Office 365セキュリティでの脅威調査と対応

チュートリアル

サイバー犯罪のリスクがますます高まる中、世界中の企業は最も貴重な資産であるデータを保護するのに苦労しています。幸いにも、Microsoft Defender for Office 365は、IT管理者やアナリストに脅威の調査と対応能力を提供し、ユーザーとデータを積極的に保護することができます。

これらの組み込みOffice 365セキュリティ機能を使用すると、一般的な脅威に関する貴重な洞察を得ることができ、実用的なデータを収集し、効果的な対応アクションを計画することができます。セキュリティチームは、組織に修復不可能な損害をもたらす前に悪意のある活動を簡単に特定し、監視し、防御することができます。

この投稿では、Microsoftの脅威調査と対応に含まれるさまざまなツールを紹介しています。異なる機能の概要と、それらがどのように組み合わさってファイルおよびメールベースの攻撃に対する不可侵の盾を作り出すかを知るために続きをお読みください。

Office 365の脅威調査と対応とは何ですか?

Office 365の脅威調査と対応とは、Microsoft Defender for Office 365プラン2に含まれる一連の機能を指す総称です。これらのツールは、IT管理者やアナリストが潜在的な脅威について監視し情報を収集するのを支援します。セキュリティチームは、Microsoft 365 Defenderポータルで利用可能な対応アクションを使用して、SharePoint Online、OneDrive for Business、Exchange Online、Microsoft Teamsにおけるリスクに対処することができます。

これらのOffice 365セキュリティ機能を使用すると、以前のセキュリティインシデント、ユーザーのアクティビティ、認証、電子メール、および侵害されたコンピューターなど、複数のソースからデータを収集できます。脅威の調査と対応ワークフローには、次のものが含まれます:

  • エクスプローラー(MS Defender for Office 365プラン1のリアルタイム検出)
  • インシデント(または調査とも呼ばれます)
  • 攻撃シミュレーショントレーニング
  • 自動化された調査と対応

これらの機能が、Microsoft Defenderの組み込み脅威トラッカーからデータを収集することで、必要な保護を提供しますので、まずこれらを詳しく見てみましょう。

脅威トラッカー

脅威トラッカーは、Office 365のモニタリングを提供する情報ウィジェット、チャート、およびテーブルのコレクションです。これらは、組織に影響を与える可能性があるサイバー脅威に関する有用な詳細を表示します。トラッカーページには、マルウェアやフィッシングスキームなどのトレンドリスクに関する定期的に更新される数値が含まれており、現在組織に最も危険な問題を示します。さらに、より詳細な情報を表示できる脅威エクスプローラーへのリダイレクトを行うアクション列があります。

注意:

  • 脅威トラッカーは、Microsoft Defender for Office 365プラン2に含まれており、これらを使用するには、グローバル管理者、セキュリティ管理者、またはセキュリティリーダーの許可が必要です。
  • 組織の脅威トラッカーにアクセスするには、https://security.microsoft.com/に移動し、メール&コラボレーションをクリックし、脅威トラッカーを選択します。また、https://security.microsoft.com/threattrackerv2に直接アクセスすることもできます。

脅威トラッカーには、次の4つの異なる機能があります:注目のトラッカートレンドのトラッカートラッキングされたクエリ保存されたクエリ

注目のトラッカー

このウィジェットは、さまざまな深刻度の新しいまたは既存の脅威を示し、それがMicrosoft 365環境内に存在するかどうかを示します。存在する場合は、問題の詳細とOffice 365セキュリティへの影響について説明した役立つ記事へのリンクも表示されます。

注目すべきトラッカーは定期的にチェックすべきです。なぜなら、それらは数週間だけ掲示され、その後より新しいアイテムに置き換えられるからです。これにより、リストを最新の状態に保ち、より関連性のあるリスクについて通知を受けることができます。

トレンドのトラッカー

トレンドのトラッカーは、過去1週間に組織のメールに送信された最新の脅威を強調表示します。管理者はテナントレベルのマルウェアトレンドのダイナミックな評価を表示し、マルウェアファミリの振る舞いを特定することで、より良い洞察を得ます。

トラッキングされたクエリ

Tracked queriesは、定期的に保存されたクエリを活用して、Microsoft環境内のアクティビティを定期的に評価する、別のOffice 365モニタリングツールです。これは自動的なプロセスであり、疑わしいアクティビティに関する最新情報を提供し、Office 365脅威保護を確保するのに役立ちます。

保存されたクエリ

通常実行する共通のエクスプローラ検索や注目のトラッカークエリは、保存されたクエリとして保存できます。これにより、毎回新しい検索を作成する必要がなくなり、以前に保存したクエリに簡単にアクセスできます。

