当社のウェブサイトで最高のエクスペリエンスを提供できるように、Cookie を使用しています。

Office 365 での悪意のある電子メールの調査 - セキュリティ オペレーション センター (SOC) チーム向けガイド

コンテンツ

まとめ: Office 365 で悪意のある電子メールの調査を行っている間は、組織が Microsoft 365 Advanced Threat Protection を持っている必要があるなど、特定の前提条件に従う必要があります。 これとは別に、マルウェア対策、スパム対策、フィッシング対策、およびその他のサイバーセキュリティ リスクに対するポリシーを定義する必要があります。 脅威エクスプローラーを使用して疑わしい電子メールを調査し、フィッシング URL を分析することは、サイバー攻撃の後遺症を軽減するために SOC アナリストが実行する必要がある重要な手順の一部です。 Stellar Email Forensic などのサードパーティの電子メール フォレンジック ソフトウェアは、詳細レベルでの調査とデジタル証拠の収集をサポートします。

60日間無料で試す

今日の組織や企業は、日々のコミュニケーションを電子メールに依存しており、フィッシングやマルウェア攻撃などのさまざまなサイバーセキュリティの脅威に対して脆弱になっています。これらの脅威に照らして、Microsoft は Office 365、セキュリティ機能が組み込まれています。 たとえば、組織に Microsoft 365 Advanced Threat Protection がある場合、悪意のある電子メールから組織を保護するのに役立つ組み込みのセキュリティ ツールである脅威エクスプローラーにアクセスできます。

このガイドでは、Micorsoft 365 Threat Explorer が組織をサイバーセキュリティの脅威から保護し、悪意のある電子メールの調査にどのように役立つかについて説明します。

前提条件

Office 365 脅威エクスプローラーを使用して、悪意のある電子メールを見つけて削除したり、フィッシング攻撃を抑制したりして、電子メールのセキュリティを強化することができます。 ただし、最初にいくつかの条件を満たしていると役立ちます。

  • 組織には Microsoft 365 Advanced Threat Protection があります。
  • マルウェア対策、スパム対策、フィッシング対策、およびその他のリスクに対するポリシーを定義しました。
  • まだ行っていない場合は、セキュリティ & コンプライアンス センターを使用して行うことができます。
  • 監査ログ検索を有効にしました。 そうでない場合は、セキュリティ & コンプライアンス センターで手動で行うか、PowerShell コマンドを使用できます: Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true.
  • あなたはグローバル管理者です。

脅威エクスプローラーを使用して疑わしい電子メールを調査する

受信者のメールボックスで疑わしい電子メールを見つけて調査するには、次の手順に従います。

1. 脅威エクスプローラーに移動します

これにアクセスして、Office 365 セキュリティ & コンプライアンス センターにアクセスします。リンクMicrosoft 365 アカウントでサインインします。 ログイン後、選択脅威管理>冒険者画面左側のクイック起動セクションにあります。

図1:Office 365 脅威エクスプローラー ポータル

2.「すべてのメール」ビューを選択します

ダッシュボードには、次のような複数のビューがあります。

  • マルウェア
  • フィッシュ
  • 提出物
  • すべてのメール

選択したビューに基づいて電子メールがフィルタリングされ、それに応じてさまざまな脅威について電子メールを調査できます。 たとえば、マルウェアの脅威が検出された電子メールのフォレンジック分析を行う場合は、[マルウェア ビュー] を選択します。 フィッシングの脅威が検出された電子メールを調査する場合は、[フィッシング ビュー] を選択します。 一方、管理者またはユーザーがフォレンジック調査のために Microsoft に送信した電子メールを表示する場合は、[送信ビュー] を選択します。

Threat explorer View menu is shown, having Email options as Malware, Phish, Submissions and All Email. The Content option is Malware. 図 2:脅威エクスプローラー ポータルの電子メール ビュー

[すべてのメール ビュー] を選択すると、組織が受信したすべてのメールが一覧表示されます。 また、処理する大量のメールがある場合、「データが多すぎて表示できません」というエラーが表示される場合があります。 このエラーを修正するには、日付範囲を狭めるか、検索フィルターを追加してビューのデータを制限します。

ノート:組織が Advanced Threat Protection Plan 2 (ATP P2) に加入している場合にのみ、[すべての電子メール] ビューを選択できます。

3. 検索フィルターを使用する

脅威エクスプローラーを使用すると、送信者、件名、添付ファイル名などに基づいて電子メールを検索およびフィルター処理できます。一度に複数のフィルターを適用できます。 検索バーの各フィルター (カンマ区切り) に複数の値 (キーワード) を付けて、結果を絞り込むこともできます。

Filters and advanced filters in Threat Explorer Portal 図 3:脅威エクスプローラー ポータルのフィルターと高度なフィルター

4.メールフィールドを調べる

の下部に脅威エクスプローラーウィンドウでは、セキュリティ関連の重要な情報がさまざまな列に表示されます。 まず、次のような重要な詳細の列があります。受信者送信者送信者 IPなど。次に、次のような追加情報の列もあります。

