kazuakix の日記

Windows Phone とか好きです

Office 365 の ATP (Advanced Threat Protection) を使ってみる

 この記事は Office 365 Advent Calendar 2017 の 5 日目の記事です。

Advanced Threat Protection とは

 一昨年の日本年金機構の情報流出事件以降、標的型攻撃に対する対策が求められるようになりました。特に公共系ではメール添付ファイルなどをサンドボックスで実際に実行してみて確認することが (ほぼ) 必須になるなど、セキュリティに対する関心は高まっています。

 Office 365 では Exchange Online Protection (EOP) によるメール保護の他に Advanced Threat Protection (ATP) により、未知のマルウェアやゼロデイ攻撃などの高度な攻撃に対する保護をおこなう事ができます。

ATP の機能

 ATP には以下の機能が含まれています。

リンク保護
ATP リンク保護機能は、メッセージ内の悪質なハイパーリンクから予防的にユーザーを保護します。リンクをクリックした後も保護は毎回継続し、悪意のあるリンクは動的にブロックされ、適切なリンクにはアクセスできます。


添付ファイル保護
添付ファイル保護は、未知のマルウェアやウイルスから保護し、メッセージング システムを保護するゼロデイ保護を提供します。既知のウイルス/マルウェア署名がないすべてのメッセージと添付ファイルは、ATP がさまざまな機械学習および分析テクノロジを使用して悪意を検出する特別な環境にルーティングされます。不審な動作が検出されないと、メッセージが解放されてメールボックスに配信されます。


スプーフィング インテリジェンス
ある送信者が組織のドメインのいずれかに属する 1 つ以上のユーザー アカウントに代わってメールを送信していると思われる場合、スプーフィング インテリジェンスはそのことを検出します。こうして、そのドメインになりすましているすべての送信者を確認し、送信者に続行を許可するか、それとも送信者をブロックするかを選択できます。スプーフィング インテリジェンスは、セキュリティ/コンプライアンス センターの [スパム対策設定] ページで使用できます。


検疫
スパム、バルク メール、フィッシング詐欺メール、マルウェアを含んだメールとして Office 365 サービスが識別したメッセージや、メール フロー ルールに一致しているために Office 365 サービスが識別したメッセージは、検疫に送ることができます。既定では、Office 365 は、フィッシング詐欺メッセージとマルウェアを含むメッセージを検疫に直接送信します。許可されているユーザーは、検疫に送信された電子メール メッセージを確認、削除、管理できます。


高度なフィッシング詐欺対策機能
この機能は、フィッシング詐欺メッセージを検出するために、機械学習モデルを使用します。


Office 365 Advanced Threat Protection サービスの説明 より

 

EOP と ATP の違い

 EOP との機能比較です。EOP ではメッセージの検疫のみがおこなわれていて、それ以外はすべて ATP だけの機能になります。

機能 EOP ATP
リンク保護 いいえ はい
添付ファイル保護 いいえ はい
スプーフィング インテリジェンス いいえ はい
検疫 はい はい
高度なフィッシング詐欺対策機能 いいえ はい

 

ATP の購入

 ATP は 月額 220 円で Office 365 のオプションとして購入できます。サンドボックスなどの専用機が数千万レベルで販売されていることを考えると相当に購入しやすい価格設定なのではないでしょうか。

f:id:kazuakix:20171202215921p:plain

 尚、Office 365 Enterprise E5 と Office 365 Education A5 では標準で ATP を使うことができます。やったね。
 

ATP を試してみる

 それでは、早速 ATP を試してみます。

 ライセンスを購入して、使用したいユーザーに割り当てる訳ですが、ATP による保護を動かすためには、追加で設定をおこなう必要があります。
 

リンク保護の設定

 設定をするために管理センターから Security & Compliance を開き、脅威の管理 - ポリシー の画面から ATP の安全なリンク を開きます。

f:id:kazuakix:20171203095650p:plain

 安全なリンクでは上段の 組織全体に適用されるポリシー特定の受信者に適用されるポリシー の2か所を設定します。

f:id:kazuakix:20171203095708p:plain

 まずは 組織全体に適用されるポリシー です。標準で Default という名前のポリシーが定義されているので、鉛筆アイコンを押して編集します。

f:id:kazuakix:20171203093749p:plain

 動作確認のために 次の URL をブロックする の欄に動作確認用の URL を追加しました。その他の 電子メール以外のコンテンツに適用される設定 はすべてオンにしました。

 続いて、下段の 特定の受信者に適用されるポリシー で+アイコン押してポリシーを新規作成します。

 ポリシー名、概要を適当に埋めて、 不明で悪意がある可能性がある URL がメッセージに含まれる場合の対処法 をオンに、安全な添付ファイル機能を使用して、ダウンロード可能なコンテンツをスキャンしますユーザーに安全なリンクから元の URL へのクリックスルーを許可しません のオプションもオンにしました。

f:id:kazuakix:20171203093759p:plain

 更に画面下方にある適用先欄で、受信者のドメインとして自分のドメインを指定します。

f:id:kazuakix:20171203100431p:plain

リンク保護を試してみる

 外部からメールで先ほど設定した確認用の URL を送信してみます。

f:id:kazuakix:20171203100742p:plain

 ブラウザで開いてみると、この通り警告画面が表示されました。

f:id:kazuakix:20171203100854p:plain

 この時、URL 欄を見ると https://jpn01.safelinks.protection.outlook.com/ に書き換えられていることがわかります。ここでリンク先のチェックがおこなわれ、悪意のあるリンク先への接続を防いでくれます。また、今回はユーザーに安全なリンクから元の URL へのクリックスルーを許可しませんのオプションをオンにしているのでページを閉じる以外の事はできなくなっています。