脅威エクスプローラとリアルタイム検出

Microsoft Defender for Office 365では、エクスプローラ(脅威エクスプローラとも呼ばれます)を使用して、組織を標的とする潜在的な脅威を分析し、攻撃のボリュームを時間の経過とともに監視できます。この機能により、包括的なレポートやポリシーの推奨事項を表示して、組織に浸入しようとしているリスクに効果的に対応する方法を学ぶことができます。

:

  • エクスプローラはMicrosoft Defender for Office 365プラン2に含まれており、プラン1はリアルタイム検出を提供しています。
  • これらのツールのいずれかにアクセスするには、セキュリティ&コンプライアンスセンターに移動し、脅威管理にアクセスしてください。

Threat Explorerは、基本的な歴史データ、一般的な配信方法、および可能な被害の情報など、脅威に関する重要な情報を提供します。アナリストは、攻撃者のインフラストラクチャ、脅威ファミリなどのパラメータでデータを調査するための出発点として、このツールを使用できます。

検出されたマルウェアを確認する

組織のメールで発見されたマルウェアを表示するには、エクスプローラを使用できます。レポートは、異なるMicrosoft 365テクノロジでフィルタリングできます。

フィッシングURLとクリック判定データを表示する

電子メールのメッセージ内のURLを介したフィッシング試行も、Threat Explorerに表示されます。このレポートには、許可された、ブロックされた、およびオーバーライドされたURLのリストが2つのテーブルに分類されて含まれています:

  • トップURL:攻撃者は、悪質なリンクと並行して良質なURLを追加することがありますが、このリストには主に、フィルタリングされたメッセージで見つかった合法的なURLが含まれており、総メール数でソートされています。
  • トップクリック:これらは開かれたSafe LinksでラップされたURLであり、総クリック数でソートされています。ここにあるリンクはおそらく悪質であり、各URLの隣にSafe Linksのクリック判定数が表示されます。

注意:Office 365のフィッシングフィルタを設定する場合、選択されたURLが何を行ったかを識別し、クリック判定の保護とログ記録の恩恵を得るために、Safe Linksとそのポリシーを構成する必要があります。

エクスプローラで表示されるクリック判定値は、URLが選択された後に実行されたアクションを理解するのに役立ちます:

  • 許可されました: ユーザーはURLに移動できました。
  • ブロックされました: ユーザーはURLに移動できませんでした。
  • 保留中の判決: ユーザーがURLをクリックしたときに、保留中の爆発ページが表示されました。
  • エラー: 判決を取得しようとしたときにエラーが発生したため、ユーザーにエラーページが表示されました。
  • 失敗: 判決を取得しようとしたときに不明な例外が発生しました。ユーザーがURLをクリックした可能性があります。
  • なし: 判決を取得できませんでした。ユーザーがURLをクリックした可能性があります。
  • ブロックが解除されました: ユーザーがブロックを解除してURLに移動しました。
  • 保留中の判決がバイパスされました: 爆発ページが表示されましたが、ユーザーがメッセージを上書きしてURLにアクセスしました。

ユーザーによって報告されたレビューの電子メールメッセージ

このレポートでは、組織内のユーザーが迷惑メール、迷惑でないメール、またはフィッシングとして報告したメッセージに関するデータが表示されます。より良い結果を得るためには、Office 365のスパム保護を構成することをお勧めします。

配信された悪意のある電子メールを見つけて調査する

リアルタイムの検出と脅威エクスプローラーにより、セキュリティ担当者は組織を危険にさらす可能性のある敵対的な活動を調査することができます。利用可能なアクションは次のとおりです:

  • 悪意のある電子メール送信者のIPアドレスを特定して特定する
  • メッセージを検索して削除する
  • さらなる調査を行うためのインシデントを開始する
  • 配信アクションと場所を確認する
  • 電子メールのタイムラインを表示する

SharePoint Online、OneDrive、およびMicrosoft Teamsで検出された悪意のあるファイルを表示する

エクスプローラーのレポートには、OneDrive、Microsoft Teams、およびSharePoint Onlineのセーフアタッチメントによって悪意のあるとして識別されたファイルに関する情報がリストされています。管理者はこれらのファイルを隔離領域で表示することもできます。

脅威保護ステータスレポートを確認する

このウィジェットは、Office 365セキュリティの状態を表示します。悪意のあるコンテンツを含む電子メールメッセージの数だけでなく、以下も見つけることができます:

  • ブロックされたファイルまたはURL
  • ゼロアワー自動パージ(ZAP)
  • セーフリンク
  • セーフアタッチメント
  • フィッシング攻撃対策のなりすまし保護機能

この情報を使用して、ポリシーを調整する必要があるかどうかを分析できます。

攻撃シミュレーショントレーニング

組織内で現実的でありながらも有害でないサイバー攻撃を設定して実行し、実際の攻撃が発生する前にセキュリティポリシーをテストして脆弱性を特定します。これらのシミュレーションは、フィッシング攻撃などのソーシャルエンジニアリングの詐欺に対して従業員を訓練するのに役立ちます。これらはOffice 365脅威保護の一部です。

