試用版ユーザー ガイド: Microsoft Defender for Office 365

Microsoft Defender for Office 365試用版ユーザー ガイドへようこそ。 このユーザー ガイドは、メール メッセージ、リンク (URL)、コラボレーション ツールによってもたらされる悪意のある脅威からorganizationを保護する方法を説明することで、無料試用版を最大限に活用するのに役立ちます。

Defender for Office 365 とは

Defender for Office 365は、脅威保護ポリシー、レポート、脅威の調査と対応の機能、自動調査と対応の機能など、包括的な機能を提供することで、組織が企業をセキュリティで保護するのに役立ちます。

次のビデオでは、高度な脅威の検出に加えて、Defender for Office 365の SecOps 機能がチームの脅威への対応にどのように役立つかを示しています。

Defender for Office 365の監査モードとブロック モード

Defender for Office 365エクスペリエンスをアクティブまたはパッシブにしますか? 次の 2 つのモードから選択できます。

• 監査モード: フィッシング対策 (偽装保護を含む)、安全な添付ファイル、および安全なリンクに対して特別な 評価ポリシー が作成されます。 これらの評価ポリシーは、脅威のみを 検出 するように構成されています。 Defender for Office 365は、レポートに有害なメッセージを検出しますが、メッセージは処理されません (たとえば、検出されたメッセージは検疫されません)。 これらの評価ポリシーの設定については、この記事の後半の 「監査モードのポリシー」 セクションで説明します。

  監査モードでは、 のMicrosoft Defender for Office 365評価ページhttps://security.microsoft.com/atpEvaluationのDefender for Office 365の評価ポリシーによって検出された脅威に対するカスタマイズされたレポートにアクセスできます。

• ブロック モード: 事前設定されたセキュリティ ポリシー の標準テンプレートがオンになり、試用版に使用され、試用版に含めるために指定したユーザーが Standard プリセット セキュリティ ポリシーに追加されます。 Defender for Office 365は有害なメッセージを検出し、アクションを実行します (たとえば、検出されたメッセージは検疫されます)。

  既定で推奨される選択は、これらのDefender for Office 365 ポリシーをorganization内のすべてのユーザーにスコープを設定することです。 ただし、試用版のセットアップ中またはセットアップ後に、Microsoft Defender ポータルまたは PowerShell で特定のユーザー、グループ、または電子メール ドメインにポリシーの割り当てを変更できます。

  ブロック モードでは、Defender for Office 365によって検出された脅威に対するカスタマイズされたレポートは提供されません。 代わりに、Defender for Office 365 プラン 2 の定期的なレポートと調査機能で情報を入手できます。 詳細については、「 ブロック モードのレポート」を参照してください。

使用可能なモードを決定する主な要因は次のとおりです。

• Defender for Office 365の評価と評価に関するページで説明されているように、現在Defender for Office 365 (プラン 1 またはプラン 2) があるかどうか。

• 次のシナリオで説明されているように、メールを Microsoft 365 organizationに配信する方法。

  • インターネットからのメールは Microsoft 365 に直接送信されますが、現在のサブスクリプションにはExchange Online Protection (EOP) またはプラン 1 Defender for Office 365しかありません。

    

    これらの環境では、ライセンスに応じて監査モードまたはブロック モードを使用できます。

  • 現在、Microsoft 365 メールボックスのメール保護にサード パーティのサービスまたはデバイスを使用しています。 インターネットからのメールは、Microsoft 365 organizationに配信される前に、保護サービスを介して送信されます。 Microsoft 365 の保護は可能な限り低くなっています (完全に無効になることはありません。たとえば、マルウェアの保護は常に適用されます)。

    

    これらの環境では、 監査モード のみを使用できます。 プラン 2 を評価するためにメール フロー (MX レコード) を変更Defender for Office 365必要はありません。

では、始めましょう。

ブロック モード

手順 1: ブロック モードの概要

Microsoft Defender for Office 365 試用版の使用開始

お客様が試用版の使用を開始し、セットアップ プロセスを完了した後、変更が有効になるまでに最大 2 時間かかる場合があります。

お使いの環境で Standard プリセット セキュリティ ポリシー が自動的に有効になりました。 このプロファイルは、ほとんどのユーザーに適したベースライン保護プロファイルを表します。 標準的な保護は以下のとおりです。

• 安全なリンク、安全な添付ファイル、フィッシング対策の各ポリシーは、テナント全体、または試用版のセットアップ プロセス時に選択したユーザーのサブセットに適用されます。
• SharePoint、OneDrive、Microsoft Teams の安全な添付ファイル保護。
• サポートされている Office 365 アプリの安全なリンク保護。

詳細については、以下のビデオをご覧ください。Microsoft Defender for Office 365 の安全なリンクで悪意のあるリンクから保護する - YouTube。

