Office 365 のメール保護レポートによるマルウェア、スパム、ルールの検出に関するデータ表示

Exchange Online
 

適用先:Exchange Online, Exchange Online Protection

トピックの最終更新日:2016-12-09

Exchange Online 管理者または Exchange Online Protection (EOP) 管理者の場合、スパムおよびマルウェアの検出数や、メール フロー ルール (トランスポート ルールとも呼ばれる) が一致する頻度をモニターしたいということがよくあります。Office 365 管理センター で対話形式のメール保護レポートを使用すると、概要データに関する視覚的なレポートをすばやく取得し、過去 90 日間の各メッセージの詳細を確認できます。

Office 365 のメール保護レポート


このトピックには、以下の情報が含まれています。

特定のメール保護レポートをカスタマイズして、送信者および受信者、または特定のドメインでフィルターを適用することができます。受信トレイに自動的に送信されるメール レポートをスケジュールすることもできます。その方法については、「自動的に受信トレイに送信されるように Office 365 のメール保護レポートをカスタマイズしスケジュールする」を参照してください。

Office 365 管理センター の [レポート] ページから以下のメール保護レポートにアクセスできます。

 

レポート 説明

上位送信者および受信者

選択したレポートの種類に応じて、以下の情報が表示されます。

  • 上位メール受信者 – メール全体の上位 10 人の受信者。

  • 上位メール送信者 – メール全体の上位 10 人の送信者。

  • 上位スパム受信者 – スパムの検出数に関する上位 10 人の受信者。

  • 上位マルウェア受信者 – マルウェアの検出数に関する上位 10 人の受信者。

メールの上位マルウェア

送受信メールにおける上位 10 個のマルウェアを表示します。

マルウェア検出

マルウェア アクションが適用される前に送受信メールで検出されたマルウェアの数を表示します。グラフ上のポイントを選択すると、マルウェアがフィルター処理されたそれぞれのメッセージの詳細情報を表示できます。

スパム検出

送受信メールでどのようなスパムが検出されたかを以下のスパム フィルターの種類別にグループ化して示します。

  • フィルター処理されたコンテンツ - スパムと一致するメッセージ特性が原因でスパムとして認識されたメール。

  • ブロックされた SMTP - 送受信フィルターに基づいて、サービスを開始する前にブロックされたメール。

  • ブロックされた IP - IP 評価に基づいて、サービスを開始する前にブロックされたメール。

既定では、すべてのメッセージが含まれます。このレポートの詳細を変更して、特定の送信者または受信者にフィルターを適用するか、*@domain を使用して 1 つのドメインのレポートを取得することができます。その方法については、「自動的に受信トレイに送信されるように Office 365 のメール保護レポートをカスタマイズしスケジュールする」を参照してください。

グラフ上のポイントを選択すると、コンテンツがフィルター処理されたそれぞれのメッセージの詳細情報を表示できます。

送信メールと受信メール

トラフィック種類別にグループ化された送受信メールを表示します。

  • 正常なメール – スパムまたはマルウェアとして認識されなかった受信メール。

  • スパム - スパムとして認識されたメッセージ。

  • マルウェア - マルウェアを含んだメッセージ。

  • メール フロー ルール (トランスポート ルールとも呼ばれる) - 最低 1 つのルールと一致したメッセージ。

既定では、すべてのメッセージが含まれます。このレポートの詳細を変更して、特定の送信者または受信者にフィルターを適用するか、*@domain を使用して 1 つのドメインのレポートを取得することができます。その方法については、「自動的に受信トレイに送信されるように Office 365 のメール保護レポートをカスタマイズしスケジュールする」を参照してください。

個々のメッセージの詳細情報は表示できません。

なりすましメール レポート

Office 365 Enterprise E5 を使用しているお客様、または Advanced Threat Protection (ATP) ライセンスを購入したお客様に対して、このグラフには、貴社の受信メールが示されます。ここで、送信元は貴社を表しているようですが、実際の送信元 ID は異なります。これは、“インサイダー スプーフィング” と呼ばれます。

