デバイスからのデータ損失防止ポリシーに一致するファイルの収集の概要
この記事では、デバイス上のファイル アクティビティの証拠収集の前提条件と構成手順について説明し、コピーおよび保存された項目を表示する方法について説明します。
ヒント
Microsoft Copilot for Security の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のセキュリティMicrosoft Copilotの詳細については、こちらをご覧ください。
デバイス上のファイル アクティビティに対して証拠収集を構成して使用するための大まかな手順を次に示します。
- デバイスのオンボード
- 要件を理解する マネージド Azure ストレージ アカウントを作成する
- アカウントに Azure ストレージ BLOB を追加する
- Microsoft によって管理されているストレージ アカウントで証拠収集を有効にして構成する (プレビュー)
- DLP ポリシーを構成する
- 証拠をプレビューする
開始する前に
これらの手順を開始する前に、「 デバイス上のファイル アクティビティの証拠収集について学習する」を確認する必要があります。
ライセンスとサブスクリプション
DLP ポリシーの使用を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認してください。
ライセンスの詳細については、「Microsoft 365、Office 365、Enterprise Mobility + Security、Windows 11 Subscriptions for Enterprises」を参照してください。
カスタム ロールベースのアクセス制御 (RBAC) を作成するために必要な P1 または P2 Microsoft Entra IDの前提条件のライセンス要件を参照してください。
アクセス許可
標準Microsoft Purview データ損失防止 (DLP) のアクセス許可が必要です。 詳細については、「アクセス許可」を参照してください。
デバイスのオンボード
一致したアイテムのコピーを使用する前に、Windows 10/11 デバイスを Purview にオンボードする必要があります。「Windows デバイスを Microsoft 365 にオンボードする概要」を参照してください。
要件を理解する
重要
各コンテナーは、そのコンテナーが存在するストレージ アカウントのアクセス許可を継承します。 コンテナーごとに異なるアクセス許可を設定することはできません。 リージョンごとに異なるアクセス許可を構成する必要がある場合は、複数のコンテナーではなく、複数のストレージ アカウントを作成する必要があります。
Azure ストレージを設定し、機能をユーザーにスコープする前に、次の質問に対する回答が必要です。
アイテムをコンパートメント化し、ロールまたは部門のラインに沿ってアクセスする必要がありますか?
たとえば、organizationに、上級リーダーから保存されたファイルを表示できる管理者または DLP イベント調査担当者のセットと、人事から保存されたアイテムの管理者または DLP イベント調査担当者のセットを表示する場合は、organizationの上級リーダーシップ用に 1 つの Azure ストレージ アカウントを作成し、もう 1 つの Azure ストレージ アカウントを人事部門用に作成する必要があります。 これにより、Azure ストレージ管理者または DLP イベント調査担当者は、それぞれのグループの DLP ポリシーに一致した項目のみを確認できます。
コンテナーを使用して保存済みアイテムを整理しますか?
同じストレージ アカウント内に複数の証拠コンテナーを作成して、保存されたファイルを並べ替えることができます。 たとえば、1 つは人事部から保存されたファイル、もう 1 つは IT 部門のファイルです。
保存されたアイテムの削除や変更から保護するための戦略は何ですか?
Azure Storage では、データ保護とは、ストレージ アカウントとその中のデータが削除または変更されないように保護するための戦略と、削除または変更された後のデータの復元の両方を指します。 Azure Storage には、ハードウェアの問題や自然災害によるサービス停止からデータを保護するために、複数レベルの冗長性を含むディザスター リカバリーのオプションも用意されています。 また、プライマリ リージョン内のデータ センターが使用できなくなった場合に、カスタマー マネージド フェールオーバーを使用してデータを保護することもできます。 詳細については、「 データ保護の概要」を参照してください。
また、上書きまたは削除される保存済みアイテムから保護する BLOB データの不変ポリシーを構成することもできます。 詳細については、「不変ストレージを使用してビジネス クリティカルな BLOB データを格納する」を参照してください。
証拠の格納とプレビューでサポートされるファイルの種類
| 保存可能 | プレビュー可能 |
|---|---|
| エンドポイント DLP によって監視されるすべてのファイルの種類 | OneDrive、SharePoint、Teams でのファイルのプレビューでサポートされているすべてのファイルの種類 |
一致した項目を優先ストレージに保存する
データ損失防止ポリシーが適用されたときに Microsoft Purview によって検出される証拠を保存するには、ストレージを設定する必要があります。 このようにするには、次の 2 つの方法があります。
これら 2 種類のストレージの詳細と比較については、「機密情報が検出されたときに証拠を格納する (プレビュー)」を参照してください。dlp-copy-matched-items-learn.md#storing-evidence-when-sensitive-information-is-detected-on-policy match-preview)。
カスタマー マネージド ストレージを作成する
Azure ストレージ アカウント、コンテナー、BLOB を設定する手順については、Azure ドキュメント セットに記載されています。 開始に役立つ関連記事へのリンクを次に示します。
- Azure Blob Storageの概要
- ストレージ アカウントを作成する
- 既定では、Microsoft Entra IDを使用して BLOB へのアクセスを許可します。
