ユーザーから報告されたフィッシングメールからのセキュリティインシデントの作成

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:28分

    • この機能を使用して、ユーザーから報告されたフィッシングメールからセキュリティインシデントを作成します。

    拡張されたユーザーから報告されたフィッシング機能には、集計機能、メールヘッダー抽出、および構成が含まれます。

    • フィッシングメール 複数の方法で報告できます。
      • メールは添付ファイルとして転送できます。
      • PhishAlarm プラグイン (旧称「Wombat)」が Microsoft Outlook クライアントで構成されている場合次のことができます。
        • [ フィッシングを報告] ボタンを選択します。
        • [フィッシングを報告] オプションを使用して、モバイルデバイスからフィッシングメールを転送する。

        フィッシングメールを報告
      • フィッシングメールを (.eml形式で) アップロードできます。
        フィッシングメールを添付ファイルとして報告
    • ユーザーから報告されたフィッシングには、組織内のユーザーによって報告された重複したフィッシングメールを識別する集計ビジネスロジックが含まれています。ユーザーは、この機能を使用して次のことを実現できます。
      • 重複する、または類似のユーザーから報告されたフィッシングインシデント (会社が開始したフィッシングキャンペーン) を集計する。
      • 重複するユーザー 報告されたフィッシングインシデントのトリアージを回避し、インシデントの統合に伴う手作業を削減します。
      • セキュリティアナリストが単一のユーザーから報告されたフィッシングインシデントを処理できるようにする。
    • ユーザーから報告されたフィッシングインシデント内のフィッシングメールヘッダーを提供します。
      • セキュリティアナリストは、インシデント内の重要なメールヘッダー情報をスキャンできます。
      • 他のソースから手動でヘッダー情報を収集する必要がなくなります。
    • 送信された元のフィッシングメールは、新しいテーブルにフィッシングメールレコードとして保存されます。
    • セキュリティアナリストは、フィッシングメールの内容、ヘッダー、送信元など、元のフィッシングメールの詳細を表示できます。
    • セキュリティアドミニストレーターは、以下を含む特定の拡張機能を構成できます。
      • メール本文からメールヘッダーを抽出するための構成 ([フィッシングを報告] による送信)。
      • 選択したヘッダーをキャプチャするためのフィルター。
      • 重複するフィッシングメールレコードが特定された場合に親と子のインシデントの関連付けを処理するための構成。
      • 要件に基づいて集計ビジネスロジックを変更するためのフローデザイナーの構成。

    ユーザーから報告されたフィッシングの取り込みルールのセットアップ

    sn_si.admin ロールを持つユーザーは、メール一致ルールを定義して、特定の基準に基づいてユーザーから報告されたフィッシングメールをフィルタリングできます。たとえば、直接または [フィッシングを報告] ボタンを介して security@acme.com に送信されたすべてのメールを「ユーザーから報告されたフィッシングメール」として分類するルールを定義できます。詳細については、「ユーザーから報告されたフィッシングの取り込みルールのセットアップ」を参照してください。

    ユーザーから報告されたフィッシングプロパティの定義

    ユーザーから報告されたフィッシングメールから取得する必要があるヘッダー情報を定義します。詳細については、「ユーザーから報告されたフィッシングプロパティの定義」を参照してください。

    ユーザーが報告したフィッシングメールから作成されたフィッシングメールレコード

    ユーザーから報告されたフィッシングメール 、定義されているメール一致ルールに基づいてセキュリティインシデントに変換されます。詳細については、「ユーザーが報告したフィッシングメールから作成されたフィッシングメールレコード」を参照してください。

    フィッシングメールをセキュリティインシデントに変換 (Transform Phishing Email to Security Incident)

    フィッシングメールをセキュリティインシデントに変換フローでは、フィッシングメールレコードをセキュリティインシデントに変換します。詳細については、「ユーザーから報告されたフィッシングメールのセキュリティインシデントへの変換」を参照してください。

