👿

Sharepoint,Onedrive,Teamsの安全な添付ファイルのイメージ、レポート確認方法 (Defender for O365)

2025/10/20に公開

 Sharepoint,Onedrive,Teamsの安全な添付ファイルSharepoint、Onedrive、Teams上にアップロードされたファイルについて、

Microsoftの仮想環境でファイルを開いてその危険性を確認する機能（サンドボックスの機能であると言えると思います）。

検知されたファイルは、レポートなどで確認ができます。
Microsoft Defender for Office 365を持つ組織では、SharePoint、OneDrive、およびMicrosoft Teamsの安全な添付ファイルにより、有害なファイルに対する保護の追加レイヤーが提供されます。 Microsoft 365 の一般的なウイルス検出エンジンがファイルをスキャンした後、安全な添付ファイルは仮想環境でファイルを開き、何が起こるかを確認します (爆発と呼ばれるプロセス)。
SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイルは、チーム サイトやドキュメント ライブラリで悪意があると識別される既存のファイルを検出してブロックするのにも役立ちます。
Microsoft Defender for Office 365で安全な添付ファイル ポリシーを設定する - Microsoft Defender for Office 365 | Microsoft Learn
SPO、OneDrive、Teams 用の安全な添付ファイル機能 - Microsoft Defender for Office 365 | Microsoft Learn

 事前設定https://learn.microsoft.com/ja-jp/defender-office-365/safe-attachments-for-spo-odfb-teams-configure#step-1-use-the-microsoft-defender-portal-to-turn-on-safe-attachments-for-sharepoint-onedrive-and-microsoft-teams
defender 管理センター>グローバル設定で設定する。

https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー] セクションの [ポリシー & ルール>**[**ポリシー>安全な添付ファイル] に移動します。 [安全な添付ファイル] ページに直接移動するには、https://security.microsoft.com/safeattachmentv2 を使用します。
[ 安全な添付ファイル] ページで、[ グローバル設定] を選択します。
開いた [グローバル設定 ] ポップアップ で、[SharePoint、OneDrive、Microsoft Teams でファイルを保護 する] セクションに移動します。[SharePoint、OneDrive、Microsoft TeamsのDefender for Office 365を有効にする] トグルを右のに移動して、SharePoint、OneDrive、およびMicrosoft Teamsの安全な添付ファイルを有効にします。
[グローバル設定] ポップアップが完了したら、[保存] を選択します。


 テスト方法
 概要EICARテストファイルをOnedriveにアップロードする。
https://learn.microsoft.com/ja-jp/defender-office-365/anti-malware-policies-configure#how-do-you-know-these-procedures-worked

 詳細テスト用のTXTファイルをOnedrive/SPOにアップロードする。(中身は何も記載していない状態でまず作成する。WindowsPC上で中身を記載して作成すると、その時点でマルウェア判定されて削除されてしまう）

リンク先の説明にしたがい、ファイルの中身を編集し、上書き保存する

https://learn.microsoft.com/ja-jp/defender-office-365/anti-malware-policies-configure#how-do-you-know-these-procedures-worked

 検知結果　確認方法公式ドキュメント
https://learn.microsoft.com/ja-jp/defender-office-365/safe-attachments-for-spo-odfb-teams-about#how-safe-attachments-for-sharepoint-onedrive-and-microsoft-teams-works
ユーザーがテストファイルをアップロードすると、マルウェアとして検知され、赤いアイコンがつく。
クリックするとこのようなポップアップが表示される
!この機能は、非同期的にスキャンを実施する仕様であることが公式ドキュメントに記載されている。
このことから、必ずしも即時的に検知されるわけではないということは念頭においていただきたいものの、検証時には即時的に検出された。
https://learn.microsoft.com/ja-jp/defender-office-365/safe-attachments-for-spo-odfb-teams-about#keep-these-points-in-mind

 レポート確認方法公式ドキュメント
https://learn.microsoft.com/ja-jp/defender-office-365/threat-explorer-real-time-detections-about#content-malware-view-in-threat-explorer-and-real-time-detections
!レポートについては、Defender for Office365 Plan2のライセンスが必要である。Plan1ではレポートの確認が不可である。
メールとコラボレーション＞エクスプローラー＞コンテンツでのマルウェア　から確認する。


上記のように、マルウェアと検知されたファイル名、時刻、最後に変更を行ったユーザー、ファイルの所有者等が確認できる。
!なおこの機能の利用には、監査ログの有効化が必要である。有効化はPurviewポータルもしくはPowershellから実施する。
https://learn.microsoft.com/ja-jp/purview/audit-log-enable-disable
※Business系ライセンスでは、既定では監査は有効になっていません。
※Business系ライセンス、EnterpriseのE5以外であれば監査  Standard（180日間保持する）が含まれている。https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-brand/documents/modern-work-plan-comparison-smb5.pdf
※E5であれば監査Premium（1年間保持する）が含まれている。https://go.microsoft.com/fwlink/?linkid=2139145

Sharepoint,Onedrive,Teamsの安全な添付ファイル

事前設定

テスト方法

概要

詳細

検知結果 確認方法

レポート確認方法

Discussion

検知結果　確認方法