注意: この機能にアクセスするには、Microsoft 365 Defender ポータルに移動し、メール&コラボレーション攻撃シミュレーショントレーニングに進みます。または、攻撃シミュレーショントレーニングページに直接移動できます。

攻撃シミュレーショントレーニングには、シミュレートされた攻撃を開始する前に完了する必要がある一連の手順があります。

ソーシャルエンジニアリングの技術を選択します。

まず、利用可能なソーシャルエンジニアリングの手法から1つを選択する必要があります:

  • マルウェアへのリンク: 信頼できるファイル共有サービスにホストされたファイルから任意のコードを実行し、その悪意のあるファイルへのリンクを含むメッセージを送信します。ユーザーがファイルを開くと、デバイスが侵害されます。
  • 資格情報の収集: ユーザーはよく知られたウェブサイトのように見える場所にリダイレクトされ、そこでユーザー名とパスワードを入力できます。
  • 添付ファイル内のリンク: メールの添付ファイルに URL が追加され、資格情報の収集と同様の動作をします。
  • マルウェアの添付ファイル: メッセージに悪意のある添付ファイルが追加されます。添付ファイルを開くと、ターゲットのデバイスが侵害されます。ドライブバイ URL: URL がユーザーを馴染みのあるウェブサイトにリダイレクトし、背後で悪意のあるコードをインストールします。Office 365 エンドポイント保護はこのような脅威を防ぐことができない可能性があり、その結果、デバイスが感染します。
  • ドライブバイURL:URLはユーザーを悪意のあるコードをインストールする馴染みのあるウェブサイトにリダイレクトします。Office 365エンドポイント保護ではこのような脅威を防ぐことができないかもしれず、その結果、デバイスが感染します。

シミュレーションの名前を選択して説明します

次に、作成中のシミュレーションに固有で説明的な名前を入力します。詳細な説明は任意です。

ペイロードを選択

このページでは、シミュレーションでユーザーに提示されるペイロードを選択する必要があります。これは電子メールメッセージまたはウェブページのいずれかです。利用可能なペイロードが含まれているビルトインカタログから選択することができます。また、組織に適したカスタムペイロードを作成することも可能です。

対象ユーザーを選択

ここでは、会社の中で攻撃シミュレーショントレーニングを受けるユーザーを選択します。全ユーザーを含めるか、特定のターゲットとグループを選択することができます。

トレーニングを割り当て

Microsoftは、作成した各シミュレーションにトレーニングを割り当てることを推奨しています。なぜなら、それを受けた従業員は同様の攻撃にはめずらしいからです。提案されたコースやモジュールを表示し、ユーザーの結果に基づいて最適なものを選択できます。

エンドユーザー通知を選択

このタブでは、通知設定を構成できます。訓練が終了したら、ユーザーを励ますためにカスタマイズされたエンドユーザー通知を選択すると、肯定的な通知を追加できます。

自動化された調査と対応(AIR)

Office 365セキュリティでは、自動調査と対応(AIR)機能が、組織に対する既知の脅威が標的化された場合に自動アラートをトリガーします。これにより、手作業が削減され、セキュリティチームは、レビュー、優先順位付け、適切な対応を行うことで、より効率的に作業することができます。

疑わしい添付ファイルがメールメッセージで到着した場合、または脅威エクスプローラを使用してアナリストがそれを発見した場合、自動調査が開始されます。AIRは、メールに関連するデータを収集します。これには、意図された受信者、ファイル、およびURLが含まれます。管理者とセキュリティ担当者は、調査結果を確認し、修復アクションを承認または拒否するための推奨事項を確認できます。

AIRは、次のアラートのいずれかによってトリガーされる可能性があります:

  • A possibly malicious URL was clicked
  • A user reported an email as phishing or malware
  • メールメッセージにマルウェアまたはフィッシングURLが配信後に削除されました。
  • A suspicious email sending pattern was detected
  • A user is restricted from sending messages

結論

Office 365脅威調査には、データを保護するためのさまざまな機能があります。Microsoft Defender for Office 365プラン2では、脅威トラッカーや脅威エクスプローラなどの高度な機能を活用できます。また、攻撃シミュレーショントレーニングを実施して、ユーザーが潜在的なサイバー攻撃から警戒し、安全に保つこともできます。さらに、セキュリティチームがより高い優先度の脅威に集中できるように、自動調査と対応(AIR)を設定することもできます。

とは言え、Office 365環境を完全に保護する唯一の方法は、NAKIVO Backup & Replicationなどの最新のデータ保護ソリューションを展開することです。このソリューションは、Exchange Online、Teams、OneDrive for Business、およびSharePoint Online向けの強力なバックアップおよびリカバリ機能を提供します。

Source:
https://www.nakivo.com/blog/microsoft-365-threat-investigation-and-response/