    フィッシングメールレコードから作成されたセキュリティインシデントレコード

    関連リスト、作業メモ、その他の重要な情報を含むセキュリティインシデントレコードの詳細を表示します。詳細については、「フィッシングメールレコードから作成されたセキュリティインシデントレコード」を参照してください。

    必要なコンポーネントとプラグイン

    利用可能なユーザーから報告されたフィッシング機能は、既存のユーザーから報告されたフィッシング機能の拡張バージョンです。ユーザーから報告されたフィッシング攻撃を検証するためのルールの作成を参照してください。

    重要なインストール手順

    この機能拡張は、ユーザーから報告されたフィッシング機能の既存の設計を置き換えるものです。新しい設計には以下の更新が含まれます。
    • 既存のユーザーから報告されたフィッシングメール受信アクション (タイプ = 転送、タイプ = 新規) は無効化されました。
    • 新しいフィッシングメールの作成受信アクションが利用可能になりました。
    • ユーザーから報告されたフィッシングメールのセキュリティインシデントへの変換 は、新しい設計のセキュリティインシデントの作成および集計ビジネスロジックを含む新しいフローです。新しいデザインを有効にするには、このフローをアクティブ化する必要があります。
    • 既存のユーザーから報告されたフィッシングルールは、アップグレード中も保持されます。
    注:
    ユーザーから報告されたフィッシング送信に対してカスタムメール受信アクションとカスタムワークフローを使用する場合は、競合または重複する機能について古い設計と新しい設計の両方を確認する必要があります。
    ユーザーから報告されたフィッシング機能拡張の詳細:機能拡張の詳細は次のとおりです。
    注:
    • セキュリティインシデントレスポンス 9.0 より前のリリースで利用可能なユーザーから報告されたフィッシング受信アクションは無効化されました。セキュリティインシデントは、無効化された受信アクションによって作成されなくなりました。
    • 新しい設計を有効にするには、Security Operations スポークアプリケーションをインストールする必要があります。これには、デフォルトで非アクティブ状況で提供される ユーザーから報告されたフィッシングメールのセキュリティインシデントへの変換 フローが含まれます。フィッシングメールレコードからセキュリティインシデントを作成するには、このフローをアクティブ化します。
    拡張されたユーザーから報告されたフィッシング機能を使用するには、次のプラグインとコンポーネントが必要です。
    • Security Support Common (sn_sec_cmn):含まれる内容:
      • 受信アクション
      • 新しい EmailUserReportedPhishing スクリプト
      • 取り込みルールテーブル
    • セキュリティインシデントレスポンス (sn_si):含まれる内容:
      • セキュリティインシデントテーブル (sn_si_incident)
      • セキュリティフィッシングメールテーブル (sn_si_phishing_email)
      • セキュリティフィッシングメールヘッダーテーブル (sn_si_phishing_email_header)
      • EML アップロードレコードプロデューサー
    • Security Operations スポーク

      メールを集計し、フィッシングメールをセキュリティインシデントに変換するためのフローとサブフロー。

    次の図は、新しいフィッシングメールテーブルと、対応する URP ルールとターゲットセキュリティインシデントレコード (sn_si_incident) への参照を示しています。


    URP データモデル

    ユーザーから報告されたフィッシングの取り込みルールのセットアップ

    sn_si.admin ロールを持つユーザーは、メール一致ルールを定義して、特定の基準に基づいてユーザーから報告されたフィッシングメールをフィルタリングできます。たとえば、直接または [フィッシングを報告] ボタンを介して security@acme.com に送信されたすべてのメールを「ユーザーから報告されたフィッシングメール」として分類するルールを定義できます。

