この記事では、「Email messages containing malicious URL removed after delivery」の発生原因を解説しています。同じインシデントが発生した際には、ぜひ参考にしてください。
インシデント対応をするうえで役立つ知識については、「Microsoft Defender for Endpointでのインシデント対応 | yjk365」こちらのブログをご参考ください。
1.発生の原因
インシデント「Email messages containing malicious URL removed after delivery」は、悪意のあるURLを含むメールが組織内のメールボックスに配信され、0 時間自動消去(ZAP)によって処置された際に生成されるアラートメールです。このポリシーにより、 Office 365 では自動調査と応答が自動的にトリガーされます。
2.0時間自動消去(ZAP)とは?
0 時間自動消去(ZAP)とは、Exchange Onlineメールボックスに配信された悪意のあるメッセージを自動的に削除する機能です。これにより、疑わしいメールがユーザーに届く前に迅速に対処され、組織のセキュリティが強化されます。
※ZAPとは、「Zero-hour Auto Purge」の略です。
どのように機能するのか?
1.検出:Microsoft Defenderなどのセキュリティツールが、メールに含まれる悪意のあるURLや添付ファイルを検出します。
2.アラート生成: 悪意のあるコンテンツが検出されると、アラートが生成されます。
3.自動削除: 検出された悪意のあるメッセージは、ユーザーの受信トレイから自動的に削除されます。これにより、ユーザーが悪意のあるリンクをクリックしたり、添付ファイルを開いたりするリスクが軽減されます。
4.通知: 管理者やセキュリティチームに対して、削除されたメッセージに関する通知が送信されます。
※注意※
ZAP機能が動作した場合、包括的レポートにログは残りません。理由としては、 ZAPが迅速に対応するため、検出から削除までのプロセスが非常に短く、詳細なログが記録される前に処理が完了してしまうからです。
3.ZAP機能が正しく動作しなかった場合の対処方法
ZAP機能で正当なメールが誤って検疫に隔離された場合の対処方法については、誤検知報告を行うことが推奨されています。これにより、今後の判定基準の精度向上に役立てることができます。誤検知報告の手順をご紹介します。
1.「Microsoft Defender」を開き、「メールとコラボレーション」を開きます。
2.「確認」をクリックします。
3.「検疫」をクリックします。
4.「該当のメール」をクリックします。
5.右側に詳細が表示されるので、「三点リーダー」をクリックします。
6.「メールを解放する」をクリックします。
7.「すべての受信者にリリース」と「Microsoft にメッセージを送信して検出を改善する(誤検知)」にチェックを入れます。
8.「このメッセージを許可する」にチェックを入れ、「メッセージを解放する」をクリックします。
上記の手順を実行することで、Microsoftへの誤検知報告が完了しました。
その他お困りごとも動画で解説!