ユーザーがブロック モードで疑わしいコンテンツを報告できるようにする

Defender for Office 365 は、ユーザーがセキュリティ チームにメッセージを報告したり、管理者が Microsoft にメッセージを送信して分析を依頼したりすることができます。

• 報告されたメッセージが指定 されたレポート メールボックス、Microsoft、またはその両方に送信されるように、ユーザーが報告した設定を確認または構成します。
• レポート メッセージ アドインまたはレポート フィッシング アドインを展開して、ユーザーがメッセージを報告できるようにします。 または、ユーザーは、Outlook on the web (旧称 Outlook Web App または OWA) の組み込みレポート ボタンを使用できます。
• 「誤検出と検出漏れを報告する」ワークフローを確立します。
• [申請] ページhttps://security.microsoft.com/reportsubmission?viewid=userの [ユーザー報告] タブを使用して、ユーザーが報告したメッセージを表示および管理します。

詳細については、このビデオをご覧 ください。 [申請] ページを使用して、分析のためにメッセージを送信する方法について説明します - YouTube。

レポートを確認して、ブロック モードの脅威の状況を理解する

Defender for Office 365 のレポート機能を使用して、環境の詳細を入手します。

• 脅威保護進捗レポートを使用して、メールやコラボレーション ツールで受信した脅威を把握します。
• メールフロー進捗レポートを使用して、脅威がブロックされている場所を確認します。
• URL 保護レポートを使用して、ユーザーによって表示されたか、システムによってブロックされたリンクを確認します。

手順 2: ブロック モードの中間ステップ

対象ユーザーに優先的にフォーカスする

Defender for Office 365 の「優先アカウント保護」を使用して、最も対象となるユーザーや最も目にする機会の多いユーザーを保護し、ワークフローに優先順位をつけてこれらのユーザーの安全を確保するのに役立ちます。

• 最も対象となるユーザー、または目にする機会の多いユーザーを特定します。
• 優先アカウントとしてこれらのユーザーをタグ付けします。
• ポータル全体で、優先度アカウントに対する脅威を追跡します。

詳細については、以下のビデオをご覧ください。Microsoft Defender for Office 365 での優先アカウントの保護 - YouTube。

ユーザーの侵害を防いでコストのかかる侵害を回避

侵害の可能性を警告し、これらの脅威の影響を自動的に制限することで、攻撃者がユーザーの環境に深くアクセスすることを防ぎます。

• 侵害されたユーザーの警告を確認します。
• 侵害されたユーザーへの脅威の調査と対応。

詳細については、以下のビデオをご覧ください。Microsoft Defender for Office 365 での侵害の検出と対応 - YouTube。

脅威エクスプローラーを使用して悪質なメールを調査する

Defender for Office 365 を使用すると、組織内のユーザーを危険にさらすアクティビティを調査し、組織を保護するための行動をとることができます。 これを行うには、Threat エクスプローラー (エクスプローラー) を使用します。

• 配信された疑わしいメールの検索: メッセージを見つけて削除したり、悪意のあるメール送信者の IP アドレスを特定したり、さらなる調査のためにインシデントを開始したりすることができます。
• 脅威エクスプローラーとリアルタイム検出のセキュリティ シナリオをEmailする

所属している組織を対象とした攻撃活動を確認する

Defender for Office 365 のキャンペーン ビューを使用して、組織を標的とした攻撃活動と、その攻撃活動がユーザーに与える影響を表示し、全体像を把握することができます。

• ユーザーを対象とした攻撃活動を特定します。

• 攻撃の範囲を可視化します。

• これらのメッセージを使用してユーザーの操作を追跡します。

  

詳細については、以下のビデオをご覧ください。Microsoft Defender for Office 365 でのキャンペーン ビュー - YouTube。

自動化を使用したリスクの修復

自動調査と応答 (AIR) を使用して、脅威の確認、優先度付け、対応を効率的に行います。

• 調査ユーザー ガイドの詳細については、こちらをご覧ください。
• 調査の詳細と結果を表示します。
• 修復処理を承認することで、脅威を排除します。

手順 3: ブロック モードの高度なコンテンツ

クエリベースのハンティングを使用してデータの詳細を理解する

高度なハンティングを使用して、カスタムの検出ルールを記述し、環境内のイベントを予防的に検査し、脅威の指標を検索します。 環境内の生データを探索します。

• カスタム検出ルールを作成します。
• 他のユーザーが作成した共有クエリにアクセスします。

詳細については、次のビデオをご覧ください。脅威ハンティングとMicrosoft Defender XDR - YouTube。

攻撃のシミュレーションを行い、ユーザーが脅威を発見するトレーニングを行う

Defender for Office 365 の攻撃シミュレーション トレーニングを使用して、脅威を特定し、疑わしいメッセージを報告するための正しい知識をユーザーに提供します。