    始める前に

    必要なロール:sn_si.admin

    手順

    1. 移動先 すべて > Security Operations > メール処理 > 取り込みルール - ユーザーから報告されたフィッシング.
    2. [ 新規 ] を選択して、新しいメール一致ルールを作成します。
    3. 名前を入力し、ルールの条件を 1 つ以上定義します。
      ルールタイプを設定し、その値を選択できます。
      • 許可:受信メールの条件が一致すると、セキュリティインシデントが作成されます。
      • 拒否:受信メールの条件が一致する場合、セキュリティインシデントは作成されません。
      注:
      受信メールは、[ 順序 ] の値に関係なく、最初に拒否ルールで評価されます。
    4. [ 送信] を選択してルールを保存します。
      以下にいくつかのサンプルルールを示します。
      • ルールへ:直接送信されたメール、 または security@example.com メール ID に転送されたメールをフィルタリングします。ToRule の定義
      • ユーザー ID ルール:特定のメール ID から送信されたメールをフィルタリングします。ユーザー ID ルールの定義

    ユーザーから報告されたフィッシングプロパティの定義

    ユーザーから報告されたフィッシングメールからキャプチャする必要があるヘッダー情報を定義します。

    始める前に

    必要なロール:sn_si.admin

    このタスクについて

    これらのオプションを使用して、次のようなユーザーから報告されたフィッシングの設定を構成します。
    • メール本文からメールヘッダーを抽出するための構成 ([フィッシングを報告 (Report Phish)] による送信)
    • ヘッダーを選択するフィルター
    • 親子の関連付けの有効化または無効化

    手順

    1. 移動先 すべて > Security Operations > メール処理 > ユーザーから報告されたフィッシングプロパティ.
      ユーザーから報告されたフィッシングプロパティ
    2. メール本文からメールヘッダーを抽出するための構成を指定します。
      • メールヘッダーの開始を識別する文字列を入力します。
      • メールヘッダーの終了を識別する文字列を入力します。
        注:
        これらの設定は、フィッシングメールのメール本文の一部としてキャプチャされたヘッダーにのみ適用されます。たとえば、 PhishAlarm プラグイン (旧称 Wombat) が Microsoft Outlook クライアントで構成されている場合、ユーザーが [ フィッシングを報告 ] ボタンを選択すると、ここで定義された構成に従ってメールヘッダーがキャプチャされます。フィッシングメールが添付ファイルとして転送された場合、ヘッダー情報はキャプチャされません。
    3. セキュリティインシデントの調査に不要なヘッダーを除去するためのフィルターを指定します。

      ユーザーから報告されたフィッシングメールからキャプチャする必要があるメールヘッダーのリストをカンマ区切りで入力します。ここで何も値を指定しない場合、すべてのヘッダー情報がキャプチャされます。

    4. 親子の関連付けの有効化または無効化
      デフォルトでは [はい] オプションが有効になっています。ユーザーから報告されたフィッシングメールを集計するときに子セキュリティインシデントを作成する必要があることを示す場合は、[はい] を選択します。[いいえ] を選択すると、子セキュリティインシデントは作成されませんが、ユーザーから報告されたフィッシングメールはセキュリティインシデントに関連付けられ、セキュリティインシデントレコードが更新されます。子セキュリティインシデントの作成方法の詳細については、「ユーザーから報告されたフィッシングメールのセキュリティインシデントへの変換」を参照してください。
    5. フィッシングメールのコンテンツを HTML 形式で表示するオプションを有効または無効にします。
      デフォルトでは [はい] オプションが有効になっています。フィッシングメールのコンテンツを HTML 形式で表示するには、[はい] を選択します。[いいえ] を選択すると、HTML 形式のメールコンテンツはフィッシングレコード内に表示されません。

