Microsoft 365 Defender 攻撃の早期発見はとても便利です

Microsoft 365 のユーザーに見える機能以外に E5 を使っている場合にだけ得られる機能があります。

それはセキュリティインシデントに対するリアルタイムカバーです。これは Microsoft 365 Defender の機能となっています。

ちょうどその機能の利点を垣間見ることができたので、どのような状況になったのかを共有しておきたいと思います。

まず、最初はメールでした。

以下のようなメールが Microsoft 365 管理者向けに飛んできたのです。

いつもと毛色の違うメールだったので、開いてみてみると、ランサムウェアがいる疑惑がある。ということだったので、メールを細かく見ていくことにしました。

といってもまずは Incident page というところに書かれている URL にアクセスするところから始まります。

すると、やっぱり直前に何かが発生しているようでした。

最後のアクティビティから 5 分後くらいにメールが来ていたのですが、かなりのスピードで判断が行われたのかと。最初に問題が出てから 2 時間程度の出来事となっています。

さらに下のほうを見てみると、問題の発生したユーザー、そしてどのアプリで問題が起きたのかがわかるようになっていました。

一番下にすべてのアラートを表示という項目があるので、それを開いて実際に起きていたことを確認してみましょう。

すると、このアクティビティが表示されるので、開いて詳細を見ていくことができます。

詳細が表示されました。

最初に見ていた、人とアプリが明示的に関係していることが分かります。

さらに重要な情報を見ると、ファイルの削除が何度も行われていたようです。ファイル名も書かれていたのでよく見てみると、ログの書き出しとロックファイルの出し入れがこのインシデントが表示された原因ということが分かりました。

このアラートは書かれていた内容から問題度は低いことが分かったので、アラートのクローズ処理を進めていきます。

アクティビティ上部にある「アラートを管理する」ボタンを押していきます。

こんな感じの画面が出てくるので、分類をまず変えていきます。

確認済みのアクティビティだったのでこの項目を選んでいます。

そのほか、攻撃だったのかどうかを確認できる項目が用意されていました。

状態も変えていきましょう。

確認を終えたので、「解決済み」としておけばよいですね。

変更するとアラートの更新がお紺われたという通知が表示されこれでインシデントの確認は終わりです。

最初にメールが来た時にはどうなることかと思ったのですが、事なきを得ることができたと同時に、この粒度でエラー報告してくれるというのはかなり便利なんだなと改めて理解することができました。

転ばぬ先の杖という言葉もあるように、ことが起きてから入れても意味がない機能なので、こういった機能はぜひ皆さんに導入してもらいたいところですね!

音楽:洪水物語