ポリシーイベントの概要

この画面では、Trend Micro Email Securityで送受信されたメールメッセージの脅威の検出を追跡できます。Trend Micro Email Securityでは、ポリシーイベントのログが最大90日間保持されます。ポリシーイベントログの検索のスライディングウィンドウは、月をまたいで連続する60日間です。

注:

ポリシーイベントログの検索のためのスライディングウィンドウは、Trend Micro Email Security Standardライセンスでは30日間です。日本ではTrend Micro Email Security Standardは提供されません。

各ライセンスバージョンの詳細については、使用可能なライセンスバージョンを参照してください。

[ポリシーイベント] 画面には次の検索基準があります。

  • 期間: クエリの期間。

    • 過去1時間

    • 過去24時間

    • 過去7日間

    • 過去14日間

    • 過去30日間

    • カスタム範囲

  • 方向: メッセージの方向。

    • 受信

    • 送信

  • 受信者: エンベロープ受信者アドレス。最大10個のメールアドレスを指定してください。

  • 送信者: エンベロープ送信者アドレス。最大10個のメールアドレスを指定してください。

  • メールヘッダ (宛先): メッセージヘッダの受信者アドレス。最大10個のメールアドレスを指定してください。

  • メールヘッダ (差出人): メッセージヘッダの送信者アドレス。最大10個のメールアドレスを指定してください。

    注:

    上記4つのアドレスフィールドを設定する際は、次の点に注意してください。

    • 検索時はメールアドレスを厳密に指定するか、ワイルドカード (*) で任意の文字を置き換えます。メールアドレスの一般的な形式 (ローカル部@ドメイン) では、次のことに留意してください。

      • ローカル部にはワイルドカード (*) を指定するか、アスタリスク (*) で始まらない文字列を指定する必要があります (例: *@example.com、test*@example.com)。

      • ドメインにはワイルドカード (*) を指定するか、アスタリスク (*) で終了しない文字列を指定する必要があります (例: example@*、example@*.test.com)。

      • このフィールドを空白にすると、初期設定で「*@*」が使用されます。

    • ワイルドカード (*) を使用することで、検索結果を増やしたり絞り込んだりすることができます。たとえば、ワイルドカード (*) をドメイン部分に指定すると、特定のユーザアカウントですべてのドメインを検索でき、ローカル部に指定すると、特定のドメインのすべてのアカウントが一致します。

  • 件名: メールメッセージの件名。

    次の方法がサポートされます。

    • あいまい一致

      1つまたは複数のキーワードを入力します。複数のキーワードを入力する場合は、論理ANDに基づいてすべてのキーワードの一致が行われます。これは、一致する件名にはすべてのキーワードが含まれる必要があることを意味します。あいまい一致では、各キーワードの前後にワイルドカード (*) が自動的に追加されます。

    • キーワードまたは語句の完全一致

      キーワードまたは語句を引用符で囲みます。キーワードまたは語句を正確に含むレコードのみが一致します。

    たとえば、次の3つのメールの件名があるとします。

    • 件名1: Hello world

    • 件名2: Hello new world

    • 件名3: "Hello"

    [件名] に「Hello world」と入力すると、あいまい一致として件名1と件名2が一致します。「"Hello world"」と入力すると、引用符で囲まれた完全一致として件名1のみが一致します。件名3を検索する場合は、引用符が件名自体に含まれることに注意してください。この場合は円記号 (\) をエスケープ文字に使用し、「\"Hello\"」と入力して検索します。

  • ルール名: 実行されたルールの名前。

    次の機能がサポートされます。

    • このテキストボックス内をクリックすると、最大20件の使用中のルールが選択肢として表示されます。

    • 一覧からルールを選択するか、あいまい一致のキーワードを入力します。

  • 脅威の種類: メールメッセージで検出された脅威の種類。

    • すべて: すべてのメッセージを検索します。

    • ドメインベース認証: ドメインベース認証に合格しなかったメッセージを検索します。

      • すべて: 送信者IP照合、SPF、DKIM、およびDMARC認証に失敗したメッセージを検索します。

      • 送信者IP照合: 送信者IP照合チェックに失敗したメッセージを検索します。

      • SPF: SPFチェックに失敗したメッセージを検索します。

      • DKIM: DKIM検証に失敗したメッセージを検索します。

      • DMARC: DMARC認証に失敗したメッセージを検索します。

    • ランサムウェア: ランサムウェアとして識別されたメッセージを検索します。

      • Webレピュテーションで検出:

