ブログ(製品・サービス関連)

Office 365の自動脅威復旧の実現に向けて(第2部)

本シリーズの第1部では、Office 365の自動修復がどのように機能するか、また、同機能がビジネスに与える効果について説明しました。第2部である今回は、自動復旧ポリシーの設定方法について解説します。

まず、FireEye Eメール・セキュリティ - Cloudエディションに、Office 365テナントへのアクセス権を付与します。これは、Configuration 画面で Authorization を追加することで可能です(図1)。FireEye Eメール・セキュリティ - Cloudエディションは OAuth 2.0 によって、Eメールの遡及的検索をする権限を得ます。


図1:FireEye Eメール・セキュリティ - Cloudエディションを権限承認し、Office 365 テナントにアクセスする権利を付与

どのように自動復旧するか、を定義する自動復旧ポリシーは、FireEye Eメール・セキュリティ - Cloudエディションの設定画面から指定することができます。Configuration タブをクリックし(ステップ1)、Rule Types のリストから自動復旧方法を選択(手順2) することで設定できます(図2)。


図2:自動復旧ポリシーの設定

自動復旧ポリシーには、「隔離」「移動」「永久に削除」の3つがあります。設定方法を図3に示します(これは「移動(Move)」を設定する例)。自動復旧ポリシーに指定されたアクションは、遡及的分析によって不正なメールを検知した際に実行されます。


図3:ポリシー・アクション

中央ダッシュボードから、各Eメール・メッセージの追跡が可能です(Email Trace、図4)。自動復旧ポリシーが有効になっている場合、メッセージ詳細(message details) はそのメッセージが一度メールボックスに到達しており、遡及的分析の結果不正メッセージであることを検知し、設定されたポリシー・アクションが実行されたことを表示します。赤いOffice 365マークは、指定の自動復旧アクションが実行されたことを示します。


図4:自動復旧ポリシーが実行されたことを示す赤いOffice 365マーク

FireEye Eメール・セキュリティ - Cloudエディションは、メールボックスに到着済みのEメールが、その後で遡及的に不正なものに変化した場合、メールボックスからそれを抽出します。つまり、FireEye Eメール・セキュリティ - Cloudエディションの利用者であれば、遡及的に不正に変化したメールを自動的に受信トレイから引き離し、復旧させることができるのです。これにより、検知から対策までの時間を大幅に削減することが可能になり、さらに、被害が受信トレイの外に及ぶのを防止できることになります。

なりすましなどを含む、高度なEメール攻撃に対してFireEyeがどのようなソリューションを提供しているかについては、FireEye Eメール・セキュリティ・ソリューションの解説ページをご覧ください。

本ブログは、米FireEyeが公開した「Automated Threat Remediation for Office 365 Is Now a Few Clicks Away (Part Two)」(英語)の日本語抄訳版です。

日本語版:Reviewed by Noriko Yokokawa