インサイダー リスク管理アクティビティを調査する

重要

Microsoft Purview Insider Risk Management は、さまざまなシグナルを関連付けて、IP の盗難、データ漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意による内部関係者のリスクを特定します。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

潜在的に危険なユーザー アクティビティを調査することは、組織のインサイダー リスクを最小限に抑えるための重要な最初のステップです。 これらのリスクは、インサイダー リスク管理ポリシーからアラートを生成するアクティビティである可能性があります。 また、ポリシーによって検出されたコンプライアンス関連のアクティビティからのリスクである可能性もありますが、ユーザー向けのインサイダー リスク管理アラートをすぐには作成しません。 ユーザー アクティビティ レポート (プレビュー) またはアラート ダッシュボードを使用して、これらの種類のアクティビティを調査できます。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

ユーザー アクティビティ レポート

ユーザー アクティビティ レポートを使用すると、潜在的に危険なアクティビティ (特定のユーザーおよび定義された期間) を調べることができます。これらのアクティビティを一時的または明示的にインサイダー リスク管理ポリシーに割り当てる必要はありません。 ほとんどのインサイダー リスク管理シナリオでは、ユーザーはポリシーで明示的に定義されており、ポリシー アラート (トリガー イベントに応じて) とアクティビティに関連付けられたリスク スコアを持つ場合があります。 ただし、シナリオによっては、ポリシーで明示的に定義されていないユーザーのアクティビティを調べたい場合があります。 これらのアクティビティは、ユーザーと潜在的に危険なアクティビティに関するヒントを受け取ったユーザー、または通常はインサイダー リスク管理ポリシーに割り当てる必要がないユーザー向けである可能性があります。

インサイダー リスク管理の [設定] ページでインジケーターを構成すると、選択したインジケーターに関連付けられている潜在的に危険なアクティビティについて、ユーザー アクティビティが検出されます。 この構成は、トリガー イベントがあるかどうか、またはアラートを作成するかどうかに関係なく、ユーザーに対して検出されたすべてのアクティビティを確認できることを意味します。 レポートはユーザーごとに作成され、カスタム 90 日間のすべてのアクティビティを含めることができます。 同じユーザーの複数のレポートはサポートされていません。

潜在的に危険なアクティビティを調査した後、調査担当者は個々のユーザーのアクティビティを良性として却下できます。 また、レポートへのリンクを他の調査員と共有またはメールで送信したり、インサイダー リスク管理ポリシーに (一時的または明示的に) ユーザーを割り当てることもできます。 [ユーザー アクティビティ レポート] ページを表示するには、ユーザーがインサイダー リスク管理調査担当者の役割グループに割り当てられている必要があります。

開始するには、インサイダー リスク管理の [概要] ページの [ユーザー アクティビティの調査] セクションで [レポートの管理] を選択します。

ユーザーのアクティビティを表示するには、まず [ユーザー アクティビティ レポートの作成] を選択し、[新しいユーザー アクティビティ レポート] ウィンドウで次のフィールドに入力します。

• ユーザー: 名前またはメール アドレスでユーザーを検索します。
• 開始日: カレンダー コントロールを使用して、ユーザー アクティビティの開始日を選択します。
• 終了日: カレンダー コントロールを使用して、ユーザー アクティビティの終了日を選択します。 選択した終了日は、選択した開始日から 2 日以上後、選択した開始日から 90 日以内にする必要があります。

注:

ユーザーが以前にアラートに含まれていた場合、選択した範囲外のデータが含まれる場合があります。

ユーザー アクティビティ データは、アクティビティが発生してから約 48 時間後に報告できます。 たとえば、12 月 1 日のユーザー アクティビティ データを確認するには、レポートを作成する前に少なくとも 48 時間が経過していることを確認する必要があります (早ければ 12 月 3 日にレポートを作成します)。

通常、新しいレポートは、レビューの準備が整うまでに最大 10 時間かかります。 レポートの準備ができたら、[ユーザー アクティビティ レポート] ページの [状態] 列に [レポートの準備完了] が表示されます。 詳細レポートを表示するユーザーを選択します。

選択したユーザーのユーザー アクティビティ レポートには、[ユーザー アクティビティ] 、[アクティビティ エクスプローラー] 、[フォレンジック エビデンス] タブが含まれています。

• ユーザー アクティビティ: このグラフ ビューを使用して、潜在的に危険なアクティビティを調査し、連続して発生する潜在的に関連するアクティビティを表示します。 このタブは、すべてのアクティビティの履歴タイムライン、アクティビティの詳細、ケース内のユーザーの現在のリスク スコア、一連のリスク イベント、調査作業に役立つフィルタリング コントロールなど、ケースをすばやく確認できるように構成されています。
• アクティビティ エクスプローラー: このタブは、アクティビティに関する詳細情報を提供する包括的な分析ツールをリスク調査担当者に提供します。 アクティビティ エクスプローラーを使用すると、レビュー担当者は、検出された危険なアクティビティのタイムラインをすばやく確認し、アラートに関連付けられている潜在的に危険なアクティビティをすべて特定してフィルター処理できます。 アクティビティ エクスプローラーの使用方法の詳細については、この記事の後半にある「アクティビティ エクスプローラー」セクションを参照してください。

アラート ダッシュボード

インサイダーリスク管理警告は、インサイダーリスク管理ポリシーで定義されたリスク インジケーターによって自動的に生成されます。 これらのアラートにより、コンプライアンス アナリストや調査担当者は現在のリスク ステータスの全体像を把握できるようになり、組織は発見された潜在的なリスクをトリアージして対処することができます。 既定では、ポリシーは一定量の低、中、高の重大度のアラートを生成しますが、必要に応じてアラートの量を増減できます。 さらに、ポリシー作成ツールで新しいポリシーを作成するときに、ポリシー インジケーターのアラートしきい値を構成できます。

注:

生成されたアラートの場合、インサイダー リスク管理では、ユーザーごとに 1 つの集計アラートが生成されます。 そのユーザーの新しい分析情報は、同じアラートに追加されます。