- Azure portalを使用して BLOB コンテナーを管理する
- PowerShell を使用してブロック BLOB を管理する
注:
ストレージ アカウントの作成時にすべてのネットワークからパブリック アクセスを有効にする] を選択してください。 仮想ネットワークと IP アドレスのサポートとプライベート アクセスの使用は利用できません
Azure BLOB コンテナーの名前と URL を必ず保存してください。 URL を表示するには、Azure ストレージ ポータル >Home>Storage Accounts>Container>Properties を開きます。
Azure BLOB コンテナー URL の形式は:https://storageAccountName.blob.core.windows.net/containerNameです。
アカウントに Azure ストレージ BLOB を追加する
Azure ストレージ BLOB をアカウントに追加するには、いくつかの方法があります。 以下 のいずれかの 方法を選択します。
現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
- Microsoft Purview ポータル
- Microsoft Purview ポータルの DLP ポリシー
- コンプライアンス ポータル
- コンプライアンス ポータルの DLP ポリシー ワークフロー
Microsoft Purview ポータルを使用して Azure BLOB ストレージを追加するには:
- Microsoft Purview ポータルにサインインし、メニュー バーの [設定] 歯車を選択します。
- [ データ損失防止] を選択します。
- [ エンドポイント DLP 設定] を選択します。
- [ デバイス上のファイル アクティビティの証拠コレクションのセットアップ] を展開します。
- トグルを [オフ] から [オン] に変更します。
- [ デバイスに証拠キャッシュを設定する ] フィールドで、デバイスがオフラインのときに証拠をローカルに保存する時間を選択します。 7 日、30 日、または 60 日を選択できます。
- ストレージの 種類 (カスタマー マネージド ストア または Microsoft マネージド ストア (プレビュー)) を選択し、[ + ストレージの追加] を選択します。
-
カスタマー マネージド ストレージの場合:
- [ カスタマー マネージド ストア] を選択し、[ + ストレージの追加] を選択します。
- 「」と入力し、アカウントに名前を付け、ストレージ BLOB の URL を 入力します。
- 保存] を選択します。
-
Microsoft マネージド ストレージの場合:
- Microsoft マネージド ストア (プレビュー) を選択する
-
カスタマー マネージド ストレージの場合:
Azure BLOB ストレージに対するアクセス許可を設定する
Microsoft Entra承認を使用して、BLOB に対して 2 つのアクセス許可セット (ロール グループ) を構成する必要があります。
- 管理者と調査官が証拠を表示および管理できるようにするための 1 つ
- デバイスから Azure にアイテムをアップロードする必要があるユーザー向けの 1 つ
ベスト プラクティスは、ロールに関係なく、すべてのユーザーに 最小限の特権 を適用することです。 最小限の特権を適用することで、ユーザーのアクセス許可がロールに必要なアクセス許可のみに制限されるようにします。 ユーザーのアクセス許可を構成するには、Microsoft Defender for Office 365と Microsoft Purview でロールとロール グループを作成します。
管理者と調査担当者向けの Azure BLOB に対するアクセス許可
DLP インシデント調査担当者の役割グループを作成したら、次の「 調査者のアクション 」および「 調査者データアクション 」セクションで説明されているアクセス許可を構成する必要があります。
BLOB アクセスの構成の詳細については、次の記事を参照してください。
調査者のアクション
調査担当者ロールに対して、次のオブジェクトとアクションのアクセス許可を構成します。
| オブジェクト | アクセス許可 |
|---|---|
| Microsoft.Storage/storageAccounts/blobServices | 読み取り: BLOB サービスの一覧表示 |
| Microsoft.Storage/storageAccounts/blobServices | 読み取り: BLOB サービスのプロパティまたは統計情報を取得する |
| Microsoft.Storage/storageAccounts/blobServices/containers | 読み取り: BLOB コンテナーを取得する |
| Microsoft.Storage/storageAccounts/blobServices/containers | 読み取り: BLOB コンテナーの一覧 |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs | 読み取り: BLOB の読み取り |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | その他: ユーザー委任キーを生成する |
調査者データ アクション
| オブジェクト | アクセス許可 |
|---|---|
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs | 読み取り: BLOB の読み取り |
調査者ロール グループの JSON は次のようになります。
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
],
"notDataActions": []
}
]
ユーザーに対する Azure BLOB に対するアクセス許可
次のオブジェクトとアクションのアクセス許可を、ユーザー ロールの Azure BLOB に割り当てます。
ユーザー操作
| オブジェクト | アクセス許可 |
|---|---|
| Microsoft.Storage/storageAccounts/blobServices | 読み取り: BLOB サービスの一覧表示 |
