家studyをつづって

IT技術やセキュリティで勉強したことをつづっています。

Microsoft Defender for Office 365のセキュリティ機能について

Microsoft Defender for Office 365とは

旧名称「Office 365 ATP」と呼ばれるもので、2020年9月より「Microsoft Defender for Office 365」に名称変更されたものです。
Microsoft 365 Defenderはスイート名でMicrosoft 365 Defender for Office 365(以下、MDO)とはその中の一つのサービスでOffice365に対する脅威を自動で調査・対応するものです。

 

 

 

MDOにはExchange Online Protection(以下、EOP)、MDO Plan1及び2が含まれています。
それぞれの機能は以下の通りです。

 

EOPの機能

EOP機能一覧

MDO(Plan1)

MDO(Plan1)機能一覧

Safe Attachments(安全な添付ファイル)

Sandboxで添付ファイルの詳細解析に基づいた検出・ブロックする機能。

 

安全なリンク

安全なリンクは、受信したメールに含まれるURLを書き換えて、ユーザーがアクセスする前にOffice 365がURL先が安全かどうかを確認する機能。

learn.microsoft.com

 

MDO(Plan2)

MDO(Plan2)機能一覧

EOPとMDOの位置づけとしてはEOPがメールボックスに配送される前の対策で、MDOがメールボックス配送後の対策となります。

加えてSharePoint上等のコンテンツに対しても対応しているものです。

また、メールの添付ファイルに対する対策として、EOPがシグネチャベースのAVMDOはサンドボックスの技術を使用しております。

learn.microsoft.com

 

Exchangeのメールセキュリティ対策について

EOPは、Microsoftが提供するスパム、マルウェア、その他悪性メールに対するクラウドベースのフィルタリングサービスです。
EOPは、Exchange Onlineメールボックスを持つすべてのユーザに提供されています。

EOPの処理シーケンス

EOPの処理シーケンスについて

1.接続フィルターによる処理
接続フィルターの主な構成要素は以下の通りです。

  • IP許可リスト:このリストに含まれるIPアドレスで指定した送信元メールサーバはスパムフィルター処理がスキップされます。
  • IPブロックリスト: このリストに含まれるIPアドレスで指定した送信元メールサーバからの受信メッセージはすべてブロックされます。
  • セーフリスト: Microsoft独自の許可リストです。セーフリスト上にあるメールサーバはスパムフィルター処理がスキップされます。

接続フィルターの判定にはMS独自の情報とサードパーティに情報が含まれており、それに基づいて送信元のサーバを評価します。

有害と判定された場合はメールが破棄されログに記録されません。EOPで取得できるのは接続フィルターの通過したメールのみとなります。


2.マルウェア対策
メッセージまたは添付ファイルにマルウェアが見つかった場合、メッセージは検疫に配信されます。

特定の送信者からのメールはマルウェア判定を回避するなどといった設定による回避はできません。

ただし、パスワード保護されたZipについては、ファイルの中をスキャンすることができないため、マルウェアの処理が回避されます。

 

補足:検疫の保持期間

  • スパムフィルター、バルクメール : 既定15日 (1日~30日で変更可)
  • マルウェアフィルター、フィッシング : 15日間(変更不可)
  • トランスポート ルール : 7 日間 (変更不可)

 

 

マルウェアの 0 時間自動消去 (ZAP)

配信後にマルウェアが含まれていると検出されたメール(未読を含む)は、ZAPにより検疫されます。

ZAPは、「マルウェア対策ポリシー」で既定で有効になっています。

 

3.トランスポートルールによる処理
作成したメールフロールール(トランスポートルール)に従って配送処理が行われます。Microsoft Purviewデータ損失防止 (DLP) チェックもこの時点で行われます。

 

4.コンテンツフィルターによる処理
受信メールについて、高確度スパム、フィッシング、高確度フィッシング、バルク (スパム対策ポリシー) 、スプーフィング (フィッシング対策ポリシーのスプーフィング設定) に分類されます。

 

5.受信者へ配送
上記のフィルターを通過するとユーザのメールボックスに配信されます。

 

learn.microsoft.com


余談:バルク苦情レベルとは

EOPはバルクメールに一括苦情レベル (BCL) を割り当てます。

BCLはXヘッダーに追加されるもので、BCL が高いほどスパムである可能性が高い判定となります。

learn.microsoft.com

 

余談:EOP/MDOの推奨設定値

learn.microsoft.com

 

余談:送信者スパムとは
送信スパムとは内部から外部へ送信したメールがスパム判定を受けた場合に動作を制御するものです。

送信スパムとして判定された場合は、配信が制御されるのではなく、別のIPアドレスプールの経路(高リスク配信プール)を通り配送されます。

高リスク配信プールから送信されたメッセージは、受信サーバ側でスパム判定される可能性が高くなります。

 

参考にさせていただいたサイト

貴重な情報をありがとうございます。

zenn.dev

it-bibouroku.hateblo.jp

atmarkit.itmedia.co.jp

www.jbsvc.co.jp