Insider Risk Management Alerts Triage Experience ビデオをチェックして、アラートが危険なアクティビティの詳細、コンテキスト、関連コンテンツを提供する方法と、調査プロセスをより効果的にする方法の概要を確認してください。

注:

ポリシーの スコープが 1 つ以上の管理単位の場合は、スコープが設定されているユーザーに対するアラートのみを表示できます。 たとえば、管理スコープがドイツのユーザーのみに適用される場合、ドイツのユーザーに対するアラートのみを表示できます。 無制限の管理者は、organization内のすべてのユーザーのすべてのアラートを表示できます。

インサイダー リスク アラート ダッシュボードを使用すると、インサイダー リスク ポリシーによって生成されたアラートを表示して対応することができます。 各レポート ウィジェットには、過去 30 日間の情報が表示されます。

• レビューが必要なアラートの総数: レビューとトリアージが必要なアラートの総数が、アラートの重大度別の内訳を含めて一覧表示されます。
• 過去 30 日間のオープン アラート: 過去 30 日間にポリシー マッチによって作成されたアラートの総数が、高、中、低のアラート重大度レベルで並べ替えられます。
• アラートを解決する平均時間: 有益なアラートの統計情報の概要:
  • 重大度の高いアラートを解決するための平均時間。時間、日、または月単位で表示されます。
  • 中程度の重大度のアラートを解決するための平均時間。時間、日、または月単位で表示されます。
  • 重大度の低いアラートを解決するための平均時間。時間、日、または月単位で表示されます。

注:

インサイダー リスク管理は、組み込みのアラート調整を使用して、リスク調査を保護および最適化し、エクスペリエンスを確認します。 この調整により、データ コネクタの構成ミスやデータ損失防止ポリシーなど、ポリシー アラートが過負荷になる可能性がある問題を防ぎます。 その結果、ユーザーに対する新しいアラートの表示に遅延が生じる可能性があります。

アラートの状態と重大度

アラートを次のいずれかの状態にトリアージできます。

• 確認済み: 確認され、新規または既存のケースに割り当てられたアラート。
• 無視: トリアージ プロセスで良性として却下されたアラート。 アラートの却下の理由を提供し、ユーザーのアラート履歴で使用可能なメモを含めて、今後の参照または他のレビュー担当者に追加のコンテキストを提供できます。 理由は、予想されるアクティビティ、非実行イベント、ユーザーのアラート アクティビティの数の削減、またはアラート ノートに関連する理由などです。 理由の分類の選択には、このユーザーのアクティビティが予想される、アクティビティはさらに調査するのに十分な影響がある、このユーザーのアラートに含まれるアクティビティが多すぎる、が含まれます。
• レビューが必要 :トリアージ アクションがまだ実行されていない場合の新しいアラート。
• 解決済み: クローズ済みで解決済みのケースの一部であるアラート。

アラート リスク スコアは、複数のリスク アクティビティ インジケーターから自動的に計算されます。 これらのインジケーターには、リスク アクティビティの種類、アクティビティの発生回数と頻度、ユーザーのリスク アクティビティの履歴、潜在的に危険なアクティビティの深刻度を高める可能性のあるアクティビティ リスクの追加が含まれます。 アラート リスク スコアは、各アラートのリスク重大度レベルのプログラムによる割り当てを駆動し、カスタマイズすることはできません。 アラートがトリアージされず、リスク アクティビティがアラートに蓄積され続ける場合、リスクの重大度レベルが上がる可能性があります。 リスク アナリストと調査担当者は、アラート リスクの重大度を使用して、組織のリスク ポリシーと基準に従ってアラートをトリアージすることができます。

アラート リスクの重大度レベルは次のとおりです。

• 高重大度: アラートの潜在的に危険なアクティビティとインジケーターは、重大なリスクをもたらします。 関連するリスク アクティビティは、深刻で反復的であり、他の重要なリスク要因と強く相関しています。
• 中重大度: アラートの潜在的に危険なアクティビティとインジケーターは、中程度のリスクをもたらします。 関連するリスク アクティビティは、中程度で頻繁であり、他のリスク要因とある程度の相関関係があります。
• 低重大度: アラートの潜在的に危険なアクティビティとインジケーターは、軽微なリスクをもたらします。 関連するリスク アクティビティは軽微で頻度が低く、他の重要なリスク要因とは相関していません。

Copilot ボタンを使用してアラートを要約する

Copilot ボタンを使用すると、アラートを開くことなくアラートをすばやく要約できます。 Purview (プレビュー) で Microsoft Copilot でアラートを要約すると、画面の右側にアラートの概要が表示された [Copilot ] ウィンドウが表示されます。

アラートの概要には、トリガーされたポリシー、アラートを生成したアクティビティ、トリガーイベント、関連するユーザー、最後の作業日 (該当する場合)、キー ユーザー属性、ユーザーの主要なリスク要因など、アラートに関するすべての重要な詳細が含まれます。 Purview (プレビュー) の Copilot は、すべてのアラートとスコープ内ポリシーからユーザーに関する情報を統合し、ユーザーの最も重要なリスク要因を強調します。

Copilot ボタンを使用して、アラート キュー内の各アラートをすばやく要約し、さらに調査が必要なアラートに優先順位を付ける。 誤検知の場合は、複数のアラートを選択し、[アラートの無視] を選択して一括で 無視できます。

ヒント

スタンドアロン バージョンのMicrosoft Copilot for Securityを使用して、インサイダー リスク管理、Microsoft Purview データ損失防止 (DLP)、およびMicrosoft Defender XDRアラートを調査することもできます。

アラートのフィルター処理、フィルター セットのビューの保存、列のカスタマイズ、またはアラートの検索

組織内のアクティブなインサイダー リスク管理ポリシーの数と種類によっては、大量のアラートを確認することが困難な場合があります。 アラートを追跡するために、次のことができます。

• さまざまな属性でアラートをフィルター処理します。
• 後で再利用するようにフィルター セットのビューを保存します。
• 列の表示/非表示を切り替えます。
• アラートのSearch。

