[Cloud Protection] 脅威の発生が検知された場合の対処例 – HENNGE One ヘルプセンター

対象

Cloud Protection を導入するお客様

目的

Cloud Protection で脅威が発見された場合に管理者が実施する対応の手順について説明します。

注意事項

本記事の内容は 2025 年 5 月時点での製品内容をもとにしたものであり、以後予告なく変更される場合があります。
実際の画面確認や、設定の変更には Cloud Protection の管理者権限が必要です。
Cloud Protection 管理画面へのアクセス方法は以下の記事をご参照ください。
[Cloud Protection] 管理画面へのアクセス方法

手順

脅威の把握

Cloud Protection が脅威を検知した場合、下記のいずれか、または双方にて脅威があった旨を通知されるよう設定を行うことができます。

Cloud Protection の管理画面の [検出] メニュー画面への通知
特定のメールアドレスへのメール通知

この通知を参照し、発生した脅威の詳細を確認します。
※ Cloud Protection の管理画面の [検出] メニュー画面の確認方法については、下記の記事をご参照ください。
[Cloud Protection] 検出されたセキュリティイベント (脅威) の確認
 [Cloud Protection] 侵害されたアカウント情報の確認

脅威への対処

1. 隔離されたアイテムへの対処

Exchange Online アイテムに添付されたマルウェアを含むファイル、もしくは有害な URL が検知された場合の処置として、該当のアイテムを隔離するように予め設定しておくことができます。
アイテムを隔離するように設定していた場合、管理者は隔離されたアイテムの詳細を確認したうえでそれを削除するか解放 (もとの場所に復元) するかを選択する必要があります。
(一定期間アイテムが隔離された状態が継続した場合、自動的にアイテムが削除されます。)

隔離されたアイテムを削除または解放する際の手順としては、下記の記事をご参照ください。
[Cloud Protection] 隔離されたアイテムの確認 / 削除 (解放)

2. 侵害されたアカウントへの対処

接続している Microsoft 365 アカウントと、流出している ID が一致した場合、Cloud Protection では侵害された情報の種類に基づいて、侵害されたアカウントの重大度や、それらのアカウントがまだ悪用される可能性についての情報も提供します。(アカウントのメールアドレスのみ流出しているのか、パスワードも含めて流出しているのかなど)
こちらのアカウントの侵害状況の情報をもとに、アカウントのパスワード変更、もしくはアカウントの停止などの措置をご実施いただく必要があります。
(侵害されたアカウントへの措置は Cloud Protection 上からはできないため、必要に応じて Microsoft 365 管理画面や Access Control 管理画面からご実施ください。)
[Cloud Protection] 侵害されたアカウント情報の確認

脅威についてのフィードバック

Exchange Online アイテムに添付されたマルウェアを含むファイル、もしくは有害な URL が検知された場合には、実際のファイルや URL を検体としてサービス側に送信いただくことで、今後の検知精度の向上を実施させていただきます。

また、実際には脅威ではないファイルや URL をシステムが脅威として誤検知してしまった際にも、その情報をお寄せいただくことで同様の誤検知を防ぐよう改良をさせていただきます。

これらのフィードバックをお寄せいただく際の手順としては、下記の記事をご参照ください。
[Cloud Protection] 検知された検体ファイルの送付
[Cloud Protection] 誤検知された URL の報告