      • パターンファイルに基づく検索で検出

      • 機械学習型検索で検出

      • 仮想アナライザで検出

      • スパムメール対策で検出

    • 標的型サイバー攻撃: 高度な脅威ポリシーが適用されたメッセージを検索します。

      • すべて: 高度な脅威ポリシーが適用されたすべてのメッセージを検索します。

      • 解析済みの高度な脅威 (ファイル): 仮想アナライザとポリシー設定に基づき、高度なファイル脅威として特定されたメッセージを検索します。

      • 解析済みの高度な脅威 (URL): 仮想アナライザとポリシー設定に基づき、高度なURL脅威として特定されたメッセージを検索します。

      • 高度な脅威の可能性: ポリシー設定に基づいて不審なものとして処理されたメッセージと、解析中に除外が発生したことから仮想アナライザに送られなかったメッセージを検索します。

    • 不正プログラム: 不正プログラムとして検出されたメッセージを検索します。

      脅威の種類として [不正プログラム] を選択すると、[検出方法] が次のオプションとともに表示されます。

      • すべて: 不正プログラムとして検出されたすべてのメッセージを検索します。

      • 機械学習型検索: 機械学習型検索によって検出された、不正プログラムが含まれているメッセージを検索します。

      • パターンファイルに基づく検索: 従来のパターンファイルに基づく検索によって検出された、不正プログラムが含まれているメッセージを検索します。

    • 不審オブジェクト: 不審ファイルや不審URLを含むメッセージを検索します。

      • すべて: 不審オブジェクトを含むすべてのメッセージを検索します。

      • 不審ファイル: 不審ファイルを含むすべてのメッセージを検索します。

      • 不審URL: 不審URLを含むすべてのメッセージを検索します。

    • 検索除外: 検索除外が適用されたメッセージを検索します。

      • 仮想アナライザの検索除外

      • 仮想アナライザの送信割り当ての除外

      • パスワード保護された添付ファイル

      • その他の除外

    • スパムメール: スパムメールとして識別されたメッセージを検索します。

    • ビジネスメール詐欺 (BEC): ビジネスメール詐欺 (BEC) の条件が適用されたメッセージを検索します。

      • すべて: ビジネスメール詐欺 (BEC) の条件が適用されたすべてのメッセージを検索します。

      • スパムメール対策エンジンで検出: スパムメール対策エンジンでBEC攻撃と確認されたメッセージを検索します。

      • ライティングスタイル分析で検出: ライティングスタイル分析でBEC攻撃と確認されたメッセージを検索します。

      • スパムメール対策エンジンで可能性ありと判定: スパムメール対策エンジンでBEC攻撃が疑われたメッセージを検索します。

    • フィッシング: フィッシングの条件が適用されたメッセージを検索します。

    • グレーメール: グレーメールの条件が適用されたメッセージを検索します。

      • すべて: すべてのグレーメールメッセージを検索します。

      • マーケティングメッセージとニュースレター

      • ソーシャルネットワーク通知

      • フォーラム通知

      • バルクメールメッセージ

    • Webレピュテーション: Webレピュテーションの条件が適用されたメッセージを検索します。

    • コンテンツ: メッセージコンテンツの条件が適用されたメッセージを検索します。指定したキーワードや正規表現に一致するメッセージヘッダ、本文または添付ファイルなど。

