Workplace 365 ポリシーのマイクロソフト ディフェンダーを最大限に活用する

Workplace 365 ポリシーのマイクロソフト ディフェンダーを最大限に活用する [ad_1]

最近、私はあなたが構成を始めることができる方法についての記事を書いた Office 365 のマイクロソフト ディフェンダー マイクロソフトの事前設定セキュリティ ポリシーと構成アナライザーを使用します。多くの組織にとって、Microsoft ガイダンスは、正しい軌道に乗り始めるのに十分です。ただし、組織のニーズをより効果的に満たすように、ツールのスイートを調整する余地は非常に大きいです。

この記事では、Defender for Office 365 のさまざまなコンポーネントについて説明し、ポリシーがテナントに与える影響と関連性を高めるために、ベースラインを超えて構成をカスタマイズする方法について説明します。ここではすべての設定を行う必要はありませんが、ベースラインから構成を変更する際に確認すべき最も重要な側面と、各構成オプションを検討する理由について説明します。

*まだご利用の場合は、必ずチェックしてください。 機能の可用性 現在のサブスクリプションで利用可能な内容を確認するためのドキュメント。

どこから始めるのか?

Office 365 用 Defender 内で非常に多くの構成可能なオプションを使用すると、どこから始めからいいのかを知るのは難しい場合があります。だから、物事を明確にするために、私はそれらを次の主要なセクションに分解します:

  • フィッシング対策
  • スパム対策
  • マルウェア対策
  • 安全なリンクと安全な添付ファイル

文脈については、私は仮定から始めます。 標準のマイクロソフト推奨事項 は、構成アナライザーを通じて、全面的に適用またはレビューされています。

フィッシング対策

Microsoft ベースラインを使用してフィッシング対策ポリシーを構成する場合、保護する特定のユーザーやドメインなど、組織に関連する情報は既定では使用されません。これを改善するために使用できるいくつかの設定を見てみましょう。

フィッシング詐欺対策ポリシー: ユーザーとドメインが偽装保護で保護できるようにする

[Office 365 の防御]は、組織に機密性の高いドメインやユーザーを認識していません。フィッシング対策ポリシーを定義する場合は、標準的なフィッシング詐欺の試みを超えて、より高度な攻撃から保護することが重要です。 捕鯨.

捕鯨は、攻撃者が 高度にターゲットを絞った 組織内の CEO や CFO などの高レベルの個人の身元を想定してフィッシング攻撃を行います。これにより、フィッシング詐欺の試みは重要または緊急に見えるという利点を与え、受信者はそれを額面的に受け入れる可能性が高くなります。たとえば、組織の CFO からのメールを緊急に要求すると、受信者に迅速な行動を迫られることがあります。

[保護するユーザーとドメイン]設定を使用すると、内部ユーザーと外部ユーザーの両方と、偽装から保護される電子メール ドメインを指定できます。これは、ユーザーを保護する場合 Bruce.Wayne@contoso.com (図1)、次にアドレスからのメール Bruce.Wayne@fabrikam.com 保護されたユーザーとの類似性に基づいて、偽装の可能性としてフラグを立てる可能性が高くなります。

これは指定しない点に注意することが重要です 誰が は、通常のポリシー割り当てで実行される、割り当てられたポリシーを取得します。

Office 365 ポリシーのマイクロソフト ディフェンダーを最大限に活用する
図 1: 内部と外部の両方の重要なユーザーを追加して偽装から保護する.

同様に、ドメインを保護する場合は"contoso.com“、 " などのドメインから送信されるメール “contosoo.com" は、偽装の可能性としてフラグが立てられる可能性が高くなります。これは、内部および外部のすべての連絡先に使用すると、問題を引き起こす可能性は明らかにですが、パートナー組織のCEOなどの重要なユーザーを保護する非常に強力な方法です。構成アナライザを使用したベースラインは、組織内の承認済みドメインを保護しますが、重要なパートナードメインやサプライヤードメインを追加する必要があります。

これらのユーザーとドメインに対して偽装防止を有効にすると、図 2 に示すように、アクションセクションで実行するアクションを設定できます。

Office 365 ポリシーのマイクロソフト ディフェンダーを最大限に活用する
図 2: 偽装されたユーザー/ドメインのアクションを設定する.

