受信メールの脅威検出ポリシー

脅威検出ポリシールールの設定

  1. Email Security Administrator Portalの左パネルで、Policy をクリックします。

  2. Add a New Policy Ruleをクリックします。

  3. Choose SaaS ドロップダウンリストから、Office 365 MailまたはGmailのポリシーを設定するSaaSプラットフォームを選択します。

  4. Choose Security ドロップダウンリストから、Threat Detection を選択し、Next をクリックします。

  5. 目的のポリシー保護モード(DetectDetect and Remediate、またはPrevent (Inline))を選択します。

    必要に応じて、Rule Name を変更できます。

    - Email Securityは、ポリシーモードがMicrosoft 365 Groupsに設定されている場合にのみ、Prevent (Inline)(Microsoft 365で動作するサービス)を保護します。

  6. Scope で、ポリシーを適用するユーザとグループを選択し、Add to Selected をクリックします。

    • 組織内のすべてのユーザとグループにポリシーを適用するには、All Users and Groups チェックボックスを選択します。

    • 特定のユーザまたはグループにのみポリシーを適用するには、ユーザ/グループを選択し、Add to Selected をクリックします。

    • 一部のユーザまたはグループをポリシーから除外するには、ユーザ/グループを選択し、Add to Excluded をクリックします。

    除外されたユーザの詳細については、Excluding members of groups from an inline policy を参照してください。

  7. ポリシーに必要なワークフローを選択します。

    - Detect and Remediate または Detect モードを選択すると、エンドユーザ向けメール通知をカスタマイズできる追加の設定オプションの一部が表示されない場合があります。

    ワークフローの詳細については、以下を参照してくださいフィッシング保護,マルウェア保護,スパム対策,パスワード保護された添付ファイルの保護、およびクリーンではないメール向けのスマートバナー.

  8. 管理者、ユーザ、および特定のメールアドレスに送信するようにAlertsを設定します。

    • フィッシングおよびマルウェアに関するメールアラートを送信するには、Send email alert to admin(s) about phishingおよびSend email alert to admin(s) about malwareを選択します。

    • 特定のメールアドレスにメールアラートを送信するには、Send Email alert to ...を選択してメールアドレスを入力します。

    • ブロックリスト登録済み項目について管理者へのアラート送信を停止するには、Send email notifications to Admin on blocklisted itemsチェックボックスをオフにします。

    • ブロックリスト登録済み項目についてユーザへのアラート送信を停止するには、Send email notifications to User on blocklisted itemsチェックボックスをオフにします。

    :

    • ここでポリシー内でアラートが有効になっている場合でも、管理者がセキュリティイベントのメールアラートを受信するのは、次の場合のみですReceive AlertsSpecific Service Roleでロールが有効になっています。Check Point Portal でロールと権限を管理する方法の詳細については、次のGlobal Settings > Usersを参照してくださいCheck Point Portal Administration Guide.

    • メールアラートテンプレートをカスタマイズするには、アラートの右側にある歯車アイコンをクリックします。

  9. ポリシーの設定後、Save and Applyをクリックします。

    - ポリシーは優先順位の順序に基づいています。ポリシーが適切な順序で適用されることを確認してください。Policyの順序カラムからポリシーの順序を調整できます。

Prevent(Inline)ポリシーから Microsoft 365 グループのメンバを除外する

Prevent (Inline)保護モードのポリシーからユーザを除外すると、想定される動作は次のとおりです:

  • 除外されたユーザのメールは、Prevent (Inline)保護モードを使用して Email Security によって処理されません。

  • Prevent (Inline)保護モードのポリシーワークフローは、除外されたユーザには適用されません。

ただし、これらの要因がこの想定される動作に影響する可能性があります:

  1. 除外されたユーザが、Prevent (Inline)ポリシーで保護されている他のユーザを含む Microsoft 365 グループのメンバである場合。

  2. メールが、Prevent (Inline)ポリシーで保護されている他のユーザにも送信される場合。

Prevent(Inline)ポリシーにおける除外ユーザのシナリオと想定される動作:

 

除外されたユーザのみに送信されたメール

除外されたユーザと別の保護対象ユーザに送信されたメール

グループに送信されたメール

ポリシー保護モード

 ワークフローは適用されますか? ポリシー保護モード

ワークフローは適用されますか?

