詳細フィルタを適用する

さまざまな側面から情報を調査することで、スピアフィッシング攻撃の状況を把握できます。メールヘッダをレビューすると、メールメッセージの発生元と、どのようにルーティングされたかを確認できます。共通の特徴を関連付けることで、ネットワークに対する攻撃の傾向を調査できます (例: 人事部門からのように見せかけるメールの件名や偽の内部メールアドレスなど)。検出に基づいてポリシーの設定を変更し、同様の攻撃に対して予防措置を講じるようにユーザに警告します。

  1. [検出] > [検出されたメッセージ] の順に選択します。
  2. 検索条件を指定します。

    検出されたメッセージの検索フィルタを参照してください。

  3. <Enter> キーを押します。

    検索条件に合致するメールメッセージがすべて表示されます。

  4. 結果を表示します。

    ヘッダ

    説明

    メールメッセージを調べて、潜在的な脅威についてさらに詳しい情報を取得します。

    詳細については、検出されたメッセージを調査するを参照してください。

    検出

    不審メールメッセージが最初にDeep Discovery Email Inspectorで検出された日時を表示します。

    注:

    Deep Discovery Email Inspectorでメールメッセージを受信してから、そのメールメッセージが [検出されたメッセージ] 画面に表示されるまでには多少の時間差があります。

    リスクレベル

    不審メールメッセージに示される潜在的な危険のレベルを表示します。詳細については、検出されたリスクを参照してください。

    詳細については、検出されたリスクを参照してください。

    受信者

    検出されたメッセージの受信者メールアドレスを表示します。

    メールヘッダ (To)

    メールヘッダのプライマリ受信者のメールアドレスを表示します。

    送信者

    検出されたメッセージの送信者メールアドレスを表示します。

    メールヘッダ (From)

    メールヘッダの作成者のメールアドレスを表示します。

    メールの件名

    不審メールメッセージの件名を表示します。

    不正なリンクが埋め込まれたメールメッセージの件数を表示します。

    ポリシールールにより検出された添付ファイルの数を表示します。

    脅威

    検出された脅威の名前と分類を表示します。詳細については、脅威の種類の分類を参照してください。

    詳細については、脅威の種類の分類を参照してください。

    処理

    メールメッセージを検索し分析した後の最終的な結果を表示します。この結果が、実行されたポリシー処理です。
    注:

    BCCモードとSPAN/TAPモードでは、処理は常に [監視のみ] です。

検出されたメッセージの検索フィルタ

次の表は、不審メッセージにクエリを実行するための基本的な検索フィルタについて説明しています。検出されたメッセージを表示するには、[検出] > [検出されたメッセージ] の順に選択します。

注:

検索フィルタでは、ワイルドカードを使用できません。Deep Discovery Email Inspectorではファジィ論理を使用して検索条件をメールメッセージデータに照会します。

フィルタ

説明

脅威の種類

[すべて] または脅威の種類をリストから選択します。

詳細については、脅威の種類の分類を参照してください。

リスクレベル

[すべて] またはメールメッセージのリスクレベルを選択します。

処理

[すべて] または処理をリストから選択します。

これは、ポリシールールで検索条件が一致したメールメッセージに適用する処理です。

詳細については、ポリシールールを参照してください。

注:

BCCモードとSPAN/TAPモードでは、処理は常に [監視のみ] です。

期間

事前に定義した時間範囲を選択するか、カスタム範囲を指定します。

詳細フィルタを適用する

基本的なフィルタに加え、詳細フィルタを適用して不審メッセージのクエリを実行できます。

  1. [詳細フィルタの表示] をクリックします。
  2. フィルタする情報を指定します。

    フィルタ

    説明

    送信者

    送信者のメールアドレスを指定します。

    メールヘッダ (To)

    メールヘッダのプライマリ受信者のメールアドレスを指定します。

    メッセージID

    一意のメッセージIDを指定します。

    例: 20160603021433.F0304120A7A@example.com

    件名

    メールメッセージの件名を指定します。

    方向

    メッセージの方向を指定します。

    ルール

    ルール名を指定します。

    メールヘッダ (From)

    メールヘッダの作成者のメールアドレスを指定します。

    URL

    URLを指定します。

    送信元IP

    メールの送信者に最も近いMTAのIPアドレスを指定します。送信元IPは、攻撃元、感染MTA、またはメールリレー機能を持つボットネットのIPアドレスです。

    感染MTAは通常、攻撃者が使用するサードパーティのオープンメールリレーで、不正なメールメッセージやスパムメールを検出せずに送信します。

    注:

    [送信元IPアドレス] 検索フィルタには、文字列の完全一致が必要です。Deep Discovery Email Inspectorでは、送信元IPアドレスの検索結果の一致にファジィ論理を使用しません。

    ファイル名

    添付ファイルの名前を指定します。

    データ識別子

    データ識別子名を指定します。

    YARAルール名

    YARAルールの名前を指定します。

    受信者

    受信者のメールアドレスを指定します。アドレスは1つのみ指定できます。

    脅威の名前

    トレンドマイクロから提供される脅威名を指定します。ダッシュボードウィジェットと [検出数] タブには脅威名に関する情報が表示されます。

    脅威の検出機能の詳細については、検索と分析を参照してください。

    送信者IPアドレス

    送信者のIPアドレスを指定します。

    Deep Discovery Email InspectorをネットワークのエッジMTAとして配置する場合、送信者のIPアドレスは、そのネットワークに最も近い外部MTAのパブリックIPアドレスとなります。

    Deep Discovery Email InspectorをネットワークのエッジMTAとして配置しない場合、送信者のIPアドレスは、エッジMTAリレーサーバに最も近いMTAのIPアドレスとなります。

    注:

    [送信者IPアドレス] 検索フィルタには、文字列の完全一致が必要です。Deep Discovery Email Inspectorでは、送信者IPアドレスの検索結果の一致にファジィ論理を使用しません。

    ポリシー

    ポリシー名を指定します。

    情報漏えい対策テンプレート

    情報漏えい対策テンプレート名を指定します。

    YARAルールファイル名

    YARAルールファイルの名前を指定します。

    パスワード保護された添付ファイル

    パスワードで保護されたファイルを含むメールメッセージを選択します。

    手動によるメールの送信

    分析のために管理者によってDeep Discovery Email Inspectorに手動で送信されるメールメッセージを選択します。

    詳細については、メールのサブミットを参照してください。

  3. [検索] をクリックします。