脅威の判定が「悪意がある」に変更されたときのエンドユーザに配信されるメッセージに応じた是正措置の実行
ファイルは常に、ユーザのメールボックスに達した後であっても、悪意のあるファイルに変化する可能性があります。AMP は、新しい情報が発生する際にこの変化を識別し、アプライアンスにレトロスペクティブ アラートを送信することができます。今回のリリースでは、単なるアラートを超えた機能が提供されます。ご所属の組織がメールボックスの管理に Office 365 を使用している場合、脅威判定が変更されたときにはユーザのメールボックス内のメッセージに対して自動修復アクションを実行するようにアプライアンスの設定を設定することができます。たとえば、添付ファイルに対する判定が「正常」から「悪意がある」に変更されたときには受信者のメールボックスからメッセージを削除するようにアプライアンスを設定することができます。
ワークフロー
- 添付ファイル付きメッセージがアプライアンスに到達します。
- アプライアンスは、添付ファイルのレピュテーションを評価する AMP サーバを照会します。
- AMP サーバは、判定をアプライアンスに送信します。判定は、[正常(clean)] または [不明(unknown)] です。
- アプライアンスは、受信者へメッセージをリリースします。
- 一定期間後に、アプライアンスは、AMP サーバから判定の更新を受け取ります。新しい判定は、[悪意のある(malicious)] です。
- アプライアンスは、受信者のメールボックスに存在する(悪意のある添付ファイルを含む)メッセージに対し、設定された修復アクションを実行します。
脅威の判定が「悪意がある」に変更されたときにエンドユーザに配信されるメッセージに応じて是正措置を実行する方法
操作内容 |
詳細 |
|
---|---|---|
ステップ 1 |
前提条件を確認します。 |
|
ステップ 2 |
Azure AD(Azure 管理ポータル)上のアプリケーションとして、E メール セキュリティ アプライアンスを登録します。 |
|
ステップ 3: |
アプライアンスで Office 365 メールボックスを設定します。 |
|
ステップ 4: |
脅威の判定が「悪意がある」に変更された時点でエンド ユーザに送信されるメッセージに対して修復アクションを実行するようにアプライアンスを設定します。 |
前提条件
ファイル レピュテーション サービスとファイル分析サービスの機能キー
次の内容について確認してください。
- ファイル レピュテーション サービスおよびファイル分析サービスの機能キーをお使いのアプライアンスに追加していること。
- アプライアンスでのファイル レピュテーションと分析機能が有効になっている。ファイル レピュテーション フィルタリングとファイル分析を参照してください。
Office 365 アカウント
Azure AD に、アプライアンスを登録する必要がある次のアカウントがあることを確認します。
- Office 365 のビジネス アカウント
- Office 365 のビジネス アカウントに関連付けられた Azure AD サブスクリプション
詳細については、Office 365 のシステム管理者にお問い合わせください。
セキュアな通信の証明書
Office 365 サービスとアプライアンス間の通信をセキュリティで保護するには、自己署名証明書を作成する、または信頼された CA から証明書を取得する方法のいずれかで証明書を設定する必要があります。
次のものが必要です。
- .crt または .p12 形式の公開キー。emailAddress に Office 365 の管理者の電子メール アドレスが設定されていること(<admin_username>@<domain>.com)。
- キーサイズが少なくとも 2048 ビットで、関連付けられた .pem 形式の秘密キー。
(注) |
パスフレーズを含む秘密キーはこのリリースではサポートされません。 |
Azure AD 上のアプリケーションとしてのアプライアンスの登録
Office 365 サービスは、ユーザのメールボックスへのセキュアなアクセスを提供する Azure Active Directory(Azure AD)を使用します。Office 365 のメールボックスにアプライアンスがアクセスするには、Azure AD でアプライアンスを登録しなければなりません。Azure AD でアプライアンスを登録するために実行する必要がある手順の概要を次に示します。詳細については、Microsoft のマニュアルを参照してください(https://msdn.microsoft.com/en-us/office/office365/howto/add-common-consent-manually)。
