Office 365 Threat Intelligence の概要

重要:  この記事は機械翻訳されています。機械翻訳についての「免責事項」をお読みください。この記事の英語版を参照するには、ここをクリックしてください。

この資料では、 Office 365 Threat Intelligenceが組織に対する脅威の調査、マルウェア、フィッシング詐欺への返信にどのように役立つかについて説明し、その他の攻撃をOffice 365が代わりに、または検索のユーザーから受信した脅威インジケーターで検出レポート、セキュリティ コミュニティ、ニュースやその他の情報ソース内や他のユーザー。脅威インテリジェンスは攻撃を検出したかどうかは対象かどうかを判断することができます。Office 365 Enterprise E5を使っている場合、[する必要がある脅威インテリジェンス組み込みセキュリティ/コンプライアンス センターします。

Threat Intelligence とは

Office 365 は、世界で最も大きいエンタープライズ メール サービスと生産性向上スイート製品の 1 つをホストしており、何百万台ものデバイスで作成されたコンテンツを管理しています。この情報を保護する過程で、Microsoft は、脅威インテリジェンス データの膨大なリポジトリと、攻撃行動と不審な活動に対応するパターンの検出に必要なシステムを構築してきました。Office 365 Threat Intelligence は、脅威を事前に発見して除去するための Office 365 の環境の分析で使われる情報のコレクションです。Threat Intelligence は、脅威を把握してそれに対処するための一連のツールとダッシュボードとして、セキュリティ/コンプライアンス センターに表示されます。

Office 365 Threat Intelligence は、ユーザーの活動、認証、メール、侵害された PC、セキュリティ インシデントなどのソースからのシグナルを監視します。ビジネスの意思決定者と、Office 365 のグローバル管理者またはセキュリティ管理者が、ユーザーと知的財産に対する脅威を理解してそれに対処できるように、このデータを分析して表示できます。

  • 脅威ダッシュボードを使って、既に対処された脅威を確認できます。また、脅威ダッシュボードは、Threat Intelligence がビジネスを保護するために既に実行した内容をビジネスの意思決定者に報告するための便利なツールとして使うことができます。

  • Office 365 の環境に対する攻撃を調査する場合、または攻撃が発生している場合は、脅威エクスプローラーを使って脅威を分析します。脅威エクスプローラーでは時間経過に伴う攻撃の規模が示され、脅威ファミリや攻撃者のインフラストラクチャなどでこのデータを分析できます。また、インシデントの一覧に関して不審なメールをマークすることもできます。

  • 脅威エクスプローラーで発見した不審なメールをさらに調査できるようにマークしたり、インシデントの一覧で対処の結果を管理することで、簡単に攻撃を追跡できます。

このダッシュボードは、Office 365 の環境に対する脅威の概要が必要なときに優れたリソースです。週単位の脅威検出の色分けされたチャート、検出されたマルウェアの傾向やマルウェア ファミリのグラフ、業界のセキュリティの傾向、特定の環境に対する攻撃元についての役に立つヒート マップなどを備えています。また、このダッシュボードには、グローバルおよびセキュリティ管理者向けに、対象になった上位のユーザーと最近の警告についての簡単な一覧が表示され、クリックすると詳細な情報を見ることができます。

特定の Office 365 テナントに対する Threat Intelligence ダッシュボードの概要に関するグラフと図のスクリーンショット

ダッシュボードは、セキュリティ技術の専門家が、最高経営責任者 (CEO) や最高技術責任者 (CTO) などのビジネス意思決定者に報告するための優れた手段になります。

また、ダッシュボードは脅威エクスプローラーへの入口でもあり、Threat Intelligence のこれら 2 つのビューの間は多くのリンクで結び付けられています。たとえば、ダッシュボードの脅威調査パネルには、脅威エクスプローラーにドリルダウンする次のようなリンクがあります。

  • 配信後に削除されたメッセージを表示する

  • 組織内のだれかに送信された悪意のあるメッセージを検索する

このサマリー パネルを毎日チェックする必要があります。

脅威エクスプローラーを開くと、組織に対して行われた攻撃を表す色分けされたグラフが表示されます。既定のビューでは、脅威ファミリ別にマルウェアが表示されます。このウィンドウには、上位マルウェア ファミリ、メール一覧、メール送信元の地図の、タブ付きビューがあります。上位の対象ユーザーも示されます。

注: 必要に応じて、送信者ドメイン別、送信者 IP アドレス別、保護状態別、検出技術別に、すべてのメールまたはマルウェアを表示できます。グラフ データとメール リストをエクスポートすることもできます。

マルウェア ファミリによって色付けされた Office 365 の脅威エクスプローラーのスクリーンショット

特定の上位マルウェア ファミリ (JS/Nemucod など) をクリックすると、組織にマルウェアが及ぼす影響と、マルウェアができることを確認できます。その脅威ウィンドウを開くと、マルウェア ファミリの定義を見ることができます。主要な各脅威のビューには、影響を受けたユーザー (受信者、送信者アドレス、IP アドレス、ステータス) と共に、[技術的詳細]、[グローバルな詳細]、[高度な分析] のタブが表示されます。

: [ユーザー] タブに一覧表示される不審なメール メッセージを選択してインシデント調査に追加し、さらに追跡および分析することができます。このようにすれば、脅威が発生して混乱しても、不審なメールを失わずに済みます。