アラートをフィルター処理する

1. [ フィルターの追加] を選択します。

2. 次の属性の 1 つ以上を選択します。

   属性	説明
   アラートを生成したアクティビティ	アラートが生成される原因となったアクティビティ評価期間中の、リスクの高い可能性のあるアクティビティとポリシーの一致の上位を表示します。 この値は、時間の経過と同時に更新できます。
   アラートの無視の理由	アラートを無視する理由。
   割り当て先	トリアージのためにアラートが割り当てられている管理者 (割り当てられている場合)。
   ポリシー	ポリシーの名前。
   リスク要因	ユーザーのアクティビティのリスクを判断するのに役立つリスク要因。 使用可能な値は、 累積流出アクティビティ、 アクティビティには優先度コンテンツ、 シーケンス アクティビティ、 アクティビティには未承認ドメイン、 優先度ユーザー グループのメンバー、 影響の大きい可能性があるユーザーなどがあります。
   重大度	ユーザーのリスク重大度レベル。 オプションは、高、中、低です。
   状態	アラートの状態。 オプションは、確認済み、非表示、レビューが必要、解決済みです。
   検出された時刻 (UTC)	アラートが作成された日時の開始日と終了日。 フィルターは、開始日の UTC 00:00 から終了日の UTC 00:00 までのアラートを検索します。
   イベントのトリガー	ユーザーをポリシーのスコープに持ち込んだイベント。 トリガーイベントは時間の経過と同時に変化する可能性があります。

   選択した属性がフィルター バーに追加されます。

3. フィルター バーで属性を選択し、フィルターの対象となる値を選択します。 たとえば、検出された時刻 (UTC) 属性を選択し、[開始日] フィールドと [終了日] フィールドで日付を入力または選択し、[適用] を選択します。

   ヒント

   任意の時点でやり直す場合は、フィルター バー で [すべてリセット ] を選択します。

後で再利用するようにフィルター セットのビューを保存する

1. 前の手順で説明したようにフィルターを適用した後、フィルター バーの上にある [保存] を選択し、フィルター セットの名前を入力して、[保存] を選択 します。

   フィルター セットは、フィルター バーの上にカードとして追加されます。 これには、フィルター セットの条件を満たすアラートの数を示す数値が含まれます。

   注:

   最大 5 つのフィルター セットを保存できます。 フィルター セットを削除する必要がある場合は、カードの右上隅にある省略記号 (3 つのドット) ボタンを選択し、[削除] を選択します。

2. 保存したフィルター セットを再適用するには、フィルター セットのカードを選択するだけです。

列を表示または非表示にする

1. ページの右側にある [ 列のカスタマイズ] を選択します。

2. 表示または非表示にする列のチェックボックスをオンまたはオフにします。

列の設定は、セッション間およびブラウザー間で保存されます。

アラートのSearch

Search コントロールを使用して、ユーザー プリンシパル名 (UPN)、割り当てられた管理者名、またはアラート ID を検索します。

複数のアラートを無視する (プレビュー)

アナリストや調査担当者が複数のアラートを一度にすぐに無視することで、トリアージ時間を節約できる場合があります。 [アラートを無視する] コマンド バー オプションを使用すると、ダッシュボードで [レビューが必要] 状態のアラートを 1 つ以上選択し、トリアージ プロセスで必要に応じてこれらのアラートを無害としてすばやく閉じることができます。 一度に最大 400 個のアラートを選択して閉じることができます。

インサイダー リスク アラートを無視する

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. 左側のナビゲーションで [ アラート] を選択します。
4. [ アラート] ダッシュボードで、[ 確認が必要 ] 状態のアラート (またはアラート) を選択します。
5. [アラート] コマンド バーで、[アラートを無視] を選択します。
6. [ アラートの無視 の詳細] ウィンドウで、選択したアラートに関連付けられているユーザーとポリシーの詳細を確認します。
7. [ アラートを無視する] を選択して、アラートを問題のないものとして解決します。

コンプライアンス ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview コンプライアンス ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. [アラート] タブ を 選択します。
4. [ アラート] ダッシュボードで、[ 確認が必要 ] 状態のアラート (またはアラート) を選択します。
5. [アラート] コマンド バーで、[アラートを無視] を選択します。
6. [ アラートの無視 の詳細] ウィンドウで、選択したアラートに関連付けられているユーザーとポリシーの詳細を確認します。
7. [ アラートを無視する] を選択して、アラートを問題のないものとして解決します。

アラートを割り当てる

管理者であり、 Insider Risk Management、 Insider Risk Management Analysts、または Insider Risk Managementの調査担当者 ロール グループのメンバーである場合は、アラートの所有権を自分または同じロールの 1 つを持つインサイダー リスク管理ユーザーに割り当てることができます。 アラートが割り当てられた後、同じロールのいずれかを持つユーザーに再割り当てすることもできます。 アラートは、一度に 1 人の管理者にのみ割り当てることができます。

注:

ポリシーの スコープが 1 つ以上の管理単位である場合、アラートの所有権は、適切なロール グループのアクセス許可を持つインサイダー リスク管理ユーザーにのみ付与でき、アラートで強調表示されているユーザーは管理単位のスコープ内にある必要があります。 たとえば、管理スコープがドイツのユーザーのみに適用される場合、インサイダー リスク管理ユーザーはドイツのユーザーに対するアラートのみを表示できます。 無制限の管理者は、organization内のすべてのユーザーのすべてのアラートを表示できます。

管理者が割り当てられたら、管理者で検索できます。

注:

Microsoft Entra セキュリティ グループに含まれる管理者は、アラートの割り当てではサポートされていません。 管理者は、必要なロールのいずれかに直接割り当てる必要があります。

アラート ダッシュボードからアラートを割り当てる

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. 左側のナビゲーションで [ アラート] を選択します。
4. [ アラート] ダッシュボードで、割り当てるアラートを選択します。
5. アラート キューの上にあるボタン バーで、[ 割り当て] を選択します。
6. 画面の右側にある [ 所有者の割り当て ] ウィンドウで、適切なアクセス許可を持つ管理者を検索し、その管理者のチェック ボックスをオンにします。
7. [割り当て] を選択します。

