもできます)。
- 送信スパム ポリシー (カスタムと既定)
- 既定の接続フィルター ポリシー (IP 許可リストと IP ブロック リスト)
- SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイルをグローバルに有効にする
- 安全なドキュメントをグローバルに有効にして構成 する (Defender for Office 365 (Microsoft 365 A5 や Microsoft 365 E5 セキュリティなど) に含まれていないライセンスでのみ使用でき、意味があります)
事前設定されたセキュリティ ポリシーを有効にして構成するには、「 EOP および Microsoft Defender for Office 365 のセキュリティ ポリシーを事前設定する」を参照してください。
事前設定されたセキュリティ ポリシーの代わりに、または事前設定されたセキュリティ ポリシーに加えてカスタム ポリシーを使用する決定は、最終的には次のビジネス要件に従います。
- ユーザーは、事前設定されたセキュリティ ポリシーの変更できない設定とは 異なる セキュリティ設定 (迷惑メールと検疫、またはその逆、安全に関するヒントなし、カスタム受信者への通知など) が必要です。
- ユーザーには、事前設定されたセキュリティ ポリシーで 構成されていない 設定が必要です (たとえば、特定の国からのメールやスパム対策ポリシーの特定の言語でのメールのブロックなど)。
- ユーザーには、事前設定されたセキュリティ ポリシーの変更できない設定とは異なる 検疫エクスペリエンス が必要です。 検疫ポリシーでは、 メッセージが検疫された理由と、検疫されたメッセージについて受信者に通知されるかどうかに基づいて、検疫されたメッセージに対してユーザーが実行できる操作を定義します。 ここでは、既定のエンド ユーザー検疫エクスペリエンス を表にまとめ 、Standard および Strict の事前設定されたセキュリティ ポリシーで使用される検疫ポリシーについては、こちらの表を参照 してください。
「EOP および Microsoft Defender for Office 365 セキュリティの推奨設定」の情報を使用して、カスタム ポリシーまたは既定のポリシーで使用可能な設定と、標準および厳密な事前設定されたセキュリティ ポリシーで構成されているものを比較します。
特定の機能 (マルウェア対策ポリシーなど) に関する複数のカスタム ポリシーの設計ガイドラインには、次のようなものがあります。
- 優先順位が高いため、カスタム ポリシーのユーザーを Standard または Strict の事前設定されたセキュリティ ポリシーに含めることはできません。
- 優先度の高いポリシーに割り当てるユーザー数を減らし、優先度の低いポリシーに割り当てるユーザーを増やします。
- 優先度の高いポリシーを構成して、優先順位の低いポリシー (既定のポリシーを含む) よりも厳密または特殊化された設定を設定します。
カスタム ポリシーを使用する場合は、 構成アナライザー を使用して、ポリシーの設定を Standard および Strict プリセット セキュリティ ポリシーの推奨設定と定期的に比較します。
手順 3: 管理者にアクセス許可を割り当てる
概要: Microsoft Entra の セキュリティ管理者 ロールを他の管理者、スペシャリスト、ヘルプ デスク担当者に割り当てて、EOP と Defender for Office 365 でタスクを実行できるようにします。
詳細:
Microsoft 365 への登録に使用した初期アカウントを既に使用して、この展開ガイドのすべての作業を行っている可能性があります。 そのアカウントは、Microsoft 365 の至る所の管理者であり (具体的には、Microsoft Entra の グローバル管理者 ロールのメンバーです)、ほとんど何でもできます。 必要なアクセス許可については、この記事の「 ロールとアクセス許可」で説明しました。
ただし、この手順の目的は、今後 EOP と Defender for Office 365 の機能を管理するのに役立つ他の管理者を構成することです。 あなたが望まないのは、それを必要としないグローバル管理者の権限を持つ多くの人々です。 たとえば、アカウントを削除または作成したり、他のユーザーをグローバル管理者にする必要はありますか? 最小限の特権 (ジョブを実行するために必要なアクセス許可のみを割り当て、それ以上何も割り当てない) という概念に従うことをお勧めします。
EOP と Defender for Office 365 のタスクのアクセス許可を割り当てる場合は、次のオプションを使用できます。
- Microsoft Entra のアクセス許可: これらのアクセス許可は、Microsoft 365 (Exchange Online、SharePoint Online、Microsoft Teamsなど) のすべてのワークロードに適用されます。
- Exchange Online のアクセス許可: EOP と Defender for Office 365 のほとんどのタスクは、Exchange Online のアクセス許可を使用して使用できます。 Exchange Online でのみアクセス許可を割り当てると、他の Microsoft 365 ワークロードでの管理アクセスが禁止されます。
