次の方法で共有

Microsoft Defender for Office 365での Teams 保護のセキュリティ操作ガイド

Microsoft Defender for Office 365でMicrosoft Teams保護を構成したら、Teams 保護機能をセキュリティ操作 (SecOps) 応答プロセスに統合する必要があります。 このプロセスは、コラボレーション関連のセキュリティの脅威を保護、検出、対応するための高品質で信頼性の高いアプローチを確保するために重要です。

デプロイ/パイロット フェーズ中に SecOps チームが関与することで、organizationが脅威に対処する準備が整います。 Defender for Office 365の Teams 保護機能は、既存のDefender for Office 365にネイティブに統合され、SecOps ツールと作業フロー Defender XDRされます。

もう 1 つの重要な手順は、SecOps チーム メンバーがタスクを実行するための適切なアクセス許可を持っていることを確認することです。

ユーザーが報告した Teams メッセージを SecOps インシデント対応に統合する

ユーザーが Teams メッセージを悪意のある、または悪意のない可能性があると報告すると、報告されたメッセージは、Defender for Office 365のユーザー報告設定によって定義された Microsoft またはレポート メールボックスに送信されます。

ユーザーがセキュリティ リスクとして報告した Teams メッセージと、セキュリティ リスクではないとしてユーザーによって報告された Teams メッセージは、それぞれ自動的に生成され、悪意のあるユーザーレポートと悪意のないユーザー レポートのDefender XDRインシデントに関連付けられます。

SecOps チーム メンバーは、Microsoft Defender ポータルまたは SIEM/SOAR 統合で、Defender XDR インシデント キューからトリアージと調査を開始することを強くお勧めします。

ヒント

現時点では、 セキュリティ リスクとしてユーザーによって報告された Teams メッセージ と、セキュリティ リスクではないアラートとしてユーザーによって報告された Teams メッセージ は、自動調査と対応 (AIR) 調査を生成しません。

SecOps チーム メンバーは、Defender ポータルの次の場所で送信された Teams メッセージの詳細を確認できます。

  • Defender XDR インシデントの [送信の表示] アクション。
  • https://security.microsoft.com/reportsubmission?viewid=user[申請] ページの [ユーザーの報告] タブ:
    • 管理者は、[ユーザーが報告した] タブから分析のために、ユーザー が報告した Teams メッセージを Microsoft に送信できます。 [Teams メッセージ ] タブのエントリは、ユーザーが報告した Teams メッセージを Microsoft に手動で送信した結果です (ユーザーの申請を管理者の申請に変換します)。
    • 管理者は、報告された Teams メッセージに 対してマークと通知 を使用して、メッセージを報告したユーザーに応答メールを送信できます。

SecOps チーム メンバーは、テナント許可/ブロック リストのブロック エントリを使用して、次の侵害のインジケーターをブロックすることもできます。

SecOps がMicrosoft Teamsで偽陰性をプロアクティブに管理できるようにする

SecOps チーム メンバーは、脅威ハンティングまたは外部の脅威インテリジェンス フィードからの情報を使用して、偽の否定的な Teams メッセージ (不適切なメッセージが許可されている) にプロアクティブに対応できます。 この情報を使用して、脅威を事前にブロックできます。 例:

ヒント

前に説明したように、管理者は分析のために Teams メッセージを Microsoft に事前に送信することはできません。 代わりに、ユーザーが報告した Teams メッセージを Microsoft に送信します (ユーザーの申請を管理者の申請に変換します)。

SecOps がMicrosoft Teamsで誤検知を管理できるようにする

SecOps チーム メンバーは、https://security.microsoft.com/quarantineのDefender for Office 365の [検疫] ページで、誤検知の Teams メッセージ (ブロックされた適切なメッセージ) をトリアージして応答できます。 0 時間自動保護 (ZAP) によって検出された Teams メッセージは、[Teams メッセージ ] タブで使用できます。SecOps チーム メンバーは、これらのメッセージに対して アクションを実行 できます。 たとえば、メッセージのプレビュー、メッセージのダウンロード、レビューのために Microsoft にメッセージを送信し、検疫からメッセージを解放します。

SecOps チーム メンバーは、テナント許可/ブロック リストの許可エントリを使用して、誤って分類されたインジケーターを許可することもできます。

ヒント

検疫から解放された Teams メッセージは、Teams チャットとチャネル投稿の元の場所にある送信者と受信者が使用できます。

SecOps がMicrosoft Teamsで脅威と検出を検出できるようにする

SecOps チーム メンバーは、悪意のある可能性のある Teams メッセージ、Teams の URL クリック、および悪意のあるファイルとして検出されたファイルを事前に検索できます。 この情報を使用して、潜在的な脅威を見つけ、パターンを分析し、Defender XDRでカスタム検出を開発してインシデントを自動的に生成できます。

  • https://security.microsoft.com/threatexplorerv3の Defender ポータルの [エクスプローラー] ページ (脅威エクスプローラー):

    • [コンテンツ マルウェア ] タブ: このタブには、SharePoint、OneDrive、およびMicrosoft Teamsの安全な添付ファイルによって検出されたファイルが含まれています。 使用可能なフィルターを使用して、検出データを検出できます。
    • [URL のクリック ] タブ: このタブには、メール内の URL、SharePoint と OneDrive のサポートされている Office ファイル、および Microsoft Teamsのすべてのユーザークリックが含まれます。 使用可能なフィルターを使用して、検出データを検出できます。

  • https://security.microsoft.com/v2/advanced-huntingの Defender ポータルの [高度なハンティング] ページ。 Teams 関連の脅威には、次のハンティング テーブルを使用できます。

    注:

    ハンティング テーブルは現在プレビュー段階です。

    • MessageEvents: URL を含むすべての内部および外部の Teams メッセージに関する生データが含まれます。 送信者のアドレス、送信者の表示名、送信者の種類などについては、この表を参照してください。
    • MessagePostDeliveryEvents: Teams メッセージの ZAP イベントに関する生データが含まれます。
    • MessageUrlInfo: Teams メッセージ内の URL に関する生データが含まれます。
    • UrlClickEvents: Teams クライアントのユーザーが許可またはブロックしたすべての URL クリックに関する生データが含まれます。

    SecOps チーム メンバーは、これらのハンティング テーブルを他のワークロード テーブル (EmailEvents やデバイス関連テーブルなど) と結合して、エンド ツー エンド のユーザー アクティビティに関する分析情報を得ることができます。

    たとえば、次のクエリを使用して、ZAP によって削除された Teams メッセージ内の URL の許可されたクリックを検索できます。

    MessagePostDeliveryEvents
| join MessageUrlInfo on TeamsMessageId
| join UrlClickEvents on Url
| join EmailUrlInfo on Url
| where Workload == "Teams" and ActionType1 == "ClickAllowed"
| project TimeGenerated, TeamsMessageId, ActionType, RecipientDetails, LatestDeliveryLocation, Url, ActionType1

    高度なハンティングのコミュニティ クエリ では、Teams クエリの例も提供されます。

  • Last updated on