  • 配達場所:不審なメールがどこに到達したか (受信トレイ、ジャンク フォルダー、削除済みアイテム フォルダーなど) を見つけることができます。 また、電子メールが検疫されていてユーザーのメールボックスにない場合、または目的のメールボックスに到達できなかった場合に、電子メールに何が起こったのかを知ることもできます。
  • URL の脅威:このフィールドは、フィッシング、マルウェア、スパムなど、URL によって提示される脅威の形式を示します。 脅威のない URL がある場合、フィールドは [なし] に設定されます。
  • オーバーライド:このフィールドには、構成された会社のポリシーに従って、電子メールに対するオーバーライドされたアクションが表示されます。 このフィールドは、定義したセキュリティ ポリシーが実際の作業環境でどのように機能しているかを確認するのに役立ちます。 ここでは、組織のポリシーで許可されている、組織のポリシーでブロックされている、組織のポリシーでブロックされているファイル拡張子などの法令を見つけることができます。

5. メールのタイムライン ビューを確認する

メールのステータスと送信パスをさらに詳しく調べるには、タイムラインを確認します。 メールの件名をクリックして、[メールのタイムライン] をクリックします。 これにより、電子メールの配信中および配信後に発生したすべてのイベントを表示するテーブルが開きます。 この情報を調べて、メールが配信された後に何が起こったのかを正確に理解できます。

6.行動する

上記のツールと手法を使用して、特定のメールに遭遇した場合は、それをクリックして詳しく見てみましょう。 新しいウィンドウが開き、リターン パス、受信者などの詳細が表示されます。また、非常に重要な [類似のメール] オプションも表示されます。 このオプションを選択すると、組織に送信された他の電子メールのリストが表示されます。 これらの電子メールには、送信者、IP アドレス、件名の内容などが類似している場合があります。これらの電子メールのすべてまたは一部を選択して、インシデントに追加できます。 その後、インシデントに名前を付け、重大度レベルを添付できます。

Assigning suspicious emails to incident 図 4:不審な電子メールをインシデントに割り当てる

インシデントが作成されたら、脅威管理>レビュー. その後、インシデントを選択して、疑わしい電子メールに対して適切なアクションを実行できます。

フィッシング URL の分析

脅威エクスプローラーを使用して、電子メールの URL を分析することにより、フィッシング攻撃を防ぐことができます。 ただし、最初に次の要件を満たす必要があります。

  • 構成する必要がありますAdvanced Threat Protection (ATP) 安全なリンク. これにより、セキュリティ ポリシーに従ってブラックリストに登録されているメール内の悪意のあるリンクをユーザーがクリックすると、警告ページが開き、リンクがブロックされます。
  • クリック時の保護 (URL をリアルタイムで検証するため) と、リンクによるクリック判定のログ (リンク アクションの登録、つまりブロックまたは上書き) のために、ATP の安全なリンク ポリシーを設定する必要があります。

メール内のフィッシング URL を調べるには、次の手順に従います。

  • 選択するフィッシュ脅威エクスプローラーのダッシュボードに表示されます。
  • 送信者オプションをに変更URL>判定をクリック.
  • 目的のフィルターを選択します。許可されたブロックされた、 またブロックがオーバーライドされました(複数のフィルターを同時に選択することもできます)。これにより、セキュリティ ポリシーに従って、それぞれ許可、ブロック、またはオーバーライドされたフィッシング URL のリストが表示されます。 更新ボタンをクリックします。
URLs and click verdict filters selected 図 5:選択した判定フィルタをクリックします

[URL] タブには、トップ URL とトップ クリックの 2 つの URL テーブルが表示されます。 のトップ URL タブ本物の URL が含まれています (攻撃者は通常、電子メールで本物の URL と悪意のある URL を組み合わせて使用し、配信の成功率を高めます)。 のトップクリックタブには、ユーザーがクリックした URL がクリック数でソートされて表示されます。 これらの URL は、悪意のある可能性が高くなります。

検査する URL をクリックできます。 メール通信システムに対する URL の影響に関する洞察を提供する追加の詳細を提供するフライアウト ダイアログが開きます。

サードパーティ製ソフトウェアの使用

その間セキュリティ オペレーション センター (SOC) アナリストOffice 365 での多数のサイバー脅威を防ぐために時間と労力を費やしているハッカーも、即席の新しい方法を考え出しています。 サイバー攻撃を軽減するためのすべての取り組みは十分ではないようです。

Microsoft 365 がビジネス開発の不可欠な部分である組織の数は増加しています。 組織内でのこのようなサイバー攻撃の後遺症の拡散を阻止するために、サードパーティの電子メール フォレンジック ソフトウェアが必要になる場合があります。 Stellar Email Forensic は、そのようなソフトウェアの 1 つです。 Stellar Email Forensics は、電子メール検索用の高度なソフトウェアであり、詳細なレベルでの調査をサポートし、デジタル証拠の収集に役立ちます。 これは、ブールおよび正規表現検索が数回のクリックで実行されることを意味します。

法廷で証拠を作成するためには、サイバー攻撃の後遺症が大規模に広がっている可能性が高いため、大量のメール フォレンジックも必要です。 Stellar Email Forensics のもう 1 つの優れた機能は、タグ付け、ブックマーク、およびログを使用して犯罪捜査中にケースを管理できることです。

試してみたい ステラ メール フォレンジック ? 今なら最大60日間無料で使える! ソフトウェアをダウンロードする ここ .

関連記事