[技術的詳細] タブにはマルウェアの脅威についての詳しいドキュメントが表示されるので、脅威の詳細および探す必要のある動作がよくわかります。

どれだけ詳しく調べればよいか、または攻撃の範囲がわからない場合は、[グローバルな詳細] を見て、最も影響を受ける国と業界を確認できます。たとえば、日本の製造業や米国の鉱業などのように、グラフを見るとコンテキストがわかり、一般的な脅威レベルを特定できます。自分の業界に対する攻撃が増加している場合は、セキュリティ チームを動員して事前に脅威エクスプローラーを詳しく調べる必要があることを示します。

Threat Intelligence の上位にランクされた脅威の[グローバルな詳細] のスクリーンショット

Office 365 Advanced Threat Protection を通過したすべての添付されているファイルやドキュメントは、サンドボックスに格納されます。そこでは、ファイルを開いてテストし、悪意のある活動の動作の証拠を探すことができます。潜在的な脅威、不審なマクロ、または新しいマルウェアを検出できます。これらのテスト実行から脅威のサインが抽出され、主要な脅威の最後のタブである [高度な分析] でヒットを発見できます。

テスト実行の結果は [発生した現象] で見ることができます。次の例では、添付ファイルをテストし、不合格になり、ファイル マクロ内でパスワード盗聴が発見されています。ファイルが通信しようとしている IP アドレスと URL が、[ネットワーク トラフィック] に表示されます。最後に、テスト中にマクロがダウンロードした悪意のある実行可能ファイルを確認できます。ユーザーに届く前に脅威を明らかにするために作成された分離仮想環境でこのテストを実行するのは、主にこのためです。

特定の添付ファイルにおける高度な分析のスクリーンショット

: 他のセキュリティ デバイスまたはサービスを使って、Office 365 サイトに達する前に攻撃を除去している場合、脅威エクスプローラーとその関連テレメトリでは、他のサービスやデバイスが見落とした攻撃だけが表示されます。これにより、[グローバルな詳細] や [高度な分析] などの機能の結果が変わる場合があることに注意してください。

ユーザーを標的にしたフィッシングやマルウェア キャンペーンを追跡し、添付ファイルの削除や迷惑メール フォルダーへのメール メッセージの移動などの修復処理を開始するには、インシデントを使います。

新しいインシデントを作成するには、脅威エクスプローラーの [すべてのメール] ビューで疑わしいことがわかったメッセージを検索します。フィルターで追跡または修復したいメールを絞り込んだ後は、[メールをインシデントに追加] ボタンを使って、新しいインシデントを作成するか、またはメッセージを既存のインシデントに追加します。

メッセージをインシデントに追加した後は、メッセージに修復処理を実行できます。[インシデント] ページで作成したインシデントを選び、[メールの送信] を選びます。送信ダイアログ ボックスで、[迷惑メールへ移動] または [添付ファイルの削除] を選びます。誤ってメール メッセージを迷惑メール フォルダーに移動した場合は、[受信トレイへ移動] を選んで回復できます。

インシデントの修復に関するメール一覧のスクリーンショット

開始した修復の進行状況は、[アクション ログ] タブで追跡できます。

Threat intelligence ダッシュボードおよび脅威エクスプローラーに表示されるものと同じデータを、セキュリティ/コンプライアンス センターおよび Office 365 管理アクティビティ API で利用できます。フィードには以下のものが含まれます。

  • 組織を標的とする脅威が含まれるすべてのメールについて 1 つのレコード

  • ゼロアワー自動消去によって削除されたすべてのメッセージについて 1 つのレコード

Threat Intelligence のフィードに関する詳細については、Office 365 管理アクティビティ API
に関するページを参照してください。  

Office 365 で脅威を調査するときに、Office 365 と Windows Defender Advanced Threat Protection (Windows Defender ATP) の統合を使用すると、ユーザーのマシンに危険があるかどうかをすばやく把握できます。統合を有効にすると、Office 365 のセキュリティの管理者は、メール メッセージの受信者が所有しているマシン、および Windows Defender ATP にあるこれらのマシンのアラート数を表示できます。

次の画像は、Windows Defender ATP の統合を有効にしているときに表示される [デバイス] タブを示しています。

Windows Defender ATP を有効にすると、アラートと共にマシンの一覧を表示できます。

この例では、メール メッセージの受信者が 4 つのマシンを所有し、その 1 つに Windows Defender ATP のアラートが 1 つあることを確認できます。マシンへのリンクをクリックすると、新しいタブに Windows Defender ATP のマシン ページが表示されます。

Office 365 と Windows Defender ATP の統合を有効にするには

  1. Office 365 Threat Intelligence と Windows Defender ATP の両方にアクセスできる必要があります。

  2. 脅威エクスプローラーにアクセスします。

  3. [詳細] メニューの [WDATP の設定] を選びます。

  4. [Windows ATP に接続] を選択します。

Office 365の設定を変更した後、 Windows Defender ATPからの接続を有効にする必要があります。Windows Defender 高度な脅威保護ポータルを使用するを参照してください。

関連トピック

Office 365 で脅威から保護する
Office 365 セキュリティ/コンプライアンス センターの概要
Office 365 Advanced Threat Protection

注: 機械翻訳についての免責事項: この記事の翻訳はコンピューター システムによって行われており、人間の手は加えられていません。マイクロソフトでは、英語を話さないユーザーがマイクロソフトの製品、サービス、テクノロジに関するコンテンツを理解するのに役立てるため、こうした機械翻訳を提供しています。記事は機械翻訳されているため、用語、構文、文法などに誤りがある場合があります。

スキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×