データ損失防止アラート ダッシュボードの概要

Microsoft Purview データ損失防止 (DLP) ポリシーは、機密アイテムの意図しない共有を防ぐために保護措置を講じることができます。 DLP のアラートを構成することで、機密性の高いアイテムに対してアクションが実行されたときに通知を受け取ることができます。 この記事では、データ損失防止 (DLP) ポリシーでアラートを構成する方法について説明します。 Microsoft Purview ポータルの DLP アラート管理ダッシュボードを使用して、DLP ポリシー違反のアラート、イベント、および関連するメタデータを表示する方法について説明します。

DLP アラートを初めて使用する場合は、「 データ損失防止アラートの概要」を確認する必要があります。

ヒント

Microsoft Copilot for Security の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のセキュリティMicrosoft Copilotの詳細については、こちらをご覧ください。

Microsoft Purview ポータル には、次のワークロードに適用される DLP ポリシーのアラートが表示されます。

• Exchange メール
• SharePoint サイト
• OneDrive アカウント
• Teams チャットおよびチャネル メッセージ
• デバイス
• Instances
• オンプレミスのリポジトリ
• Fabric と Power BI

開始する前に

開始する前に、必要な前提条件があることを確認してください。

• DLP アラート管理ダッシュボードのライセンス
• アラート構成オプションのライセンス
• 必要な役割

DLP アラート管理ダッシュボードのライセンス

DLP ポリシーの使用を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認してください。

ライセンスの詳細については、「Microsoft 365、Office 365、Enterprise Mobility + Security、Windows 11 Subscriptions for Enterprises」を参照してください。

Teams DLP の対象となるエンドポイント DLP を使用するお客様は、DLP アラート管理ダッシュボードにエンドポイント DLP ポリシー アラートと Teams DLP ポリシー アラートが表示されます。

アラート構成オプションのライセンス

DLP ポリシーの使用を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認してください。

ライセンスの詳細については、「Microsoft 365、Office 365、Enterprise Mobility + Security、Windows 11 Subscriptions for Enterprises」を参照してください。

ロールとロールのグループ

DLP アラート管理ダッシュボードを表示する場合、または DLP ポリシーのアラート構成オプションを編集する場合は、次のいずれかの役割グループのメンバーである必要があります。

• コンプライアンス管理者
• コンプライアンス データ管理者
• セキュリティ管理者
• セキュリティ オペレーター
• セキュリティ閲覧者
• Information Protection 管理者
• Information Protection アナリスト
• Information Protection 調査員
• Information Protection 閲覧者

詳細については、Microsoft Purview コンプライアンス ポータルの「アクセス許可」を参照してください。

該当する役割グループの一覧を次に示します。 詳細については、Microsoft Purview コンプライアンス ポータルのアクセス許可に関するページを参照してください。

• 情報保護
• Information Protection レベル
• Information Protection アナリスト
• Information Protection 調査担当者
• Information Protection 閲覧者

DLP アラート管理ダッシュボードにアクセスするには、 アラートの管理 ロールと、次の 2 つのロールのいずれかが必要です。

• DLP コンプライアンス管理
• 表示専用の DLP コンプライアンス管理

コンテンツ プレビュー機能と一致した機密性の高いコンテンツとコンテキスト機能にアクセスするには、コンテンツ エクスプローラー コンテンツ ビューアー ロール グループのメンバーである必要があります。このロールには、データ分類コンテンツ ビューアー ロールが事前に割り当てられている必要があります。

DLP アラートの構成

DLP ポリシーでアラートを構成する方法については、「 データ損失防止ポリシーの作成と展開」を参照してください。

重要

organizationの監査ログ保持ポリシーの構成によって、アラートがコンソールに表示される期間が制御されます。 詳細については、「 監査ログ保持ポリシーの管理 」を参照してください。

集計イベント アラートの構成

organizationに集約アラート構成オプションのライセンスが付与されている場合は、DLP ポリシーを作成または編集するときにこれらのオプションが表示されます。

この構成を使用すると、アクティビティがポリシー条件に一致するたびに、またはアクティビティの数に基づいて、または流出データの量に基づいて、特定のしきい値を超えたときにアラートを生成するポリシーを設定できます。

単一イベント アラートの構成

organizationにシングル イベント アラート構成オプションのライセンスが付与されている場合は、DLP ポリシーを作成または編集するときにこれらのオプションが表示されます。 DLP ルールの一致が発生するたびに発生するアラートを作成するには、このオプションを使用します。

DLP アラートを調査する

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

DLP アラート管理ダッシュボードを操作するには:

1. Microsoft Purview ポータルにサインインします>データ損失防止。
2. [ アラート] を選択して、 DLP アラート ダッシュボードを 表示します。
3. [フィルター] フィールドを使用して、アラートの一覧を絞り込みます。
4. [ 列のカスタマイズ ] を選択して、表示するプロパティを一覧表示します。
5. 結果を昇順または降順で並べ替えるには、列ヘッダーをダブルクリックします。
6. アラートの詳細については、アラートをダブルクリックします。
7. 既定で [ 詳細 ] タブが開き、アラートに関する概要情報が表示されます。
8. [ Copilot で集計] を選択します。 これにより、Security Copilotによってアラートの概要が生成されます。 アラートの概要には、次のものが含まれます。
   • アラートの重大度
   • アラート タイトル
   • 一致したポリシーの名前
   • 関連する名前ファイルとファイルへのリンク
   • アラートの状態
   • ポリシーに一致するアクションを実行したユーザーの電子メール アドレス
9. Security Copilotの概要で省略記号を選択すると、次のようになります。
   • 概要をクリップボードにコピーする
   • 概要を再生成する
   • Security Copilotスタンドアロン エクスペリエンスでアラートを開きます。
10. [ 詳細の表示] を選択して、[ 概要 ] タブを開きます。[ 概要 ] タブには、次の情報の概要が表示されます。
    • どうされました
    • ポリシー一致の原因となったアクションを実行したユーザー
    • ポリシーの一致に関する追加情報
11. [ イベント ] タブには、アラートに関連付けられているすべてのイベントが一覧表示されます。 一覧で任意のイベントを選択して、イベントに関する詳細情報を取得します。 イベントごとに、[ アクション] ドロップダウンを選択して、アラートに対して実行できるアクションの一覧 (アラートが真の一致または誤検知を識別したかどうかを確認するなど) を選択します。
    1. [ユーザー アクティビティの概要] タブでは、インサイダー リスク管理設定で共有をオンにする必要があります。[ユーザー アクティビティの概要] タブには、ユーザーが関与したすべての流出アクティビティ (過去 120 日まで) が表示されます。 [ユーザー アクティビティの概要] タブを表示するには、ユーザーがインサイダー リスク管理ポリシーのスコープ内にある必要があります。
    2. アラートを調査したら、[ 概要 ] タブに戻り、 アラート のトリアージと処理の管理、コメントの追加、アラートの所有権の割り当てを行うことができます。 (ワークフロー管理の履歴を表示するには)。)
    3. アラートに対して必要なアクションを実行したら、アラートの状態を [解決済み] に設定します。

コンプライアンス ポータル

DLP アラート管理ダッシュボードを操作するには:

1. Microsoft Purview コンプライアンス ポータルで、[データ損失防止] に移動し、[アラート] を選択します。

2. [ 列のカスタマイズ ] を選択して、表示するプロパティを一覧表示します。 また、任意の列でアラートを昇順または降順で並べ替えることもできます。

3. [適用] を選択します。

4. [ 詳細の表示] を選択して、アラートの [概要 ] ページを開きます。 概要ページには、次を識別する概要が表示されます。

   • どうされました
   • ポリシー一致の原因となったアクションを実行したユーザー
   • 一致したポリシーに関する情報
   1. [ イベント ] タブを選択すると、アラートに関連付けられているすべてのイベントが表示されます。 このページのタブには、次の情報が表示されます。
      • 関連するソース コンテンツ
      • イベントの詳細
      • 一致を検出した分類子
      • ファイル アクティビティの 詳細
      • イベントに関連付けられているメタデータ

   重要

   なし は、ユーザーがインサイダー リスク管理ポリシーのスコープに含まれていないか、ユーザーが過去 120 日間に流出アクティビティに関与していないことを意味します。 [Insider risk severity]\( インサイダー リスクの重大度 \) 列を表示するには、ユーザーがインサイダー リスク管理ポリシーのスコープ内にある必要があります。

   1. アラートを選択して詳細を表示します。
   2. [アラートの詳細] ウィンドウで、[Security Copilotから概要を取得する] を選択できます。 これにより、Security Copilotによってアラートの概要が生成されます。 アラートの概要には、次のものが含まれます。
      1. アラートの重大度
      2. アラート タイトル
      3. 一致したポリシーの名前
      4. 関連する名前ファイルとファイルへのリンク
      5. アラートの状態
      6. ポリシーに一致するアクションを実行したユーザーの電子メール アドレス
   3. Security Copilotの概要で省略記号を選択すると、次のようになります。
      1. 概要をクリップボードにコピーする
      2. 概要を再生成する
      3. Security Copilotスタンドアロン エクスペリエンスでアラートを開きます。

5. ファイルに 対 して実行するアクションを選択します。

6. アラートを調査したら、[ 概要 ] タブに戻り、アラートの処理のトリアージと管理、コメントの追加、アラートの所有権の割り当てを行うことができます。

   1. ワークフロー管理の履歴を表示するには、[ 管理ログ] を選択します。
   2. アラートに必要なアクションを実行したら、アラートの状態を [解決済み] に設定します。

