この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

Office 365 Advanced Threat Protection の脅威自動化対応

Office 365 ATPに「脅威に対しての自動調査」機能が9月に一般提供されていますのでご紹介です。
Automated investigation and response (AIR)と呼ばれるもので、
セキュリティインシデント発生時の対応を自動化することが可能です。

以下ドキュメントからの引用ですが、機能の概要及び必要なサブスクリプションは以下です。
[自動化された調査と対応で時間を節約する]
—引用—
潜在的なサイバー攻撃を調査している場合は、期限厳守です。 脅威をより早く特定して軽減できれば、組織はより良くなります。
以下にリストされているサブスクリプションには、自動調査および対応 (AIR) 機能が含まれます。
(これらの機能がまだ利用できない場合は、これらのサブスクリプションの 1 つがあればすぐに利用できます。)
Office 365 AIR は次のサブスクリプションに含まれています。

Microsoft 365 E5
Microsoft 365 E5 Security
Office 365 E5
Office 365 Advanced Threat Protection プラン 2

AIR には、アラートがトリガーされたときなどには自動的に、またはエクスプローラーのビューから手動で起動できるセキュリティ プレイブックのセットが含まれています。
AIR は、セキュリティ運用チームの脅威を軽減するための時間と労力を効果的かつ効率的に節約できます。
詳細については、「Office 365 による自動調査と応答 (AIR)」を参照してください。
–——––
詳細なドキュメントは以下です。

[Office 365 の脅威を自動的に調査し対応する]

[Office 365 の自動調査と応答 (AIR)]

 

ATPではもともと以下のような機能を、ポリシーを用いて対応していました。

・安全な添付ファイル機能
未知のウィルス/マルウェアに対する保護機能
メールに添付された悪意のあるファイルを検知する

・安全なリンク機能
フィッシング サイトに誘導する URL を、ユーザーがクリックした時のリアル タイム保護機能
今回のAIR を使用すると、上記のようなアラートがトリガーされた場合に自動調査・対応を実施するように設定することが可能です。