組織では、スプーフィングを良い目的のため意図的に使用するかもしてませんが、スプーフィングの種類によっては悪意のあるものも存在します。このレポートには、貴社が受信したスプーフィング メールの両方の種類が含まれ、送信元からの追加のメールを許可またはブロックするための操作を実行するのに役立ちます。たとえば、サード パーティと契約して、会社のイベントの招待メールを従業員全員に送信する場合、このメールはレポートに [非スパム] または [正常なメール] として表示されます。Office 365 は、会社から悪意のある方法で送信されたメールを検出し、[スパムとして検出] とラベル付けされます。

詳細ビューを表示するには、特定の日のグラフのデータ ポイントをクリックします。表示回数は、次の属性に基づいて集計されます。

  • 偽の送信者 – 貴社からのもののように表示される送信者の表示名。

  • 本物の送信者 – 登録済みの IP アドレスに関連付けられている実際の送信者。このブランクが空白の場合、DNS レコードが Office 365 によって調査されたときに送信者のドメインが検出されなかったことを意味します。

  • 送信者の IP – なりすましメッセージの送信者に関連付けられている IP アドレスまたはアドレスの範囲。

  • イベントの種類 – なりすましメッセージがスパム (スパムとして検出) として、または非スパム (正常なメール) としてマークされたか。

[IP 拒否一覧または IP 許可一覧に追加する] を選択して、今後この IP アドレスから送信されるメールをブロックまたは許可できます。IP アドレスが安全なドメインに属することがわかっている場合にのみ、それらのアドレスを [許可一覧] に追加します。

 

レポート

説明

メールの上位ルール一致

送受信メールで最もよく一致したメール フロー ルールの上位 10 個を示します。

メールのルール一致

メール フロー ルールの一致数を、ルール重大度別にグループ化して示します。グラフ上のポイントを選択すると、それぞれのメッセージの詳細情報を表示できます。

既定では、すべてのメッセージが含まれます。このレポートの詳細を変更して、特定の送信者または受信者にフィルターを適用するか、*@domain を使用して 1 つのドメインのレポートを取得することができます。その方法については、「自動的に受信トレイに送信されるように Office 365 のメール保護レポートをカスタマイズしスケジュールする」を参照してください。

 

レポート

説明

メールの上位 DLP ポリシー一致

送受信メールで最もよく一致したデータ損失防止 (DLP) ポリシーの上位 10 個を示します。

メールの上位 DLP ルール一致

送受信メールで最もよく一致した DLP ルールの上位 10 個を示します。

メールの重大度別 DLP ポリシー一致

メールの DLP ポリシー ルールの一致数を、重大度別にグループ化して示します。グラフ上のポイントを選択すると、それぞれのメッセージの詳細情報を表示できます。

メールの DLP ポリシーの一致、上書き、および誤検知の数

DLP ポリシーの一致数、(DLP が一致するにもかかわらずユーザーがメールを送信した) 上書き数、(DLP 一致が正しくないとユーザーが報告した) 誤検知数を表示します。グラフ上のポイントを選択すると、それぞれのメッセージの詳細情報を表示できます。

メモメモ:
DLP 機能は、特定の Exchange Online と EOP のサブスクリプション プランでしか利用できません。各プランで利用可能な DLP 機能の詳細については、「Exchange Online サービスの説明」および「Exchange Online Protection サービスの説明」のデータ損失防止の表の項目を参照してください。

  • この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。

    • Exchange Online 管理者が Office 365 管理センター レポートを表示するには、"グローバル管理者" Office 365 管理者の役割と、「Exchange Online の機能アクセス許可」の「レポートの表示」エントリに列挙された Exchange 管理者の役割が必要です。

    • EOP 管理者が Office 365 管理センター レポートを表示するには、"グローバル管理者" Office 365 管理者の役割と、「EOP の機能アクセス許可」の「レポートの表示」エントリに列挙された Exchange 管理者の役割が必要です。

  • データが使用可能になるタイミングと期間の詳細については、「Exchange Online Protection でのレポート作成とメッセージ追跡」の「レポート機能とメッセージ トレース データの使用可能性と遅延」を参照してください。

  • 経過期間が 7 日を超えるメッセージに関する詳細レポートを実行する場合、レポートはダウンロード可能な .csv ファイルとして使用でき、Excel などのアプリケーションで開くことができます。

  • Exchange メール保護レポートは、リモートの Windows PowerShell からもアクセスできます。Exchange Online レポート コマンドレットの完全なリストについては、「Exchange Online のレポート作成のコマンドレット」を参照してください。

