kazuakix の日記

Windows Phone とか好きです

Office 365 の ATP (Advanced Threat Protection) を使ってみる

 この記事は Office 365 Advent Calendar 2017 の 5 日目の記事です。

Advanced Threat Protection とは

 一昨年の日本年金機構の情報流出事件以降、標的型攻撃に対する対策が求められるようになりました。特に公共系ではメール添付ファイルなどをサンドボックスで実際に実行してみて確認することが (ほぼ) 必須になるなど、セキュリティに対する関心は高まっています。

 Office 365 では Exchange Online Protection (EOP) によるメール保護の他に Advanced Threat Protection (ATP) により、未知のマルウェアやゼロデイ攻撃などの高度な攻撃に対する保護をおこなう事ができます。

ATP の機能

 ATP には以下の機能が含まれています。

リンク保護
ATP リンク保護機能は、メッセージ内の悪質なハイパーリンクから予防的にユーザーを保護します。リンクをクリックした後も保護は毎回継続し、悪意のあるリンクは動的にブロックされ、適切なリンクにはアクセスできます。


添付ファイル保護
添付ファイル保護は、未知のマルウェアやウイルスから保護し、メッセージング システムを保護するゼロデイ保護を提供します。既知のウイルス/マルウェア署名がないすべてのメッセージと添付ファイルは、ATP がさまざまな機械学習および分析テクノロジを使用して悪意を検出する特別な環境にルーティングされます。不審な動作が検出されないと、メッセージが解放されてメールボックスに配信されます。


スプーフィング インテリジェンス
ある送信者が組織のドメインのいずれかに属する 1 つ以上のユーザー アカウントに代わってメールを送信していると思われる場合、スプーフィング インテリジェンスはそのことを検出します。こうして、そのドメインになりすましているすべての送信者を確認し、送信者に続行を許可するか、それとも送信者をブロックするかを選択できます。スプーフィング インテリジェンスは、セキュリティ/コンプライアンス センターの [スパム対策設定] ページで使用できます。


検疫
スパム、バルク メール、フィッシング詐欺メール、マルウェアを含んだメールとして Office 365 サービスが識別したメッセージや、メール フロー ルールに一致しているために Office 365 サービスが識別したメッセージは、検疫に送ることができます。既定では、Office 365 は、フィッシング詐欺メッセージとマルウェアを含むメッセージを検疫に直接送信します。許可されているユーザーは、検疫に送信された電子メール メッセージを確認、削除、管理できます。


高度なフィッシング詐欺対策機能
この機能は、フィッシング詐欺メッセージを検出するために、機械学習モデルを使用します。


Office 365 Advanced Threat Protection サービスの説明 より

 

EOP と ATP の違い

 EOP との機能比較です。EOP ではメッセージの検疫のみがおこなわれていて、それ以外はすべて ATP だけの機能になります。

機能 EOP ATP
リンク保護 いいえ はい
添付ファイル保護 いいえ はい
スプーフィング インテリジェンス いいえ はい
検疫 はい はい
高度なフィッシング詐欺対策機能 いいえ はい

 

ATP の購入

 ATP は 月額 220 円で Office 365 のオプションとして購入できます。サンドボックスなどの専用機が数千万レベルで販売されていることを考えると相当に購入しやすい価格設定なのではないでしょうか。

f:id:kazuakix:20171202215921p:plain

 尚、Office 365 Enterprise E5 と Office 365 Education A5 では標準で ATP を使うことができます。やったね。
 

ATP を試してみる

 それでは、早速 ATP を試してみます。

 ライセンスを購入して、使用したいユーザーに割り当てる訳ですが、ATP による保護を動かすためには、追加で設定をおこなう必要があります。
 

リンク保護の設定

 設定をするために管理センターから Security & Compliance を開き、脅威の管理 - ポリシー の画面から ATP の安全なリンク を開きます。

f:id:kazuakix:20171203095650p:plain

 安全なリンクでは上段の 組織全体に適用されるポリシー特定の受信者に適用されるポリシー の2か所を設定します。

f:id:kazuakix:20171203095708p:plain

 まずは 組織全体に適用されるポリシー です。標準で Default という名前のポリシーが定義されているので、鉛筆アイコンを押して編集します。

f:id:kazuakix:20171203093749p:plain

 動作確認のために 次の URL をブロックする の欄に動作確認用の URL を追加しました。その他の 電子メール以外のコンテンツに適用される設定 はすべてオンにしました。

 続いて、下段の 特定の受信者に適用されるポリシー で+アイコン押してポリシーを新規作成します。

 ポリシー名、概要を適当に埋めて、 不明で悪意がある可能性がある URL がメッセージに含まれる場合の対処法 をオンに、安全な添付ファイル機能を使用して、ダウンロード可能なコンテンツをスキャンしますユーザーに安全なリンクから元の URL へのクリックスルーを許可しません のオプションもオンにしました。

f:id:kazuakix:20171203093759p:plain

 更に画面下方にある適用先欄で、受信者のドメインとして自分のドメインを指定します。

f:id:kazuakix:20171203100431p:plain

リンク保護を試してみる

 外部からメールで先ほど設定した確認用の URL を送信してみます。

f:id:kazuakix:20171203100742p:plain

 ブラウザで開いてみると、この通り警告画面が表示されました。

f:id:kazuakix:20171203100854p:plain

 この時、URL 欄を見ると https://jpn01.safelinks.protection.outlook.com/ に書き換えられていることがわかります。ここでリンク先のチェックがおこなわれ、悪意のあるリンク先への接続を防いでくれます。また、今回はユーザーに安全なリンクから元の URL へのクリックスルーを許可しませんのオプションをオンにしているのでページを閉じる以外の事はできなくなっています。

 もちろん、PC だけでなくスマートフォンで開いた場合も同様です。

f:id:kazuakix:20171203101352p:plain
 

添付ファイル保護の設定

 先ほどのポリシー画面から ATP の安全な添付ファイル を開き、+アイコン押してポリシーを新規作成します。

f:id:kazuakix:20171203102441p:plain

 こちらもポリシー名と概要は適当に埋めます。安全な添付ファイルに不明なマルウェアが検出された場合の対応動的配信 とし、検出時のリダイレクト先として管理者(自分)のアドレスを指定、適用先に自ドメイン全体を指定しました・

f:id:kazuakix:20171203104358p:plain

f:id:kazuakix:20171203104426p:plain

添付ファイル保護を試してみる

 この状態で自分宛に適当なメールを送ってみると、受信後すぐは添付ファイルが  ATP Scan In Progress というメッセージに置き換わっています。

f:id:kazuakix:20171203104829p:plain

 この状態からしばらくして添付ファイルに問題が見つからなければ、メールの添付ファイルとして表示されるようになります。

 実際に動作したところを確認しようと、他のアカウントに来た不審メールをいくつか転送してみたのですが、今のところすべて EOP で防いでくれていました。ATP が真価を発揮するまでもうしばらく見守ってみようと思います。
 

 以上、Office 365 Advent Calendar 2017 の 5 日目でした。明日は @sophiakunii さんです。よろしくお願いします!