Office 365 ATP 自動調査

皆さんこんにちは。国井です。
いつもこのブログではAzure ADの話が多いですが、
たまにはOffice 365セキュリティの話でも。
Microsoft 365を利用したセキュリティ対策を検討するときに、Office 365 ATPやMicrosoft Defender ATPなどのソリューションを使って自社でインシデント対応を行うときに、どうやって使えばよいのか?また、そもそも自分たちでできるものなのか?という話が出てくると思います。
マネージドサービスでMicrosoft 365を利用するならまだしも、自分たちでインシデント対応を!と考えるのであれば、少なくともインシデントが発生した時にマルウェアがどのように検知されるのか?また、検知した時にどういう対応ができるのか(行うべきなのか)?を確認しておきたい、というニーズはあるでしょう。
そこで、今日はOffice 365 ATPを使って、実際にフィッシング詐欺メールを検知したときの様子について見てみたいと思います。

まず、Office 365 ATPですが、必要なライセンスを保有していると[Office 365セキュリティ/コンプライアンス]から[脅威の管理]-[エクスプローラー]の欄を見ると、Exchange Online宛に届いた怪しいメールの数々を見ることができます。このうち、実際にメールボックスに配信されたメールがあったとしましょう。下の画面で言うと、選択しているメールがそれです。

1

選択したメールを選択して、[操作]-[調査を開始]をクリックすると、[脅威の管理]-[調査]メニューの画面に移動します。調査を開始したばかりの頃は[開始中]となっていて何も起きないのですが、

2

[処理の保留中]まで進むとID番号をクリックして、調査内容を確認できます。

3

調査内容がこちら。
一番左の[調査グラフ]タブをクリックすると、そのメールの構成要素(宛先、添付ファイルなどの情報)が表示され、その中に脅威があれば自動的にその旨を報告してくれます。
ちなみに下の画面だとフィッシング詐欺のメールだと判断し、メールの論理的な削除(データセンターからは完全な削除はしないが、メールボックスから削除する方法)を行ってくれていることがわかります。

4

続いて[アラート]タブを開きました。こちらでは、調査対象のメールでアラートを発生させる事象があったか?また、アラートのリスクレベルなどを同時に確認できます。

5

[メール]タブでは、アラートを発生させるような内容が含まれている、他のメールの存在を知らせてくれます。これにより、メールのインシデントが発生した時に影響範囲を知ることができますし、また、こんなメールにご注意!などの注意喚起を取り急ぎ行うこともできますね。

6

[ユーザー]タブではメールを受信したユーザーを確認できます。同様のメールを受信したユーザーが他にもいることが確認できれば、影響範囲を知ることができます。

7

[エンティティ]タブに来ました。こちらは[調査グラフ]で見たようなメールの構成要素をもう少し細かく分解したものです。私が面白いなと思ったのは送信元のIPアドレスが確認できる点です。メールの調査を行うときってメールヘッダを見ることが多いと思うのですが、メールヘッダを見るにはある程度気合が必要だとおもんですよね..
メールヘッダを見なくても必要な要素を取り出して見やすく表示してくれるのはうれしいですね。また、IPアドレスはクリックすれば、同じIPアドレスから他のフィッシング詐欺メールが送られてきていないかなども確認できます。
(※余談ですが、私が調査するときはvirustotal.comにもIPアドレスを調べてもらったりしています)

8

[ログ]タブでは調査を開始してから現在までに行った処理を確認できます。

9

[処理]タブではアラートの結果に基づいて自動的に論理的な削除を行おうとしていますが、その処理を承認するか確認しています。[承認]をクリックすれば、メールの削除が実行されます。

10

推奨する処理を承認し、処理が実行されると、自動調査の画面上では[処理の保留中]から[修復済み]に切り替わり、インシデント対応が完了したことがわかります。

12

ここまで見ていただいて、おわかりのように自動調査機能は怪しいメールの判定と、怪しいと判定した時に推奨される処理を自動的に提示してくれるので、メールを通じて行われる攻撃の具体的な手法を知らなくてもインシデント対応ができるというメリットがあります。
一方、Office 365 ATPをすり抜けて受信トレイに配信されてしまったメールがあった場合、それを後から調査しましょうと判断できるのは人間の力でしかありません。
ユーザーさんが自分で「このメール怪しい!」と判断し、インシデント対応の担当者に調査を依頼するような業務フローを確立するには、気軽に報告するような企業文化を作り上げていくことが同時に必要になると思います。

Microsoft 365 を利用したインシデント対応トレーニングコースの中ではMicrosoft 365のインシデント対応サービスを単純に利用するだけでなく、業務フローまで含めたディスカッションができればと考えています。