概要

セキュリティインシデントアナリストがセキュリティアナリストインターフェイスから統合を実行すると、ワークフローは検索条件に一致するメールメッセージの詳細を返します。メール検索は、件名、送信者や受信者のメールアドレスを含む条件に基づいています。メール検索の完了後、Microsoft Exchange Online サービスから不審なメールを削除できます。また、メールを削除する前に承認を要求するように、オプションの承認プロセスを設定できます。

このメール検索と削除の統合は、より広範なフィッシング対応インシデントワークフローまたは Runbook で使用できます。企業ユーザーまたは従業員が不審なメールを受信し、それを会社のフィッシング応答チームまたは受信ボックスに報告すると、報告されたメールが Now Platform に転送され、セキュリティインシデントとして分類されます。メールがフィッシング攻撃であることを確認した後、フィッシングインシデントの調査を担当するアナリストは、メール検索を開始して、他の企業ユーザーがこのフィッシングメールを受信したかどうかを判断できます。検索を実行することで、同じフィッシングキャンペーンからの関連メールを特定できます。また、フィッシングメールを受信して閲覧し、悪意のある URL をクリックしたり添付ファイルを開いたりした可能性がある他の被害者を特定できます。

主な機能

この統合の主な機能は次のとおりです。

• メールメッセージの送信者、受信者、件名の各フィールドの組み合わせに基づいて、 セキュリティインシデントレスポンスでフィッシング脅威の検索条件を設定します。
• 大規模で時間がかかるメール検索の場合、検索が正常に完了したときに、一致したメッセージの件数とともにセキュリティインシデントアナリストにメールで通知されます。
• 個々のメッセージのステータスから、受信者が不審なメールを閲覧したか削除したかを判断できます。
• オプションの承認プロセスを設定すると、事前の承認がないと不審なメールを削除できなくなります。
• 削除されたメールの件数を含む、削除要求の完全な監査記録がセキュリティインシデントの作業メモに記録されます。
• タグ付けが設定されている場合、セキュリティインシデントに関するメールの検索と削除のワークフローがいつ開始され、いつ正常に完了したかがセキュリティタグに記録されます。

サポートされている Microsoft Exchange Online のバージョン

この統合は、Microsoft Office 365 スイートの一部である Microsoft Exchange Online サービスをサポートしています。ホストされた Microsoft Exchange 環境はサポートされません。Microsoft は、Microsoft Exchange Online サービスを Exchange 2016 バージョンで実行しています。

必須条件

com.snc.si_dep プラグインは、どの Now Platform バージョンにも必要です。このプラグインは、セキュリティインシデントレスポンス 製品をサポートするために必要なすべての依存関係を自動的にインストールします。他の Security Operations アプリケーションをインストールしてアクティブ化する前に、このプラグインをインストールしてアクティブ化します。

統合アーキテクチャとシステム接続

重要な用語や外部システム接続の詳細など、統合のアーキテクチャの詳細については、「Microsoft Exchange Online 統合の統合アーキテクチャと外部システム接続」を参照してください。

チェックリスト

次のトピックには番号が付けられています。アプリケーションのインストールと設定をスムーズに行えるように、以下のトピックを記載されている順に実行してください。

これらの手順の印刷可能なチェックリストについては、「Microsoft Exchange Online 統合のチェックリスト」を参照してください。このリストを使用して、進捗を監視しながら、統合のセットアップ、設定、結果の検証のタスクをエンドツーエンドで進めることができます。