ヒントヒント:
問題がある場合は、Exchange のフォーラムで質問してください。次のフォーラムにアクセスしてください。Exchange ServerExchange Online、または Exchange Online Protection

[送信メールと受信メール] レポートなどのメール保護レポート リンクをクリックすると、新しいウィンドウが開き、概要情報が示された対話式のチャートが表示されます。

送受信メール レポート

概要データ: 該当する日付範囲を選択できます。最長で 90 日間の概要データを表示できます。グラフの右側にあるシリーズのスライサーを変更すると、特定の基準と一致するメッセージだけを表示するように変更できます。例えば、スパム メッセージ以外のすべてのメッセージを表示するには、[スパム] スライサー オプションのチェックを外します。一部のレポートにはグラフ上にパラメーターがあり、基準をさらに絞り込むことができます。レポートとそのパラメーターの情報については、レポートのタイトルの隣にある情報リンクにカーソルを置きます。

詳細データ: レポートによっては、グラフ内の特定のデータ ポイントをクリックすると詳細なメッセージ データが使用できます。ポイントを選択すると、グラフの下にある表にメッセージ詳細が表示されます。1 ページに表示可能なレコード数を超える場合には、詳細メッセージをページ移動できます。それぞれの詳細情報には、以下が示されます。

  • メッセージの送信日付。

  • メッセージの送信者と受信者 (1 行あたりに 1 人の受信者のみ)。

  • メッセージのヘッダーにあるメッセージ ID (通常、次のような形式になります。<08f1e0f6806a47b4ac103961109ae6ef@server.domain>)。

  • メッセージの件名行のテキスト。

レポートの種類によっては、スパム イベントの種類、一致するメール フロー ルール、ルールに関連するアクションなどの情報が含まれる追加フィールドを表示できます。

以下の図は、詳細データが表示されている [スパム検出] レポートを示しています。

スパム検出レポート
メモメモ:
詳細情報の数は、概要数によって異なります。それぞれのレポートには、詳細レコード数の算出方法についての説明が記されています。
ヒントヒント:
[テーブルの表示] リンクをクリックすると、グラフではなくテーブルにデータが表示されます。ただし、テーブル表示の場合にはメッセージ詳細を確認することはできません。

経過期間が 7 日を超えるメッセージの詳細データをダウンロードできます。これはグラフの中で背景色がグレーの領域によって示されます。概要グラフで経過期間が 7 日を超えるデータ ポイントを選択すると、ページ下部に [このレポートを要求します] リンクが表示されます。

経過期間が 7 日を超えるスパム検出

[このレポートを要求します] リンクをクリックすると、新しいページに通知情報が表示され、対象の要求をさらにフィルターに掛けることができます。

要求レポートのパラメーター

以下のパラメーターを指定できます。

  • [開始日時] および [終了日時] レポート対象データの日付範囲を指定します。終了日時は最低 24 時間前でなければなりません。

  • [配信状態] リストを使用し、情報を表示するメッセージの状態を選択します。すべての状態を対象にするには、既定値 [すべて] のままにします。その他の値は次のいずれかです。

    • [配信済み] メッセージは、意図した宛先に正常に配信されました。

    • [失敗] メッセージは配信されませんでした。配信を試行して失敗したか、フィルター サービスによって実行されたアクションの結果としてメッセージが配信されなかったかのいずれかです。例えば、メッセージにマルウェアが含まれると判別された場合です。

    • [展開済み] メッセージが配布リストに送信されてリストが展開されるため、リストの個々のメンバーを確認できます。

  • [メッセージ ID] メッセージのヘッダーに「メッセージ ID:」トークンで表示されるインターネット メッセージ ID (クライアント ID とも呼ばれます)。ユーザーからこの情報を提供してもらい、特定のメッセージを調査できます。

    この ID の形式は、送信側のメール システムによって異なります。例を次に示します。<08f1e0f6806a47b4ac103961109ae6ef@server.domain>。

    メモメモ:
    完全なメッセージ ID 文字列を含める必要があります。メッセージ ID には、山かっこ (<>) が含まれる場合もあります。

    この ID は一意ですが、ID を生成する送信側メール システムによって異なり、すべての送信側メール システムが同じように動作するわけではありません。その結果、1 つのメッセージ ID でクエリを行っているときに、複数のメッセージの結果が表示される可能性があります。