| Microsoft.Storage/storageAccounts/blobServices/containers | 読み取り: BLOB コンテナーを取得する |
| Microsoft.Storage/storageAccounts/blobServices/containers | 書き込み: BLOB コンテナーを配置する |
ユーザー データ アクション
| オブジェクト | アクセス許可 |
|---|---|
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs | 書き込み: BLOB の書き込み |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs | その他: BLOB コンテンツを追加する |
ユーザー ロール グループの JSON は次のようになります。
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
],
"notDataActions": []
}
]
Microsoft によって管理されているストレージ アカウントで証拠収集を有効にして構成する (プレビュー)
現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
Microsoft Purview ポータル内から Microsoft によって管理されるストレージ アカウントで証拠収集を有効にして構成するには、次の手順を実行します。
- メニュー バーの Microsoft Purview ポータル>Settings 歯車にサインインします。
- [ データ損失防止] を選択します。
- [ エンドポイント DLP 設定] を選択します。
- [ デバイス上のファイル アクティビティの証拠収集のセットアップ] を展開し、トグルを [オン] に設定します。
- [ ストレージの種類の選択] で、[ Microsoft マネージド ストレージ] を選択します。
DLP ポリシーを構成する
通常どおりに DLP ポリシーを作成します。 ポリシーの構成例については、「 データ損失防止ポリシーの作成と展開」を参照してください。
次の設定を使用してポリシーを構成します。
- [ デバイス ] が選択されている唯一の場所であることを確認します。
- [ インシデント レポート] で、[ ルールの一致が発生したときに管理者にアラートを送信 する] を [オン] に切り替えます。
- [ インシデント レポート] で、[ エンドポイントで選択したすべてのファイル アクティビティの証拠として元のファイルを収集する] を選択します。
- 目的のストレージ アカウントを選択します。
- 一致した項目を Azure ストレージにコピーするアクティビティを選択します 。次のようにします。
- サポートされているブラウザーに貼り付ける
- クラウド サービス ドメインにアップロードするか、許可されていないブラウザーにアクセスする
- リムーバブル USB デバイスにコピーする
- ネットワーク共有にコピーする
- 印刷
- 許可されていないBluetooth アプリを使用してコピーまたは移動する
- RDP を使用してコピーまたは移動する
証拠をプレビューする
選択したストレージの種類に応じて、証拠をプレビューする方法はさまざまです。
| ストレージの種類 | プレビュー オプション |
|---|---|
| カスタマー マネージド |
-
アクティビティ エクスプローラーを使用する - コンプライアンス ポータルを使用する |
| Microsoft マネージド (プレビュー) |
-
アクティビティ エクスプローラーを使用する - コンプライアンス ポータルを使用する |
アクティビティ エクスプローラーを使用して証拠をプレビューする
現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
- Microsoft Purview ポータル>Data loss prevention>Activity エクスプローラーにサインインします。
- [ 日付 ] ドロップダウンを使用して、目的の期間の 開始日 と 終了日 を選択します。
- 結果の一覧で、調査するアクティビティの行項目をダブルクリックします。
- ポップアップ ウィンドウで、証拠が格納されている Azure BLOB へのリンクが [ 証拠ファイル] の下に表示されます。
- [Azure BLOB ストレージ] リンクを選択して、一致したファイルを表示します。
コンプライアンス ポータルの [アラート] ページを使用して証拠をプレビューする
現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
- Microsoft Purview ポータル>Data loss prevention>Alerts にサインインします。
- [ 日付 ] ドロップダウンを使用して、目的の期間の 開始日 と 終了日 を選択します。
- 結果の一覧で、調査するアクティビティの行項目をダブルクリックします。
- ポップアップ ウィンドウで、[ 詳細の表示] を選択します。
- [ イベント ] タブを選択します。
- [ 詳細 ] ウィンドウで、[ ソース] タブを選択します。一致したファイルが表示されます。
注:
一致したファイルが既に Azure ストレージ BLOB に存在する場合、ファイルに変更が加わり、ユーザーがそのファイルに対してアクションを実行するまで、そのファイルは再びアップロードされません。
既知の動作
- システムがクラッシュまたは再起動した場合、デバイス キャッシュに格納されているファイルは保持されません。
- デバイスからアップロードできるファイルの最大サイズは 500 MB です。
- スキャンされたファイル で Just-In-Time Protection がトリガーされた場合、またはファイルがネットワーク共有に格納されている場合、証拠ファイルは収集されません。
- 同じプロセス (非オフィス アプリ) で複数のファイルを開き、ポリシーに一致するファイルの 1 つが送信されると、すべてのファイルに対して DLP イベントがトリガーされます。 証拠はキャプチャされません。
- 1 つのファイルで複数のポリシー規則が検出された場合、証拠ファイルは、最も制限の厳しいポリシー規則が証拠を収集するように構成されている場合にのみ格納されます。