株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > Microsoft > Office365 と Trend Micro Cloud App Security でより安全なクラウドへ(後編)

Office365 と Trend Micro Cloud App Security でより安全なクラウドへ(後編)

Microsoft

前回はTrend Micro Cloud App Security(以下、TMCAS) の評価導入の

ステップをお伝えしました。



前回記事はこちら↓
Office365 と Trend Micro Cloud App Security でより安全なクラウドへ
(前編)

 

後編となる今回は、TMCASの管理機能の解説と、実際にウィルス検知時に

どのような動作となるか、ご紹介したいと思います。

TMCASの検索方法としては、システムが自動で検索処理を行う「リアル

タイム検索」と管理者が都度実行する「手動検索」方法があります。
 
※無料評価版の制限として「リアルタイム検索」が利用不可となっています。

そのため検知時の処理に関しては「手動検索」による結果を記載しています。

TMCASの基本的な管理はWebコンソールを利用します。

ログインすると最初に以下のようなダッシュボードが表示されます。

ダッシュボードでは、全体の利用状況のグラフ表示などで確認できます。

検知数などのリンクをクリックすると検知ログの一覧などに遷移します。

Dashboard_4

ダッシュボードをはじめ管理コンソールは以下のパーツで構成されています。

・高度な脅威対策

Image7
・情報漏えい対策

Image24
・ログ

Image36
・隔離

Image37

・運用管理

Image38

上記パーツのうち、セキュリティ運用のルール(ポリシー)を設定する箇所が

「高度な脅威対策」と「情報漏洩対策」です。

TMCASではOffice 365 のサービス毎(Exchange、SharePoint、OneDrive

上記2つのポリシーを定義して利用する事になります。


TMCASのテナントを開設した時点でそれぞれ既定のポリシーが構成されて

います。


「高度な脅威対策」は、ウィルス対策、Web および ファイルレピュテー

ションに関するポリシーを定義します。



「情報漏洩対策」は、データ損失保護(DLP)に関わる部分で、マイナンバー

などの個人情報や機密情報の流出保護に関するポリシーを定義します。


1つのサービスにつき複数のポリシーを作成する事が出来ますのでユーザー

グループ単位で異なるポリシーを割り当てることが可能です。


今回は一例として、Exchange Online に対して「高度な脅威対策ポリシー」

紹介したいと思います。

「一般」ではリアルタイム検索の有効/無効、ポリシーの優先度および、

対象のユーザー/グループを指定します。

Image9

「高度なスパムメール対策」では、スパムメール対策の有効/無効を設定し、

検索範囲および検知レベルのルール設定と、検知後の処理、通知の有無を

指定します。   

Image10

Image12

Image13

「不正プログラム検索」では、不正プログラムの検索範囲や機械学習

用いた検索の有効/無効のルール設定と、検知後の処理、通知を指定します。

Image15

 

「ファイルブロック」では、特定の拡張子をもつファイルをブロックする

ルール設定を指定します。

Image17

「Webレピュテーション」では、不審URLに対する検索範囲や検知レベルを

指定します。

Image19

「仮想アナライザ」では、TMCASのサンドボックス処理による振る舞い

検知に関するルールを指定します。


Image21

上記は例として Exchange Online の「高度な脅威対策」ポリシーを見て

きましたが、TMCASによって実際に検知/処理がどのような挙動となるか

試したいと思います。


検知に利用するのはテスト用ウィルスとしてお馴染みの「eicar」を使用

して、、と言いたいところですが、今回は趣向を変えて Office 365の

機能を利用して不審URLを含んだメールによる挙動を試してみたいと

思います。

今回利用するOffice 365の機能は「Office 365 攻撃シミュレーター

(Attack Simulator)」を利用します



ご存知の方もいらっしゃると思いますが、Office 365 攻撃シミュ

レーターは、Office 365 E5プランで提供されており、管理者は

以下に挙げる3つの攻撃シミュレーションを試す事が出来るように

なっています。

スピアフィッシング攻撃
ブルートフォース辞書攻撃
・パスワードスプレー攻撃

Attack
ちなみにこの 攻撃シミュレーター ですが、実行可能なユーザーの前提条件

としてOffice 365の多要素認証(MFA)を有効化する必要があります。

ですので、TMCASから少し脱線しますが Office 365 のMFAおよび攻撃

シミュレーターの手順についても簡単に触れたいと思います。

※既にMFAを利用されている方は、この説明はスキップして下さい。



まず、Office 365管理者ポータルに管理者アカウントでアクセスします。

ユーザー>アクティブなユーザー画面に移動し、ユーザーを選択し

「Azure Mult Fac..」をクリックします。

Image2

多要素認証を有効化するユーザーを選択し、画面右側の「有効」をクリック

します。

Image4

続いて、「multi facter authを有効にする」をクリックします。

Image5
処理が正常終了した旨のメッセージを確認し、「閉じる」をクリックします。

Image6

その後、別のブラウザを立ち上げ、有効化したユーザーでOffice 365ポータル

にアクセスし、いつものようにID、PWを入力します。

Image8

すると追加の認証を求める画面が表示されますので、「今すぐセットアップ

する」をクリックします。

Image11

追加のセキュリティ画面で連絡方法を選択します。

Image12

MFAのパターンとしては、電話への認証コードの送信あるいは通話に応答

するパターンと、「Microsoft Authenticator(以下、Authenticator)