フィッシング詐欺対策ポリシー: メールボックス インテリジェンス偽装保護を有効にする

メールボックス インテリジェンス イン・ディーフェンoffice 365 の der は、機械学習を使用して、ユーザーの “送信者マップ" を作成する各ユーザーの送受信パターンに関する情報を収集します。Defender はこの情報を使用して、メールが正当であることを示す強力なシグナルとして収集されたデータを使用して、なりすましの試みに関する決定を通知します。メールボックス インテリジェンスはベースラインの一部として有効になっています。ただし、偽装保護にメールボックス インテリジェンスを活用するオプションは有効になっていません。

この設定では、メールボックス インテリジェンス機能を偽装保護によって保護されたメールに拡張し、結果の信頼性を向上させます。たとえば、 Bruce.Wayne@contoso。com は保護されたユーザーであり、当社の組織内のユーザーは頻繁に Bruce.Wayne@fabrikam.comメールボックス インテリジェンスから収集された情報は、このシナリオのフィッシングの信頼性に影響を与え、正当な送信者がフィッシング詐欺の試みと見なされる可能性を低くします。

注: メールボックス インテリジェンスが機能するには、受信者のメールボックスが Exchange Online でホストされている必要があります。

フィッシング対策ポリシー: 最初の連絡先の安全に関するヒントを有効にする

最初の接触安全のヒント は、Office 365 用 Defender に比較的新しく追加されたものであり、現時点では構成アナライザーによってキャプチャされていないように見えます。この設定を有効にすると、ユーザーが不慣れなアドレスからメールを受信したときに、図 3 に示すヒントが表示されます。これは、ユーザーが慣れていないアドレスからメールを受信したときに、ユーザーが警戒を続け、通知するのに役立ちます。

Office 365 ポリシーのマイクロソフト ディフェンダーを最大限に活用する
図 3: 最初の接触安全に関するヒントが実際に動作している.

この設定は、時間のベースラインの一部として標準になると思われますが、ユーザーが未知のメールボックスからスパムやフィッシングの試みを検出するのを助けるために、それまで手動で有効にする価値があります。この設定は、フィッシング詐欺対策ポリシーの[操作]セクションにあります。

フィッシング対策ポリシー: フィッシングのしきい値

フィッシングの疑いのある試みは、メッセージが本当にフィッシングであるという確信に基づいて、Defender が評価されます。この評価は、「低」、「中」、「高」、「非常に高い」信頼度です。メッセージは、割り当てられた信頼度に基づいて異なる方法で扱われます。

標準ベースラインでは、フィッシングのしきい値は 2 (アグレッシブ) に設定されています。つまり、「高」または「非常に高」とマークされた試みは、非常に高い信頼度として扱われ、スパムフィルタに割り当てられたアクションを実行しますが、「低」と「中」は別のアクションを取ることができます。

Defender スイートのほとんどのしきい値と同様に、ここで設定される値は組織、業界、および関連するリスクに大きく依存します。初日にこの値を変更することはお勧めしませんが、これは必要に応じて監視および調整する必要があります。

予防策が有効であるにもかかわらず、フィッシング攻撃を受けているように見える場合は、このしきい値を使用して保護を強化できます。同様に、誤検出が多すぎる場合は、組織のしきい値を下げることを検討する価値があります。この設定では、「スパム対策ポリシー」セクションで詳しく説明する「スパム対策フィッシングと高信頼フィッシングの設定」に割り当てられているアクションも考慮する必要があります。

スパム対策

スパム対策ポリシー内の[スパムのプロパティ]セクションには、高度なスパム フィルター (ASF) 構成が含まれています。これは構成アナライザーによって構成されていないことがわかります。これは仕様です。 スパム対策ポリシーの一部としての ASF 設定は非推奨です これらの保護はプラットフォームの他の部分に統合されています。現在の推奨事項は、今後の新しい構成で使用しないことです。

マルウェア対策

マルウェア対策ポリシーは、ファイルや電子メールからの悪意のあるコンテンツを扱います。マルウェア対策の設定には、構成可能なオプションが多数ありませんが、ベースラインでカバーされていない設定をいくつか確認します。

マルウェア対策ポリシー: 共通添付ファイル フィルタ

ベースラインを使用すると、一般的な添付ファイル フィルタによってブロックされる添付ファイルの種類が少しあります (図 4) 、最も一般的にブロックされるファイルの種類をカバーします。簡単に言うと、特定の種類のファイルを許可する正当な必要がない限り、共通の添付ファイル フィルタにリストされている拡張子の大部分をブロックできます。

これは、望ましくないファイルの種類の多くをカバーしているので、私はマイクロソフトが提供したリストを確認し、あなたがどれを選択するために「ホワイトリスト」アプローチを使用することを強くお勧めします できません ブロックしたい。

Office 365 ポリシーのマイクロソフト ディフェンダーを最大限に活用する
図 4: 既定の共通添付ファイル フィルタ ファイルの種類.

マルウェア対策ポリシー: 通知の構成

マルウェア対策ポリシーに対して、さまざまな関係者に通知するように構成できる通知がいくつかあります。何かがブロックされたときに外部の送信者に通知することは、必要のない構成に関する情報を公開する可能性があるため、これまではお勧めしません。

しかし、アイテムが検疫されたときに内部の送信者に通知することは良い習慣ですが、私の意見では、最も重要な構成は、マルウェアがメールでブロックされたときに管理者に通知することです。監視対象のセキュリティ メールボックスにレポートを転送するオプションを「内部送信者からの未配信メッセージについて管理者に通知する」と「外部の送信者からの未配信メッセージを管理者に通知する」オプションを構成すると、管理者は、図 5 に示すような通知でマルウェアがブロックされたときに追跡できます。

Office 365 ポリシーのマイクロソフト ディフェンダーを最大限に活用する
図 5: 管理者へのマルウェア対策通知.

