Office 365 クラウド アプリのセキュリティで異常検出ポリシー

注:  最新のヘルプ コンテンツをできるだけ早く、お客様がお使いの言語で提供したいと考えております。 このページは、自動翻訳によって翻訳されているため、文章校正のエラーや不正確な情報が含まれている可能性があります。私たちの目的は、このコンテンツがお客様の役に立つようにすることです。お客様にとって役立つ情報であったかどうかを、このページの下部でお知らせください。 簡単に参照できるように、こちらに 英語の記事 があります。

Office 365 の高度なセキュリティ管理がOffice 365 Cloud App Securityされます。

評価   >

計画   >

展開   >

使用率   

評価します。

計画を開始します。

次のとおりです。

次の手順

使用を開始します。

マイクロソフト クラウド アプリのセキュリティ リリース 116以降、 Office 365 Cloud App Securityには、いくつか定義済みの異常検出 (「そのまま」) を含むポリシー ユーザーとエンティティ動作分析 (UEBA) と機械学習 (ML) にはが含まれています。

コントロールを選択する異常検出ポリシーを表示するには、> ポリシー。

これらの異常検出ポリシーにより、すぐに検出、多数の動作異常を対象ユーザーのコンピューターとネットワークに接続するデバイス間ですぐに結果を提供します。さらに、新しいポリシーは、その他のデータを調査プロセスを迅速、進行中の脅威を含むクラウド アプリのセキュリティの検出エンジンを公開します。

グローバル管理者またはのセキュリティ管理者、確認、および必要に応じて、 Office 365 Cloud App Securityで利用できる既定のポリシーを変更できます。

この記事の内容:

重要: 7 日間、通知の異常な動作は発生しません、初期ラーニング期間があります。警告正の数を減らすには、異常検出アルゴリズムが最適です。

始める前に

以下のことを確認してください。

異常検出ポリシーを表示します。

  1. 全体管理者またはセキュリティ管理者として、https://protection.office.com に移動し、職場または学校のアカウントを使ってサインインします

  2. セキュリティ/コンプライアンス センターで、[警告]、[高度な警告の管理] の順に選びます。

  3. [Office 365 Cloud App Security に移動する] を選択します。

    これで [Office 365 Cloud App Security ポリシー] ページに移動します。

  4. 種類の一覧で、異常検出ポリシーを選択します。

    組織の既定値 (または既存の) 異常検出ポリシーが表示されます。

    いくつかの異常検出ポリシーは既定では、Office 365 クラウド アプリのセキュリティ

  5. 確認または設定を編集するポリシーを選択します。

  6. [Update] を選んで、変更を保存します。

異常検出ポリシーについてください。

異常検出ポリシーは自動的に有効にします。ただし、 Office 365 Cloud App Securityには、7 日間の検出通知が発生するすべての異常中に、初期ラーニング期間があります。その後、各セッションと比較して、アクティビティ、ユーザーがアクティブなときに、IP アドレス、デバイスなど、過去 1 か月とこれらのアクティビティのリスク スコアを検出します。これらの検出は、環境のプロファイルを組織の活動に学習したことを基準に関連する警告をトリガー異常の自動検出エンジンの一部です。これらの検出もプロファイル誤を小さくためには、ユーザーとパターンにログインするように設計機械学習アルゴリズムを活用できます。

ユーザーのアクティビティをスキャンして異常が検出されます。リスクの高い IP アドレス、ログインに失敗した、管理アクティビティ、非アクティブなアカウント、場所、不可能出張費、デバイスとユーザー エージェント アクティビティ率など、複数のリスク要因にグループ分け 30 を超えるのさまざまなリスク インジケーターを確認、リスクが評価されます。

ポリシーの結果に基づき、セキュリティの警告が実行されます。Office 365 Cloud App Securityを使用して、Office 365 で、すべてのユーザー セッションを調べ、何かが発生した場合は、組織のベースラインとは、ユーザーの通常の活動から異なるたびに通知します。

次の表は、既定の異常検出ポリシーが操作し、その機能について説明します。

異常検出ポリシー名

メカニズム

旅行は不可能

2 つのユーザーのアクティビティを識別する (1 つまたは複数のセッションは) 元の地理的に離れた場所から時間未満の期間内になっていましたことを示す、2 番目の最初の場所から移動するユーザーを異なるユーザーは、同じ資格情報を使用しています。検出は、アルゴリズムわかりやすい「誤」Vpn および組織内の他のユーザーが定期的に使用されている場所など、不可能旅行条件の原因を無視するためのラーニング コンピューターを活用します。検出 7 日間の新しいユーザーのアクティビティのパターンを学習するを初期ラーニング期間があります。