コンプライアンス ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview コンプライアンス ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. [アラート] タブ を 選択します。
4. [ アラート] ダッシュボードで、割り当てるアラートを選択します。
5. アラート キューの上にあるボタン バーで、[ 割り当て] を選択します。
6. 画面の右側にある [ 所有者の割り当て ] ウィンドウで、適切なアクセス許可を持つ管理者を検索し、その管理者のチェック ボックスをオンにします。
7. [割り当て] を選択します。

アラートの詳細ページからアラートを割り当てる

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. 左側のナビゲーションで [ アラート] を選択します。
4. アラートを選択します。
5. アラートの詳細ウィンドウで、ページの右上隅にある [ 割り当て] を選択します。
6. [ 推奨される連絡先 ] の一覧で、適切な管理者を選択します。

コンプライアンス ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview コンプライアンス ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. [アラート] タブ を 選択します。
4. アラートを選択します。
5. アラートの詳細ウィンドウで、ページの右上隅にある [ 割り当て] を選択します。
6. [ 推奨される連絡先 ] の一覧で、適切な管理者を選択します。

アラートのトリアージ

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. 左側のナビゲーションで [ アラート] を選択します。
4. アラート ダッシュボードで、トリアージするアラートを選択します。
5. アラートの詳細ページで、アラートに関する情報を確認できます。 アラートを確認して新しいケースを作成したり、アラートを確認して既存のケースに追加したり、アラートを無視したりできます。 このページには、アラートの現在のステータスとアラート リスクの重大度レベル (高、中、または低) も含まれます。 アラートがトリアージされていない場合、重大度レベルは時間の経過とともに増減する可能性があります。

コンプライアンス ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview コンプライアンス ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. [アラート] タブ を 選択します。
4. アラート ダッシュボードで、トリアージするアラートを選択します。
5. アラートの詳細ページで、アラートに関する情報を確認できます。 アラートを確認して新しいケースを作成したり、アラートを確認して既存のケースに追加したり、アラートを無視したりできます。 このページには、アラートの現在のステータスとアラート リスクの重大度レベル (高、中、または低) も含まれます。 アラートがトリアージされていない場合、重大度レベルは時間の経過とともに増減する可能性があります。

ヘッダー/概要セクション

このセクションには、ユーザーとアラートに関する一般的な情報が含まれています。 この情報は、ユーザーのアラートに含まれる検出されたリスク管理アクティビティに関する詳細情報を確認する際に、コンテキストとして利用できます。

• このアラートを生成したアクティビティ: アラートの生成につながったアクティビティ評価期間中の上位の潜在的に危険なアクティビティとポリシーの一致を表示します。
• トリガー イベント: ポリシーがユーザーのアクティビティへのリスク スコアの割り当てを開始するよう促した最新のトリガー イベントを表示します。 リスクのあるユーザーによるデータ リークまたは危険なユーザーポリシーによるセキュリティ ポリシー違反に対する通信コンプライアンスとの統合を構成した場合、これらのアラートのトリガー イベントは通信コンプライアンス アクティビティにスコープが設定されます。
• ユーザーの詳細: アラートに割り当てられたユーザーに関する一般情報を表示します。 匿名化が有効になっている場合、ユーザー名、メール アドレス、エイリアス、組織のフィールドは匿名化されます。
• ユーザー アラート履歴: 過去 30 日間のユーザーのアラートのリストを表示します。 ユーザーの完全なアラート履歴を表示するためのリンクが含まれています。

注:

ユーザーが影響の大きい可能性のあるユーザーとして検出されると、この情報は [ユーザーの詳細] ページのアラート ヘッダーで強調表示されます。 ユーザーの詳細には、ユーザーがそのように検出された理由の概要も含まれます。 潜在的な影響の大きいユーザーに対するポリシー インジケーターの設定の詳細については、「インサイダー リスク管理の設定」を参照してください。

優先度の高いコンテンツを含むアクティビティのみを対象とするポリシーから生成されたアラートには、このセクションの「優先度の高いコンテンツを含むアクティビティのみがこのアラートに対してスコア付けされました」という通知が含まれます。

ヒント

アラートの簡単な概要を取得するには、アラートの詳細ページで [ 集計 ] ボタンを選択します。 [集計] ボタンを選択すると、ページの右側に [Copilot] ウィンドウが表示され、アラートの概要が表示されます。 アラートの概要には、トリガーされたポリシー、アラートを生成したアクティビティ、トリガーイベント、関連するユーザー、最後の作業日 (該当する場合)、キー ユーザー属性、ユーザーの主要なリスク要因など、アラートに関するすべての重要な詳細が含まれます。 Purview (プレビュー) の Copilot は、すべてのアラートとスコープ内ポリシーからユーザーに関する情報を統合し、ユーザーの最も重要なリスク要因を強調します。 また、[Copilot] ボタンを使用してアラートを開く必要なく、アラート キューからアラートを要約することもできます。 または、スタンドアロン バージョンのMicrosoft Copilot for Securityを使用して、インサイダー リスク管理、Microsoft Purview データ損失防止 (DLP)、およびMicrosoft Defender XDRアラートを調査します。

すべてのリスク要因

このタブは、ユーザーのアラート アクティビティのリスク要因の概要を開きます。 リスク要因は、レビュー中にこのユーザーのリスク管理アクティビティがどの程度危険であるかを判断するのに役立ちます。 リスク要因には、次の概要が含まれます。

• 上位の流出アクティビティ: アラートの数またはイベントが最も多い流出アクティビティを表示します。
• 累積的な流出アクティビティ: 累積的な流出アクティビティに関連するイベントを表示します。
• アクティビティのシーケンス: リスク シーケンスに関連付けられた、検出された潜在的に危険なアクティビティを表示します。
• このユーザーの異常なアクティビティ: 通常とは異なる、一般的なアクティビティから逸脱しているため、リスクの可能性があると見なされるユーザーの特定のアクティビティを表示します。
• 優先度の高いコンテンツ: 優先度の高いコンテンツに関連する潜在的に危険な活動を表示します。
• 許可されていないドメイン: 許可されていないドメインに関連するイベントの潜在的に危険なアクティビティを表示します。
• 健康記録へのアクセス: 健康記録へのアクセスに関連するイベントの潜在的に危険なアクティビティを表示します。
• 危険なブラウザーの使用: 不適切な可能性のある Web サイトの閲覧に関連するイベントの潜在的に危険なアクティビティを表示します。

