Exchangeオンライン保護を改善するための20のベストテクニック

この記事の主な目的は、Microsoftのセキュリティのベストプラクティスに従い、実際のセットアップを実行することにより、データの損失または侵害されたアカウントに対するExchangeのオンライン保護を改善することです。Microsoftは、Exchange Online Protection（EOP）とMicrosoft Defender AdvancedThreatProtectionの2つのレベルのMicrosoft365電子メールセキュリティを提供しています。これらのソリューションは、Microsoftプラットフォームのセキュリティを強化し、Microsoft365の電子メールセキュリティの懸念を軽減することができます。

1電子メール暗号化を有効にする

2クライアントルール転送ブロックを有効にする

3 Powershell

4メールボックスの委任を許可しない

5接続フィルタリング

6スパムとマルウェア

7マルウェア

8フィッシング対策ポリシー

9拡張フィルタリングの構成

10ATPセーフリンクとセーフアタッチメントポリシーを構成する

11 SPF、DKIM、DMARCを追加します

12カレンダーの詳細の共有を許可しない

13監査ログ検索を有効にする

14すべてのユーザーのメールボックス監査を有効にする

15メールボックス監査PowerShellコマンド

16役割の変更を毎週確認する

17メールボックス転送ルールを毎週確認する

18非所有者によるメールボックスアクセスのレビュー隔週レポート

19マルウェア検出レポートを毎週確認する

20アカウントプロビジョニングアクティビティレポートを毎週確認する

電子メール暗号化を有効にする

電子メール暗号化ルールを追加して、件名または本文に特定のキーワードを含むメッセージを暗号化できます。最も一般的なのは、メッセージを暗号化するために件名に「セキュア」をキーワードとして追加することです。M365 / O365メッセージ暗号化は、Outlook.com、Yahoo！、Gmail、およびその他の電子メールサービスで機能します。電子メールメッセージの暗号化は、意図された受信者だけがメッセージコンテンツを表示できるようにするのに役立ちます。

• Microsoft 365管理センターで、[管理センター]の下の[Exchange]をクリックします

• [メールフロー]セクションで、[ルール]をクリックします

• プラス記号をクリックし、[Microsoft 365メッセージ暗号化の適用]をクリックします（複数の条件を定義できます）

• ポリシーに名前を付け、[このルールを適用する場合]セクションから、「件名または本文に含まれるもの…」と言ってから、キーワードを追加します。ここでは、「暗号化」を入れています

• [次の手順を実行する]セクションで、RMSテンプレートの1つを選択をクリックし、[暗号化]を選択します

• [保存]をクリックすると、ポリシーをテストできます。この場合、Gmailユーザーに送信されたメッセージを表示しています

• Gmailユーザーの受信トレイ：

• Gmailユーザーが添付ファイル（message.html）を保存して開くと、Googleのクレデンシャルでログインするか、メールにワンタイムパスコードを送信するかを選択できます。

• この場合、ワンタイムパスコードを選択しました。

• Gmailの受信トレイでパスコードを確認してください

• パスコードをコピーして貼り付けます

• ポータルで暗号化されたメッセージを表示し、暗号化された返信を送信できます

テナントが暗号化用に設定されていることを確認するには、次のコマンドを使用して、送信者の値がテナント内の有効なアカウントであることを確認します。

Test-IRMConfiguration -Sender [email protected]

「全体的な結果：合格」が表示されたら、準備は完了です。

また読む：ATPでMicrosoft365の電子メールを暗号化する方法は？

クライアントルール転送ブロックを有効にする

これは、ユーザーのメールボックスから外部の電子メールアドレスに電子メールを自動転送するクライアントが作成したルールを使用してデータの漏えいを防ぐのに役立つトランスポートルールです。これは、組織でますます一般的なデータ漏洩方法です。

Exchange管理センター>メールフロー>ルールに移動します

プラス記号をクリックして、[Microsoft365メッセージ暗号化と権利保護をメッセージに適用する]を選択します…

次のプロパティをルールに追加します。

• 送信者が「組織内」にある場合
• また、受信者が「組織外」にいる場合
• ANDIFメッセージタイプが「自動転送」の場合
• 次に、「クライアントルールを介した外部の電子メール転送は許可されていません」という説明を含むメッセージを拒否します。

