Microsoft Defender の判定と適用措置の可視化

Email Security では、Microsoft Defender がメールをどのように分類し、どの適用措置を実行しようとしたかを確認できます。

メールの Microsoft Defender の可視性は、メールプロファイルページの Security Stack セクションで確認できます。

:

  • Microsoft Defender の可視性は、受信メールおよび内部メールでのみ利用できます。

  • Email Security Administrator Portal には、メール配信後 2 時間以内に発生した Microsoft の配信後隔離が表示されますが、この時間枠を超えて発生した隔離は表示されません。

スパム信頼レベル (SCL)

Microsoft は、スパムフィルタリングを通過してスパムスコアが割り当てられた受信メッセージに、スパム信頼レベル (SCL) を割り当てます。そのスコアは、メールに追加される個別のスパム信頼レベル (SCL) にマッピングされます。SCL が高いほど、そのメッセージはスパムである可能性が高いことを示します。

SCL 値

説明

-1

このメッセージはスパムフィルタリングをスキップしました。たとえば、このメッセージが安全な送信者からのものである場合、安全な受信者に送信された場合、または IP 許可リスト上のメールソースサーバ からのものである場合です。

0, 1

スパムフィルタリングにより、このメッセージはスパムではないと判定されました。

5, 6

スパムフィルタリングにより、このメッセージはスパムとしてマークされました。

8, 9

スパムフィルタリングにより、このメッセージは高信頼スパムとしてマークされました。

詳細は、Spam confidence level (SCL)を参照してください。

バルク苦情レベル (BCL)

Microsoft は、バルクメール送信者からの受信メッセージにバルク苦情レベル (BCL) を割り当てます。BCL が高いほど、そのバルクメッセージは苦情を発生させる可能性が高くなり(したがって、スパムである可能性も高くなります)。

BCL 値

説明

0

このメッセージはバルク送信者からのものではありません。

1, 2, 3

このメッセージは、発生する苦情が少ないバルク送信者からのものです。

4, 5, 6, 7*

このメッセージは、発生する苦情数が中程度のバルク送信者からのものです。

8, 9

このメッセージは、発生する苦情数が多いバルク送信者からのものです。

* これは、アンチスパムポリシーで使用されるデフォルトのしきい値です。

詳細は、Bulk complaint level (BCL)を参照してください。

フィッシング信頼レベル (PCL)

フィッシング信頼レベル (PCL) は、メッセージの内容に基づいて、そのメッセージがフィッシングメッセージである可能性を示します。

PCL 値

説明

1, 2, 3

メッセージ内容はフィッシングである可能性が高くありません。

4, 5, 6, 7, 8

メッセージ内容はフィッシングである可能性が高いです。

詳細は、Phishing confidence level (PCL)を参照してください。

実行フロー

Enforcement Flow は、Microsoft とCheck Pointがメールに対して実行した対処アクションを示します。メールの Enforcement Flow は、メールプロファイルページの Security Stack セクションで表示できます。

- Enforcement Flow には、メールに対して手動で実行されたアクションは含まれません。

脅威検出ポリシーで選択した Protection mode に応じて、Enforcement Flow は異なります。

  • Prevent (Inline) 保護モードのポリシーで検査されたメールの例。

    Microsoft はこのメールを Clean と判定し、ユーザ's mailbox に配信しようとします。Check Pointはメールをスキャンし、Malicious と判定して、Prevent (Inline) ポリシーで検査されているため、ユーザ's mailbox に到達する前に隔離します。

    • Microsoft はこのメールを Clean と判定し、ユーザ's mailbox に配信しようとします。対処: Deliver to Inbox

    • Check Pointはメールをスキャンし、悪意があると判定します。Check Pointは、メールがユーザ's mailbox に配信される前に隔離します。対処: Quarantine

  • Detect & Remediate 保護モードのポリシーで検査されたメールの例。

    • Microsoft はこのメールを Clean と判定し、ユーザ's mailbox に配信します。対処: Deliver to Inbox

    • Check Pointはメールをスキャンし、悪意があると判定します。Check Pointはユーザ's mailbox からメールを引き戻して隔離します。対処: Quarantine

  • Detect 保護モードのポリシーで検査されたメールの例。

    • Microsoft はこのメールを Clean と判定し、ユーザ's mailbox に配信します。対処: Deliver to Inbox

    • Check Pointはメールをスキャンするだけで、ポリシー保護が Detect モードであるため、対処は実行しません。対処: Deliver to Inbox (Monitoring)

  • Email Security が、高信頼度フィッシングとして Microsoft 365 によって隔離されたメールを自動的に復元するように設定されており、かつCheck Pointがそれらを Clean と分類した場合。

    • Microsoft はこのメールを High Confidence Phishing と判定し、隔離します。

    • Check Pointはメールをスキャンし、clean と判定します。Check Pointはメールをユーザ's inbox に復元します。

    高信頼度フィッシングとして Microsoft 365 によって隔離されたメールを自動的に復元するように Email Security を設定する方法については、Microsoft's の誤検知を上書きする.