その他の一致条件

Microsoft Purview では、DLP イベントで一致した条件を表示して、フラグ付き DLP ポリシーの正確な原因を明らかにすることをサポートしています。 この情報は、次の情報に表示されます。

• DLP アラート コンソール
• アクティビティ エクスプローラー
• Microsoft Defender for Business ポータル

[ イベント ] タブで [ 詳細 ] を開き、[ その他の一致条件] を表示します。

前提条件

• x64 (ビルド 1809 以降) またはWindows 11 Windows 10実行している必要があります。
  • 必要最小限の Windows オペレーティング システム ビルドについては、2023 年 3 月 21 日のKB5023773 (OS ビルド 19042.2788、19044.2788、19045.2788) プレビュー を参照してください。
• 一致した条件データは、有効な E3 および E5 ライセンス所有者が使用できます。
• 監査を有効にします。
• 高度な分類のスキャンと保護を有効にします。

一致したイベント情報は、これらの条件でサポートされています

条件	Exchange	Sharepoint	Teams	エンドポイント
送信者が	はい	いいえ	はい	いいえ
送信者のドメインが次の場合	はい	いいえ	はい	いいえ
送信者アドレスに単語が含まれている	はい	いいえ	いいえ	いいえ
送信者のアドレスがパターンと一致している	はい	いいえ	いいえ	いいえ
送信者は のメンバーです。	はい	いいえ	いいえ	いいえ
送信者の IP アドレスが	はい	いいえ	いいえ	いいえ
送信者がポリシー ヒントをオーバーライドしました	はい	いいえ	いいえ	いいえ
SenderAdAttribute に単語が含まれている	はい	いいえ	いいえ	いいえ
SenderAdAttribute 一致パターン	はい	いいえ	いいえ	いいえ
受信者が	はい	いいえ	はい	いいえ
受信者ドメインが	はい	いいえ	はい	いいえ
受信者のアドレスに単語が含まれている	はい	いいえ	いいえ	いいえ
受信者のアドレスがパターンと一致している	はい	いいえ	いいえ	いいえ
受信者が次のメンバーの場合	はい	いいえ	いいえ	いいえ
RecipientAdAttribute に単語が含まれている	はい	いいえ	いいえ	いいえ
RecipientAdAttribute 一致パターン	はい	いいえ	いいえ	いいえ
ドキュメントがパスワードで保護されている	はい	いいえ	いいえ	いいえ
ドキュメントをスキャンできませんでした	はい	いいえ	いいえ	いいえ
ドキュメントのスキャンが完了しませんでした	はい	いいえ	いいえ	いいえ
ドキュメント名に単語が含まれている	はい	はい	いいえ	いいえ
ドキュメント名がパターンと一致する	はい	いいえ	いいえ	いいえ
文書のプロパティが	はい	はい	いいえ	いいえ
ドキュメントサイズオーバー	はい	はい	いいえ	いいえ
ドキュメント コンテンツに単語が含まれている	はい	いいえ	いいえ	いいえ
ドキュメント コンテンツがパターンと一致する	はい	いいえ	いいえ	いいえ
ドキュメントの種類は	いいえ	いいえ	いいえ	はい
ドキュメントの拡張子は	はい	はい	いいえ	はい
コンテンツは M365 から共有されます	はい	はい	はい	いいえ
コンテンツの受信元	はい	いいえ	いいえ	いいえ
コンテンツ文字セットに単語が含まれている	はい	いいえ	いいえ	いいえ
件名に単語が含まれている	はい	いいえ	いいえ	いいえ
件名がパターンと一致している	はい	いいえ	いいえ	いいえ
件名または本文に単語が含まれている	はい	いいえ	いいえ	いいえ
件名または本文がパターンに一致する	はい	いいえ	いいえ	いいえ
ヘッダーに単語が含まれている	はい	いいえ	いいえ	いいえ
ヘッダーがパターンと一致している	はい	いいえ	いいえ	いいえ
メッセージ サイズオーバー	はい	いいえ	いいえ	いいえ
メッセージの種類は	はい	いいえ	いいえ	いいえ
メッセージの重要度は	はい	いいえ	いいえ	いいえ

DLP アラート内から電子メールをダウンロードするときの制限事項

一般に、DLP アラート管理ダッシュボードを使用する場合は、アラート内から特定の電子メールをダウンロードできます。 ただし、次のいずれかのシナリオで削除されたメールはダウンロードできません。

Sender	Recipient	Email状態
内部	外部	送信者によって削除された
外部	内部	受信者によって削除された
内部	内部	両方のパーティによって削除された

その他のアラート調査ツール

• データ損失防止アラートの概要
• データ損失防止アラートの共有 (プレビュー)
• アクティビティ エクスプローラーの使用を開始する