Microsoft Defender for Office 365での自動調査と対応のしくみ

セキュリティ アラートがトリガーされた場合、セキュリティ オペレーション チームはそれらのアラートを調査して、組織を保護するための手順を実行する必要があります。 場合によっては、セキュリティ運用チームは、トリガーされるアラートの量に圧倒される可能性があります。 Microsoft Defender for Office 365の自動調査と対応 (AIR) 機能が役立ちます。

AIR を使用すると、セキュリティ運用チームがより効率的かつ効果的に運用できるようになります。 AIR 機能には、現在存在する既知の脅威に対応する自動調査プロセスが含まれます。 適切な修復アクションは承認を待ち、セキュリティ運用チームが検出された脅威に対応できるようにします。

この記事では、いくつかの例を通じて AIR がどのように機能するかについて説明します。 AIR の使用を開始する準備ができたら、「脅威を 自動的に調査して対応する」を参照してください。

• 例 1: ユーザーが報告したフィッシング メッセージが調査プレイブックを起動する
• 例 2: セキュリティ管理者が脅威エクスプローラーから調査をトリガーする
• 例 3: セキュリティ運用チームは、Office 365 Management Activity API を使用して AIR と SIEM を統合する

例: ユーザーから報告されたフィッシング メッセージによる調査プレイブックの起動

organizationのユーザーがフィッシング詐欺と思われるメールを受け取ったとします。 このようなメッセージを報告するようにトレーニングされたユーザーは、 Microsoft レポート メッセージまたはレポート フィッシング アドインを 使用して、分析のために Microsoft に送信します。 申請はシステムにも送信され、[申請] ビュー (以前はユーザーから報告されたビュー) のエクスプローラーに表示されます。 さらに、ユーザーが報告したメッセージによってシステム ベースの情報アラートがトリガーされ、調査プレイブックが自動的に起動されるようになりました。

ルート調査フィーズでは、メールのさまざまな側面が評価されます。 これらの側面は次のとおりです。

• 可能性のある脅威の種類の特定
• 誰が送信したか
• メールはどこから送信されたか (送信元のインフラストラクチャ)
• メールの他のインスタンスは、配信されたのか、それともブロックされたのか
• Microsoft のアナリストによる評価
• メールが既知のキャンペーンと関連するものかどうか
• その他

ルート調査が完了すると、プレイブックには、元のメールと、それに関連付けられている エンティティ (ファイル、URL、受信者など) に対して実行する推奨されるアクションの一覧が表示されます。

次に、脅威の調査と捜索のための手順がいくつか実行されます。

• 同様の電子メール メッセージは、電子メール クラスターの検索によって識別されます。
• シグナルは、Microsoft Defender for Endpointなどの他のプラットフォームと共有されます。
• 不審なメール メッセージ内の悪意のあるリンクをユーザーがクリックしたかどうかが判断されます。
• チェックは、Exchange Online Protection (EOP) 全体で実行され、Microsoft Defender for Office 365ユーザーによって報告された他の同様のメッセージがあるかどうかを確認します。
• ユーザーに対する侵害があったかどうかがチェックされます。 このチェックでは、Office 365、Microsoft Defender for Cloud Apps、およびMicrosoft Entra IDにわたってシグナルを利用し、関連するユーザー アクティビティの異常を関連付けられます。

捜索フェーズでは、リスクと脅威がさまざまな捜索手順に割り当てられます。

修復は、プレイブックの最後のフェーズです。 このフェーズでは、調査および捜索フェーズに基づいて、修復手順が実行されます。

例: セキュリティ管理者が脅威エクスプローラーから調査を開始する

アラートによってトリガーされる自動調査に加えて、organizationのセキュリティ運用チームは、脅威エクスプローラーのビューから自動調査をトリガーできます。 この調査ではアラートも作成されるため、インシデントと外部 SIEM ツールMicrosoft Defender XDR、この調査がトリガーされたことを確認できます。

たとえば、エクスプローラーで [マルウェア] ビューを使用しているとします。 グラフの下のタブを使用して、[Email] タブを選択します。一覧で 1 つ以上の項目を選択すると、[+ アクション] ボタンがアクティブになります。

[アクション] メニューを使用して、[調査のトリガー] を選択できます。

アラートによってトリガーされるプレイブックと同様、エクスプローラーのビューからトリガーされる自動調査には、ルート調査、脅威を特定して相関関連を特定するための手順、これらの脅威を軽減するための推奨処置が含まれます。

例: セキュリティ運用チームは、Office 365 Management Activity API を使用して AIR と SIEM を統合します

Microsoft Defender for Office 365の AIR 機能には、セキュリティ運用チームが脅威の監視と対処に使用できるレポート & 詳細が含まれています。 ただし、AIR 機能を他のソリューションと統合することもできます。 たとえば、セキュリティ情報とイベント管理 (SIEM) システム、ケース管理システム、またはカスタム レポート ソリューションなどがあります。 このような統合は、Office 365 Management Activity API を使用して実行できます。

たとえば、最近、organizationは、AIR によって既に処理されたユーザーから報告されたフィッシング アラートをセキュリティ運用チームが表示する方法を設定しています。 それらのソリューションは、関連するアラートをorganizationの SIEM サーバーとそのケース管理システムと統合します。 このソリューションは、誤検知の数を大幅に減らし、セキュリティ運用チームが実際の脅威に時間と労力を集中できるようにします。 このカスタム ソリューションの詳細については、「Tech Community ブログ: Microsoft Defender for Office 365と O365 Management API を使用して SOC の有効性を向上させる」を参照してください。

次の手順

• AIR の使用を開始する
• 保留中または完了した修復アクションを表示する