ヒント1： 3番目の条件では、[メッセージのプロパティ]> [このメッセージタイプを含める]を選択して、[自動転送]オプションを入力する必要があります

ヒント2：4番目の条件では、[メッセージをブロックする…>メッセージを拒否する]を選択し、入力する説明を含める必要があります

• 完了したら、[保存]をクリックします。このルールはすぐに適用されます。クライアントは、カスタムのNon-Delivery Receipt（NDR）メッセージを受信します。これは、存在が不明である可能性がある外部転送ルール、または侵害されたメールボックスで悪意のある攻撃者によって作成された外部転送ルールを強調表示するのに役立ちます。作成したトランスポートルールで、指定した特定のユーザーまたはグループの例外を作成できます。

パワーシェル

• 1人の顧客の自動転送をブロックするPowershellスクリプト。
• パートナーセンターの資格情報を介してすべての顧客の自動転送をブロックするPowershellスクリプト。

メールボックスの委任を許可しない

• ユーザーがメールボックスを委任しない場合、攻撃者が1つのアカウントから別のアカウントに移動してデータを盗むことは困難です。メールボックスの委任は、他の誰かがあなたのメールとカレンダーを管理できるようにする慣行であり、攻撃の広がりを助長する可能性があります。
• 既存のメールボックス委任権限があるかどうかを確認するには、GithubからPowerShellスクリプトを実行します。プロンプトが表示されたら、テナントのグローバル管理者クレデンシャルを入力します。
• 委任権限が存在する場合は、それらが一覧表示されます。何もない場合は、新しいコマンドラインを取得するだけです。IDは、管理者権限が割り当てられたメールボックスであり、ユーザーは、それらの権限を持つ人です。
• 次のコマンドを実行して、ユーザーのアクセス権を削除できます。

Remove-MailboxPermission -Identity Test1 -User Test2 -AccessRights FullAccess -InheritanceType All

接続フィルタリング

EOPで接続フィルタリングを使用して、IPアドレスによって良好または不良の送信元電子メールサーバーを識別します。デフォルトの接続フィルターポリシーの主要なコンポーネントは次のとおりです。

IP許可リスト：IPアドレスまたはIPアドレス範囲で指定した送信元電子メールサーバーからのすべての受信メッセージのスパムフィルタリングをスキップします。IP許可リストが全体的な安全な送信者戦略にどのように適合するかについての詳細は、「  EOPで安全な送信者リストを作成する」を参照してください。

IPブロックリスト：IPアドレスまたはIPアドレス範囲で指定した送信元電子メールサーバーからのすべての着信メッセージをブロックします。着信メッセージは拒否され、スパムとしてマークされず、追加のフィルタリングは発生しません。IPブロックリストが全体的なブロックされた送信者戦略にどのように適合するかについての詳細 は、EOPでのブロック送信者リストの作成を参照してください。

• Exchange管理センター>保護>接続フィルター>鉛筆アイコンをクリックして、デフォルトのポリシーを変更します。

• [接続フィルタリング]をクリックします

• ここで、IPアドレスを許可/ブロックできます。

スパムとマルウェア

尋ねる質問：

1. メッセージがスパムとして識別された場合、どのようなアクションを実行しますか？
   a。メッセージをジャンクフォルダに移動する（デフォルト）
   b。Xヘッダーの追加（指定された受信者にメッセージを送信しますが、スパムとして識別するためにメッセージヘッダーにXヘッダーテキストを追加します）
   c。件名の前にテキストを追加（メッセージを目的の受信者に送信しますが、件名の前にこのテキスト入力ボックスの件名の前に指定したテキストを追加します。このテキストを識別子として使用して、オプションでフィルタリングまたは必要に応じてメッセージをルーティングします。）
   d。メッセージを電子メールアドレスにリダイレクトします（意図した受信者ではなく、指定された電子メールアドレスにメッセージを送信します）。
2. 許可された送信者/ドメインを追加する必要がありますか、それとも送信者/ドメインをブロックする必要がありますか？
3. 特定の言語で書かれたメッセージをフィルタリングする必要がありますか？
4. 特定の国/地域からのメッセージをフィルタリングする必要がありますか？
5. エンドユーザーのスパム通知を構成して、ユーザー向けのメッセージが代わりに検疫に送信されたときにユーザーに通知しますか？（これらの通知から、エンドユーザーは誤検知をリリースし、分析のためにMicrosoftに報告できます。）