いう専用のモバイルアプリを利用するパターンがあります。


今回はAuthenticator を利用したいので「モバイルアプリ」を選択して

進めます。

Image13

続いてどのような方法で多要素認証を行うかを問われますので、今回は

「確認コードを使用する」を選択し「セットアップ」をクリックします。

Image14


すると画面上にQRコードの表示がされますので、このQRコード

Authenticator アプリで読み取る必要があります。

Image19

Apple Store または Google Play 経由で「Microsoft Authenticator」を

インストールします。(今回、アプリのインストールは割愛します)

インストールしたAuthenticatorを起動後、画面右上の「+」をクリック

します。

Img_50441_2
「職場および会社のアカウント(Work or school account)」をクリック

します。

Img_5045
スキャンを求められますので、画面に表示されているQRコードを読み取る

アカウント情報が追加されます。

Img_50481


これでモバイルアプリ側の設定が完了です。


次回以降、Office 365ログイン時に、ID/PWを入力すると、Authenticator

に表示される6桁の確認コードを都度入力する動作となります。

これでAttack Simulatorを利用する準備が出来ましたので、スピアフィッ

シング攻撃のシミュレーションを実行したいと思います。


攻撃シミュレーターの詳細は以下も併せてご確認下さい。


攻撃 Simulator (Office 365)
https://support.office.com/ja-jp/article/%E6%94%BB%E6%92%83-Simulator-Office-365-da5845db-c578-4a41-b2cb-5a09689a551b?wt.mc_id=O365_Portal_MMaven

まず、Office 365管理ポータルにアクセスし、「管理センター」>「セキュ

リティ」を選択します。

Image1

「脅威の管理」>「攻撃シミュレーター」をクリックします。

Image3

スピアフィッシングの「攻撃の開始」をクリックします。

Image4_2

「Use Template」クリックします。

Image5_2

するとテスト用に「プレゼントの当選」「給与計算の更新」といった2つの

テンプレートが選択出来ますので、今回は「経費精算」を利用したいと

思います。

Image7


続いて、攻撃対象となるターゲットユーザーを指定して「次へ」をクリック

します。

Image12_2
実際に通知される差出人や件名、不審URLなどを指定して「次へ」をクリック

します。

Image13_2

必要に応じてメール文面等も加筆修正し、「次へ」をクリックします。

Image16

最後に「完了」をクリックします。

Image17

ここまでの手順でフィッシングメールがユーザーに通知された事になります。

それではTMCASによる処理の状態を見てみたいと思いますが、冒頭にも

お伝えしたように今回は無料評価版を利用した内容となりますので

手動検索のみが利用可能となっています。

そのため、今回はTMCAS管理コンソールから「手動検索」を実施し、

フィッシングメールどのように処理されるかを確認したいと思います。

TMCAS管理コンソールにアクセス、「高度な脅威対策」に移動します。

Image1_2

「初期設定のExchange ポリシー - 高度な脅威対策」の左端にあるチェック

を付け「手動検索」をクリックします。

Image3_2

検索内容を確認し、ここでは既定のままで[実行]をクリックします。

Image4_3

OWAからメールボックスにアクセスしてみると、フィッシングメール

すでに削除されており、またTMCASが削除処理を実行した旨のシステム

メッセージが表示されています。


Mail

今度は、TMCASの管理コンソールから検知ログの状態を確認してみま

しょう。

すると、 ログにもWebレピュテーションによってメールメッセージが削除

処理されたログが確認出来ました。

Log
今回は評価版という事もあり、手動検索で検知・処理される様子を紹介し

ましたが製品版であればメール受信後すぐにリアルタイム検索で検知される

動作となります。

このようにTMCASは、Office365 のセキュリティ と組み合わせて様々な

脅威に対して対処可能である事がお分かり頂けたと思います


2回にわたってTMCASの解説をしてきましたが如何でしたでしょうか。

是非、TMCASでより安全に快適な Office 365 環境を実現頂ければと

思います。

今回も最後まで読んで頂きありがとうございました!

記事投稿者:津久井