Cloud App Securityで「あり得ない移動アクティビティ」の検知を試してみた

エンタープライズモビリティ スイート (Enterprise Mobility + Security : EMS)のE5に含まれてる「Microsoft Cloud App Security」の機能をちょっと試してみました。

 

1.左メニューから[制御] > [ポリシー]を選択します。

 

2.[Impossible travel]を選択します。

 

3.これは移動不可能な時間間隔で同じユーザーからアクセスがあった場合に検知するポリシーです。

アラートをメールで送信]を有効にして、送信先のメールアドレスを入力し、ポリシーを更新します。

 

4.まず通常どおりにOffice 365にアクセスして、その後 ChromeやFirefoxの拡張機能(Stealthy)を利用して米国のIPアドレスでOffice 365に接続します。

 

5.暫くすると検知メールが届きました。[Review this alert]をクリックします。

 

6.日本と米国で同ユーザー・ほぼ同時刻でアクセスがあったことが検知できました。