    ユーザーが報告したフィッシングメールから作成されたフィッシングメールレコード

    ユーザーが報告したフィッシングメールは、定義されているメール一致ルールに基づいて、セキュリティインシデントに変換されます。

    新しいフィッシングメールが報告されると、次のアクションが実行されます。
    • sys_email テーブルにメールレコードが作成されます。
    • [フィッシングメールの作成] 受信アクションはメールレコードで実行され、メール一致ルール (「ユーザーから報告されたフィッシングの取り込みルールのセットアップ」を参照) を使用してフィッシングメールかどうかを判定します。
      注:
      まず、[ ルールタイプ][拒否] に設定されているすべてのメール一致ルールを使用してメールが検証されます。メールがいずれかの拒否ルールの条件に一致する場合、監査レコードが sn_si_phishing_email_deny_audit テーブルに作成されます。このようなメールに対してセキュリティインシデントは作成されません。
    • メールがフィッシングメールとして識別されルールタイプ[許可] に設定されているメール一致ルールに一致すると、sn_si_phishing_emailテーブルにフィッシングメールレコードが作成されます。
    • 最後に、「ユーザーから報告されたフィッシングメールのセキュリティインシデントへの変換」のフローが適用され、フィッシングメールレコードがセキュリティインシデントに変換されます。

    メールの詳細を表示するには、次の場所に移動します セキュリティインシデント > すべてのフィッシングメールを表示. フィッシングメールレコードのリストが表示されます。[作成日] 列の日付リンクを選択して、メールレコードを表示します。


    宛先ルールを使用したフィッシングメール
    表 : 1. セキュリティインシデントフィッシングメールの詳細
    フィールド名 説明
    数値 ユーザーが報告したフィッシングメールにアサインされた番号。
    件名 メールの件名。件名ルールは、シミュレートされたフィッシングキャンペーンやテストに役立ちます。この場合、フィッシングや同様のメール攻撃への対応をテストするために、組織は偽のメールを自社のスタッフに送信します。

    シミュレートされたフィッシングメールテストで、PhishAlarm プラグイン (旧称「Wombat」) を備えた Microsoft Outlook メールクライアントが使用されている場合、ユーザーは [フィッシングを報告] ボタンを選択してフィッシングメールを報告できます。メールは、件名に「Simulated Phishing」が追加された状態で Security Operations チームに送信されます。これは、メールがシミュレートされたフィッシングメールであることを識別するために使用されます。
    送信元 このフィッシングメールの送信元のメールアドレス。この情報は、フィッシングメールが次のように転送された場合 で使用できます。EML ファイルの添付ファイル、または元のヘッダーがメールに埋め込まれているかどうか。

    ユーザーがフィッシングメールを直接転送した場合、送信元アドレスを使用できない可能性があります。
    報告者 このフィッシングメールを報告したユーザーのメール ID。[情報] アイコンを選択すると、追加の詳細が表示されます。
    メッセージ ID メッセージにアサインされた ID。
    一致する URP ルール (Matched URP rule) このメールに適用される、「ユーザーから報告されたフィッシング」ルール。追加の詳細を表示するには 情報アイコンを選択します。
    URP 取り込みルール