はじめる前に
前提条件で説明されている作業を行います。
手順
ステップ 1 |
Office 365 のビジネス アカウントの資格情報を使用して Azure 管理ポータルにログインします。 |
ステップ 2 |
Office 365 のサブスクリプションにリンクされているディレクトリに新しいアプリケーションを追加します。新しいアプリケーションを追加している間に、次のことを確認します。
|
ステップ 3 |
アプリケーションおよびアプリケーションに必要なアクセス許可を設定します。新しく作成されたアプリケーションの [設定(Configure)] タブの下に、アプリケーションとして Office 365 Exchange Online を追加し、次のアクセス許可を設定します。
|
ステップ 4 |
パブリックキー証明書からのキー資格情報によりアプリケーション マニフェストを更新して、Office 365 サービスとアプライアンス間の通信を保護します。次の操作を行ってください。 |
ステップ 5 |
アプライアンスを Azure AD に登録した後で、Azure 管理ポータルから次の詳細を書き留めてください。
この例では、テナント ID は abcd1234-bcdd-469d-8545-a0662708cbc3 です。 |
Cisco E メール セキュリティ アプライアンスでの Office 365 メールボックス設定の構成
はじめる前に
次の内容について確認してください。
- アプライアンスでのファイル レピュテーションと分析機能が有効になっている。ファイル レピュテーション フィルタリングとファイル分析を参照してください。
- .pem 形式の証明書の秘密キーを取得します。セキュアな通信の証明書を参照してください。
- 次のパラメータの値です。
- Azure 管理ポータルで登録したアプリケーションのクライアント ID とテナント ID。Azure AD 上のアプリケーションとしてのアプライアンスの登録のステップ 5 を参照してください。
- 証明書サムプリント($base64Thumbprint)。Azure AD 上のアプリケーションとしてのアプライアンスの登録のステップ 4 を参照してください。
手順
ステップ 1 |
アプライアンスへのログイン |
ステップ 2 |
[システム管理(System Administration)] > [メールボックス設定(Mailbox Settings)] をクリックします。 |
ステップ 3 |
[有効(Enable)] をクリックします。 |
ステップ 4 |
[Office 365 メールボックス設定を有効にする(Enable Office 365 Mailbox Settings)] を選択します。 |
ステップ 5 |
次の詳細を入力します。
|
ステップ 6 |
証明書の秘密キーをアップロードします。[ファイルの選択(Choose File)] をクリックして、.pem ファイルを選択します。 |
ステップ 7 |
変更を送信し、保存します。 |
ステップ 8 |
アプライアンスが Office 365 サービスに接続できるかどうかを確認します。
ポップアップで、アプライアンスが Office 365 サービスに接続できるかどうかが表示されます。接続できない場合は、次を確認します。
|
脅威の判定が「悪意がある」に変更されたときのエンドユーザに配信されるメッセージに応じた是正措置の設定
はじめる前に
アプライアンスで Office 365 メールボックスの設定が構成済みであることを確認します。Cisco E メール セキュリティ アプライアンスでの Office 365 メールボックス設定の構成を参照してください。
手順
ステップ 1 |
[メールポリシー(Mail Policies)] > [受信メールポリシー(Incoming Mail Policies)] を選択します。 |
||
ステップ 2 |
変更するメール ポリシーの [高度なマルウェア防御(Advanced Malware Protection)] カラム内のリンクをクリックします。 |
||
ステップ 3 |
[メールボックス自動修復の有効化(Enable Mailbox Auto Remediation)] を選択します。 |
||
ステップ 4 |
脅威の判定が悪意に変更されたときにエンド ユーザに配信されたメッセージ基づいて実行するアクションを指定します。要件に応じて、次のいずれかの修復アクションを選択します。
|
||
ステップ 5 |
変更を送信し、保存します。 |