これらのフィルターでは、上記のリスク要因を持つアラートのみが表示されますが、アラートを生成したアクティビティは、これらのカテゴリのいずれにも該当しない可能性があります。 たとえば、ユーザーがファイルを USB デバイスにコピーしただけで、シーケンス アクティビティを含むアラートが生成された可能性があります。

検出されたコンテンツ

[すべてのリスク要因] タブのセクションには、アラートのリスク アクティビティに関連付けられたコンテンツが含まれ、重要な領域ごとにアクティビティ イベントが要約されます。 アクティビティ リンクを選択すると、アクティビティ エクスプローラーが開き、アクティビティの詳細が表示されます。

アクティビティ エクスプローラー

このタブは、アクティビティ エクスプローラーを開きます。 詳細については、この記事の「アクティビティ エクスプローラー」セクションを参照してください。

ユーザー アクティビティ

ユーザー アクティビティ グラフは、インサイダー リスク管理ソリューションのアラートとケースの内部リスク分析と調査のための最も強力なツールの 1 つです。 このタブは、すべてのアラートの履歴タイムライン、アラートの詳細、ユーザーの現在のリスク スコア、一連のリスク イベントなど、ユーザーのすべてのアクティビティをすばやく確認できるように構成されています。

1. ケースのアクション: ケースを解決するためのオプションは、ケースアクションツールバーにあります。 ケースを表示すると、ケースを解決したり、ユーザーにメール通知を送信したり、データまたはユーザーの調査のためにケースをエスカレートしたりできます。

2. リスクアクティビティ年表: ケースに関連するすべてのリスクアラートの全年表がリストに表示されます。これには、対応するアラートバブルにあるすべての詳細が含まれます。

3. フィルターと並べ替え (プレビュー):

   • リスク カテゴリ: 次のリスク カテゴリでアクティビティをフィルター処理します: リスク スコアが 15 のアクティビティ> (シーケンス内の場合を除く) およびシーケンス アクティビティ 。
   • アクティビティの種類: 次の種類でアクティビティをフィルター処理します: アクセス、削除、コレクション、流出、侵入、難読化、およびセキュリティ。
   • 並べ替え: 潜在的に危険なアクティビティのタイムラインを、発生日またはリスク スコア別に一覧表示します。

4. 時間フィルター: 既定では、過去 3 か月間の潜在的に危険なアクティビティがユーザー アクティビティ チャートに表示されます。 バブル チャートで [6 か月]、[3 か月]、または [1 か月] タブを選択すると、グラフ ビューを簡単にフィルター処理できます。

5. リスク シーケンス: 潜在的にリスクのあるアクティビティの時系列順は、リスク調査の重要な側面であり、これらの関連アクティビティを特定することは、組織の全体的なリスクを評価する上で重要な部分です。 関連するアラート アクティビティは接続線で表示され、これらのアクティビティがより大きなリスク領域に関連付けられていることが強調されます。 シーケンスは、このビューでも、シーケンスのリスク スコアに関連するシーケンス アクティビティの上に配置されたアイコンによって識別されます。 アイコンにカーソルを合わせると、このシーケンスに関連する危険なアクティビティの日時が表示されます。 アクティビティのこのビューは、調査担当者が、孤立した、または 1 回限りのイベントと見なされた可能性のあるリスク アクティビティについて、文字通り「点をつなぐ」のに役立ちます。 一連のアイコンまたはバブルを選択すると、関連するすべてのリスク アクティビティの詳細が表示されます。 詳細は次のとおりです。

   • シーケンスの名前。
   • シーケンスの日付または日付範囲。
   • シーケンスのリスク スコア。 このスコアは、シーケンス内の関連するアクティビティごとにアラート リスクの重大度レベルを組み合わせたシーケンスの数値スコアです。
   • シーケンス内の各アラートに関連付けられたイベントの数。 潜在的に危険な活動に関連する各ファイルまたはメールへのリンクも利用できます。
   • アクティビティを順番に表示します。 シーケンスをバブル チャートにハイライト ラインとして表示し、アラートの詳細を展開してシーケンス内の関連するすべてのアラートを表示します。

6. リスク アラート アクティビティと詳細: 潜在的に危険なアクティビティは、ユーザー アクティビティ グラフに色付きのバブルとして視覚的に表示されます。 バブルは、リスクのさまざまなカテゴリに対して作成されます。 バブルを選択して、潜在的に危険なアクティビティの詳細を表示します。 詳細は次のとおりです。

   • リスクアクティビティの日付。
   • リスク アクティビティ カテゴリ。 たとえば、組織外に送信された添付ファイル付きのメール、または SharePoint Online からダウンロードされたファイルがあります。
   • アラートのリスクスコア。 このスコアは、アラートリスクの重大度レベルを表すスコアの数値です。
   • アラートに関連付けられているイベント数。 リスクアクティビティに関連した各ファイルまたはメールへのリンクも表示されます。

7. 累積的な流出アクティビティ: このボタンを選択すると、ユーザーのアクティビティが時間の経過とともにどのように構築されているかを示す視覚的なグラフが表示されます。

8. リスクアクティビティの凡例: ユーザーアクティビティチャートの下部にある 色分けされた凡例は、各アラートのリスクカテゴリをすばやく判別するのに役立ちます。

アクティビティ エクスプローラー

注:

アクティビティ エクスプローラーは、この機能が組織で利用可能になった後、イベントをトリガーするユーザーのアラート管理領域で利用できます。

アクティビティ エクスプローラーは、リスク調査担当者とアナリストに、アラートに関する詳細情報を提供する包括的な分析ツールを提供します。 アクティビティ エクスプローラーを使用すると、レビュー担当者は、検出された潜在的に危険なアクティビティのタイムラインをすばやく確認し、アラートに関連付けられているすべてのリスク アクティビティを特定してフィルター処理できます。