    ご覧のように、この例では、このメールに ToRule が適用され、セキュリティインシデントが作成されていることが [条件] フィールドに示されています。メール一致ルールの定義の詳細については、「ユーザーから報告されたフィッシングの取り込みルールのセットアップ」を参照してください。
    ステータス sn_si_phishing_email テーブルに新しいフィッシングメールレコードが作成されると、[ステータス (State)] フィールドが [新規] に設定されます。このメールレコードがセキュリティインシデントに変換されると (「ユーザーから報告されたフィッシングメールのセキュリティインシデントへの変換」を参照)、 [ステータス (State)] フィールドは [処理済み] に更新されます。
    ヘッダーの作成元 このフィールドは、メールヘッダーがどのように生成されたか、またはユーザーがフィッシングメールをどのように報告したかを示します。
    • メールヘッダー:ユーザーがセキュリティオペレーションチームにフィッシングメールを転送しました。
    • メールテキスト本文
      • ユーザーが [フィッシングを報告] オプションを選択 (PhishAlarm プラグイン (旧称「Wombat)」がメールクライアントで構成されている場合)。
      • 定義済みの「ユーザーから報告されたフィッシング」ルールに基づいて、フィッシングメールが Security Operations チームに転送されます。
    • EML 添付ファイルヘッダー
      • 添付ファイル:ユーザーがメールを添付ファイル (.EML ファイル) として転送しました。
      • サービスカタログの送信:ユーザーがメールを .EML ファイルとしてデスクトップにダウンロードし、指定した場所にアップロードしました。その後、セキュリティインシデントがメールから作成されます。
    • EML 添付ファイル本文
      • ユーザーが [フィッシングを報告] オプションを選択 (PhishAlarm プラグイン (旧称「Wombat)」がメールクライアントで構成されている場合)。
      • 定義済みの「ユーザーから報告されたフィッシング」ルールに基づいて、フィッシングメールが添付ファイルとして Security Operations チームに転送されます。
    セキュリティインシデント ユーザーから報告されたフィッシングメールの最初の報告時には、このフィールドは空白です。「ユーザーから報告されたフィッシングメールのセキュリティインシデントへの変換」フローが実行されると、このメールはセキュリティインシデントレコードに変換され、そのレコードの番号がここに表示されます。
    注:
    セキュリティインシデントは、[ ルールタイプ ] が [ 許可] に設定されているメール一致ルールに一致するメールに対してのみ作成されます。
    生のヘッダー このフィールドには、「ユーザーから報告されたフィッシングプロパティの定義」ページで定義されているメールから抽出された完全なヘッダー情報が表示されます。ヘッダーはキーと値のペアに解析され、フィッシングメールヘッダーリストに表示されます。
    フィッシングメールヘッダー
    本文 ユーザーから報告されたフィッシングメールの Body

    ユーザーから報告されたフィッシングメールのセキュリティインシデントへの変換

    フィ ッシングメールをセキュリティインシデントに変換 フローでは フィッシングメールレコードをセキュリティインシデントに変換します。

    始める前に

    注:
    ユーザーから報告されたフィッシング機能を有効にするには、フローのコピーを作成してアクティブにする必要があります。ユーザーから報告されたフィッシング送信を処理するためのカスタム受信アクションとカスタムフローを作成している場合は、ここで提案するフローの変更は必要ありません。
    • 必要なロール:sn_si.admin
    • フローデザイナースポークをインストールする必要があります。

    このタスクについて

    このフローは、ステータスが [新規] に設定されている、ユーザーから報告されたフィッシングメールレコードが作成されたときに自動的に起動します。このフローには、以下を実行するロジックが含まれています。
    • セキュリティインシデントの集計
    • 関連するメモによるセキュリティインシデントの更新
    • ヘッダーデータの追加
    • 必要に応じた子インシデントの作成

    手順

    • 移動先 フローデザイナー > デザイナー をクリックして、Security Operations スポークで利用可能なフローを表示します。
      Security Operations フロー
    • [フィッシングメールをセキュリティインシデントに変換] リンクを選択してフローを表示します。
    • このフローはベースシステムで提供され、 読み取り専用 モードであるため、使用 できません 。
      [その他] アイコン選択し、フローのコピーを作成して開き、使用できるようにします。これで、トリガー条件やアクションの変更、アクションの追加や削除など、フローを 変更 できるようになりました。必要な変更を行った後、フローをアクティブ化 して実行できるようにする必要があります (「参照 セキュリティインシデントレスポンス フローのアクティブ化」)。[フィッシングメールをセキュリティインシデントに変換 (Transform Phishing Email to Security Incidents)] フロー

      この図は、トリガーおよびフローで実行されるステップを示しています。右側のパネルにはデータフローが表示されています。アイコンで選択 ステップを展開して詳細を表示します。

    • トリガーアイコン選択します。
      最初のステップでは、フローのトリガーを定義または設定します。条件が満たされたときに実行されるトリガーとタスクの条件を指定します。このフローは、[新規] レコードが sn_si_phishing_email テーブルにアップロードされると開始されます。変換フロー:トリガー
    • ステップ 1 では、ユーザーから報告されたフィッシングメールのセキュリティインシデントへの変換ページで [集計されたメール送信の子インシデントを作成しますか?] フラグが有効か無効かオンを確認します。
      変換フロー:アクション 1
    • ステップ 2 では、最も古い親セキュリティインシデントを特定します。
      ステップ 2 のアイコンに注目してください。このステップの一部としてフィッシングメール集計サブフローが実行されることを示しています。変換フロー:アクション 2