- Microsoft Defender ポータルでの電子メール & コラボレーションのアクセス許可: EOP と Defender for Office 365 の一部のセキュリティ機能の管理は、電子メール & コラボレーションのアクセス許可で利用できます。 例:
わかりやすくするために、EOP と Defender for Office 365 で設定を構成する必要がある他のユーザーには、Microsoft Entra の セキュリティ管理者 ロールを使用することをお勧めします。
手順については、「 Microsoft Entra ロールをユーザーに割り当てる 」および 「Microsoft Entra グローバル ロールを使用して Microsoft Defender XDR へのアクセスを管理する」を参照してください。
手順 4: 優先度の高いアカウントとユーザー タグ
概要: レポートや調査で識別を容易にし、Defender for Office 365 で優先アカウント保護を受けるために、組織内の適切なユーザーを優先順位アカウントとして識別してタグ付けします。 Defender for Office 365 プラン 2 でカスタム ユーザー タグ を作成して適用することを検討してください。
詳細:
Defender for Office 365 では、優先度アカウントを使用すると、レポートや調査で識別しやすくするために、最大 250 人の高価値ユーザーにタグを付けることができます。 これらの優先アカウントには、通常の従業員にはメリットのない追加のヒューリスティックも含まれます。 詳細については、「優先順位アカウントの管理と監視」および「Microsoft Defender for Office 365 での優先度アカウント保護の構成と確認」を参照してください。
Defender for Office 365 プラン 2 では、カスタム ユーザー タグ を作成して適用して、レポートや調査で特定のユーザー グループを簡単に識別することもできます。 詳細については、「Microsoft Defender for Office 365 のユーザー タグ」を参照してください。
優先度アカウントとしてタグ付けする適切なユーザーを特定し、カスタム ユーザー タグを作成して適用する必要があるかどうかを判断します。
手順 5: ユーザーが報告したメッセージ設定を確認して構成する
概要: レポート メッセージまたはレポート フィッシング アドインまたはサポートされているサード パーティ製ツールを展開して、ユーザーが Outlook で誤検知や誤検知を報告できるようにし、報告されたメッセージを Defender ポータルの [申請] ページの [ユーザーから報告] タブで管理者が使用できるようにします。 報告されたメッセージが指定されたレポート メールボックス、Microsoft、またはその両方に送信されるように組織を構成します。
詳細:
ユーザーが、EOP と Defender for Office 365 で保護設定を監視および調整するには、不適切 (誤検知) または許可されている不適切なメッセージ (偽陰性) としてマークされた適切なメッセージを報告する機能が重要です。
ユーザー メッセージ レポートの重要な部分は次のとおりです。
ユーザーがメッセージを報告する方法: クライアントが次のいずれかの方法を使用していることを確認して、報告されたメッセージが、https://security.microsoft.com/reportsubmission?viewid=userの Defender ポータルの [申請] ページの [ユーザーから報告された] タブに表示されるようにします。
Outlook on the web (旧称 Outlook Web App または OWA) の組み込み レポート ボタン。
Outlook および Outlook on the web 用の Microsoft Report Message または Report フィッシング アドイン 。
サポートされているメッセージ送信形式を使用するサード パーティのレポート ツール。
ユーザーが報告したメッセージの移動先: 次のオプションがあります。
- 指定されたレポート メールボックスと Microsoft の場合 (既定値)。
- 指定されたレポート メールボックスにのみ。
- Microsoft のみ。
ユーザーが報告したメッセージを収集するために使用される既定のメールボックスは、グローバル管理者のメールボックス (組織内の初期アカウント) です。 ユーザーが報告したメッセージを組織内のレポート メールボックスに移動する場合は、使用する排他的メールボックスを 作成 して 構成 する必要があります。
ユーザーが報告したメッセージを分析のために Microsoft に送信するか (指定されたレポート メールボックスへの配信と共に) 行うかは、ユーザーの責任です。
ユーザーが報告したメッセージを指定されたレポート メールボックスにのみ送信する場合、管理者は手動で、ユーザーが報告したメッセージを Microsoft に送信して、https://security.microsoft.com/reportsubmission?viewid=userの Defender ポータルの [申請] ページの [ユーザーから報告された] タブから分析する必要があります。
