社畜の所業

社畜の所業

Microsoft365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

※このサイトはPR記事を含みます。

【Microsoft365参考書】高確度のフィッシングを回避するには?標的型メール訓練をおこなう場合に必要?

Microsoft365

 

「標的型メール訓練」の実施をする場合に、From を詐称したメールやメール内の URL リンクが原因で「高確度のフィッシング」と判定されるため、実施することができません。

また、誤判定などで「高確度のフィッシング」と判定される場合もあります。

 

これまでは [高確度フィッシング] 判定を受けてしまうメールに対しても、トランスポート ルールにてバイパスするルールにて回避が可能でしたが、"MC674418" にて公開された内容として、今後はトランスポート ルールによる回避が中止されるため、サードパーティー製フィッシング シミュレーション製品を使用して訓練メールを送信する場合は、高度な配信ポリシーの構成にて対応する必要があります。

 

[高度な配信] の [フィッシングのシミュレーション] の設定により、任意の送信元からのメールに対し高確度フィッシングの判定を回避させることが可です。

送信元のドメインと IP アドレスの組み合わせ、並びに許可する URL を指定することができます。

 

高確度のフィッシングを回避することができますが、標的型メール訓練を行う際に回避することを目的としているため、通常の運用では利用することを推奨していないです。

 

 

以下に手順をご紹介したいと思います。

 

[高度な配信] の [フィッシングのシミュレーション] の設定手順

送信元 IP アドレスと送信元ドメインの登録を両方おこなうことで高確度フィッシングの判定を回避できます。

※ どちらか一方のみでは登録できません。

また、[許可するシミュレーション URL] にて、ブロックを防ぎたい URL を設定することが可能です。

 

  1. 管理者権限を付与したユーザーにて、[Microsoft 365 Defender (https://security.microsoft.com/)] にサインインします。
  2. 画面左側のメニューより [ポリシーとルール] - [脅威ポリシー] をクリックします。 ([メールとコラボレーション] の項目内にございます。)
  3. [ルール] 内の [高度な配信] をクリックします。
  4. [フィッシングのシミュレーション] - [編集] の順にクリックします。
  5. 画面右側に表示されるメニューより [ドメイン] 入力ボックスを開き、送信元ドメインを登録します。
  6. 画面右側に表示されるメニューより [IP の送信] 入力ボックスを開き、送信元 IP アドレスを入力します。
  7. URL の許可を行いたい場合は、[許可するシミュレーション URL] の入力ボックスを開き、ブロックを防ぎたい URL を入力します。
  8. [保存] をクリックします。

※ 設定の反映までに時間を要する場合があります。

 

learn.microsoft.com

 

通常の運用で利用しているメールで高確度のフィッシングを回避することはできるか?

結論から言うと設定で回避することはできません

高確度フィッシングとして判定されないようにするには、管理者が Microsoft Defender (https://security.microsoft.com) から誤検知報告を行い、誤検知報告画面で [類似の属性 (URL、送信者など) を持つメールを許可する] にチェックを入れることで、送信者情報が [テナント許可/禁止リスト] に自動的に登録され、報告後最大 30 日間は類似送信者情報の脅威判定を回避できます。

 

上記を実施した場合、Microsoft Defender [ポリシーとルール] > [脅威ポリシー] > [テナント許可/禁止リスト] で、許可対象として [ドメインとアドレス] に該当送信元が表示されます。

 

なお、誤検知報告は必ずしもフィルターへ反映するわけではなく、解析結果に応じて誤検知されないようにする (または正しく検知されるようにする) ための修正措置を行ってます。

 

また、許可リストに対しては Microsoft が自動学習し、学習が完了すると許可のエントリーをリストから削除し、学習が未完了の場合は、自動でさらに 30 日、最長合計 90 日まで延長されます。

なお、許可エントリが作成されてから 90 日を経過しても安全と認識されない場合は、許可エントリは削除されるため、再度脅威検知される可能性があります。

許可エントリ削除後、継続して類似のメールが高確度フィッシング検知される場合は、都度誤検知報告を実施してください。

 

 

 [検疫] から誤検知報告を行う手順

1. 全体管理者の権限を付与したアカウントで、Microsoft Defender (https://security.microsoft.com) へアクセスします。

2. 左側メニューの [確認] > [検疫] をクリックします。

3. 一覧から該当アイテムを選択します。

4. 右側に展開された画面上部の [...] > [レビュー用に送信] をクリックします。

5. [Microsoft に送信する理由を選択] 項目で [ブロックは必要なかった (誤検知)] を選択します。

6. [類似の属性 (URL、送信者など) を持つメールを許可する] にチェックを入れます。

    ※ 本項目にチェックを入れることで、最長 30 日間、類似の送信者情報や URL に対しての脅威判定が回避できます。

7. [送信] > [完了] をクリックします。

 

※ 報告結果は左側メニューの [アクションと報告] > [報告] から確認できます。

[報告] に誤検知報告のログを表示させるためには [監査ログ] が有効化されている必要があります。

[報告] 画面の右上に [監査をオンにする] というボタンが表示されている場合は監査ログが初期値の無効状態となっておりますので、[監査をオンにする] をクリックして有効化してください。

 

トランスポートルールでのスパム判定の回避について以下の記事でご紹介しておりますので参考としてくださいね。

it-bibouroku.hateblo.jp