• Microsoft365管理センターに移動>管理センターからセキュリティを選択>脅威管理>ポリシー>スパム対策

• デフォルトのポリシーを編集する

• タブをナビゲートして、以前に尋ねられた質問のいずれかを構成します

• [ 許可リスト] セクションを展開して、スパムフィルタリングをスキップできる電子メールアドレスまたは電子メールドメインごとにメッセージ送信者を構成します。
• [ ブロックリスト] セクションを展開して、常に信頼性の高いスパムとしてマークされる電子メールアドレスまたは電子メールドメインごとにメッセージ送信者を構成します。

• [スパムのプロパティ]タブでは、ポリシーをより細かく設定し、スパムフィルターの設定を厳しくすることができます

マルウェア

これは、デフォルトのマルウェア対策ポリシーを介して全社的にすでに設定されています。テキストによる追加の通知やファイル拡張子に基づく高度なフィルタリングなど、特定のユーザーグループに対してより詳細なポリシーを作成する必要がありますか？

• セキュリティポータル>脅威管理>ポリシー>マルウェア対策に移動します

• 変更するデフォルトのポリシーを選択します
• マルウェア検出応答として[いいえ]を選択します

• コンピュータに害を及ぼす可能性のある添付ファイルの種類をブロックするには、この機能をオフにします

• マルウェアのゼロ時間自動パージをオンにする

• それに応じて通知を変更します

• 受信者ベースのルールを作成して、このポリシーが適用されるユーザー、グループ、またはドメインを指定します

• 設定を確認して保存します。

フィッシング対策ポリシー

Microsoft 365サブスクリプションには、フィッシング対策の既定のポリシーが事前構成されていますが、ATPの適切なライセンスがある場合は、テナント内での偽装試行の追加設定を構成できます。ここでこれらの追加設定を構成します。

• セキュリティポータル>脅威管理>ポリシー>ATPフィッシング対策に移動します

• デフォルトのポリシーをクリック>[なりすまし]セクションの[編集]をクリックします
• 最初のセクションで、スイッチをオンに切り替えて、なりすましの可能性が最も高い組織内のトップエグゼクティブまたはユーザーを追加します

• [保護するドメインの追加]セクションで、自分が所有するドメインを自動的に含めるようにスイッチを切り替えます

• [アクション]セクションで、ユーザーまたはドメインが偽装された場合に実行するアクションを選択します。隔離するか、ジャンクフォルダに移動することをお勧めします。

• [メールボックスインテリジェンス]セクションで、保護をオンに切り替え、前の手順のように実行するアクションを選択します

• 最後のセクションでは、送信者とドメインをホワイトリストに登録できます。gmail.comのようなジェネリックドメインをここに追加することは控えてください。

• 設定を確認した後、保存を選択できます

また読む：Microsoft Cloud App Security：The Definitive Guide

拡張フィルタリングを構成する

• 365にコネクタがあり（サードパーティの電子メールフィルタリングサービスまたはハイブリッド構成）、MXレコードがMicrosoft365またはOffice365を指していない場合は、拡張電子メールフィルタリングを設定できます。この新機能を使用すると、実際の電子メールに基づいて電子メールをフィルタリングできます。コネクタを介して到着するメッセージのソース。
• これはスキップリストとも呼ばれ、この機能を使用すると、実際の送信元IPアドレスである最後の既知の外部IPアドレスを取得するために、内部と見なされるIPアドレスを見逃したりスキップしたりできます。
• Microsoft Defender ATPを使用している場合、これにより、IPに基づくMicrosoftの既知の悪意のあるリストからの安全なリンク/安全な添付ファイル/なりすまし防止に関する機械学習機能とセキュリティが強化されます。
• ある意味で、Microsoftが元の電子メールのIPを表示し、それらのデータベースと照合できるようにすることで、保護の第2層を取得しています。