頻度が低い国からアクティビティ

新しいと不定期の場所を決定するのには、過去の活動の場所と見なされます。異常検出エンジンは、組織内のユーザーによって使用される前の場所に関する情報を格納します。アクティビティがないことがないか、最近アクセスしたユーザーまたは組織内のユーザーがの場所からが鳴るときに警告が発生します。

匿名の IP アドレスからのアクティビティ

ユーザーが匿名プロキシ IP アドレスとして認定されている IP アドレスからアクティブなことを示します。これらのプロキシは、ユーザーが、デバイスの IP アドレスを非表示にして、悪意が潜んでのために使用されます。検出は、アルゴリズム""、誤など、組織内のユーザーによって広く使用されている IP アドレスが間違ってタグ付けされたを削減するためのラーニング コンピューターを活用します。

不審な IP アドレスからのアクティビティ

ユーザーが Microsoft 脅威インテリジェンスによってリスクの高いとして認定されている IP アドレスからアクティブなことを示します。これらの IP アドレスは、ボットネット C と C などの悪意のある作業に関連するアカウントが侵害を示すことがあります。検出は、アルゴリズム""、誤など、組織内のユーザーによって広く使用されている IP アドレスが間違ってタグ付けされたを削減するためのラーニング コンピューターを活用します。

ユーザーによって異常なアクティビティ

次のような異常な動作を実行するユーザーを指定するには。

  • 複数のファイルのダウンロード

  • ファイルのアクティビティを共有します。

  • ファイルの削除アクティビティ

  • 偽装アクティビティ

  • アクティビティの管理

これらのポリシーを探しますアクティビティ、基準計画に関連する 1 つのセッションに違反の試行を示している可能性があります。これらの検出では、ユーザー プロファイルのパターンがログオン アルゴリズムのラーニング コンピューターを活用して、誤を削減します。これらの検出は、環境のプロファイルを組織の活動に学習したことを基準に関連する警告をトリガー異常の自動検出エンジンの一部です。

複数の失敗したログイン

1 つのセッションで複数のログインに失敗しました。 ユーザーを識別するため、学習した基準計画に関連するする可能性があります違反の試行にします。

トリアージ異常検出通知

通知が届いたときは、アラートを簡単に整理し、最初に処理するには、どのプレゼンスを確認します。通知のコンテキストを使用すると、拡大画像の表示し、間違いなく発生している悪意のあるものかどうかを確認します。通知の表示を開始するのには、次の手順を使用します。

  1. 全体管理者またはセキュリティ管理者として、https://protection.office.com に移動し、職場または学校のアカウントを使ってサインインします

  2. セキュリティ/コンプライアンス センターで、[警告]、[高度な警告の管理] の順に選びます。

  3. [Office 365 Cloud App Security に移動する] を選択します。

  4. 通知通知を表示する] を選びます。

  5. 通知のコンテキストを取得、次の手順に従います。

    1. [調査] を選びます >アクティビティ ログします。

    2. ユーザーまたは IP アドレスなどのアイテムを選択します。これは、関連性の高い情報の引き出しを開きます。

      アクティビティ ログには、IP アドレスを調べることができます。

    3. 関連性の高い分析引き出しでは、アイコンを表示するのと同じ] セクションでなど、使用可能な] コマンドをクリックします。

      選択したアクティビティの 48 時間以内に実行されたアクティビティを表示する時計アイコンをクリックしてで、関連する分析引き出し

    4. そのアイテムの詳細を調査し続けることにより、選択したアイテムについて把握できます。

複数のログインに失敗の通知を不審な間違いなくことがあり、潜在的な総当り攻撃を示すことができます。ただし、このような通知を受けるには、アプリケーションの構成が間違って、通知する条件を満たす正の問題の原因となることができます。不審な活動の倍数に失敗しました。 ログイン通知が表示された場合は、[アカウントが侵害されている可能性が高くします。たとえば、次のようなことの倍数に失敗しました。 ログインの通知が続きますアクティビティ侵害の両方の安全性の高いインジケーター TOR IP アドレスと不可能旅行アクティビティからとします。表示される場合も、同じユーザーがデータの exfiltration の操作を実行する攻撃インジケーターは、多くの場合、大量のダウンロードのアクティビティを実行します。表示して、通知、トリアージOffice 365 Cloud App Securityで表示して操作を実行できるなどの必要な場所です。

次のステップ

Office のスキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×