    • 添付ファイル: 添付ファイルの条件が適用されたメッセージを検索します。

    • 情報漏えい対策: 情報漏えい対策ポリシーが適用されたメッセージを検索します。

  • 脅威名: メールメッセージで検出された脅威の名前。

  • メッセージID: メッセージの一意の識別子。

ポリシーイベント情報のクエリを実行する場合は、各種条件フィールドを用いて検索を絞り込みます。クエリを実行すると、条件を満たすログのレコードのリストがTrend Micro Email Securityによって表示されます。レコードを1つ以上選択して [選択したログをエクスポート] をクリックし、CSVファイルにエクスポートします。必要に応じて、[すべてエクスポート] をクリックし、クエリが実行されたすべてのログのレコードをエクスポートします。エクスポートするログのレコードが多数ある場合は、エクスポートタスクが完了するまでに時間がかかります。[ログ] > [ログエクスポートクエリ] の順に選択して、エクスポートの状況を確認します。一度にエクスポートできるログのレコードは最大50,000個です。クエリが実行されたすべてのログのレコードをエクスポートできるのは、1日あたり最大5回です。

最も効率的にポリシーイベント情報のクエリを実行するには、検索する期間内で送信者と受信者の両方のメールアドレス、メッセージ件名、メッセージIDを指定する必要があります。複数の受信者宛てのメールメッセージの場合、結果は1つのエントリとして表示されます。

検索条件に加えて、次の詳細なポリシーイベント情報が表示されます。

  • 日時: ポリシーイベントが発生した時刻です。イベントの詳細を表示するには、そのメッセージの [日時] の値をクリックしてください。

  • メッセージサイズ: メッセージのサイズ。この情報は表示されない場合があります。

  • 処理: メールメッセージに対して実行された処理。

    • 添付ファイルをサニタイズ済み: 添付ファイルに含まれているアクティブコンテンツを削除しました。

    • アクティブコンテンツ削除の失敗時に添付ファイルを削除済み: 削除できなかったアクティブコンテンツを含む添付ファイルを削除しました。

    • 添付ファイル削除済み: メッセージから添付ファイルが削除されました。

    • BCC: ブラインドカーボンコピー (BCC) が受信者に送信されました。

    • 処理なし: メッセージはインターセプトされませんでした。

    • 駆除済み: メッセージで不正プログラムが駆除されました。

    • 配信済み: メッセージが受信者に配信されました。

    • メッセージ削除済み: メールメッセージ全体が削除されました。

    • 通知送信済み: ポリシーと一致したときに通知メッセージが受信者に送信されました。

    • 隔離済み: メールは隔離され、エンドユーザコンソールでユーザの処理を待機しています。隔離されたメッセージは、確認後に手動で削除または配信できます。

    • 受信者変更済み: 受信者が変更され、メッセージは適用されたポリシーに設定されている別の受信者にリダイレクトされました。

    • スタンプ挿入済み: スタンプがメッセージ本文に挿入されました。

    • 件名にタグ挿入済み: 設定可能なテキストがメッセージの件名行に挿入されました。

    • Xヘッダ挿入済み: Xヘッダがメッセージヘッダに挿入されました。

  • (オプション) リスク評価: 仮想アナライザによって特定されたメッセージのリスク評価。

  • (オプション) 違反したURL: Webレピュテーションの条件に違反したメッセージのURL。

  • (オプション) 違反したファイル: 不正プログラムまたはランサムウェアの条件に違反したメッセージのファイル。

  • (オプション) 不正プログラム: メッセージで検出された特定の不正プログラム。

  • (オプション) 検索されたファイルのレポート: メッセージの添付ファイルのレポート。ファイルの高度な脅威が分析された場合、ファイルのリスク評価がここに表示されます。レポートが存在する場合、[レポートの表示] をクリックすると、詳細レポートが表示されます。

    詳細レポートは、仮想アナライザで分析された不審ファイルに対してのみ利用できます。

  • (オプション) 検索されたURLレポート: メッセージに埋め込まれたURLのレポート。URLが高度な脅威であると分析された場合、URLのリスクレベルがここに表示されます。レポートが存在する場合、[レポートの表示] をクリックすると、詳細レポートが表示されます。

  • (オプション) 情報漏えい対策違反: メッセージで発生した情報漏えい対策違反に関する情報。違反の詳細をチェックするには、[詳細を表示] をクリックします。

  • (オプション) 解析済みのレポート: メッセージで検出されたBEC関連の特徴に関する情報。

  • (オプション) 除外詳細: メッセージで発生した特定の除外。