ビュー:

このエンドツーエンドのベストプラクティスガイドに従って、ユーザが報告したメールの分析と対応機能を効果的に使用し、セキュリティチームが脅威のトリアージを効率化し、自信を持ってアクションを適用し、メール保護を強化するのに役立ててください。

組織は増大するメールベースの脅威に直面しており、エンドユーザはしばしば最後の防衛線となります。しかし、報告されたメールを分析するための体系的なプロセスがなければ、セキュリティチームは脅威を効率的に優先順位付けするのに苦労し、対応の遅れやリスクの増大につながる可能性があります。各報告を手動で調査することは時間がかかり、特に類似の脅威がすでに環境内に存在する場合には見落としがちです。
Cloud Email and Collaboration Protectionは、ユーザが報告したメールの分析と対応機能でこの課題に対処します。ユーザが不審なメールを報告すると、システムは自動的にメッセージを分析し、フィッシング、スパム、フラグ付きなどの脅威タイプを判定し、悪意のあるURLや不審な送信者などの共有インジケータを特定します。また、報告されたメッセージと類似の不審なインジケータを共有する最近のメールのリストを提供し、管理者がこれらの脅威を軽減するために手動または自動のアクションを適用できるようにします。
さらに、Cloud Email and Collaboration Protectionは報告されたメールから学習することで検出能力を強化し、再発を防ぐのに役立ちます。管理者は、報告されたメールから送信者アドレス、ドメイン、またはURLなどの関連オブジェクトを相関インテリジェンスポリシーで使用されるモニタリストに追加することもできます。
Cloud Email and Collaboration Protectionは、管理者の設定に基づいて報告されたメールの分析結果を直接ユーザに送信することもサポートしています。メールがフィッシング、スパムとして確認された場合や、さらなる注意が必要とされた場合でも、ユーザは脅威の検出における役割を強化するフィードバックを受け取ります。
このクローズドループ分析と応答機能を活用することで、組織はエンドユーザに脅威の検出への貢献を促し、セキュリティチームが迅速に対応し、手動作業を削減し、将来の脅威を積極的にブロックできるようにします。その結果、組織全体で可視性と封じ込めを向上させる、より効率的でスケーラブルなメールセキュリティワークフローが実現します。

手順

  1. 次のいずれかの方法でユーザのための報告チャンネルを設定してください。
    • ユーザのOutlookクライアントにOutlook用アドインをインストールして、不審なメールをワンクリックで報告できるようにします。
    • 対応する相関インテリジェンスポリシーで警告バナーを有効にして、事前定義された相関ルールによって異常としてフラグ付けされたメール本文の上部に注意メッセージを表示します。
  2. メールレポートの設定を構成します。
    • Cloud Email and Collaboration Protectionが報告されたメールを自動的に分析し、脅威のトリアージ時間を短縮することを許可します。
    • 分析に基づいて同様の脅威を示すと識別されたメールに対して、手動または自動のセキュリティアクションを適用するかどうかを選択してください。
    • 報告されたメールの分析が成功した際に、エンドユーザに対してフォローアップメールを送信し、フィードバックの結果を要約するかどうかを選択してください。
  3. 報告されたメールの詳細を確認し、分析詳細画面にアクセスして、分類、疑わしい指標、メールメタデータを表示します。
  4. 自動緩和をモニタするか、手動で緩和アクションを適用してください。
    • 自動緩和をモニタし、自動セキュリティアクションが有効になっているか確認してください。
      • システムは類似の過去のメールに対して自動的に緩和措置を講じます。
      • 進行状況バーを使用してリアルタイムのステータス更新を追跡します。
    • 手動セキュリティアクションが有効になっている場合は、緩和策を手動で適用してください。
      分析詳細画面を使用して手動で操作を行います。
      1. 報告されたメールを調査し、その分類を確認し、主要な指標を通じてなぜそのメールが疑わしいと判断されたのかを理解してください。
      2. [緩和策]セクションで、推奨されるアクションを類似のメールに個別または一括で適用します。
  5. 自動修復と予防をモニタするか、手動で修復と予防措置を適用してください。
    • フィッシングやスパムとして確認された報告メールに対して、システムは自動的に修復および予防措置を適用します。
      進行状況バーを使用してリアルタイムのステータス更新を追跡します。
      これらの対策が実施されると、システムはさらに類似の脅威やリスクをもたらす過去のメールを特定できます。分析詳細画面で追加の問題のあるメッセージを見つけることができます。
    • 報告されたメールでさらに注意が必要なものについては、分析詳細画面を使用して手動で対処してください。
      1. [修復と予防]セクションで、相関インテリジェンスによって管理されている対応するモニタリストに最も関連性の高いオブジェクトを追加してください。
        この操作により、[ポリシー][グローバル設定][相関インテリジェンス][相関ルールおよび検出シグナル][検出シグナル]タブに、このオブジェクトタイプの検出信号が[ユーザ報告メールからのモニタされた<object type>]という名前で自動的に作成されます。
        これらの信号は、同じモニタ対象を含む他のメールを検出するのに役立つシステム生成の相関ルール[ユーザレポート駆動型脅威の検出]に寄与します。
        シグナル詳細画面では、分析詳細画面で追加したすべてのオブジェクトを見つけて、希望に応じて管理できます。
      2. 同様の脅威やリスクを事前にブロックするには、[高度な脅威対策]ポリシー設定に移動し、[相関インテリジェンス]の下に[ユーザレポート駆動型脅威の検出]をカスタムルールとして追加してください。