  • [元のクライアント IP アドレス] 送信元のクライアントの IP アドレスを指定します。

  • [レポートのタイトル] このレポートの一意識別子を指定します。これは電子メール通知の件名テキストとしても使用されます。既定は、「<レポートの種類>詳細レポート<曜日>、<現在の日付> <現在の時刻>」です。次に例を示します。「スパム詳細レポート 木曜日、2014 年 2 月 27 日 7:21:09 AM」。

  • [通知メールのアドレス] レポート要求が完了したときに通知を受信するメール アドレスを指定します。このアドレスは、承認済みドメインの一覧に常駐する必要があります。

[送信] をクリックしてレポート要求を送信します。24 時間を超えて実行可能なレポート数はレポートの必要を十分満たすものでなければなりませんが、24 時間を超えて実行できるレポート数のしきい値に近づくと、警告が表示されます。

[送信] ボタンをクリックすると、レポート要求が正常に送信されたこと、および要求完了時にメール通知が対象メール アドレスに送信されること (メール アドレスを指定した場合) を示すメッセージが表示されます。レポート要求が完了するまでに数時間かかる場合もあります (要求が処理され、検索条件に一致するデータの取得に成功した場合、この通知メッセージには、レポートに関する情報とダウンロード可能な .CSV ファイルへのリンクが含まれます。指定した検索条件に一致するデータが見つからなかった場合は、有効な結果を得るために条件を変更して新しい要求を送信するように通知されます)。

レポート要求の状態を表示するには、メイン ページにある [保留中または完了した要求を表示します] リンクをクリックできます。クリックすると、[保留中または完了した要求] ページが開きます。

保留中または完了した要求

[保留中または完了した要求] ページを使用すると、送信した要求の状態が表示されます (レポート要求に加えて、送信したメッセージ追跡要求も一覧表示されます)。このページから、保留中の要求をキャンセルしたり、完了したレポートをダウンロードしたりできます。

要求の一覧は、任意の列見出しをクリックするとソートできます。一覧には、レポートのタイトル、要求の送信日時、レポートに含まれるメッセージ数に加えて、状態に関する以下の値が表示されます。

  • [未開始] 要求は送信されましたが、まだ実行されていません。この時点で、要求を取り消すこともできます。

  • [取り消し済み] 要求は送信されましたが、取り消されました。

  • [進行中] 要求を実行中であるため、要求の取り消しもレポートのダウンロードもできません。

  • [完了] 要求が完了し、[このレポートをダウンロード] をクリックして結果を .CSV ファイルとして取得できます。1 つのレポートの結果が 5,000 メッセージを超えると、5,000 メッセージに切り捨てられます。必要な結果がすべて表示されない場合は、検索を複数のクエリに分けて行うことをお勧めします。

特定のレポートを選択すると、右側のウィンドウに追加情報が表示され、そのレポートに指定した検索条件が示されます。

メモメモ:
レポートは 10 日後に自動的に削除されます。それらを手動で削除することはできません。

重要重要:
ダウンロードしたメール保護レポートおよびメール フロー ルール レポートを表示するには、自分の役割グループに "View-Only Recipients" (表示専用受信者) 役割が割り当てられている必要があります。既定では、次の役割グループにこの役割が割り当てられています。Compliance Management (コンプライアンス管理)、Help Desk (ヘルプ デスク)、Hygiene Management (検疫管理)、Organization Management (組織管理)、View-Only Organization Management (表示専用組織管理)。ダウンロードした DLP レポートを表示するために必要な役割は "Data Loss Prevention" (データ損失防止) です。既定では、この役割は Compliance Management (コンプライアンス管理) 役割グループのみが使用可能です。

[保留中または完了した要求を表示します] ページまたは通知メールのいずれかからダウンロードすると、Microsoft Excel などのアプリケーションで開いて表示できます。

