tos-akibaのブログ

主に Microsoft 365 Security について

MDO: 脅威エクスプローラーの UX 機能強化(V3)

Microsoft Defender for Office 365(MDO)の脅威エクスプローラ― V3 のリリースが発表されました。
(脅威エクスプローラ―は、Microsoft Defender for Office 365 の Plan2 に含まれるツール機能です)
Threat Explorer: UX enhancements, URL clicks tab and customizable export - Microsoft Community Hub

(Note: これらの機能強化はすべてロールアウト段階にあり、2023年5月末までにパブリックプレビューで利用可能になります。)

 

以下、要約です。

新しい脅威エクスプローラ― V3 では、電子メールのセキュリティ イベントへのフィルター処理を強化し、電子メールベースの攻撃、URLクリック、リスクの高いユーザーなどの包括的なビューを提供し、セキュリティチームがこれらの脅威をタイムリーに調査しやすくしています。

 

ユーザーエクスペリエンスの改善

新しいフィルター処理:

新しいエクスペリエンスでは、フィルターの簡潔なビュー、論理条件、日付範囲を1ヶ所で確認できます。
これは、大規模なデータセットや複雑なフィルター操作に便利です。
「等しい(Equals)」と「含む(Contains)」の2つの条件は、脅威やデータの特定や、任意の値の照合、一般的なパターンや傾向を検索するために最も便利な条件です。
例えば、「件名」に「いずれかを含む(Contains)」で類似キーワードを検索し一致するすべてのトラフィックを検索できます。

「高度なフィルター」は無くし、「および(AND)」「または(OR)」演算子を使用し複数の条件に基づいたフィルター処理できる複雑な検索クエリを作成できます。

これらの組み合わせで、より効率的、効果的な脅威の検出と対応が可能になります。

 

フィルターオプションへの追加:

新しいフィルターオプションは、ツール全体の機能と有用性を大幅に向上させることを目的に設計されました。
フィルターは、Basic、Advanced、URLs、Files、Authentication のセクションに分類されました。
Basic フィルターには、件名、送信者、受信者などの単純な条件があります。
Advanced フィルターには、ネットワークメッセージID、送信者 IP、添付ファイルの SHA256 などのより複雑な条件があります。
URLs フィルターは、脅威や攻撃に関連する URL やドメインについて使用されます。
Files フィルターは、ファイル名、ファイル種類など、脅威に関連する添付ファイルに関します。
Authentication フィルターは、DMARC、DKIMSPF 認証結果を特定できます。

以下のフィルターオプションが新しく追加されました。

  • Basic
    • 受信者のドメイン(Recipient domains)
    • 返信先(Return path)
    • 返信先のドメイン(Return path domain)
    • ポリシーの種類(Policy type)
    • ポリシーの処理(Policy action)
    • 脅威の種類(Threat type)
    • メールのサイズ(Email size)
  • URLs
    • URL の数(URL count)
    • URL の場所(URL location) → URL ソース(URL Source)のことと思われる
    • URL の脅威(URL threat)
  • File
    • 添付ファイル数(Attachment count)
    • ファイルの種類(File type)
    • ファイル拡張子(File extension)
    • ファイルサイズ(File size)
  • Authentication ・・・ セクション自体

 

 

[URL のクリック]タブ:

以前は、脅威保護レポートや高度なハンティングなど複数のレポートとツールを移動する必要がありましたが、脅威エクスプローラーの新しい「URL のクリック」タブにより、電子メール、Teams、Officeアプリ のエンドユーザーのクリックを1ヵ所で確認できます。
この統合されたビューにより、ユーザーの行動全体から潜在リスクを簡易に特定できるので、ネットワーク メッセージID、受信者、URL の詳細を使用して、URL ベースの攻撃影響を受けた電子メールとユーザーを特定できます。
また、タブにはエクスポート機能もあり、csv ファイルにダウンロードして分析もできます。

この新しいタブではさらに、「上位のクリック」「上位の対象ユーザー」タブを使用して、ユーザーがクリックした悪意ある可能性の URL を調査、分析できます。

「上位のクリック」では、組織のユーザーが最も多くクリックした URL、ブロックされた URL の数、許可されている URL の数が表示されます。
これらは、フィッシング詐欺や悪意あるアクティビティを特定し、ユーザーを保護する予防措置を講じるのに役立ちます。

「上位の対象ユーザー」には、組織内で最も多くの URL をクリックしたユーザーが表示されます。
これは、フィッシングなどの攻撃を受けやすい可能性のある潜在リスクの高いユーザーを特定するのに役立ちます。

これらにより、ユーザーを攻撃から保護するために的を絞ったトレーニングと意識向上プログラムなど、プロアクティブな対策を講じることができます。

 

データのエクスポートをカスタマイズ:

脅威エクスプローラーでは、データグリッドに表示されるデータと共に追加データをエクスポートできます。
新しいエクスポート機能では、電子メールデータからの基本情報のフィールドがデフォルトで選択されており、要件にもとづいてフィールド選択を追加、変更できます。
この新しいエクスポート機能は、脅威エクスプローラーのすべてのタブで使用できます。