      アクションデザイナーアイコンを選択して アクションの詳細ビューを表示します。このサブフローはフィッシングメールをチェックし、指定された基準に基づいて既存のセキュリティインシデントと照合します。

      変換フロー:フィッシングメール集計サブフロー
      このサブフローが実行されると、これら 2 つのアクションが実行されます。最初のアクションのリンクで を選択して、追加の詳細を表示します。
      変換フロー:サブフロー:アクション
      このアクションは、次のような条件に基づいて、新しい受信メールの基準に一致するメールをチェックします。これらの条件が満たされると、基準に一致するレコードの数が [結果の最大数] フィールドに表示されます。リスト内の最も古いレコードまたは最初のレコードが、セキュリティインシデントが集計される親レコードとして指定されます。
    • ステップ 3 は、「ユーザーから報告されたフィッシングメールのセキュリティインシデントへの変換」ページの [集計されたメール送信の子インシデントを作成しますか?] フラグが [いいえ] に設定されている場合のみ適用されます。
      この場合、フィッシングメールがセキュリティインシデントレコードに関連付けられ、フローは終了します。
      変換フロー:アクション 3
    • 計されたメール送信の子インシデントを作成しますか? が [はい] に設定され、フローは引き続き実行され、ユーザーから報告されたフィッシングメールに基づいて新しいセキュリティインシデントが作成されます。
      変換フロー:アクション 4
    • ステップ 5 で、フィッシングメールを受信したユーザー (フィッシングメールの [宛先] および [CC] リストに含まれる従業員) が、セキュリティインシデントレコードの [影響を受けるユーザー] 関連リストに追加されます。
      変換フォーム:アクション 4
    • ステップ 6 では、セキュリティインシデントの観測事象のリストから、許可リストに含まれる観測事象がフィルタリングされます。
      これらの許可リストの観測事象は、セキュリティインシデントに追加 されません 。
      変換フロー:許可リストに追加された観測事象をフィルタリングする
    • ステップ 7 では、ユーザーから報告されたフィッシングメールから不明な観測事象が識別され、[観測事象] 関連リストに追加されます。
      変換フロー:観測事象の追加
    • ステップ 8 では、メールの件名と送信元アドレスを組み合わせたメール検索クエリが生成されます。
      この情報は、組織内でフィッシングに引っかかった従業員を特定するのに役立ちます。
      変換フロー:メール検索クエリの作成
    • ステップ 9 では、ユーザーから報告されたフィッシングメールがセキュリティインシデントに関連付けられ、(ステップ 4 で作成された) セキュリティインシデントレコードが更新されます。
      変換フロー:セキュリティインシデントレコードの更新
    • ステップ 10 では、親セキュリティインシデントが特定され、オープンセキュリティインシデントレコードかどうかが確認されます。
      変換フロー:セキュリティインシデントレコードのルックアップ
    • 親セキュリティがアクティブな場合、子と親のセキュリティインシデントレコードに、それらが互いにどのように関連付けられている かを示すメモが 追加されます。
    • ステップ 12 では、影響を受けるユーザーが見つからない場合 (ステップ 5 のフロー)、作業メモが追加され、セキュリティインシデントレコードが更新されます。
      変換フロー:不一致ユーザーの作業メモの追加
    • ステップ 13 では、許可リストに追加された観測事象のリストを含む作業メモが追加されます。
      変換フロー:許可リストに追加された観測事象のリストの追加

    次のタスク

    [ テスト] を選択して、公開前にフロー内のアクションをシミュレートできます。フローをテストした後、[ アクティブ化] を選択してフローをアクティブ化して、実行できるようにします。

