MS365 DefenderのSafe Attachments ポリシーと既定のセキュリティポリシーを確認した。

きっかけ

GIF画像にPython仕込む新たな攻撃「GIFShell」に注意、Microsoft Teamsが標的

Teamsに悪意あるプログラムを埋め込まれたGIF画像を送付する手口があるので対策としてSafe Attachments ポリシーを適用せよとのことなのでやってみた。

Docsは以下

安全な添付ファイル - Office 365

設定場所を開く

Micorsoft 365 Denferポータル - ポリシーとルール - 脅威ポリシー -安全な添付ファイルを開く。以下は直リンク

Sign in to your account

安全な添付ファイルを見ると「状態」が「オン」となっていたので、大丈夫だろう。

設定項目を見てみる

どんな項目があるのか作成してみる。

ポリシーの名前を設定

ユーザとドメイン

素通りはできないので、何等か設定しないといけない。
紐づけられたドメイン全部設定しておいた。

設定

Docsは以下

Microsoft Defender for Office 365で安全な添付ファイル ポリシーを設定する - Office 365

下記は全体画面。それぞれの項目で見てみよう。

安全な添付ファイルで不明なマルウェアが検出された場合の対応
マルウェアが見つかった場合どうするかの設定

検疫ポリシー
選択できるのは「DefalltFullAccessPolicy」と「AdminOnlyAccessPolicy」
検疫されたメールやメッセージのプレビューや誤検知ｄされたメールを検疫ボックスからの取り出しができる設定。
前者は誰でも、後者は管理者だけに制限できる。

検出された添付ファイルが含まれるメッセージをリダイレクトする
管理者あてに集める場合は設定する。

タイムアウトやエラーなどでスキャンを完了できない場合は、「安全な添付ファイルの検出応答」を適用します。
これはデフォでよいかと。

標準の設定とは

Built-in Protection(Microsoft)とは何か

上記画面上部の「あらかじめ設定されたセキュリティポリシーを表示する」
をクリック。

既定のセキュリティポリシー

何もいじっていないので、「組み込みの保護」はされているが、それ以上の「標準的な保護」、「厳重な保護」はされていない。
せめて「標準的な保護」はしておくこととする。「保護設定を管理する」をクリック。

Exchange Online Protectionを適用する

デフォルトでは「なし」だが、「すべての受信者」とした。

Defender for Office365保護を提供する

「なし」を「すべての受信者」へ

なりすまし防止

ユーザ単位、ドメイン単位で設定できるようだ。

ポリシーモード

これまで設定してきた内容を有効にしますかしませんかの二択。なんでここだけ英語なのかな。

Sharepoint Online、OneDrive、Teamsへの対応

そもそも今回の対象はTeamsなのでその設定を確認する。Docsは以下

SPO、OneDrive、Teams 用の安全な添付ファイル機能 - Office 365

再度管理画面を開く

Sign in to your account

「グローバル設定」を開く

自分の環境では両方ONになっていたからOK