 もちろん、PC だけでなくスマートフォンで開いた場合も同様です。

f:id:kazuakix:20171203101352p:plain
 

添付ファイル保護の設定

 先ほどのポリシー画面から ATP の安全な添付ファイル を開き、+アイコン押してポリシーを新規作成します。

f:id:kazuakix:20171203102441p:plain

 こちらもポリシー名と概要は適当に埋めます。安全な添付ファイルに不明なマルウェアが検出された場合の対応動的配信 とし、検出時のリダイレクト先として管理者(自分)のアドレスを指定、適用先に自ドメイン全体を指定しました・

f:id:kazuakix:20171203104358p:plain

f:id:kazuakix:20171203104426p:plain

添付ファイル保護を試してみる

 この状態で自分宛に適当なメールを送ってみると、受信後すぐは添付ファイルが  ATP Scan In Progress というメッセージに置き換わっています。

f:id:kazuakix:20171203104829p:plain

 この状態からしばらくして添付ファイルに問題が見つからなければ、メールの添付ファイルとして表示されるようになります。

 実際に動作したところを確認しようと、他のアカウントに来た不審メールをいくつか転送してみたのですが、今のところすべて EOP で防いでくれていました。ATP が真価を発揮するまでもうしばらく見守ってみようと思います。
 

 以上、Office 365 Advent Calendar 2017 の 5 日目でした。明日は @sophiakunii さんです。よろしくお願いします!

Windows 10 Mobile でビジネス向け Microsoft ストアに接続してみる

 この記事は Windows 10 Mobile Advent Calendar 2017 の 2 日目の記事です。

 Windows 10 Mobile では Microsoft アカウントの他に Office 365 などで使用している Azure AD アカウントを使用することができます。こうする事で専用のストア (ビジネス向けストア) を使用することができるようになります。
 
ビジネス向けストアを使うには以下の前提条件が必要になります。

  • PC またはモバイル デバイスで実行される Windows 10 バージョン 1511
  • ご家庭または職場の Azure AD

 

ビジネス向けストアへのサインインとアプリの登録

 https://www.microsoft.com/business-store にアクセスし、Azure AD アカウント (Office 365 のアカウントで可) でサインインします。

f:id:kazuakix:20171201230611p:plain
 
 サインインできたら、ストアの検索 または表示されているカテゴリから必要なアプリを探して入手します。

f:id:kazuakix:20171201230908p:plain

 入手後、メニューの 管理 - 製品とサービス - アプリ の欄で、入手したアプリの右端 ... メニューを表示して、プライベート ストアに追加 を実行しておきましょう。

f:id:kazuakix:20171201231131p:plain

 アプリの追加には 36 時間ほどかかるそうですので、気長に待ちましょう。
 

Windows 10 Mobile をセットアップする

 ビジネス向けストアにアクセスするために、Azure AD アカウントを追加します。Windows 10 Mobile では Microsoft アカウントではなく Azure AD アカウントをプライマリアカウントとして使用することもできます。今回は、初期セットアップの段階から Azure AD アカウントを使ってみました。

 初期セットアップ時に 職場用に設定します を選び、Azure AD アカウントでサインインします。

f:id:kazuakix:20171201232408p:plain

f:id:kazuakix:20171201232524p:plain

f:id:kazuakix:20171201232541p:plain
 
 セットアップ後にストアを表示すると、カテゴリの中に自分の組織名が表示されているのが確認できます。

f:id:kazuakix:20171201233426p:plain

 ここに、上記の管理画面で追加したアプリが表示されるはずなのですが、今回は時間不足で表示されるところまで進みませんでした。もう少し様子を見てみます。
 
 この状態では、Microsoft アカウントを追加することで、通常のストアからもアプリをダウンロードすることができます。次のステップとして、MDM などを使ってビジネス向けストアのみを表示させる事もできます。

 こちらについても、また機会があれば試してみたいと思います。
 

目指せ完走

 という訳で、Windows 10 Mobile Advent Calendar はまだまだ続きます (Windows Phone 自体もね!) 。明日は @bmwandmore さんです。よろしく!

OneDrive 同期クライアントを使ってネットワーク フォルダを同期させる

 OneDrive 同期クライアントを使ってネットワーク フォルダを同期させます。

 同期クライアントのセットアップ中に 場所の変更 でネットワークフォルダを指定しても、「選択した場所に OneDrive フォルダーを作成することができません」 というエラーになります。

f:id:kazuakix:20171125154859p:plain

f:id:kazuakix:20171125154938p:plain
 
 まずは普通に同期クライアントをセットアップした後で、ネットワーク フォルダのシンボリック リンクを作ることで解決できます。

 コマンドプロンプトを管理者として実行し、以下のコマンドを入力します。

(OneDrive フォルダーの場所に移動)
cd "C:\Users\Kazuaki\OneDrive - テナント名"
(シンボリック リンクを作成)
mklink /d フォルダ名 \\サーバー名\共有名\フォルダ名

f:id:kazuakix:20171125155455p:plain
 
 OneDrive フォルダで同期が開始されている事を確認します。

f:id:kazuakix:20171125155523p:plain