安全なリンクと安全な添付ファイル

構成アナライザーを使用して Office 365 用 Defender を構成する場合は、 安全なリンク 又は 安全添付ファイルポリシー テナントで作成された安全添付ファイルは、構成アナライザーに表示されません。これは、すべてがまったく整っていない可能性があるときに完全に設定されているという誤った感覚につながる可能性があります。初期ポリシーを作成すると、アナライザのスコープに入ります。もう一度、ベースラインが配置され、構成アナライザーに表示された後、いくつかの設定が注意してください。

安全な添付ファイルのグローバル設定: SharePoint、OneDrive、およびチームの安全な添付ファイルを有効にする

[安全な添付ファイル]の[グローバル設定]では、SharePoint、OneDrive、およびチームの添付ファイルの安全を有効にするオプションがあります。この設定は、特に外部ユーザーが Teams または SharePoint と対話する可能性があるプラットフォームの他の領域に対して、Exchange に適用される保護を拡張する場合に考慮する必要があります。

テキスト ボックス: セット-スポテナント -感染ファイルをダウンロード$trueこの設定を行うと、SharePoint にアップロードされたが、安全な添付ファイルによって悪意のあるものとして検出されたファイルはロックされ、ユーザーはファイルを操作できなくなります。既定では、ファイルのダウンロードは引き続き許可されていますが、SharePoint オンライン管理シェルで次のコマンドを実行すると、このファイルを無効にできます。

[安全な添付ファイル]グローバル設定: Office クライアントの安全なドキュメントを有効にする

Office クライアントのドキュメントのセーフ機能を使用すると、Office クライアントは、ファイルを開く前にエンドポイント スキャン用の Microsoft Defender を強制的に実行できます。残念ながら、安全なドキュメントには、完全な Microsoft 365 E5 または Microsoft 365 E5 セキュリティ ライセンスが必要です (エンドポイント用 Defender サービスとの統合が原因である可能性が高いです)。

この機能が有効になっている場合、ユーザーがクリックして編集を有効にする前に、保護ビューで開いたファイルがスキャンされます。ファイルが悪意のあるファイルとして検出された場合、ユーザーには[編集を有効にする]オプションが表示されず、図 6 のようなメッセージが表示されます。

Office 365 ポリシーのマイクロソフト ディフェンダーを最大限に活用する
図 6: 悪意のあるファイルが編集をブロックされる.

「安全な文書がファイルを悪意のあるものと特定した場合でも、ユーザーが保護されたビューをクリックすることを許可する」というオプションがありますが、テストの外部でこれを有効にすることはお勧めできません。

安全な添付ファイル ポリシー: 非ハイブリッド環境での動的配信を有効にする

Exchange Online に存在しないメールボックスがある環境では、検出されたマルウェアを含むメールをブロックするか、悪意のある添付ファイルを置き換えてベース電子メールのフローを許可するように、安全な添付ファイルを構成できます。どちらのオプションでも、Defender が添付ファイルを調査できるようにメールの流れを遅らせることができます。

Exchange Online ですべてのメールボックスがホストされている環境では、動的配信を有効にすることができます。この設定では、添付ファイルなしでメールを直ちに配信できます。添付ファイルはスキャンされ、Defenderによって配信後にメールに再び追加されます。これにより、スキャンプロセスがエンドユーザーの生産性に与える影響を最小限に抑えることができます。

安全な添付ファイル ポリシー: スキャンニンの場合は、安全な添付ファイル検出応答を適用します。g は完了できません

暗号化、バックエンド エラー、またはタイムアウトが原因で特定のファイルに対してスキャンを実行できない場合があります。これらのエラーによってスキャンされていない添付ファイルがエンド ユーザーに届かないようにするために、[安全な添付ファイル検出応答を適用する]オプションを有効にすることをお勧めします。

提供されるベースラインは、お使いの環境で迅速に設定された Office 365 用 Defender を取得するための素晴らしい方法ですが、彼らはすべての方法を取ることはありません。組織に合わせて確認および調整する必要がある項目がまだあります。ここに記載されている項目は利用可能なもののサブセットですが、ベースラインと組み合わせると、Defender の実装を次のレベルに引き上げる手助けとなります。

Office 365 の Defender およびその他の Office 365 セキュリティに関するトピックの詳細については、次の記事を参照してください。

管理者が Exchange オンラインを既定でセキュリティで保護するために実行できる最も重要な手順 (practical365.com)

攻撃シミュレーショントレーニング (practical365.com) を使用して、脅威に対してユーザーをトレーニングする方法Office 365 セキュリティ リソース (practical365.com)

Office 365 セキュリティ リソース (practical365.com)



[ad_2]

未分類

Posted by admin