アラートメール「Tenant Allow/Block List entry is about to expire」が配信される

以下のようなアラートメールが配信された場合の確認点を記載します。

 

テナント許可/禁止リスト:https://security.microsoft.com/tenantAllowBlockList

 

Microsoft 365 Defender 管理画面の「テナント許可/禁止リスト」に登録されたデータには削除日が設定されています。
この削除日が近くなると既定では以下件名のメールが配信されます。
件名:「Informational-severity alert: Tenant Allow/Block List entry is about to expire」
訳:情報-重大度アラート:テナント許可/ブロックリストエントリの有効期限が近づいています

(セキュリティ管理者 ロール グループのメンバーに配信されます)

 

以下記事のように、検疫されたメッセージを解放した際に、以降同じようなメッセージが検疫されないように特定期間メッセージを許可する設定を有効にした場合にも、許可リストが自動登録されているケースがあります。

参考:Defenderのテナント許可/禁止リストに検疫解放データが自動登録される

 

アラートに対して特に更新を行わない場合、削除日以降に特定期間メッセージを許可する(もしくは禁止する)設定データは削除されますが、検出機能が改善されていれば次回以降は検疫されない想定となります。本記載メンバーの運用としては、既定の30日を保持基準として様子を見る運用としています。業務内容や環境にもよりますが、参考にいただければ幸いです。

いいね (←参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルプロセス&テクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください