Microsoft、「Office 365 Advanced Threat Protection」で自動インシデント対応機能を提供開始：セキュリティ運用の負荷軽減に役立つ

Microsoftは、「Office 365 Advanced Threat Protection（ATP）」で自動インシデント対応機能の一般提供を開始した。メールの送受信やURLのクリックによって起こるセキュリティインシデント対応を自動化できる。

[＠IT]

　Microsoftは2019年9月9日（米国時間）、「Office 365 Advanced Threat Protection（ATP）」の「Automated Incident Response」（自動インシデント対応：AIR）機能の一般提供を開始したと発表した。

　Microsoftによれば、今回の自動化機能をユーザー企業が設置したSIEM（Security Information and Event Management）などの既存の調査と対応のワークフローに適用すれば、セキュリティチームが効率よく効果的にインシデントに対応できるようになるという。

　今日、セキュリティインシデントの調査と対応を担当するセキュリティチームは多忙であることが少なくない。なぜなら広範囲に分散した情報源から大量のアラートが送られてくるからだ。アラートごとに内容を読み取り、分析し、スコープを調査し、社内の情報資産に対する影響を評価し、被害を食い止めるために対応しなければならない。

　その結果、迅速で効率的なインシデント対応が難しくなっている。アラートの量が多過ぎること、組織のデジタル資産が増え続けていることから、重要なアラートの一部に対して、適切なタイミングで対応ができていない可能性がある。今回のMicrosoftのソリューションはこうした問題意識から生まれた。

　今回リリースされたAIR機能は、「自動調査」と「手動調査」という2つのカテゴリーに分かれている。

自動調査

　自動調査機能は、アラートが発生したときに動作する。AIRでは次のようなシナリオに対応したアラートと「セキュリティプレイブック」（Microsoftの脅威保護の中核となるバックエンドポリシー）が用意されている。

• ユーザーがフィッシングメールを報告した場合

　ユーザーが、受信したメールをフィッシングメールとして報告すると、アラートを表示し、自動調査が始まる。

ユーザーがフィッシングメールを報告した場合の管理画面の表示内容（出典：Microsoft）

• ユーザーがあるリンクをクリックし、悪意のあるリンクだと判定された場合

　ユーザーが特定のURLをクリックすると、「Office 365 ATP Safe Links（安全なリンク）」に照らして、URLを自動チェックする。デトネーション（悪意あるURLの識別）によって悪意あるリンクだと判断されると、アラートを発行する。

　ユーザーがOffice 365 ATP Safe Linksの警告ページをクリックした場合も、同様にアラートを発行する。どちらの場合も、アラートを発行後、直ちに自動調査が始まる。

ユーザーが特定のリンクをクリックした場合の管理画面の表示内容（出典：Microsoft）

• ユーザーが受信したメール内にマルウェアを検知した場合

　Office 365 ATPが、マルウェアを含むメールを検知するか、マルウェアゼロ時間自動削除（ZAP：Malware Zero-Hour Auto Purge）を実行すると、アラートが発生し、自動調査が始まる。

マルウェアを含むメールを検出した場合の管理画面の表示内容（出典：Microsoft）

• ユーザーが受信したメールがフィッシングメールだと検知した場合

　Office 365 ATPが、ユーザーのメールボックスに配送済みのメールをフィッシングメールだと検知した場合や、メールボックスに送られる前に自動削除（Phish ZAP：フィッシングメールZAP）されると、アラートが発生し、自動調査が始まる。

フィッシングメールを検出した場合の管理画面の表示内容（出典：Microsoft）

自動処理後の手動調査