それぞれの種類のレポートには、各メッセージに関する以下の情報が含まれています。

  • origin_timestamp  サービスがメッセージを受信した日時を設定した UTC タイム ゾーンで示します。

  • sender_address  送信者の電子メール アドレスを alias@domain の形式で示します。

  • recipient_address   メッセージの受信者。

  • message_subject   メッセージの件名のテキスト。必要に応じて、最初の 256 文字までに切り捨てられます。

  • total_bytes   添付ファイルを含むメッセージのサイズをバイト単位で示します。

  • message_id   メッセージのヘッダーに「メッセージ ID:」トークンで表示されるインターネット メッセージ ID (クライアント ID とも呼ばれます)。この形式は、送信側のメール システムによって異なります。次に例を示します。<08f1e0f6806a47b4ac103961109ae6ef@server. domain>

    この ID は一意ですが、ID を生成する送信側メール システムによって異なり、すべての送信側メール システムが同じように動作するわけではありません。その結果、1 つのメッセージ ID でクエリを行っているときに、複数のメッセージの結果が表示される可能性があります。

  • network_message_id   メッセージのすべてのコピーに共通する一意のメッセージ ID です。メッセージのコピーはメッセージの分割や配布グループの展開により作成される場合があります。例えば、1341ac7b13fb42ab4d4408cf7f55890f のような値です。

  • original_client_ip   送信者のクライアントの IP アドレス。

  • directionality   このフィールドは、組織への受信 (1) メッセージであるか、組織からの送信 (2) メッセージであるかを示します。

スパム検出メッセージに関するレポートには、以下のフィールドも含まれます。

  • event_type   スパム フィルターの種類を示します。

    • [フィルターされたコンテンツ]  コンテンツが原因でメッセージがスパムと識別されました。

    • [ブロックされた SMTP]  送受信者フィルターに基づいて、サービスが実行される前にメッセージがブロックされました。

    • [ブロックされた IP]  IP 評価に基づいて、サービスが実行される前にメッセージがブロックされました。

  • scl   各種の SCL 値およびその意味については、「Spam Confidence Level」を参照してください。

  • country   メッセージの発信元の国または地域 (分かる場合)。

  • language   メッセージが記されている言語コード (例えば、en はメッセージが英語で記されていることを示します)。

  • helo string   接続メール サーバーの HELO ストリングまたは EHLO ストリング。

  • reverse_dns   送信 IP アドレスの PTR レコード (逆引き DNS アドレスとも呼ばれます)。

マルウェア検出メッセージに関するレポートには、以下のフィールドも含まれます。

  • event_type   これは必ず [マルウェア] になります。

  • filename   マルウェアが含まれていたファイル名。

  • malware_name   検出されたマルウェアの名前。

メール フロー ルールと一致するメッセージに関するレポートには、以下のフィールドも含まれます。

  • ruleid   一致したルール ID。例えば、368067fd-c36c-4b56-9f38-08d0ffcf8b23 などです。各ルールには、固有の ID があります。この値は、リモートの Windows PowerShell を介して取得できます。

  • action   適用されたアクション。使用可能なアクションの一覧については、「Exchange Online でのメール フロー ルールの処理」を参照してください。

  • severity   一致したルールの監査重大度。

  • set_time   ルールの一致が発生した日時 (UTC)。

  • mode   ルールのモード。使用可能な値は次のいずれかです。

    • [強制]   ルールにおけるすべてのアクションが適用されます。

    • [ポリシー ヒントありのテスト]   ポリシー ヒント アクションが送信されますが、他の強制アクションは実行されません。

    • [ポリシー ヒントなしのテスト] アクションがログ ファイルにリストされますが、送信者には通知されず、強制アクションは実行されません。

DLP ルールと一致するメッセージに関するレポートには、以下のフィールドも含まれます。

  • [dlpid]   一致した DLP ポリシー ID。各ポリシーには、固有の ID があります。この値は、リモートの Windows PowerShell を介して取得できます。

  • sender_override エンド ユーザーがルールの上書きまたは誤検知を報告しました。

  • Sender_just   エンド ユーザーがデータ分類を上書きする正当な理由を提供するテキスト。

  • dcid   一致したデータ分類の ID。

  • dc_count   一致したデータ分類の数。

  • dc_count   一致したデータ分類の信頼レベル。信頼レベルについての詳しい説明については、「機密情報のルール パッケージの作成」の「エンティティ ルール」を参照してください。

メモメモ:
メール フロー ルール レポートに関して以前に定義した [ruleid][action][severity][set_time][mode] の各フィールドは DLP レポートにも表示されます。
 
表示: