次の方法で共有

インサイダーリスク管理の活動を調査する

重要

Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 Insider Risk Management を使用すると、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

潜在的に危険なユーザー アクティビティを調査することは、組織のインサイダー リスクを最小限に抑えるための重要な最初のステップです。 これらのリスクは、インサイダー リスク管理ポリシーからアラートを生成するアクティビティである可能性があります。 また、ポリシーによって検出されたコンプライアンス関連のアクティビティからのリスクになる可能性もありますが、ユーザーに対する Insider Risk Management アラートは直ちに作成されません。

Insider Risk Management アラートの生成方法を示す図。

これらの種類のアクティビティは、ユーザー アクティビティ レポートを使用するか、アラート トリアージ エージェント (プレビュー) とアラート ダッシュボードStandard使用して調査できます。

トリアージ アラート

Insider Risk Management でのアラートの調査と対処には、次の手順が含まれます。

  1. アラートのダッシュボードを確認します。 Standard ダッシュボードで、アラートの状態フィルター処理し、[要確認アラート] を見つけます。 また、ダッシュボードで スポットライト付きアラートを 使用して、事前に指定されたアラートをすばやく表示することもできます。 [アラート トリアージ エージェント] ダッシュボード (プレビュー) で、[ 要注意 ] フィルターを選択して、優先順位が最も高いアラートを表示します。
  2. 重大度が最も高いアラートから始めます。 これらの種類のアラートを見つける必要がある場合は、アラートの重大度フィルター処理します。
  3. アラートを選択して詳細情報を見つけ、アラートの詳細を確認します。 必要に応じて、[アクティビティ エクスプローラー] タブを使用して、関連するリスクの可能性のある動作のタイムラインを確認し、アラートのすべてのリスク アクティビティを特定します。
  4. アラートに従って行動します。 アラートのケースを確認して作成するか、アラートを無視して解決することができます。

アラートをトリアージするには、いずれかのダッシュボードで アラートの [アラートの詳細 ] ページに移動します。 [ アラートの詳細 ] ページで、アラートに関する情報を確認できます。 アラートを確認して新しいケースを作成したり、アラートを確認して既存のケースに追加したり、アラートを無視したりできます。

このページには、アラートの現在の状態と、アラート リスクの重大度レベルも含まれます( [高]、[ ]、または [低] と表示されます)。 アラートがトリアージされていない場合、重大度レベルは時間の経過と伴って増減する可能性があります。 誤検知の場合は、複数のアラートを選択し、[アラートの無視] を選択して一括で 無視できます。

Copilot を使用してアラートを要約する

[ Copilot で集計する] または [Copilot ] アイコンを選択すると、アラートをすばやく要約し、さらに調査が必要なアラートに優先順位を付けることができます。 アラートを開かずに、またはアラートの詳細を表示した後に、選択したアラートを要約できます。 Microsoft Purview でMicrosoft Copilotでアラートを要約すると、画面の右側にアラートの概要が表示された [Copilot] ウィンドウが表示されます。

アラートの概要には、トリガーされたポリシー、アラートを生成したアクティビティ、トリガーイベント、関連するユーザー、最後の作業日 (該当する場合)、キー ユーザー属性、ユーザーの主要なリスク要因など、アラートに関するすべての重要な詳細が含まれます。 Microsoft Purview の Copilot は、すべてのアラートとスコープ内ポリシーからユーザーに関する情報を統合し、ユーザーの主なリスク要因を強調します。

概要をさらに絞り込み、アラートに関連付けられているアクティビティに追加の分析情報を提供するために、推奨されるプロンプトが自動的に一覧表示されます。 次の推奨されるプロンプトから選択します。

  • このユーザーに関連するすべてのデータ流出アクティビティを一覧表示します
  • このユーザーが関係するすべてのシーケンシャル アクティビティを一覧表示します
  • ユーザーは異常な動作に関与しましたか?
  • 過去 10 日間にユーザーが実行した主要なアクションを表示します。
  • ユーザーの過去 30 日間のアクティビティを要約します

ヒント

スタンドアロン バージョンのMicrosoft Security Copilotを使用して、Insider Risk Management、Microsoft Purview データ損失防止 (DLP)、およびMicrosoft Defender XDRアラートを調査することもできます。

スポットライト (プレビュー)

アラート ダッシュボードのアラート スポットライトは、トリアージされるアラートの優先順位付けに役立つ場合があります。 生成されたすべてのアラートには、リスク スコア、実行されたアクティビティの一覧、タグ、トリガーがあります。 アラート スポットライトでは、この情報を使用して、アラートにスポットライトが当てられているかどうかを判断します。

リスク スコアが 85 以上で、次の条件の少なくとも 3 が満たされている場合、アラートは自動的にスポットライトを受けます。

カテゴリ インジケーター (高信頼度分析情報)
デバイス インジケーター - ファイルの作成またはネットワーク共有への転送
- USB へのファイルの作成またはコピー
- ブラウザーを使用して Web にファイルをアップロードする
Office インジケーター - Organization外のユーザーと SharePoint ファイルを共有する
- Organization外のユーザーと SharePoint フォルダーを共有する
- Teams チャットでorganization外のユーザーとファイル リンクを共有する
ポリシー - 優先順位を付けるコンテンツ
- ユーザーのスコアリング アクティビティを開始する
リスク スコア ブースター - 影響の大きい可能性のあるユーザーとしてユーザーが検出される
シーケンス検出 - Microsoft 365 の場所からダウンロードし、次に exfiltrate
- Microsoft 365 の場所からダウンロードし、exfiltrate してから削除します
- Microsoft 365 の場所からダウンロードし、難読化してから流出させる

アラート トリアージ エージェント ダッシュボード (プレビュー)

organizationで Insider Risk Management のアラート トリアージ エージェントを有効にすると、エージェントによって確認されたアラートが [アラート トリアージ エージェント] ダッシュボードに表示されます。 このダッシュボードには、Insider Risk Management アナリストが問題をすばやく調査して解決するのに役立つ、優先順位付けされたアラートとフィルターが自動的に含まれています。

ダッシュボード列をカスタマイズし、エージェントによってトリアージされたアラートを優先度、日付、アラートの状態、またはアラート スコープでフィルター処理できます。 アラート トリアージ エージェント ダッシュボード (プレビュー) を表示するには、ダッシュボード ページの上部にある [アラート トリアージ エージェント ] を選択します。

アラートを選択して、アラートのエージェントの概要と概要の詳細を表示します。 [ 詳細の表示] を選択して、アラートの詳細を表示したり、リスク要因、アクティビティ エクスプローラーなどの詳細セクションにアクセスしたりできます。

重要

トリアージ エージェントが再実行されるたびに (severtity の増加または手動での再実行から)、新しいファイルが自動的に含まれます。 新しいファイルが重大度の上位 10 に入っている場合は、新しいファイル リスクの概要が生成されます。

Insider Risk Management Alerts Triage Experience ビデオをチェックして、アラートが危険なアクティビティの詳細、コンテキスト、関連コンテンツを提供する方法と、調査プロセスをより効果的にする方法の概要を確認してください。

アラート ダッシュボードのStandard

Insider Risk Management アラートは、Insider Risk Management ポリシーで定義されているリスク インジケーターによって自動的に生成され、Standardアラート ダッシュボードに表示されます。 これらのアラートにより、コンプライアンス アナリストや調査担当者は現在のリスク ステータスの全体像を把握できるようになり、組織は発見された潜在的なリスクをトリアージして対処することができます。 既定では、ポリシーは一定量の低、中、高の重大度のアラートを生成しますが、必要に応じてアラートの量を増減できます。 さらに、ポリシー作成ツールで新しいポリシーを作成するときに、ポリシー インジケーターのアラートしきい値を構成できます。 Standard ダッシュボードを表示するには、ダッシュボード ページの上部にある [Standard] を選択します。

注:

生成されたアラートの場合、Insider Risk Management はユーザーごとに 1 つの集計アラートを生成します。 そのユーザーの新しい分析情報は、同じアラートに追加されます。

重要

ポリシーの スコープが 1 つ以上の管理単位の場合は、スコープが設定されているユーザーに対するアラートのみを表示できます。 たとえば、管理スコープがドイツのユーザーのみに適用される場合、ドイツのユーザーに対するアラートのみを表示できます。 無制限の管理者は、organization内のすべてのユーザーのすべてのアラートを表示できます。

制限付き管理者は、管理単位で追加されたセキュリティ グループまたは配布グループを通じて、割り当てられたユーザーのアラートにアクセスできません。 このようなユーザー アラートは、無制限の管理者にのみ表示されます。 Microsoft では、管理単位が割り当てられている制限付き管理者にもアラートが表示されるように、ユーザーを管理単位に直接追加することをお勧めします。

アラートのフィルター処理、フィルター セットのビューの保存、列のカスタマイズ、またはアラートの検索

organizationのアクティブな Insider Risk Management ポリシーの数と種類によっては、アラートの大きなキューを確認するのは困難な場合があります。 アラートを追跡するために、次のことができます。

  • さまざまな属性でアラートをフィルター処理します。
  • 後で再利用するようにフィルター セットのビューを保存します。
  • 列の表示/非表示を切り替えます。
  • アラートを検索します。
  • アラート レポートを表示します。

アラートをフィルター処理する

  1. [ フィルターの追加] を選択します

  2. 次の属性の 1 つ以上を選択します。

    属性 説明
    アラートを生成したアクティビティ アラートが生成される原因となったアクティビティ評価期間中の、リスクの高い可能性のあるアクティビティとポリシーの一致の上位を表示します。 この値は、時間の経過と同時に更新できます。
    アラートの無視の理由 アラートを無視する理由。
    割り当て先 トリアージのためにアラートが割り当てられている管理者 (割り当てられている場合)。
    ポリシー ポリシーの名前。
    リスク要因 ユーザーのアクティビティのリスクを判断するのに役立つリスク要因。 使用可能な値は、 累積流出アクティビティアクティビティには優先度コンテンツシーケンス アクティビティアクティビティには未承認ドメイン優先度ユーザー グループのメンバー影響の大きい可能性があるユーザーなどがあります。
    重大度 ユーザーのリスク重大度レベル。 オプションは、です。
    状態 アラートの状態。 オプションは、確認済み非表示レビューが必要解決済みです。
    検出された時刻 (UTC) アラートが作成された日時の開始日と終了日。 フィルターは、開始日の UTC 00:00 から終了日の UTC 00:00 までのアラートを検索します。
    イベントのトリガー ユーザーをポリシーのスコープに持ち込んだイベント。 トリガーイベントは時間の経過と同時に変化する可能性があります。

    選択した属性がフィルター バーに追加されます。

  3. フィルター バーで属性を選択し、フィルターの対象となる値を選択します。 たとえば、検出された時刻 (UTC) 属性を選択し、[開始日] フィールドと [終了日] フィールドで日付を入力または選択し、[適用] を選択します。

    ヒント

    任意の時点でやり直す場合は、フィルター バー で [すべてリセット ] を選択します。

後で再利用するようにフィルター セットのビューを保存する

  1. 前の手順で説明したようにフィルターを適用した後、[保存] を選択 、フィルター セットの名前を入力して、[保存] を選択 します

    フィルター セットは、カードとして追加されます。 これには、フィルター セットの条件を満たすアラートの数を示す数値が含まれます。

    注:

    最大 5 つのフィルター セットを保存できます。 フィルター セットを削除する必要がある場合は、カードの右上隅にある省略記号 (3 つのドット) を選択し、[削除] を選択します

  2. 保存したフィルター セットを再適用するには、フィルター セットのカードを選択するだけです。

列を表示または非表示にする

  1. ページの右側にある [ 列のカスタマイズ] を選択します。
  2. 表示または非表示にする列のチェックボックスをオンまたはオフにします。

列の設定は、セッション間およびブラウザー間で保存されます。

アラートを検索する

[検索] コントロールを使用して、ユーザー プリンシパル名 (UPN)、割り当てられた管理者名、またはアラート ID を検索します。

アラート レポートを表示する

Insider Risk Management>Reports>Alerts に移動して、生成されたアラート、リージョン別のアラート、イベントをトリガーしたアラートなどのレポートを表示します。

[アラートの詳細] ページの [ヘッダー/概要] セクション

[アラートの詳細] ページのこのセクションは、Standard ダッシュボードからアラートを選択する場合にのみ使用でき、ユーザーとアラートに関する一般的な情報が含まれています。 この情報は、ユーザーのアラートに含まれる検出されたリスク管理アクティビティに関する詳細情報を確認する際に、コンテキストとして利用できます。

  • このアラートを生成したアクティビティ: アラートの生成につながったアクティビティ評価期間中の上位の潜在的に危険なアクティビティとポリシーの一致を表示します。
  • トリガー イベント: ポリシーがユーザーのアクティビティへのリスク スコアの割り当てを開始するよう促した最新のトリガー イベントを表示します。 危険なユーザーによるデータ 漏洩通信コンプライアンスとの統合または危険なユーザー ポリシーによるセキュリティ ポリシー違反の統合を構成した場合、これらのアラートのトリガー イベントのスコープはコミュニケーション コンプライアンス アクティビティになります。
  • ユーザーの詳細: アラートに割り当てられたユーザーに関する一般情報を表示します。 匿名化が有効になっている場合、ユーザー名、メール アドレス、エイリアス、組織のフィールドは匿名化されます。
  • ユーザー アラート履歴: 過去 30 日間のユーザーのアラートのリストを表示します。 ユーザーの完全なアラート履歴を表示するためのリンクが含まれています。

注:

ユーザーが影響の大きい可能性のあるユーザーとして検出されると、この情報は [ユーザーの詳細] ページのアラート ヘッダーで強調表示されます。 ユーザーの詳細には、ユーザーがそのように検出された理由の概要も含まれます。 影響の大きい可能性があるユーザーのポリシー インジケーターの設定の詳細については、「 Insider Risk Management の設定」を参照してください。

優先度の高いコンテンツを含むアクティビティのみを対象とするポリシーから生成されたアラートには、このセクションの「優先度の高いコンテンツを含むアクティビティのみがこのアラートに対してスコア付けされました」という通知が含まれます。

ヒント

アラートの概要を簡単に確認するには、アラートの詳細ページで [集計 ] を選択します。 [集計] を選択すると、ページの右側に [Copilot] ウィンドウが表示され、アラートの概要が表示されます。 アラートの概要には、トリガーされたポリシー、アラートを生成したアクティビティ、トリガーイベント、関連するユーザー、最後の作業日 (該当する場合)、キー ユーザー属性、ユーザーの主要なリスク要因など、アラートに関するすべての重要な詳細が含まれます。 Microsoft Purview の Copilot は、すべてのアラートとスコープ内ポリシーからユーザーに関する情報を統合し、ユーザーの主なリスク要因を強調します。 また、Copilot を使用してアラートを開く必要なく、アラート キューからアラートを要約することもできます。 または、スタンドアロン バージョンのMicrosoft Security Copilotを使用して、Insider Risk Management、Microsoft Purview データ損失防止 (DLP)、およびMicrosoft Defender XDRアラートを調査します

[エージェントの概要] タブ

[ アラートの詳細 ] ページのこのセクションは、[アラート トリアージ エージェント] ダッシュボード (プレビュー) からアラートを選択する場合にのみ使用できます。 エージェントの概要情報には、アラートの分類に関する詳細と、トリアージ プロセスで使用されるアソシエイト リスクに関する詳細が含まれます。

[すべてのリスク要因] タブ

[ アラートの詳細 ] ページのこのタブは、両方のダッシュボード ビューのアラートで使用でき、ユーザーのアラート アクティビティのリスク要因の概要を開きます。 リスク要因は、レビュー中にこのユーザーのリスク管理アクティビティがどの程度危険であるかを判断するのに役立ちます。 リスク要因には、次の概要が含まれます。

  • 上位の流出アクティビティ: アラートの数またはイベントが最も多い流出アクティビティを表示します。
  • 累積的な流出アクティビティ: 累積的な流出アクティビティに関連するイベントを表示します。
  • アクティビティのシーケンス: リスク シーケンスに関連付けられた、検出された潜在的に危険なアクティビティを表示します。
  • このユーザーの異常なアクティビティ: 通常とは異なる、一般的なアクティビティから逸脱しているため、リスクの可能性があると見なされるユーザーの特定のアクティビティを表示します。
  • 優先度の高いコンテンツ: 優先度の高いコンテンツに関連する潜在的に危険な活動を表示します。
  • 許可されていないドメイン: 許可されていないドメインに関連するイベントの潜在的に危険なアクティビティを表示します。
  • 健康記録へのアクセス: 健康記録へのアクセスに関連するイベントの潜在的に危険なアクティビティを表示します。
  • 危険なブラウザーの使用: 不適切な可能性のある Web サイトの閲覧に関連するイベントの潜在的に危険なアクティビティを表示します。

これらのフィルターでは、これらのリスク要因を含むアラートのみが表示されますが、アラートを生成したアクティビティは、これらのカテゴリのいずれにも該当しない可能性があります。 たとえば、ユーザーがファイルを USB デバイスにコピーしただけで、シーケンス アクティビティを含むアラートが生成された可能性があります。

検出されたコンテンツ

[ すべてのリスク要因 ] タブのこのセクションには、アラートのリスク アクティビティに関連付けられたコンテンツが含まれており、アクティビティ イベントを主要な領域別に要約します。 アクティビティ リンクを選択すると、アクティビティ エクスプローラーが開き、アクティビティの詳細が表示されます。

[アクティビティ エクスプローラー] タブ

注:

アクティビティ エクスプローラーは、この機能が組織で利用可能になった後、イベントをトリガーするユーザーのアラート管理領域で利用できます。

[ アクティビティ エクスプローラー ] タブは、ダッシュボード ビューの両方のアラートに使用でき、リスク調査担当者とアナリストに、アラートに関する詳細情報を提供する包括的な分析ツールを提供します。 アクティビティ エクスプローラーを使用すると、レビュー担当者は、検出された潜在的に危険なアクティビティのタイムラインをすばやく確認し、アラートに関連付けられているすべてのリスク アクティビティを特定してフィルター処理できます。

アクティビティ エクスプローラーを使用する

アクティビティ エクスプローラーでアクティビティを確認する場合、調査担当者とアナリストは特定のアクティビティを選択して、アクティビティの詳細ウィンドウを開くことができます。 このウィンドウには、アラートのトリアージ プロセス中に調査担当者とアナリストが使用できるアクティビティに関する詳細情報が表示されます。 詳細情報は、アラートのコンテキストを提供し、アラートをトリガーしたリスク アクティビティの全範囲を特定するのに役立ちます。

アクティビティ タイムラインからアクティビティのイベントを選択すると、エクスプローラーに表示されるアクティビティの数が、タイムラインにリストされているアクティビティ イベントの数と一致しない場合があります。 この違いが発生する理由の例:

  • 累積流出検出: 累積流出検出はイベント ログを分析しますが、重複除去と同様のアクティビティを含むモデルを適用して累積流出リスクを計算します。 さらに、既存のポリシーまたは設定を変更した場合は、アクティビティ エクスプローラーに表示される危険な可能性のあるアクティビティの数にも違いがあります。 たとえば、ポリシーが作成され、潜在的に危険なアクティビティの一致が発生した後に、許可/許可されていないドメインを変更したり、新しいファイルの種類の除外を追加したりすると、累積的な流出検出アクティビティは、ポリシーまたは設定が変更される前の結果とは異なります。 累積的な流出検出アクティビティの合計は、計算時のポリシーと設定の構成に基づいており、ポリシーと設定の変更前のアクティビティは含まれません。
  • 外部受信者へのメール: 外部の受信者に送信される電子メールに対して危険な可能性があるアクティビティには、送信されたメールの数に基づいてリスク スコアが割り当てられます。これは、アクティビティ イベント ログと一致しない可能性があります。

Insider Risk Management アクティビティ エクスプローラーの詳細。

リスク スコアリングから除外されたイベントを含むシーケンス

シーケンスには、設定の構成に基づいてリスク スコアリングから除外される 1 つ以上のイベントが含まれている場合があります。 たとえば、organizationではグローバル除外設定を使用して、.png ファイルは通常危険ではないため、.png ファイルをリスク スコアリングから除外できます。 ただし、.png ファイルを使用して、悪意のあるアクティビティを難読化することができます。 このため、リスク スコアリングから除外されるイベントが難読化アクティビティのためにシーケンスの一部である場合、そのイベントはシーケンスのコンテキストで興味深い可能性があるため、シーケンスに含まれます。

アクティビティ エクスプローラーには、除外されたイベントに関する次の情報が順番に表示されます。

  • シーケンスに、すべてのイベントが除外されるステップが含まれている場合、分析情報にはアクティビティの名前と日付だけが含まれます。 [ 除外されたイベントの表示 ] リンクを選択して、アクティビティ エクスプローラーで除外されたイベントをフィルター処理します。 すべてのイベントが除外されている場合、ユーザー アクティビティ散布図アイコンのリスク スコアは 0 です。
  • シーケンスに一部のイベントが除外される分析情報がある場合、除外されていないイベントのイベント情報が表示されますが、イベント数には除外されたイベントは含まれません。 [ 除外されたイベントの表示 ] リンクを選択して、アクティビティ エクスプローラーで除外されたイベントをフィルター処理します。
  • 分析情報の シーケンス リンク を選択した場合は、スコアリングから除外されたすべてのイベントを含め、アクティビティの詳細ウィンドウでイベントのシーケンスをドリルダウンできます。 スコアリングから除外されたイベントは、除外としてマーク されます

アクティビティ エクスプローラーでアラートをフィルター処理する

アクティビティ エクスプローラーで列情報のアラートをフィルター処理するには、[フィルター] を選択 します。 アラートの詳細ウィンドウに一覧表示されている 1 つ以上の属性でアラートをフィルター処理できます。 アクティビティ エクスプローラーはカスタマイズ可能な列もサポートしており、調査担当者やアナリストがダッシュボードで最も重要な情報に集中できるようにします。

アクティビティ スコープリスク要因レビューの状態 フィルターを使用して、次の領域のアクティビティと分析情報を表示および並べ替えます。

  • アクティビティ スコープ: ユーザーのスコア付けされたすべてのアクティビティをフィルター処理します。

    • このユーザーのすべてのスコア付けされたアクティビティ
    • このアラートのスコア付けされたアクティビティのみ

  • リスク要因: リスク スコアを割り当てるすべてのポリシーに適用されるリスク要因アクティビティのフィルター。これには、スコープ内ユーザーのすべてのポリシーのすべてのアクティビティが含まれます。

    • 異常なアクティビティ
    • 優先度の高いコンテンツを含むイベントを含みます
    • 許可されていないドメインのイベントを含みます
    • シーケンス アクティビティ
    • 累積流出アクティビティ数
    • 健康記録へのアクセス アクティビティ
    • 危険なブラウザーの使用

  • レビューの状態: アクティビティ レビューの状態をフィルター処理します。

    • すべて
    • まだ確認されていません (無視または解決されたアラートの一部であったアクティビティを除外します)

Insider Risk Management アクティビティ エクスプローラーの概要

[ユーザー アクティビティ] タブ

[ ユーザー アクティビティ ] タブは、両方のダッシュボード ビューでアラートに使用でき、Insider Risk Management ソリューションのアラートとケースの内部リスク分析と調査のための最も強力なツールの 1 つです。 このタブは、すべてのアラートの履歴タイムライン、アラートの詳細、ユーザーの現在のリスク スコア、一連のリスク イベントなど、ユーザーのすべてのアクティビティをすばやく確認できるように構成されています。

Insider Risk Management ユーザー アクティビティ

  1. ケースのアクション: ケースを解決するためのオプションは、ケースアクションツールバーにあります。 ケースを表示すると、ケースを解決したり、ユーザーにメール通知を送信したり、データまたはユーザーの調査のためにケースをエスカレートしたりできます。

  2. リスクアクティビティ年表: ケースに関連するすべてのリスクアラートの全年表がリストに表示されます。これには、対応するアラートバブルにあるすべての詳細が含まれます。

  3. フィルターと並べ替え (プレビュー):

    • リスク カテゴリ: 次のリスク カテゴリでアクティビティをフィルター処理します: リスク スコアが 15 のアクティビティ> (シーケンス内の場合を除く) およびシーケンス アクティビティ
    • アクティビティの種類: アクセス削除収集流出侵入難読化セキュリティカスタム インジケーター防御回避特権エスカレーションコミュニケーション リスクユーザー侵害リスクAI 使用状況の種類でアクティビティをフィルター処理します。
    • 並べ替え: 潜在的に危険なアクティビティのタイムラインを、発生日またはリスク スコア別に一覧表示します。

  4. 時間フィルター: 既定では、過去 3 か月間の潜在的に危険なアクティビティがユーザー アクティビティ チャートに表示されます。 バブル チャートで [6 か月][3 か月]、または [1 か月] タブを選択すると、グラフ ビューを簡単にフィルター処理できます。

  5. リスク シーケンス: 潜在的にリスクのあるアクティビティの時系列順は、リスク調査の重要な側面であり、これらの関連アクティビティを特定することは、組織の全体的なリスクを評価する上で重要な部分です。 関連するアラート アクティビティは接続線で表示され、これらのアクティビティがより大きなリスク領域に関連付けられていることが強調されます。 シーケンスは、シーケンスのリスク スコアに対するシーケンス アクティビティの上に配置されたアイコンによってもこのビューで識別されます。 アイコンにカーソルを合わせると、このシーケンスに関連する危険なアクティビティの日時が表示されます。 アクティビティのこのビューは、調査担当者が、孤立した、または 1 回限りのイベントと見なされた可能性のあるリスク アクティビティについて、文字通り「点をつなぐ」のに役立ちます。 一連のアイコンまたはバブルを選択すると、関連するすべてのリスク アクティビティの詳細が表示されます。 詳細は次のとおりです。

    • シーケンスの名前
    • シーケンスの日付または日付範囲
    • シーケンスのリスク スコア。 このスコアは、シーケンス内の関連するアクティビティごとにアラート リスクの重大度レベルを組み合わせたシーケンスの数値スコアです。
    • シーケンス内の各アラートに関連付けられたイベントの数。 潜在的に危険な活動に関連する各ファイルまたはメールへのリンクも利用できます。
    • アクティビティを順番に表示します。 シーケンスをバブル チャートにハイライト ラインとして表示し、アラートの詳細を展開してシーケンス内の関連するすべてのアラートを表示します。

  6. リスク アラート アクティビティと詳細: 潜在的に危険なアクティビティは、ユーザー アクティビティ グラフに色付きのバブルとして視覚的に表示されます。 バブルは、リスクのさまざまなカテゴリに対して作成されます。 バブルを選択して、潜在的に危険なアクティビティの詳細を表示します。 詳細は次のとおりです。

    • リスクアクティビティの日付
    • リスク アクティビティ カテゴリ。 たとえば、組織外に送信された添付ファイル付きのメール、または SharePoint Online からダウンロードされたファイルがあります。
    • アラートのリスクスコア。 このスコアは、アラートリスクの重大度レベルを表すスコアの数値です。
    • アラートに関連付けられているイベント数。 リスクアクティビティに関連した各ファイルまたはメールへのリンクも表示されます。

  7. 累積流出アクティビティ: ユーザーのアクティビティの時間の経過に伴うアクティビティの構築方法の視覚的なグラフを表示する場合に選択します。

  8. リスクアクティビティの凡例: ユーザーアクティビティチャートの下部にある 色分けされた凡例は、各アラートのリスクカテゴリをすばやく判別するのに役立ちます。

後で再利用するフィルターのビューを保存する

フィルターを作成し、フィルターの列をカスタマイズする場合は、変更のビューを保存して、後で同じ変更をすばやくフィルター処理できます。 ビューを保存するときは、フィルターと列の両方を保存します。 ビューを読み込むと、保存されたフィルターと列の両方が読み込まれます。

  1. フィルターを作成し、列をカスタマイズします。

    ヒント

    任意の時点でやり直す場合は、[リセット] を選択 します。 カスタマイズした列を変更するには、[ 列のリセット] を選択します。

  2. フィルターを希望の方法で選択したら、[ このビューを保存] を選択し、ビューの名前を入力して、[保存] を選択 します

    注:

    ビュー名の最大長は 40 文字で、特殊文字は使用できません。

  3. フィルターのビューを後で再利用するには、[ ビュー] を選択し、[ 推奨ビュー ] タブ (最も使用されているビューが表示されます) または [ カスタム ビュー ] タブ (最もよく使用されるフィルターが一覧の上部に表示されます) から開くビューを選択します。

この方法でビューを選択すると、既存のすべてのフィルターがリセットされ、選択したビューに置き換えられます。

アラートの状態と重大度

注:

Insider Risk Management では、リスク調査とレビュー エクスペリエンスの保護と最適化に役立つトリガー処理が調整されます。 この調整により、データ コネクタの構成ミスやデータ損失防止ポリシーなど、ポリシー アラートが過負荷になる可能性がある問題を防ぎます。 調整制限を超えて受信されたシグナルは、Insider Risk Management によって処理されません。 インサイダー リスク管理の制限の詳細については、こちらをご覧ください

アラートを次のいずれかの状態にトリアージできます。

  • 確認済み: 確認され、新規または既存のケースに割り当てられたアラート。
  • 無視: トリアージ プロセスで良性として却下されたアラート。 アラートの却下の理由を提供し、ユーザーのアラート履歴で使用可能なメモを含めて、今後の参照または他のレビュー担当者に追加のコンテキストを提供できます。 理由は、予想されるアクティビティ、非実行イベント、ユーザーのアラート アクティビティの数の削減、またはアラート ノートに関連する理由などです。 理由の分類の選択には、このユーザーのアクティビティが予想されるアクティビティはさらに調査するのに十分な影響があるこのユーザーのアラートに含まれるアクティビティが多すぎる、が含まれます。
  • レビューが必要 :トリアージ アクションがまだ実行されていない場合の新しいアラート。
  • 解決済み: クローズ済みで解決済みのケースの一部であるアラート。

アラート リスク スコアは、複数のリスク アクティビティ インジケーターから自動的に計算されます。 これらの指標には、リスク アクティビティの種類、アクティビティの発生回数、アクティビティの発生頻度、ユーザーのリスク アクティビティの履歴、危険な可能性のあるアクティビティの深刻さを高める可能性があるアクティビティ リスクの追加が含まれます。 アラート リスク スコアは、各アラートのリスク重大度レベルのプログラムによる割り当てを駆動し、カスタマイズすることはできません。 アラートがトリアージされず、リスク アクティビティがアラートに蓄積され続ける場合、リスクの重大度レベルが上がる可能性があります。 リスク アナリストと調査担当者は、アラート リスクの重大度を使用して、組織のリスク ポリシーと基準に従ってアラートをトリアージすることができます。

アラート リスクの重大度レベルは次のとおりです。

  • 高重大度: アラートの潜在的に危険なアクティビティとインジケーターは、重大なリスクをもたらします。 関連するリスク アクティビティは、深刻で反復的であり、他の重要なリスク要因と強く相関しています。
  • 中重大度: アラートの潜在的に危険なアクティビティとインジケーターは、中程度のリスクをもたらします。 関連するリスク アクティビティは、中程度で頻繁であり、他のリスク要因とある程度の相関関係があります。
  • 低重大度: アラートの潜在的に危険なアクティビティとインジケーターは、軽微なリスクをもたらします。 関連するリスク アクティビティは軽微で頻度が低く、他の重要なリスク要因とは相関していません。

複数のアラートを無視する (プレビュー)

アナリストや調査担当者が一度に複数のアラートをすぐに無視するためのトリアージ時間を節約するのに役立つ場合があります。 [アラートを無視する] コマンド バー オプションを使用すると、ダッシュボードで [レビューが必要] 状態のアラートを 1 つ以上選択し、トリアージ プロセスで必要に応じてこれらのアラートを無害としてすばやく閉じることができます。 一度に最大 400 個のアラートを選択して閉じることができます。

インサイダー リスク アラートを無視する

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
  2. Insider Risk Management ソリューションに移動します。
  3. 左側のナビゲーションで [ アラート] を選択します。
  4. [ アラート] ダッシュボードで、[ 確認が必要 ] 状態のアラート (またはアラート) を選択します。
  5. [アラート] コマンド バーで、[アラートを無視] を選択します。
  6. [ アラートの無視 の詳細] ウィンドウで、選択したアラートに関連付けられているユーザーとポリシーの詳細を確認します。
  7. [ アラートを無視する] を選択して、アラートを問題のないものとして解決します。

アラートのレポート

アラートのレポートを表示するには、[ レポート] ページに移動します。 [ レポート] ページの各レポート ウィジェットには、過去 30 日間の情報が表示されます。

  • レビューが必要なアラートの総数: レビューとトリアージが必要なアラートの総数が、アラートの重大度別の内訳を含めて一覧表示されます。
  • 過去 30 日間のオープン アラート: 過去 30 日間にポリシー マッチによって作成されたアラートの総数が、高、中、低のアラート重大度レベルで並べ替えられます。
  • アラートを解決する平均時間: 有益なアラートの統計情報の概要:
    • 重大度の高いアラートを解決するための平均時間。時間、日、または月単位で表示されます。
    • 中程度の重大度のアラートを解決するための平均時間。時間、日、または月単位で表示されます。
    • 重大度の低いアラートを解決するための平均時間。時間、日、または月単位で表示されます。

アラートを割り当てる

管理者で、 Insider Risk ManagementInsider Risk Management Analysts、または Insider Risk Managementの調査担当者 ロール グループのメンバーである場合は、アラートの所有権を自分または同じロールの 1 つを持つ Insider Risk Management ユーザーに割り当てることができます。 アラートが割り当てられた後、同じロールのいずれかを持つユーザーに再割り当てすることもできます。 アラートは、一度に 1 人の管理者にのみ割り当てることができます。

注:

ポリシーの スコープが 1 つ以上の管理単位である場合、アラートの所有権は、適切なロール グループのアクセス許可を持つ Insider Risk Management ユーザーにのみ付与でき、アラートで強調表示されているユーザーは管理単位のスコープ内にある必要があります。 たとえば、管理スコープがドイツのユーザーのみに適用される場合、Insider Risk Management ユーザーはドイツのユーザーに対するアラートのみを表示できます。 無制限の管理者は、organization内のすべてのユーザーのすべてのアラートを表示できます。

管理者が割り当てられたら、管理者で検索できます。

注:

Microsoft Entra セキュリティ グループに含まれる管理者は、アラートの割り当てではサポートされていません。 管理者は、必要なロールのいずれかに直接割り当てる必要があります。

カスタム グループを使用している場合は、カスタム グループに ケース管理 ロールが含まれていることを確認します。 Insider Risk Management アナリストInsider Risk Management 調査担当者ロール グループにはどちらもケース管理ロールが含まれますが、カスタム グループを使用している場合は、ケース管理ロールを明示的にグループに追加する必要があります。

アラート ダッシュボードからアラートを割り当てる

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
  2. Insider Risk Management ソリューションに移動します。
  3. 左側のナビゲーションで [ アラート] を選択します。
  4. [ アラート] ダッシュボードで、割り当てるアラートを選択します。
  5. アラート キュー上のコマンド バーで、[ 割り当て] を選択します。
  6. 画面の右側にある [ 所有者の割り当て ] ウィンドウで、適切なアクセス許可を持つ管理者を検索し、その管理者のチェック ボックスをオンにします。
  7. [割り当て] を選択します。

アラートの詳細ページからアラートを割り当てる

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
  2. Insider Risk Management ソリューションに移動します。
  3. 左側のナビゲーションで [ アラート] を選択します。
  4. アラートを選択します。
  5. アラートの詳細ウィンドウで、ページの右上隅にある [ 割り当て] を選択します。
  6. [ 推奨される連絡先 ] の一覧で、適切な管理者を選択します。

アラートのケースを作成する

リスクの高いアクティビティをさらに調査する場合は、アラートのケースを作成できます。

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
  2. Insider Risk Management ソリューションに移動します。
  3. 左側のナビゲーションで [ アラート] を選択します。
  4. アラート ダッシュボードで、確認するアラートを選択し、新しいケースを作成します。
  5. [ アラートの詳細] ウィンドウで、[ アクション>アラートの作成 & ケースを作成する] を選択します。
  6. [ アラートの確認とインサイダー リスク ケースの作成 ] ダイアログ ボックスで、ケースの名前を入力し、共同作成者として追加するユーザーを選択し、必要に応じてコメントを追加します。 コメントは、ケースメモとしてケースに自動的に追加されます。
  7. [ ケースの作成] を 選択して、新しいケースを作成します。

ケースが作成された後、調査担当者とアナリストはケースを管理して対応できます。 詳細については、 Insider Risk Management ケース に関する記事を参照してください。

保持とアイテムの制限

Insider Risk Management のアラートが年齢を上げ、リスクの高い可能性のあるアクティビティを最小限に抑えるための価値は、ほとんどの組織で減少します。 逆に、アクティブなケースと関連するアーティファクト (アラート、インサイト、アクティビティ) は常に組織にとって価値があり、自動有効期限を設けるべきではありません。 これには、アクティブなケースに関連付けられているすべてのユーザーのアクティブなステータスにある、将来のすべてのアラートと成果物が含まれます。

制限された現在の値を提供する古いアイテムの数を最小限に抑えるために、Insider Risk Management のアラート、ケース、およびユーザー レポートには、次の保持と制限が適用されます。

項目 保持/制限
レビューが必要状態のアラート アラートの作成から 120 日、その後は自動的に削除されます
アクティブなケース (および関連する成果物) 無期限の保持、無期限
解決済みのケース (および関連する成果物) ケースの解決から 120 日、その後は自動的に削除されます
アクティブなケースの最大数。 100
ユーザー アクティビティ レポート レポートの作成から 120 日、その後は自動的に削除されます

アラート ボリュームを管理するためのベスト プラクティス

潜在的に危険なインサイダー アラートを確認、調査、対応することは、組織内のインサイダー リスクを最小限に抑える上で重要な部分です。 これらのリスクの影響を最小限に抑えるために迅速に行動を起こすことで、組織の時間、費用、規制や法律の影響を節約できる可能性があります。 Insider Risk Management アラート キューを管理するためのベスト プラクティスについて説明します

関連項目