社畜の心臓を捧げよ!

Office365のSharePointOnlineやExchangeOnlineについて解説していきたいと思います。

【Exchange】ATPとは何か?

Exchange Online Advanced Threat Protection (ATP) では、 Exchange Online Protection (EOP) の各種フィルタリングを通過した後に動作して、既知のウイルスやマルウェアシグネチャ(識別データ)が含まれていないメッセージと添付ファイルは、すべて特別なハイパーバイザー環境にルーティングされ、そこでさまざまな機械学習や分析の手法によって挙動が分析されています。 

  

※補足 

基本的に EOP を補完するためのものであるため、セキュリティを強化したい場合に利用するものです。 

  

なお、ATP では、添付ファイルのマルウェア保護をおこなう [安全な添付ファイル] と悪意のあるリンクから保護する [安全なリンク] の機能があります。 

  

ATP については、Exchange 管理センターの [高度な脅威] に表示されている [安全な添付ファイル] ならびに [安全なリンク] の各ポリシーを構成し、ポリシーの適用先に対象のユーザーを指定することでご利用いただけるようになります。 

  

※重要 

上記ポリシーにて指定していないユーザーに対する保護は有効となりません。 

ライセンスを付与している場合も、ポリシーで指定する必要があることをご注意ください。 

  

 

以下にそれぞれの概要とポリシーの適用方法をご紹介していきたいと思います。 

  

  

□ 添付ファイル保護 (安全な添付ファイル) 

添付ファイル保護は、未知のマルウェアやウイルスから保護し、メッセージング システムを保護するゼロデイ保護を提供します。 

ATP は 既知のウイルス/マルウェア署名がないすべてのメッセージと添付ファイルに対して、リアルタイムにマルウェアの行動分析を実行し、新種のマルウェアやゼロディ攻撃を検出します。 

不審な動作が検出されない場合、メッセージは解放されてメールボックスに配信されます。 

  

※ 補足 

ATP では、Zip 形式などで圧縮格納されたファイルについても内容を精査しますが、パスワードで保護された部分についてはパスワードがわからないため内容が精査されない動作となります。 

  

  

[セーフ アタッチメントのポリシー設定可能な処理動作] 

・ オフ : 添付ファイルのマルウェアをスキャンしません。 

・ モニター : マルウェアの検出後もメッセージの配信を続行し、スキャン結果のみ追跡します。 

・ ブロック : マルウェアが検出されたメッセージと添付ファイルをブロックします。 

・ 置換 : マルウェアが検出された添付ファイルのみブロックし、メッセージの配信を続行します。 

・ 動的配信 : 添付ファイルのスキャンを行う前にメール本文をユーザーに配送し、スキャン完了後に添付ファイルが有害と判断された場合には、警告ファイルである [Unsafe Attachments Blocked.msg] に置き換えます。 

  

  

また、検出時に添付ファイルをリダイレクトする機能を有効にすることで、添付ファイルを指定したメール アドレスに送信することが可能です。 

セーフアタッチメントの実行結果につきましては、[メッセージの追跡] の詳細結果にて、セーフアタッチメントにルーティングされた各メッセージと添付ファイル情報が、その処理方法を含めて記載されます。 

  

  

■ [安全な添付ファイル] ポリシーの設定手順 

  1. Exchange 管理センター (EAC) で、[高度な脅威] > [安全な添付ファイル] に移動します。
  2. 新しい添付ファイル ポリシーを作成します。
  3. [+ (新規作成)] アイコン をクリックして、安全な添付ファイルに関するポリシーを作成します。
  4. 新しいポリシーの名前を追加します。
  5. [安全な添付ファイルに不明なマルウェアが検出された場合の対応] にて 、このポリシーで使用するオプションを選択します。
  6. [適用先] にて、[受信者が次の値である] を選択し、適用するユーザーをダブルクリックし、[OK] をクリックします。

※条件は任意で指定してください。 

  1. [保存] をクリックします。

  

  

  

□ リンク保護 (安全なリンク) 

ATP のリンク保護機能は、メッセージ内の悪質なハイパーリンクから予防的にユーザーを保護します。 

リンクをクリックした後も保護は毎回継続し、悪意のあるリンクは動的にブロックされ、適切なリンクにはアクセスできます。 

  

安全なリンクで保護された電子メール内の悪意のあるリンクをユーザーがクリックすると、クリックしようとしているリンクが悪意のあるものであることを通知する Web ページが表示されます。 

  

【各項目について】 

・ [安全な添付ファイル機能を使用して、ダウンロード可能なコンテンツをスキャンします。] 

有効にすると、Office 365 クラウド上の仮想環境内でリンク先のコンテンツが開かれ、中身がスキャンされます。 

コンテンツが悪意のあるものであると判明した場合、警告ページを表示することができます。 

  

・ [組織内で送信されるメッセージに "安全なリンク" 機能を適用します。] 

有効にすると、組織内のユーザー間で送信される電子メールメッセージに ATP セーフリンク機能が適用されます。 

  

・ [ユーザーが安全なリンクをクリックしたときに追跡しません。] 

有効にすると、組織外からのメールで書き換えられた URL をクリックした場合、ユーザーがクリックした記録を残しません。 

  

・ [ユーザーに安全なリンクから元の URL へのクリックスルーを許可しません。] 

有効にすると、元の URL がブロックされている場合、ユーザーが警告ページから元の URL へクリックし、アクセスすることを禁止します。 

  

・ [次の URL を書き換えません:] 

セーフリンクによる書き換えから除外する URL の一覧を指定します。 

  

  1. Exchange 管理センター (EAC) で、[高度な脅威] > [安全なリンク] に移動します。
  2. [特定の受信者に適用されるポリシー] にて [+ (新規作成)] アイコン をクリックして、新しいポリシーを作成します。
  3. 新しいポリシーの名前を追加します。
  4. [設定] より、[不明で悪意ある可能性がある URL がメッセージに含まれる場合の対処法を選びます] にて、[オン] を選択します。これにより、URL が書き換えられ、チェックされます。
  5. 書き換えを防止したい URL がある場合は [次の URL を書き換えません:] にて該当の URL を入力し、[+] をクリックします。

※ 他の項目は任意でチェックを入れてください。 

  1. [適用先] にて、[受信者が次の値である] を選択し、適用するユーザーをダブルクリックし、[OK] をクリックします。

※ ご利用のテナント全体に適用したい場合は、一覧のすべてのドメインを追加します。 

※ 条件はご運用にあわせてご指定してください。 

  1. [保存] をクリックします。

  

  

■テストをおこなう方法 

安全な添付ファイルについては、サンプルとなるファイルやコードは公開されていないため、実施することができませんが、安全なリンクについては、サンプルとなる URL がありますので、それを本文に張り付けてポリシーが適用されているユーザーに送信すると動作を確認することができます。 

  

<テスト用 URL> 

http://www.*spamlink.contoso*.com/ 

  

※重要 

URL 内の 2 つの アスタリスク [*] を削除して利用してください。(セキュリティ上、*を入れてます) 

ブロトピ:更新しました