Exchange 学習帳

ExchangeやOffice 365の備忘録です。

Advanced Threat Protection(ATP)を学ぶ③ ATPの設定方針を考える

こんにちは!
「Advanced Threat Protection(ATP)を学ぶ」シリーズ第3回です。

前回までの記事はこちら↓
Advanced Threat Protection(ATP)を学ぶ① 基本的なこと
Advanced Threat Protection(ATP)を学ぶ② ATPを使い始めるとき


今回は、ATPの設定で気になる箇所をいくつか見ていきたいと思います。

●安全な添付ファイルの不明なマルウェアに対する対処法を選びます
[安全な添付ファイル]機能で、危険なマルウェアを検出したときにどうしますか?という設定です。

  ・[オフ]:スキャンしません
  ・[モニター]:メッセージは配信します。追跡だけ行います。
  ・[ブロック]:メッセージおよび添付ファイルをブロックします。
  ・[置換]:添付ファイルを置き換えて、メッセージは配信します。

以上の4択です。
とはいえ、[オフ]と[モニター]ではユーザーに危険な添付ファイルが届いてしまうので、
[ブロック]か[置換]のどちらかを検討するのがよいでしょう。


●次のメールアドレスに添付ファイルを送信する
[安全な添付ファイル]機能でマルウェアを検出した添付ファイルを、宛先とは別のメールアドレスにリダイレクトすることができます。
そこで気になるのは、いったいどのようなメールアドレスにリダイレクトすればいいの?ということです。

添付ファイルは、zipファイル化などはされず、そのまま送信される、との情報があります。
(危険なファイルを用意できないため検証できていません、すみません)

ということは、通常の業務で利用しているメールアドレスを使うと、誤ってファイルを開いてしまう可能性がありとても危険ですね。

また、配布グループを宛先にすると、危険な添付ファイルが複数になってメンバーのメールボックスにそれぞれ配信されてしまい、危険です。

望ましいのは、専用のユーザーメールボックスまたは共有メールボックスを作成することでしょうか。
共有メールボックスであれば担当者が複数いても確認しやすいですね。

また、Exchange Online組織外のメールアドレスでも設定はできるようです。
マルウェアと認識される添付ファイルを外部まで配送できるのか不安ですが。)


●次のURLを書き換えません
[安全なリンク]機能では、基本的に全てのURLをExchange Online上のサーバーを経由するよう書き換えます。
業務上必要なURLがブロックされてしまった場合や、書き換えられると不都合が生じる場合などは、ここで書き換えないURLを設定できます。

*(ワイルドカード)は使用できませんが、前方一致で判断するので、ルートとなるページのURLを設定すればそれ以下は全て除外されます。

ただ、一般的なURLであればブロックされることは無いようなので、ひとまず設定せずに運用開始で問題なさそうです。


●適用先
[安全な添付ファイル]と[安全なリンク]それぞれで適用先を設定できます。
ここはライセンスとの絡みがあるので、要件に合わせて慎重に設定したい部分です。
詳しくは次回まとめたいと思います。