アクティビティ エクスプローラーを使用する

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. 左側のナビゲーションで [ アラート] を選択します。
4. アラート ダッシュボードで、トリアージするアラートを選択します。
5. [アラートの詳細] ウィンドウで、[展開されたビューを開く] を選択します。
6. 選択したアラートのページで、[アクティビティ エクスプローラー] タブを選択します。

コンプライアンス ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview コンプライアンス ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. [アラート] タブ を 選択します。
4. アラート ダッシュボードで、トリアージするアラートを選択します。
5. [アラートの詳細] ウィンドウで、[展開されたビューを開く] を選択します。
6. 選択したアラートのページで、[アクティビティ エクスプローラー] タブを選択します。

アクティビティ エクスプローラーでアクティビティを確認する場合、調査担当者とアナリストは特定のアクティビティを選択して、アクティビティの詳細ウィンドウを開くことができます。 このウィンドウには、アラートのトリアージ プロセス中に調査担当者とアナリストが使用できるアクティビティに関する詳細情報が表示されます。 詳細情報は、アラートのコンテキストを提供し、アラートをトリガーしたリスク アクティビティの全範囲を特定するのに役立ちます。

アクティビティ タイムラインからアクティビティのイベントを選択すると、エクスプローラーに表示されるアクティビティの数が、タイムラインにリストされているアクティビティ イベントの数と一致しない場合があります。 この違いが発生する理由の例:

• 累積流出検出: 累積流出検出はイベント ログを分析しますが、重複除去と同様のアクティビティを含むモデルを適用して累積流出リスクを計算します。 さらに、既存のポリシーまたは設定に変更を加えた場合、アクティビティ エクスプローラーに表示される潜在的に危険なアクティビティの数に違いが生じる場合もあります。 たとえば、ポリシーが作成され、潜在的に危険なアクティビティの一致が発生した後に、許可/許可されていないドメインを変更したり、新しいファイルの種類の除外を追加したりすると、累積的な流出検出アクティビティは、ポリシーまたは設定が変更される前の結果とは異なります。 累積的な流出検出アクティビティの合計は、計算時のポリシーと設定の構成に基づいており、ポリシーと設定の変更前のアクティビティは含まれません。
• 外部受信者へのメール: 外部受信者に送信されたメールの潜在的に危険なアクティビティには、送信されたメールの数に基づいてリスク スコアが割り当てられ、アクティビティ イベント ログと一致しない場合があります。

リスク スコアリングから除外されたイベントを含むシーケンス

シーケンスには、設定の構成に基づいてリスク スコアリングから除外される 1 つ以上のイベントが含まれている場合があります。 たとえば、organizationでは、[インテリジェント検出] 設定を使用して、.png ファイルは通常危険ではないため、.png ファイルをリスク スコアリングから除外できます。 ただし、.png ファイルを使用して、悪意のあるアクティビティを難読化することができます。 このため、リスク スコアリングから除外されるイベントが難読化アクティビティのためにシーケンスの一部である場合、そのイベントはシーケンスのコンテキストで興味深い可能性があるため、シーケンスに含まれます。

アクティビティ エクスプローラーには、除外されたイベントに関する次の情報が順番に表示されます。

• シーケンスに、すべてのイベントが除外されるステップが含まれている場合、分析情報にはアクティビティの名前と日付だけが含まれます。 [ 除外されたイベントの表示 ] リンクを選択して、アクティビティ エクスプローラーで除外されたイベントをフィルター処理します。 すべてのイベントが除外されている場合、ユーザー アクティビティ散布図アイコンのリスク スコアは 0 です。
• シーケンスに一部のイベントが除外される分析情報がある場合、除外されていないイベントのイベント情報が表示されますが、イベント数には除外されたイベントは含まれません。 [ 除外されたイベントの表示 ] リンクを選択して、アクティビティ エクスプローラーで除外されたイベントをフィルター処理します。
• 分析情報の シーケンス リンク を選択した場合は、スコアリングから除外されたすべてのイベントを含め、アクティビティの詳細ウィンドウでイベントのシーケンスをドリルダウンできます。 スコアリングから除外されたイベントは、除外としてマーク されます。

アクティビティ エクスプローラーでアラートをフィルター処理する

アクティビティ エクスプローラーで列情報のアラートをフィルター処理するには、[フィルター] を選択 します。 アラートの詳細ウィンドウに一覧表示されている 1 つ以上の属性でアラートをフィルター処理できます。 アクティビティ エクスプローラーはカスタマイズ可能な列もサポートしており、調査担当者やアナリストがダッシュボードで最も重要な情報に集中できるようにします。

アクティビティ スコープ、リスク要因、レビューの状態 フィルターを使用して、次の領域のアクティビティと分析情報を表示および並べ替えます。

• アクティビティ スコープ: ユーザーのスコア付けされたすべてのアクティビティをフィルター処理します。

  • このユーザーのすべてのスコア付けされたアクティビティ
  • このアラートのスコア付けされたアクティビティのみ

• リスク要因: リスク スコアを割り当てるすべてのポリシーに適用されるリスク要因アクティビティのフィルター。これには、スコープ内ユーザーのすべてのポリシーのすべてのアクティビティが含まれます。

  • 異常なアクティビティ
  • 優先度の高いコンテンツを含むイベントを含みます
  • 許可されていないドメインのイベントを含みます
  • シーケンス アクティビティ
  • 累積流出アクティビティ数
  • 健康記録へのアクセス アクティビティ
  • 危険なブラウザーの使用

• レビューの状態: アクティビティ レビューの状態をフィルター処理します。

  • すべて
  • まだ確認されていません (無視または解決されたアラートの一部であったアクティビティを除外します)

後で再利用するフィルターのビューを保存する

フィルターを作成し、フィルターの列をカスタマイズする場合は、変更のビューを保存して、後で同じ変更をすばやくフィルター処理できます。 ビューを保存するときは、フィルターと列の両方を保存します。 ビューを読み込むと、保存されたフィルターと列の両方が読み込まれます。