強化されたフィルタリング構成手順については、ここをクリックしてください。

ATPセーフリンクとセーフアタッチメントポリシーを構成する

Microsoft Defender Advanced Threat Protection（Microsoft Defender ATP）を使用すると、Exchange、Teams、OneDrive、およびSharePoint間で安全なリンクと安全な添付ファイルのポリシーを作成できます。リアルタイムの爆発は、ユーザーが任意のリンクをクリックし、コンテンツがサンドボックス環境に含まれている場合に発生します。添付ファイルは、電子メールで完全に配信される前に、サンドボックス環境内でも開かれます。これにより、ゼロデイの悪意のある添付ファイルとリンクを検出できます。

• セキュリティポータル>脅威管理>ポリシー>ATPセーフアタッチメントに移動します

• [グローバル設定]をクリックします

• SharePoint、OneDrive、およびMicrosoftTeamsのATPをオンにします

• 新しいポリシーを作成する

• 名前、説明を追加し、動的配信を選択します。配送方法の詳細については、ここをクリック してください。

• アクションを動的配信として選択します

• 受信者ドメインを追加し、テナントのメインドメインを選択します。

• [次へ]をクリックして設定を確認し、[完了]をクリックします

• 安全なリンクについては、[脅威の管理]>[ポリシー]>[ATPの安全なリンク]に戻ります。

• デフォルトのポリシーを使用するか、新しいポリシーを作成して、以下に表示される必要な設定をオンにします。

• 特定のURLをホワイトリストに登録することを選択できます

• 安全な添付ファイルポリシーと同様に、ドメイン名でテナント内のすべてのユーザーに適用します。

• [次へ]をクリックして設定を確認し、[完了]をクリックします

SPF、DKIM、DMARCを追加する

• SPFレコード/DKIMレコード/DMARCはありますか？
• SPFは、送信ドメインの所有者とされる人物に対して送信者のIPアドレスを確認することにより、電子メールメッセージの発信元を検証します。これにより、なりすましの防止に役立ちます。
• DKIMを使用すると、送信する電子メールのメッセージヘッダー内の電子メールメッセージにデジタル署名を添付できます。ドメインから電子メールを受信する電子メールシステムは、このデジタル署名を使用して、受信する受信電子メールが正当であるかどうかを判断します。
• DMARCは、メールシステムの受信が、SPFまたはDKIMチェックに失敗したメッセージの処理方法を決定するのに役立ち、電子メールパートナーに別のレベルの信頼を提供します。

レコードを追加するには：

• Microsoft 365管理センターの[ドメイン]に移動し、レコードを追加するドメインをクリックします。

• 「 DNSレコード」をクリックし、ExchangeOnlineの下にリストされているMXおよびTXTレコードをメモします

• v = spf1 include：spf.protection.outlook.com-allのTXTレコードをSPFレコードのDNS設定に追加します
• DKIMレコードの場合、DNSで2つのCNAMEレコードを公開する必要があります

CNAMEレコードには次の形式を使用します。

ここで、：
=プライマリドメイン= MXレコードのプレフィックス（例：domain-com.mail.protection.outlook.com）
= domain.onmicrosoft.com
例：DOMAIN = techieberry.com

CNAMEレコード＃1：
ホスト名： selector1._domainkey.techiebery.com
アドレスまたは値へのポイント：selector1-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL：3600

CNAMEレコード＃2：
ホスト名：selector2._domainkey.techiebery.com
アドレスまたは値へのポイント：selector2-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL：3600

• レコードを公開した後、セキュリティポータル>脅威管理>ポリシー>DKIMに移動します

• DKIMを有効にするドメインを選択し、[有効にする]をクリックします。
• SPFレコードとDKIMレコードを配置したら、DMARCを設定できます。追加するTXTレコードの形式は次のとおりです。