    [ 実行 ] を選択して、フローの実行の詳細を表示します。


    変換フロー:実行の詳細

    フローが実行されると、フィッシングメールレコードはセキュリティインシデントに変換されます。「フィッシングメールレコードから作成されたセキュリティインシデントレコード」を参照してください。

    フィッシングメールレコードから作成されたセキュリティインシデントレコード

    sn_si_Phishing_email テーブルに格納されているフィッシングメールレコードは、セキュリティインシデントレコードに変換されます。

    フィッシングメールレコードに関連付けられたセキュリティインシデントを表示するには、 セキュリティインシデント > フィッシングメール > すべてのフィッシングメールを表示.


    フィッシングメールテーブル

    フィッシングメールレコードに関連付けられた [セキュリティインシデント] 列のリンクをクリックします。セキュリティインシデントの詳細が表示されます。


    フィッシングメールレコードに関連付けられたセキュリティインシデント

    関連リスト

    下へスクロールしてセキュリティインシデントの [関連リンク] セクションに移動し、[すべての関連リストを表示] をクリックします。子セキュリティインシデント、影響を受けるユーザー、関連付けられたフィッシングメールなどの詳細を表示します。

    子セキュリティインシデント

    [子セキュリティインシデント] タブをクリックします。適用された集計ロジックに基づいて、親セキュリティインシデントに関連付けられた子セキュリティインシデントのリストを表示できます。追加されたすべての子レコードに対して、自動化システムアクティビティが親レコードに追加されます ([作業メモ] セクション)。これにより、集計された子レコードについてセキュリティアナリストに通知されます。
    注:
    ここで子セキュリティインシデントを表示できるのは、[ユーザーから報告されたフィッシングプロパティ] ページで [集計されたメール送信の子インシデントを作成しますか?] フラグが [はい] に設定されている場合のみです。詳細については、「ユーザーから報告されたフィッシングプロパティの定義」を参照してください。

    関連フィッシングメール

    [関連フィッシングメール] タブをクリックします。親フィッシングメールレコードに関連付けられたフィッシングメールレコード (重複レコード) のリストが表示されます。
    関連フィッシングメールレコード

    関連フィッシングメールヘッダー

    [関連フィッシングメール] タブをクリックします。セキュリティインシデントの一部としてキャプチャされたフィッシングメールヘッダーの詳細が表示されます。親セキュリティインシデントに集計されたすべての子レコードのロールアップされたヘッダーとフィッシングメールレコードを表示できます。
    関連フィッシングメールヘッダー

    許可リスト観測事象

    ユーザーから報告されたフィッシングメールのセキュリティインシデントへの変換フローの実行時、セキュリティインシデントのステータスを監視できます。特定の観測事象が許可リスト観測事象としてマークされている場合、[観測事象] 関連リストに追加 されません 。観測事象を許可リストにマークすることで、重要な詳細のみが表示されるようにすることができます。たとえば、www.google.com が許可リストとしてタグ付けされた URL の 1 つである場合は、次のシステムメッセージが表示されます。許可リスト観測事象により 重要な観測事象のみが監視されます。

    不一致ユーザーのキャプチャ

    フィッシングメールの宛先および CC リスト内の一部のメール ID が組織内のユーザーに属していない場合があります。これらのメール ID は不一致ユーザーとして分類され、[影響を受けるユーザー] 関連リスト に含まれません。これらが不一致ユーザーであることを示す作業メモが表示されます。
    不一致ユーザー

    セキュリティアナリストワークスペースでのユーザーから報告されたフィッシング

    フィッシングメールレコードに関連付けられたセキュリティインシデントはセキュリティアナリストワークスペースに表示できます。

    移動先 セキュリティインシデント > 新しい UI. ワークスペースが別のブラウザータブで開きます。フィッシングメールレコードに関連付けられたセキュリティインシデントを選択して、セキュリティインシデントを表示します。

    双眼鏡アイコンを選択します。元のフィッシングメールが表示されます。

    [ 探索 ] タブで、 選択します インシデント > 子セキュリティインシデント.