1. フィルターを作成し、列をカスタマイズします。

   ヒント

   任意の時点でやり直す場合は、[リセット] を選択 します。 カスタマイズした列を変更するには、[ 列のリセット] を選択します。

2. フィルターを希望の方法で選択したら、[ このビューを保存] を選択し、ビューの名前を入力して、[保存] を選択 します。

   注:

   ビュー名の最大長は 40 文字で、特殊文字は使用できません。

3. フィルターのビューを後で再利用するには、[ ビュー] を選択し、[ 推奨ビュー ] タブ (最も使用されているビューが表示されます) または [ カスタム ビュー ] タブ (最もよく使用されるフィルターが一覧の上部に表示されます) から開くビューを選択します。

この方法でビューを選択すると、既存のすべてのフィルターがリセットされ、選択したビューに置き換えられます。

アラートのケースを作成する

リスクの高いアクティビティをさらに調査する場合は、アラートのケースを作成できます。

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. 左側のナビゲーションで [ アラート] を選択します。
4. アラート ダッシュボードで、確認するアラートを選択し、新しいケースを作成します。
5. [アラートの詳細] ウィンドウで、[アクション] [>アラートの確認] を選択 & ケースを作成します。
6. [ アラートの確認とインサイダー リスク ケースの作成 ] ダイアログ ボックスで、ケースの名前を入力し、共同作成者として追加するユーザーを選択し、必要に応じてコメントを追加します。 コメントは、ケースメモとしてケースに自動的に追加されます。
7. [ ケースの作成] を 選択して、新しいケースを作成します。

ケースが作成された後、調査担当者とアナリストはケースを管理して対応できます。 詳細については、「インサイダー リスク管理ケース」の記事を参照してください。

コンプライアンス ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview コンプライアンス ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. [アラート] タブ を 選択します。
4. アラート ダッシュボードで、確認するアラートを選択し、新しいケースを作成します。
5. [アラートの詳細] ウィンドウで、[アクション] [>アラートの確認] を選択 & ケースを作成します。
6. [ アラートの確認とインサイダー リスク ケースの作成 ] ダイアログ ボックスで、ケースの名前を入力し、共同作成者として追加するユーザーを選択し、必要に応じてコメントを追加します。 コメントは、ケースメモとしてケースに自動的に追加されます。
7. [ ケースの作成] を 選択して、新しいケースを作成します。

ケースが作成された後、調査担当者とアナリストはケースを管理して対応できます。 詳細については、「インサイダー リスク管理ケース」の記事を参照してください。

保持とアイテムの制限

インサイダー リスク管理アラートが古くなるにつれて、ほとんどの組織にとって、潜在的に危険なアクティビティを最小限に抑えるためのアラートの価値が低下します。 逆に、アクティブなケースと関連するアーティファクト (アラート、インサイト、アクティビティ) は常に組織にとって価値があり、自動有効期限を設けるべきではありません。 これには、アクティブなケースに関連付けられているすべてのユーザーのアクティブなステータスにある、将来のすべてのアラートと成果物が含まれます。

現在の価値が限られている古いアイテムの数を最小限に抑えるために、インサイダー リスク管理アラート、ケース、ユーザー レポートには、次の保持と制限が適用されます。

項目	保持/制限
レビューが必要状態のアラート	アラートの作成から 120 日、その後は自動的に削除されます
アクティブなケース (および関連する成果物)	無期限の保持、無期限
解決済みのケース (および関連する成果物)	ケースの解決から 120 日、その後は自動的に削除されます
アクティブなケースの最大数。	100
ユーザー アクティビティ レポート	レポートの作成から 120 日、その後は自動的に削除されます

インサイダー リスク アラート キューの管理に関するヘルプ

潜在的に危険なインサイダー アラートを確認、調査、対応することは、組織内のインサイダー リスクを最小限に抑える上で重要な部分です。 これらのリスクの影響を最小限に抑えるために迅速に行動を起こすことで、組織の時間、費用、規制や法律の影響を節約できる可能性があります。 この修復プロセスでは、アラートを確認する最初の手順が、多くのアナリストや調査担当者にとって最も困難な作業のように思える場合があります。 状況によっては、潜在的に危険な内部関係者の警告に対処する際に、いくつかの小さな障害に直面する場合があります。 次の推奨事項を確認し、アラート レビュー プロセスを最適化する方法を学びます。

確認するアラートが少なすぎます

アラートが少なすぎる場合:

• 設定を更新します。 設定に加えた変更は、すべてのポリシーにグローバルに適用されます。

  • より多くのインジケーターを有効にします。 より多くのインジケーターを選択すると、検出するアクティビティのグループが大きくなります。

    [設定ポリシー インジケーター] > に移動し、使用可能なインジケーターと関連するすべてのインジケーターを有効にします。

  • [アラート ボリューム] スライダーを調整して、さらに アラート を生成します。 このスライダーを使用して、重大度が中および高のすべてのアラートと、重大度が最も低いアラートを表示します。 注: スライダーを調整すると、誤検知が増える可能性があります。

    [設定][インテリジェント検出>] [アラート ボリューム] > に移動し、スライダーを [その他のアラート] に移動します。

• 十分なアラートを生成していないポリシーを特定します。

  • ポリシーのユーザー カバレッジを増やします。 スコープに含まれるユーザーが少ないポリシーは、アラートを生成する可能性が低くなります。 該当する場合は、ポリシーのスコープ内のユーザー数を増やすことを検討してください。

    [ ポリシー ] ページで特定のポリシーを選択し、[ ポリシーの編集] を選択し、[ ユーザーとグループ ] ページに移動して、スコープ内ユーザーの数を増やします。

  • ポリシーのトリガーしきい値を下げる。 データ リークと危険なブラウザー使用状況 (プレビュー) テンプレートに基づくポリシーを使用すると、トリガーのしきい値をいくつかカスタマイズできます。 これらのしきい値は、ユーザー アクティビティの検出を開始するタイミングを定義します。 トリガーのしきい値を下げると、ユーザーが危険なアクティビティの評価を開始するための基準を下げることができます。 注: ユーザーが [ ユーザーとグループ ] ページに表示されない場合は、トリガーイベントの条件がまだ満たされていないことを意味します。