_dmarc.domain TTL IN TXT“ v = DMARC1; pct = 100; p=ポリシー

ここで、：
=保護するドメイン
= 3600
=このルールを電子メールの100％に使用する必要があることを示します
=DMARCが失敗した場合に受信サーバーが従うポリシーを指定します。
注： none、quarantine、またはrejectに設定できます

例：

• _dmarc.pax8.com 3600 IN TXT“ v = DMARC1; p=なし」
• _dmarc.pax8.com 3600 IN TXT“ v = DMARC1; p=検疫」
• _dmarc.pax8.com 3600 IN TXT“ v = DMARC1; p=拒否」

カレンダーの詳細の共有を許可しない

ユーザーがカレンダーの詳細を外部ユーザーと共有することを許可しないでください。この機能により、ユーザーはカレンダーの完全な詳細を外部ユーザーと共有できます。攻撃者は通常、攻撃を開始する前に組織について学習する（偵察を行う）ことに時間を費やします。公開されているカレンダーは、攻撃者が組織の関係を理解し​​、旅行中など、特定のユーザーが攻撃に対してより脆弱である可能性がある時期を判断するのに役立ちます。

• Microsoft365管理センター>[設定]–[組織の設定]

• サービスをクリックしてカレンダーを選択します

• 設定を「時間のみのカレンダーの空き時間情報」に変更します

• PowerShellを介して1つのテナントでこの設定を有効にする
• PowerShellを使用してパートナーセンターのクレデンシャルを介してすべてのテナントでこの設定を有効にする

監査ログ検索を有効にする

Microsoft365またはOffice365サービスの監査データの記録を有効にして、Azure AD、Exchange Online、Microsoft Teams、SharePoint Online / OneDrive for Businessなど、すべてのユーザーと管理者のサービスとのやり取りの記録を確保する必要があります。このデータにより、セキュリティ違反が発生した場合に、調査と調査が可能になります。あなた（または別の管理者）は、監査ログの検索を開始する前に、監査ログをオンにする必要があります。

• 監査ログオンをオンにする方法は？
• 監査ログを検索する方法は？

• セキュリティポータル>検索>監査ログ検索に移動します
• 次のものを取得しないようにしてください。

• 監査をオンにすると、次のように表示されます。

• アクティビティ、日付範囲、ユーザー、ファイル\フォルダ\サイトに基づいてカスタム検索を作成できます
• 特定のイベントに基づいて新しいアラートポリシーを作成する

• PowerShellを介して監査ログを検索する場合は、以下のコマンドを使用します。

$ auditlog = Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

• 次のコマンドを使用して、特定のプロパティをCSVファイルにエクスポートできます。

$ auditlog | Select-Object -Property CreationDate、UserIds、RecordType、AuditData | Export-Csv -Append -Path c：\ AuditLogs \ PowerShellAuditlog.csv -NoTypeInformation

すべてのユーザーのメールボックス監査を有効にする

デフォルトでは、所有者以外のすべてのアクセスが監査されますが、所有者アクセスも監査されるようにするには、メールボックスで監査を有効にする必要があります。これにより、ユーザーのアカウントが侵害された場合にExchangeOnlineアクティビティへの不正アクセスを発見できます。すべてのユーザーの監査を有効にするには、 PowerShellスクリプトを実行する必要があります。

注：監査ログを使用して、ログに記録されたメールボックスアクティビティを検索します。特定のユーザーメールボックスのアクティビティを検索できます。

• セキュリティポータル>検索>監査ログ検索に移動します

メールボックス監査アクションのリスト

メールボックス監査PowerShellコマンド

メールボックスの監査ステータスを確認するには：

Get-メールボックス[email protected]| fl*監査*

メールボックス監査を検索するには：

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021

結果をcsvファイルにエクスポートするには：

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | エクスポート-CsvC：\ users \ AuditLogs.csv -NoTypeInformation

操作に基づいてログを表示およびエクスポートするには：

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete、Move、MoveToDeletedItems、SoftDelete -LogonTypes Admin、Delegate、Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | エクスポート-CsvC：\ AuditLogs.csv -NoTypeInformation

