Microsoft Defender for Office 365 の評価モード
Microsoft Defender for Office 365 とは?
Microsoft Defender for Office 365 は Office 365 内の様々なサービスと連携し、入口対策を行うソリューションです。今回はメールセキュリティ機能に関する記事を書いていこうと思いますが、標的型メール攻撃訓練や SPO / ODfB といったクラウドストレージにある Office ファイル内のリンク保護、Teams チャットでの URL 保護などなどカバー範囲が多岐に渡るソリューションとなっています。
Microsoft Defender for Office 365 に評価モードができた
Microsoft Defender for Office 365 の評価ライセンスを割り当てたり、既にライセンスを持っている方にこんなページが出てくるようになりました
(ポップアップで出る場合もあるようですが、[メールとコラボレーション]>[脅威ポリシー]>[評価モード]で見に行けます)
早速試してみたのでその結果を記載しておきます。
評価モードの詳細
評価モードでは以下のモードが選べます。
| モード | 詳細 |
|---|---|
| 監査モード | フィッシング対策、Safe Attachment、SafeLink といった機能に対してユーザー影響を与えることなく評価ができる。脅威の検出のみを行うポリシーが自動的に作成される |
| ブロックモード | 標準のテンプレートがオンになり有害なメッセージなどがあると検疫する |
推奨は組織内すべてのユーザーに対して有効にすることですが、スコープを絞ったりする際には Powershell で設定することも可能です。
監査モードを上手くつかえば、本番影響を与えることなく PoC として製品評価することもできるので今回はこの監査モードでの動きを記載していきます。
監査モードを試してみる
評価モードで監査モードを ON にするとそれぞれ機能を評価するためのポリシーが勝手に適応されます。
ただしマルウェア対策ポリシーには何もポリシーが入っていませんでした
そのため評価の対象ではないのか不安でしたが、実際に検証してみるとこのモードでもしっかり Exchange Online Protection ですり抜けてしまったメールも Microsoft Defender for Office 365 の機能で検知してくれています
■ユーザー画面
■管理者画面(Microsoft 365 Defender のエクスプローラー)
その他、設定関連では評価設定の管理を押すと以下のように検出機能の ON / OFF が行えます
残念ながら下記のユーザー、グループ、ドメイン編集など画面が用意されていますが 2023/3/22 時点では上手く動いていないので除外設定などは Powershell を使う方が良さそうです
その他メールフロー設定で MS 以外の 3rdParty のメールフィルタリングサービスを使っている場合には指定もできるようになっていました。自身の環境で 3rdParty のメールフィルタリングサービスがないため試せていませんが、これを設定することによってフィルタリングスタックの精度が大幅に向上するようです。
また監査モードにすると専用のレポートを見ることができます。
基本的にはフィッシングメール、マルウェアや偽造が行われていないかを視覚化してくれています
ただ、設定して 12 時間経ってもマルウェア付きメールを送った 1 件しか反映されておらず(フィッシングメールも複数送っている)検知されたがどうかをリアルアイム性をもって確認するのであれば[エクスプローラー]から確認いただく方が無難な印象です
まとめ
Microsoft Defender for Office 365 を検討しているお客様であればユーザー影響なく簡単な設定で実際どのくらいの攻撃を受けているかを可視化することができ、導入効果があるかや実際の管理画面を体感いただけるのでとても良い機能だと思いました。
Discussion