    [ポリシー] ページで特定のポリシーに移動し、[ポリシーの編集] を選択し、[トリガーのしきい値] ページに移動し、[カスタムしきい値を使用する] オプションを選択して、しきい値を設定します。

  • ポリシーのインジケーターを編集します。 インジケーターは、ユーザーが危険と見なすために実行する必要があるアクティビティです。 ポリシーで多くのインジケーター (危険と見なされるアクティビティ) が選択されていない場合、アラートが生成される可能性は低くなります。

    [ポリシー] ページで特定のポリシーに移動し、[ポリシーの編集] を選択し、[インジケーター] ページに移動します。

  • ポリシーのインジケーターのしきい値を下げる。 ユーザーが評価を受け始めた後 (トリガー イベントがある) と、アクティビティが危険であることを示す可能性のある特定のしきい値を超えるアクティビティを実行した場合にのみ、それらのユーザーに対してアラートが生成されます。 インジケーターのしきい値を下げると、アラートを生成するためにユーザーが超える必要があるしきい値が下がります。

    [ポリシー] ページで特定のポリシーに移動し、[ポリシーの編集] を選択し、[インジケーターのしきい値] ページに移動し、[しきい値のカスタマイズ] オプションを選択して、しきい値を設定します。

確認するアラートが多すぎます

有効なアラートが多すぎる場合、または古い低リスクアラートが多すぎる場合は、次のアクションを実行することを検討してください。

• 分析を有効にする: 分析を有効にすると、ユーザーの潜在的なリスク領域をすばやく特定し、構成する可能性があるインサイダー リスク管理ポリシーの種類と範囲を判断するのに役立ちます。 分析分析情報の詳細については、「 Insider リスク管理の設定: 分析」を参照してください。 また、ガイド付き (データドリブン) のしきい値構成エクスペリエンスを利用して、新しいポリシーを作成したり、既存のしきい値を調整したりするときに適切なしきい値を構成する場合に役立つ場合は、分析からリアルタイムの分析情報を取得することもできます。 これらの分析情報は、アクティビティ発生のインジケーターとしきい値の選択を効率的に調整するのに役立ち、ポリシー アラートの数が少なすぎるか、または多すぎることがないようにします。 詳細については、「 リアルタイム分析を使用してアラート ボリュームを管理する」を参照してください。

• インサイダー リスク ポリシーを調整する: 正しいインサイダー リスク ポリシーを選択して構成することは、アラートの種類と量に対処するための最も基本的な方法です。 適切な ポリシー テンプレート から始めると、表示されるリスク アクティビティとアラートの種類に焦点を当てるのに役立ちます。 アラートの量に影響を与える可能性があるその他の要因は、対象範囲内のユーザーとグループのサイズ、優先されるコンテンツとチャンネルです。 ポリシーを調整して、これらの領域を組織にとって最も重要なものに絞り込むことを検討してください。

• インサイダー リスク設定を変更する: Insider リスク設定には、受信するアラートの量と種類に影響を与える可能性があるさまざまな構成オプションが含まれています。 アラート ノイズを除外するには、次の設定を確認して理解してください。

  • ポリシー インジケーターとインジケーターのしきい値
  • インテリジェントな検出
  • 検出グループ
  • 組み込みインジケーターのバリアント
  • ポリシー期間

• インライン アラートのカスタマイズを有効にする: インライン アラートのカスタマイズ を有効にすると、アナリストや調査担当者は、アラートを確認するときにポリシーをすばやく編集できます。 Microsoft の推奨事項を使用してアクティビティ検出のしきい値を更新したり、カスタムしきい値を構成したり、アラートを作成したアクティビティの種類を無視することを選択したりできます。 これが有効になっていない場合は、 Insider Risk Management ロール グループに割り当てられているユーザーのみがインライン アラートのカスタマイズを使用できます。

• 該当する場合はアラートの一括削除: アナリストや調査担当者が複数のアラートを一度に即座に無視することで、トリアージ時間を節約できる場合があります。 一度に最大 400 個のアラートを選択して閉じることができます。

アラートのトリアージ プロセスに精通していない

インサイダー リスク管理におけるアラートの調査と対処は簡単です。

1. レビューが必要の状態を含むアラートのアラート ダッシュボードを確認します。 これらの種類のアラートを見つける必要がある場合は、アラートの状態でフィルター処理します。
2. 重大度が最も高いアラートから始めます。 これらの種類のアラートを見つける必要がある場合は、アラートの重大度でフィルター処理します。
3. アラートを選択して詳細情報を見つけ、アラートの詳細を確認します。 必要に応じて、アクティビティ エクスプローラーを使用して、関連する潜在的に危険な動作のタイムラインを確認し、アラートのすべてのリスク アクティビティを特定します。
4. アラートに従って行動します。 アラートのケースを確認して作成するか、アラートを無視して解決することができます。

組織内のリソースの制約

現代の職場のユーザーは、多くの場合、さまざまな責任と時間の要求を抱えています。 リソースの制約に対処するために実行できるアクションがいくつかあります。

• アナリストと調査担当者は、最初に最もリスクの高いアラートに集中して取り組みます。 ポリシーによっては、ユーザー アクティビティをキャプチャしてアラートを生成し、リスク軽減の取り組みにさまざまな程度の影響を与える可能性があります。 重大度でアラートをフィルター処理し、重大度の高いアラートに優先順位を付けます。
• ユーザーをアナリストおよび調査担当者として割り当てます。 適切なユーザーを適切なロールに割り当てることは、インサイダー リスク アラートのレビュー プロセスの重要な部分です。 インサイダー リスク管理アナリストおよびインサイダー リスク管理調査担当者の役割グループに適切なユーザーを割り当てていることを確認してください。
• 自動化されたインサイダー リスク機能を使用して、最もリスクの高いアクティビティを発見します。
  • インサイダー リスク管理シーケンス検出と累積流出検出を使用して、organizationのリスクを見つけるのが難しい場合にすばやく検出します。
  • リスク スコア ブースターの微調整を検討し、インテリジェント検出、検出グループ、バリアントを使用します。
  • ポリシーの最小インジケーターしきい値設定を微調整します。