• 現実的な脅威をシミュレーションし、脆弱なユーザーを特定します。

• シミュレーション結果に基づいて、ユーザーにトレーニングを割り当てます。

• シミュレーションやトレーニング完了時の組織の進捗状況を追跡します。

  

監査モード

手順 1: 監査モードでの概要

Microsoft Defender for Office 365 の評価を開始する

セットアップ プロセスを完了すると、変更が有効になるまで最大 2 時間かかる場合があります。 お使いの環境で事前設定された評価ポリシーが自動的に構成されました。

評価ポリシーを使用すると、Defender for Office 365 によって検出された電子メールに対して何のアクションも実行されません。

ユーザーが監査モードで疑わしいコンテンツを報告できるようにする

Defender for Office 365 は、ユーザーがセキュリティ チームにメッセージを報告したり、管理者が Microsoft にメッセージを送信して分析を依頼したりすることができます。

• 報告されたメッセージが指定 されたレポート メールボックス、Microsoft、またはその両方に送信されるように、ユーザーが報告した設定を確認または構成します。
• レポート メッセージ アドインまたはレポート フィッシング アドインを展開して、ユーザーがメッセージを報告できるようにします。 または、ユーザーは、Outlook on the web (旧称 Outlook Web App または OWA) の組み込みレポート ボタンを使用できます。
• 「誤検出と検出漏れを報告する」ワークフローを確立します。
• [申請] ページhttps://security.microsoft.com/reportsubmission?viewid=userの [ユーザー報告] タブを使用して、ユーザーが報告したメッセージを表示および管理します。

詳細については、このビデオをご覧 ください。 [申請] ページを使用して、分析のためにメッセージを送信する方法について説明します - YouTube。

レポートを確認して、監査モードの脅威の状況を理解する

Defender for Office 365 のレポート機能を使用して、環境の詳細を入手します。

• 評価ダッシュボードは、評価中に Defender for Office 365 によって検出された脅威を簡単に確認できます。
• 脅威保護進捗レポートを使用して、メールやコラボレーション ツールで受信した脅威を把握します。

手順 2: 監査モードの中間ステップ

脅威エクスプローラーを使用して、監査モードで悪意のあるメールを調査する

Defender for Office 365 を使用すると、組織内のユーザーを危険にさらすアクティビティを調査し、組織を保護するための行動をとることができます。 これを行うには、Threat エクスプローラー (エクスプローラー) を使用します。

• 配信された疑わしいメールの検索: メッセージを見つけて削除したり、悪意のあるメール送信者の IP アドレスを特定したり、さらなる調査のためにインシデントを開始したりすることができます。
• 脅威エクスプローラーとリアルタイム検出のセキュリティ シナリオをEmailする

評価期間の終了時に [Standard 保護] に変換する

運用環境でDefender for Office 365ポリシーを有効にする準備ができたら、[標準保護に変換] を使用して、監査モードの受信者をすべて含む Standard プリセット セキュリティ ポリシーをオンにすることで、監査モードからブロック モードに簡単に移行できます。

サードパーティの保護サービスまたはデバイスから Defender for Office 365 に移行する

Microsoft 365 の前にすでに既存のサードパーティ製保護サービスやデバイスをお持ちの場合、保護機能を Microsoft Defender for Office 365 に移行することで、統合管理、潜在的なコスト削減（すでに支払っている製品の使用）、統合セキュリティ保護を備えた成熟した製品という利点を得ることができます。

詳細については、「サードパーティの保護サービスまたはデバイスから Microsoft Defender for Office 365 に移行する」を参照してください。

手順 3: 監査モードの高度なコンテンツ

監査モードで攻撃をシミュレートして脅威を特定するようにユーザーをトレーニングする

Defender for Office 365 の攻撃シミュレーション トレーニングを使用して、脅威を特定し、疑わしいメッセージを報告するための正しい知識をユーザーに提供します。

• 現実的な脅威をシミュレーションし、脆弱なユーザーを特定します。

• シミュレーション結果に基づいて、ユーザーにトレーニングを割り当てます。

• シミュレーションやトレーニング完了時の組織の進捗状況を追跡します。

  

その他のリソース

• 対話型のガイド: Defender for Office 365 に慣れていないユーザー向け 対話型のガイドを確認して、利用を開始する方法を理解します。
• ファースト トラックの開始ガイド*: Microsoft Defender for Office 365
• Microsoft Defender for Office 365ドキュメント: Defender for Office 365のしくみと、organizationに最適に実装する方法に関する詳細情報を取得します。 Microsoft Defender for Office 365ドキュメントを参照してください。
• 含まれるもの: Office 365 メール セキュリティ機能の完全な一覧と製品レベル別の機能については、「機能一覧」をご覧ください。
• Defender for Office 365 を選ぶ理由: Defender for Office 365 データシートでは、お客様が Microsoft を選ぶ理由のトップ 10 を紹介しています。