ユーザーから報告されたメッセージを Microsoft に送信することは、フィルターが学習および改善できるようにするために重要です。
ユーザーが報告したメッセージ設定の詳細については、「 ユーザーが報告した設定」を参照してください。
手順 6: エントリをブロックして許可する
概要: Defender for Office 365 でメッセージ、ファイル、URL をブロックおよび許可する手順について理解します。
詳細:
Defender ポータルの次の場所でメッセージの送信者、ファイル、URL をブロックおよび (一時的に) 許可する方法について理解する必要があります。
- [ テナントの許可/ブロック] リスト ( https://security.microsoft.com/tenantAllowBlockList)。
- https://security.microsoft.com/reportsubmissionの [申請] ページ。
- https://security.microsoft.com/spoofintelligenceのスプーフィング インテリジェンス分析情報ページ。
一般に、不要な許可エントリは、システムによってフィルター処理される悪意のある電子メールに組織を公開するため、許可するよりもブロックを作成する方が簡単です。
ブロック:
[テナントの許可/ブロックリスト] の対応するタブで、 ドメインとメール アドレス、 ファイル、 URL の ブロック エントリを作成し、[申請] ページから分析のためにアイテムを Microsoft に 送信 できます。 Microsoft にアイテムを送信すると、対応するブロック エントリもテナント許可/ブロック リストに作成されます。
ヒント
組織内のユーザーは、テナント許可/ブロック リストのブロック エントリで指定されているドメインまたは電子メール アドレスに電子メールを 送信 することもできません。
スプーフィング インテリジェンスによってブロックされたメッセージは、[スプーフィング インテリジェンス] ページに表示されます。 許可エントリをブロック エントリに変更すると、送信者はテナント許可/ブロック リストの [ なりすまし送信者 ] タブの手動ブロック エントリになります。 [ なりすまし 送信者] タブで、まだ見つからないなりすまし送信者のブロック エントリを事前に作成することもできます。
許可:
ドメインとメール アドレス、ファイル、URL の許可エントリをテナント許可/ブロック リストの対応するタブに直接作成することはできません。 代わりに、[ 申請] ページを 使用してアイテムを Microsoft に報告します。 Microsoft にアイテムを報告するときに、アイテムを許可するように選択できます。これにより、対応する一時的な許可エントリが [テナントの許可/ブロック] リストに作成されます。
スプーフィング インテリジェンスによって許可されるメッセージは、[スプーフィング インテリジェンス] ページに表示されます。 ブロックエントリを許可エントリに変更すると、送信者はテナント許可/ブロックリストの [ スプーフィングされた送信者 ] タブの手動許可エントリになります。 [ なりすまし 送信者] タブで、まだ見つからないなりすまし送信者の許可エントリを事前に作成することもできます。
詳細については、次の記事を参照してください。
- テナント許可/禁止リストを使用して URL を許可または禁止する
- テナント許可/禁止リストを使用してファイルを許可またはブロックする
- テナント許可/禁止リストを使用して URL を許可またはブロックする
- [申請] ページを使用して、疑わしいスパム、フィッシング、URL、正当なメールの受信がブロックされ、電子メールの添付ファイルを Microsoft に送信します
- スプーフィング インテリジェンスの判定をオーバーライドする
手順 7: 攻撃シミュレーション トレーニングを使用してフィッシング シミュレーションを開始する
Defender for Office 365 Plan 2 では、攻撃シミュレーション トレーニングを使用すると、シミュレートされたフィッシング メッセージをユーザーに送信し、応答方法に基づいてトレーニングを割り当てることができます。 次のオプションを利用できます。
- 組み込みペイロードまたはカスタム ペイロードを使用した個々のシミュレーション。
- 複数のペイロードと自動スケジューリングを使用して、実際のフィッシング攻撃から得られたシミュレーションの自動化。
- キャンペーンを 開始する必要がなく、ユーザーがリンクをクリックしたり、シミュレートされたフィッシング メッセージの添付ファイルをダウンロードするのを待ってからトレーニングが割り当てられるトレーニング専用キャンペーンです。
詳細については、「 攻撃シミュレーション トレーニングの使用を開始する」を参照してください。
手順 8: 調査して対応する
最初の設定が完了したら、 Microsoft Defender for Office 365 セキュリティ運用ガイド の情報を使用して、組織内の脅威を監視および調査します。