    選択 インシデント > 関連フィッシングヘッダー > . 親セキュリティインシデントに集計されたすべての子レコードのロールアップされたヘッダーとフィッシングメールレコードを表示できます。

    フィッシングメールリンクで を選択して、セキュリティインシデントに関連付けられたフィッシングメールレコードを表示します。

    [インシデントタイムライン] タブ選択します。

    以下を示すシステム更新が表示されます。
    • 特定された重複する子レコード。
    • 許可リスト観測事象。
    • フィッシングメールを受信した一方で [影響を受けるユーザー] リストに属していない不一致ユーザー。

    よく寄せられる質問

    このセクションでは、拡張されたユーザーから報告されたフィッシング機能に関してよく寄せられる質問について説明します。

    1. 新しいセキュリティインシデントレスポンススポークをインストールしましたが、ユーザーから報告されたフィッシングインシデントが表示されません。

      デフォルトでは、ユーザーから報告されたフィッシング機能は無効になっています。

      この機能を有効にするには、読み取り専用の ユーザーから報告されたフィッシングメールのセキュリティインシデントへの変換 フローのコピーを作成し、使用する前にアクティブ化する必要があります。

    2. フィッシングメールを取り込んでセキュリティインシデントに変換する際に、フィッシングメール内の悪意のあるリンクや添付ファイルを処理するためにどのような予防措置が使用されますか?

      ServiceNow アンチアンチウイルススキャナーにより、このような悪意のある添付ファイルやリンクがスキャンされます。ただし、セキュリティアナリストがインシデントを正確に調査できるように、セキュリティインシデントレスポンス アプリケーションによってフィッシングメールの一部であるすべてのアーティファクトがキャプチャされます。その一方で、フィッシングメール内の悪意のあるリンクは、セキュリティアナリストが誤ってこれらのリンクをクリックしないように、ユーザーから報告されたフィッシング機能によってミュートされます。悪意のある添付ファイルに関しては、セキュリティアナリストは、それらのダウンロードについて注意する必要があります。

    3. セキュリティインシデント拡張のためにフィッシングメールの一部である悪意のあるファイルはすべてキャプチャされますか?

      はい。フィッシングメールに含まれるファイルはすべてキャプチャされます。これらの詳細は、セキュリティインシデント観測事象の一部としてファイルハッシュの形式で表示できます。

    4. フィッシングメール内の悪意のあるファイルとリンクは調査のためにサンドボックスインスタンスに送信されますか?

      現在、悪意のあるファイルやリンクを調査するためのすぐに使用可能なサンドボックス統合はサポートされていません。

    5. 重複する受信フィッシングメールレコードが親セキュリティインシデントに関連付けられている期間を定義する期間枠またはトリガーはありますか?

      重複するフィッシングメールレコードは、アクティブな親セキュリティインシデントにのみ集計されます。親インシデントがクローズまたはキャンセルされた場合、受信した新しい重複フィッシングメールは新しいセキュリティインシデントとして作成されます。ただし、このシナリオでは、新しいセキュリティインシデント内で、[類似のセキュリティインシデント] 関連リストでクローズまたはキャンセルされた親セキュリティインシデントを表示できます。

      注:
      この動作は、フローデザイナーを使用して構成できます。
    6. ユーザーから報告されたフィッシング機能でメールヘッダーの詳細をキャプチャするために使用がサポートされているのは Microsoft Outlook PhishAlarm プラグイン (旧 Wombat) のみですか?

      ユーザーから報告されたフィッシング機能は、メールヘッダーを解析するためにビルドされ、RFC822 標準に準拠しています。したがって、PhishAlarm プラグイン (旧 Wombat)と同様に、RFC822 標準に基づいてメールヘッダーをキャプチャする他のすべての Microsoft Outlook プラグインがサポートされています。