Microsoft Exchange Online サービスのメールの削除承認の要求
メールの検索が正常に完了し、一致するメッセージが特定された後、セキュリティインシデントとフィッシングキャンペーンに関連するすべての不審なメールを Microsoft Exchange Online サービスから完全に削除できます。
始める前に
必要なロール:sn_si.analyst
システムは、最後に成功した検索結果に対して削除を実行します。このタスクについて
承認とメール通知が有効になっている場合は、メールを削除する前に承認グループにメールの削除要求を送信します。
メールの検索結果は、受信したあらゆるメッセージと併せて表示されます。フィッシングメールが正常に削除されたことを確認するため、関連するセキュリティインシデントの作業メモに削除結果が投稿されます。タグ付けが有効になっている場合は、関連するセキュリティインシデントにセキュリティタグも表示されます。メールが正常に削除されなかった場合は、作業メモでも通知されます。
組織のポリシーによっては、フィッシングメールを削除する前に承認を要求する必要があります。削除承認プロセスでは、削除するメールの件数に関する情報が必要です。場合によっては、他のメッセージの詳細へのアクセスが必要になることもあります。削除要求を処理するため、一致するメールメッセージの件数、完全なメッセージの詳細にアクセスするためのセキュリティインシデントリンク、承認/却下リンクがメール通知で承認者に提供されます。承認者は、このメールのリンクを使用してメール通知の削除要求を承認または却下できます。作業メモの承認ステータスがいつ変更されたかを追跡する、タイムスタンプ付きの完全な監査記録も利用できます。承認グループがアサインされている場合、グループのユーザー 1 人がグループ全体の要求を処理できます。承認グループの各メンバーは、要求のメール通知を受け取ります。
sn_si.analyst ロールを持つユーザーとして、メールの是正処置が必要であると判断した場合は、必要な手順に従ってメールを削除します。承認が有効になっている場合は、Microsoft Exchange Online サービスからメールを削除する承認を要求します。
手順
-
[メールの検索 (Email Search)] 関連リストを選択した状態で、[メールの検索 (Email Search)] 列で検索の名前をクリックします。
検索結果は、[メールの検索結果] 関連リストに表示されます。
この例では、この検索で検索条件に一致するメールが見つかっています。レコードには 2 つの検索アクションがリストされています。一方の検索では一致するメールがなく (0)、もう一方の検索で一致するメールが 1 件見つかっています (1)。
図 : 1. メールの検索結果セットのサイズ -
削除したい結果セットを選択します。
図 : 2. Exchange Online からメールを削除 - [メールの検索結果] 関連リストの下部にある [選択した行のアクション] リストから、[Exchange Online からのメールを削除] を選択して、Exchange Online サーバーの 1 つ以上の結果セットに関連付けられたすべてのメールアイテムを削除します。
結果セットに複数のメールが含まれていても、[メールの検索結果] レコードを開いてメールを個別に選択して削除する必要はありません。[Exchange Online からメールを削除] を選択すると、[メールの検索結果] レコードの [削除済み] 列でステータスが false のすべてのメールアイテムが削除されます。
結果セット内のメールアイテムがすでに削除されている場合、メール検索結果レコードの [削除済み] 列のステータスは true です。これらのアイテムは再度削除されません。
設定手順で承認オプションを無効にしている場合は、[Exchange Online からメールを削除] を選択すると、結果セットに関連付けられているメールが削除されます。結果セット自体は削除されません。ただし、結果セットの削除されたすべてのメールアイテムのステータスが、[メールの検索結果] レコードの [削除済み] 列で、true に更新されます。承認機能の詳細については、「Microsoft Exchange Online 統合の構成」を参照してください。図 : 3. メール削除の詳細 これらのメールは、検索を実行した Microsoft Exchange Online テナントから削除されます。メールが正常に削除されると、作業メモが表示されます。
セキュリティインシデントレコードに、 [メールの削除 - 完了 (Email Delete - Completed)] セキュリティタグが表示されます。図 : 4. [メールの削除 - 完了 (Email Delete - Completed)] セキュリティタグ 削除要求の承認が無効になっている場合は、Microsoft Exchange Online テナントからメールを正常に削除できています。
設定手順で削除要求の承認を有効にしている場合は、[Exchange Online からメールを削除] を選択すると、設定手順で選択した承認グループの各メンバーにメール通知が送信されます。
設定手順でタグ付けが有効になっている場合は、関連するセキュリティインシデントレコードに、[メールの削除 - 開始 (Email Delete - Initiated)] セキュリティ タグが表示されます。タグ付けの詳細については、「Microsoft Exchange Online 統合の構成」を参照してください。
sn_si.analyst ロールを持つユーザー (Hans SecAnalyst) からメールを削除する要求が送信されたことを示す作業メモが表示されます。
承認が有効になっている場合、次のステップは削除要求の処理です。
-
または、メールを削除したり、削除要求を送信したりする前に、検索レコードの詳細や個々のメールアイテムを表示したい場合は、次の手順に従います。
-
[メールの検索結果] 関連リストを選択した状態で、[検索日] 列で、確認したい検索の日付をクリックします。
図 : 5. メール検索の詳細 メールに関する次の情報が表示されます。- 受信者
- 送信者
- メール受信日
- メール読み取りステータス (true または false)
- 削除済み (true または false)
- 統合によって削除済み (true または false)注:
アナリストが [メールサーバーから削除] を開始して、メールが削除されると、値が true に設定されます。
作業メモは、統合とユーザーによって削除されたレコードを含む、削除済みレコードの合計数で更新されます。
-
データを確認した後、すべてのメールを削除するか、すべてのメールを削除する要求を送信するには、[メールサーバーから削除] をクリックします。
前の例で説明したように、検索結果レコードに複数のメールがリストされている場合は、それらを削除するために個々のメールを選択する必要はありません。削除要求は、最新の検索結果の [削除済み] 列に false が表示されている場合、検索に関連付けられているすべてのメールを削除します。
承認が有効になっている場合は、これでメールの削除要求が正常に送信されています。前の例で説明したように、セキュリティタグと作業メモが関連するセキュリティインシデントレコードに表示されます。承認者としての次のステップは削除要求の処理です。 -
[メールの検索結果] 関連リストを選択した状態で、[検索日] 列で、確認したい検索の日付をクリックします。