 ポリシー保護モード ワークフローは適用されますか?

除外されたユーザが保護された Microsoft 365 グループの一部である

Prevent(Inline)

いいえ

Prevent(Inline)

はい

Prevent(Inline)

はい

除外されたユーザが別の保護されたグループ(Microsoft 365 ではない)の一部である

検出

いいえ

検出

いいえ

検出

いいえ

除外されたユーザがいずれの保護されたグループにも属していない

検出

いいえ

検出

いいえ

検出

いいえ

例:

これらの設定で、 Prevent (Inline) 保護モードのポリシーを考えてみます。

  1. このポリシーは、John Smith を除くすべてのユーザに適用されます。

  2. ポリシーのワークフローは、フィッシングメールを隔離するように設定されています。

  3. John Smith は、James Wilson とともに Microsoft 365 グループの一員です。

シナリオ 1: フィッシングメールが John Smith(除外されたユーザ)にのみ送信されます

結果: メールは検査され、フィッシングとして識別されましたが、Prevent (Inline) ポリシーが適用されなかったため、John Smith's のメールボックスに配信され、メールは隔離されませんでした。

シナリオ 2: フィッシングメールが John Smith(除外されたユーザ)と James Wilson(保護されたユーザ)の両方に送信されます

結果: メールは検査され、フィッシングとして識別され、隔離されました。John Smith はポリシーから除外されていましたが、John Smith のメールも配信されませんでした。

シナリオ 3: フィッシングメールが John Smith と James Wilson に送信されます(両者とも保護された Microsoft 365 グループの一員)

結果: メールは検査され、フィッシングとして識別され、隔離されました。John Smith と James Wilson はどちらもメールを受信しません。

シナリオ 4: フィッシングメールが John Smith と James Wilson に送信されます(John Smith と James Wilson はどちらも別のグループタイプの一員でした

結果: メールは検査され、フィッシングとして識別されました。メールは隔離されることなく、John Smith's のメールボックスに配信されます。

Microsoft 365 Mail Flow ルールで IP 例外を手動で制御する

オンボーディング中に、Email Security は複数の Mail Flow ルールを自動的に作成します(以下を参照)自動モードのオンボーディング - Microsoft 365 フットプリント).メールループなどのメール配信の問題を防ぐために、システムは自動的にCheck PointIP アドレスと、オンボーディング時点で Microsoft 365 アカウント内の受信コネクタに含まれるすべての IP アドレスを、Check PointMail Flow ルール内の例外として追加します。

場合によっては、Check PointMail Flow ルール内の IP 例外のリストを手動で管理したいことがあります。

- Check PointMail Flow ルールの IP 例外の変更は、メール配信の問題を引き起こす可能性があるため、慎重に行う必要があります。この方法は推奨されません。IP 例外を手動で変更することを選択する場合は、Check Point Support変更を行う前に連絡してください。

IP 例外を手動で設定するには:

  1. 受信メール用の新しい Threat Detection Policy(Prevent (Inline))を作成するか、既存のものを開きます。

  2. Advancedセクションにスクロールダウンします。

  3. Configure excluded IPs manually in mail flow rule チェックボックスを選択します。

  4. Save and Applyをクリックします。

変更が上書きされるのはいつですか

以下の IP アドレスに対して行われた変更は、Check PointMail Flow ルールの例外については、チェックボックスが選択されているかどうかにかかわらず、すぐには上書きされません。

ただし、次の状況では変更が上書きされる場合があります。

  • Inline Protection for Internal Emails

    Protect (Inline) Internal Traffic オプションが Prevent (Inline) ポリシーで有効または無効にされると、Check Pointは自動的にCheck Point– Protect Internal Mail Flow ルールを更新します。

    • Configure excluded IPs manually in mail flow rule が選択されていない場合、このルールに対する変更は上書きされます。

    • Configure excluded IPs manually in mail flow rule が選択されている場合、このルールに対する変更は上書きされません。

  • Occasional Support Intervention

    場合によっては、Check Pointサポートチケットの対応中に、サポートがメールフロールールを再作成または更新する必要がある場合があります。

    • Configure excluded IPs manually in mail flow rule が選択されていない場合、ルールは再作成され、お客様の変更は上書きされます。

    • Configure excluded IPs manually in mail flow rule が選択されている場合、ルールは更新されますが、お客様の変更は上書きされません。