ログオンタイプに基づいてログを表示およびエクスポートするには：

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner、Delegate、Admin -ShowDetails | エクスポート-CsvC：\ AuditLogs.csv -NoTypeInformation

役割の変更を毎週確認する

これを行う必要があるのは、不正な役割グループの変更を監視する必要があるためです。これにより、攻撃者に昇格された特権が与えられ、テナント内でより危険で影響力のあることを実行できるようになります。

• [セキュリティポータル]>[検索]>[監査ログ検索]に移動します
• 検索に「ロール」と入力し、「ロールにメンバーを追加」と「ディレクトリロールからユーザーを削除」を選択します。

すべての顧客テナントの役割の変更を監視する

メールボックス転送ルールを毎週確認する

少なくとも毎週、外部ドメインへのメールボックス転送ルールを確認する必要があります。これを行うには、PowerShellスクリプトを使用してすべてのメールボックスの外部ドメインへのメール転送ルールのリストを確認する方法や、先週の監査ログ検索からメール転送ルールの作成アクティビティを確認する方法など、いくつかの方法があります。他の場所へのメール転送ルールの合法的な使用法はたくさんありますが、攻撃者にとって非常に人気のあるデータ漏洩戦術でもあります。ユーザーの電子メールが盗み出されていないことを確認するために、それらを定期的に確認する必要があります。以下にリンクされているPowerShellスクリプトを実行すると、System32フォルダーに「MailboxDelegatePermissions」と「MailForwardingRulesToExternalDomains」の2つのcsvファイルが生成されます。

• 単一のテナントで監視する
• すべてのMicrosoft365/Office365カスタマーテナントで外部メールボックス転送を監視する

非所有者によるメールボックスアクセスのレビュー隔週レポート

このレポートには、メールボックスの所有者以外のユーザーがアクセスしたメールボックスが表示されます。デリゲート権限の正当な使用法は数多くありますが、そのアクセスを定期的に確認することで、外部の攻撃者が長期間アクセスを維持するのを防ぎ、悪意のある内部関係者の活動をより早く発見することができます。

• Exchange管理センターで、[コンプライアンス管理]>[監査]に移動します
• 「所有者以外のメールボックスアクセスレポートを実行する…」をクリックします。

• データ範囲を指定して検索を実行します

マルウェア検出レポートを毎週確認する

このレポートは、マルウェアの添付ファイルがユーザーに到達するのをブロックしているMicrosoftの特定のインスタンスを示しています。このレポートは厳密に実行可能ではありませんが、レビューすることで、ユーザーをターゲットにしているマルウェアの全体的な量を把握できるため、より積極的なマルウェアの緩和策を採用するよう促される可能性があります。

• セキュリティポータル>レポート>ダッシュボードに移動します

• 一番下までスクロールして、電子メールで検出されたマルウェアをクリックします

• 検出レポートを表示し、[+スケジュールの作成]をクリックします

• 週次レポートスケジュールを作成し、適切な電子メールアドレスに送信します

アカウントプロビジョニングアクティビティレポートを毎週確認する

このレポートには、外部アプリケーションにアカウントをプロビジョニングする試みの履歴が含まれています。通常、アカウントの管理にサードパーティプロバイダーを使用しない場合、リストのエントリは違法である可能性があります。ただし、そうする場合、これはトランザクション量を監視し、ユーザーを管理している新しいまたは異常なサードパーティアプリケーションを探すための優れた方法です。

• Microsoft365管理センター>管理センター>AzureActiveDirectory>監査ログからのAzureActiveDirectory

• [アクティビティ]セクションで「外部」を検索し、[外部ユーザーを招待]を選択します

これが、セキュリティを強化するためにExchangeオンライン保護を改善する方法です。

今、私はあなたから聞きたいです：

今日のレポートから、最も興味深いと思ったのはどれですか？あるいは、私が取り上げた何かについて質問があるかもしれません。

いずれにせよ、私はあなたから聞きたいです。だから先に進んで、下にコメントを残してください。