重要
Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 Insider Risk Management を使用すると、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。
Insider Risk Management のデータは、次の方法で共有できます。
- アラート情報を SIEM ソリューションにエクスポートします。
- アラートとユーザー リスクの重大度レベルをMicrosoft Defender XDRで共有します。
- データ損失防止 (DLP) アラートを使用して、ユーザー リスクの重大度レベルを共有します。
アラート情報を SIEM ソリューションにエクスポートする
Microsoft Purview インサイダー リスク管理アラート情報は、Office 365 Management Activity API スキーマを使用して、セキュリティ情報とイベント管理 (SIEM) ソリューションとセキュリティ オーケストレーション自動応答 (SOAR) ソリューションにエクスポートできます。 Office 365管理アクティビティ API を使用して、organizationがインサイダー リスク情報の管理または集計に使用する可能性がある他のアプリケーションにアラート情報をエクスポートできます。 アラート情報はエクスポートされ、Office 365管理アクティビティ API を介して 60 分ごとに使用できます。
ヒント
Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。
organizationがMicrosoft Sentinelを使用している場合は、すぐに使用できる Insider Risk Management データ コネクタを使用して、インサイダー リスク アラート情報をMicrosoft Sentinelにインポートすることもできます。 詳細については、Microsoft Sentinel記事の「Insider Risk Management」を参照してください。
重要
Microsoft 365 やその他のシステムでインサイダー リスク アラートやケースを持つユーザーの参照整合性を維持するために、エクスポート API を使用する場合や、Microsoft Purview eDiscovery ソリューションへのエクスポート時に、エクスポートされたアラートに対してユーザー名の匿名化は保持されません。 エクスポートされたアラートには、この場合の各アラートのユーザー名が表示されます。 アラートまたはケースから CSV ファイルにエクスポートする場合、匿名化 は 保持されます。
API を使用してインサイダー リスク アラート情報を確認する
- Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
- ページの右上隅にある [設定] を選択します。
- [ Insider Risk Management]\(インサイダー リスク管理 \) を選択して、[Insider Risk Management]\(インサイダー リスク管理\) 設定に移動します。
- [ アラートのエクスポート] を選択します。 既定では、この設定は Microsoft 365 organizationで無効になっています。
- 設定を [オン] にします。
- SecurityComplianceAlerts で一般的なOffice 365監査アクティビティをフィルター処理します。
- InsiderRiskManagement カテゴリで SecurityComplianceAlerts をフィルター処理します。
アラート情報には、Office 365 Management Activity API セキュリティおよびコンプライアンス アラート スキーマ) と共通スキーマからの情報が含まれています。 次のフィールドと値は、共通スキーマの Insider Risk Management アラートに対してエクスポートされます。
- UserId
- ID
- RecordType
- CreationTime
- 操作
- OrganizationId
- UserType
- UserKey
アラートの重大度レベルを他の Microsoft セキュリティ ソリューションと共有する
Insider Risk Management からアラートの重大度レベルを共有して、次の Microsoft セキュリティ ソリューションのアラート調査エクスペリエンスに固有のユーザー コンテキストを提供できます。
Insider Risk Management は、90 日から 120 日間のユーザー アクティビティを分析し、その期間の異常な動作を探します。 このデータを他のセキュリティ ソリューションに追加すると、アナリストがアラートの優先順位を付けるのに役立つ、これらのソリューションで使用できるデータが強化されます。
ヒント
Insider Risk Management のアラート重大度レベルは、Adaptive Protection で定義されているインサイダー リスク レベルとは異なります。
- アラートの重大度レベル (低、中、または高) は、Insider Risk Management ポリシーで検出されたアクティビティに基づいてユーザーに割り当てられます。 これらのレベルは、ユーザーに関連付けられているすべてのアクティブなアラートに割り当てられたアラート リスク スコアに基づいて計算されます。 これらのレベルは、インサイダー リスク アナリストや調査担当者がユーザー アクティビティに優先順位を付け、それに応じて対応するのに役立ちます。
- Adaptive Protection のインサイダー リスク レベル (昇格、中程度、またはマイナー) は、ユーザーが 1 日に実行する流出アクティビティの数や、アクティビティによって重大度の高いインサイダー リスク アラートが生成されたかどうかなど、管理者が定義した条件によって決定されるリスクの尺度です。
前提条件
Insider Risk Management ユーザー リスク レベルを他の Microsoft セキュリティ ソリューションと共有するには、次の手順を実行します。
- インサイダー リスク管理ポリシーの一部である必要があります。
- ユーザーをポリシーのスコープに取り込む流出アクティビティを実行している必要があります。
- (DLP と共有する場合): DLPアラートのアクセス許可が必要です。 [データ共有] 設定を有効にすると、DLP アラートのアクセス許可を持つユーザーは、DLP アラートの調査と [Microsoft Defender XDR ユーザー] ページの Insider Risk Management コンテキストにアクセスできます。 Insider Risk Management のアクセス許可を持つユーザーは、このデータにアクセスすることもできます。
- (コミュニケーション コンプライアンスと共有する場合): コミュニケーション コンプライアンス のユーザー リスクの重大度レベルとアクティビティ履歴を表示するには、 コミュニケーション コンプライアンス アナリスト または コミュニケーション コンプライアンス調査担当者 ロールを割り当てる必要があります。
ヒント
Microsoft Purview や Microsoft Defender で DLP アラートにアクセスできる場合は、これらのソリューションと共有されている Insider Risk Management からユーザー コンテキストを表示できます。
他の Microsoft セキュリティ ソリューションとデータを共有する
Insider Risk Management アラートの重大度レベルは、1 つの設定をオンにすることで、他の Microsoft セキュリティ ソリューションと共有できます。
- [Insider Risk Management の設定] で、[ データ共有 ] 設定を選択します。
- [ 他の Microsoft セキュリティ ソリューションとデータを共有 する] セクションで、設定をオンにします。
注:
この設定をオンにしない場合、[DLP アラート のインサイダー リスクの重大度 ] 列に表示される値は [ユーザー データは使用できません] で、コミュニケーション コンプライアンスでは "Insider Risk Activity not available" として表示されます。
Insider Risk Management アラートの重大度レベルを共有するとどうなりますか?
Microsoft Defender XDR
Microsoft Defender ポータルでアラート データを共有することは、organizationの機密情報を保護し、セキュリティを維持するために不可欠です。 セキュリティ オペレーション センター (SOC) アナリストは、次のことができます。
- Microsoft Defenderアラート キュー内の Insider Risk Management アラートを調査します。
- Microsoft Defender XDR インシデント キュー内のデータ損失防止、Microsoft Defender for Identity、Office 用Microsoft Defenderなど、他の検出ソースからのアラートと関連付けられた Insider Risk Management アラートを調査します。
- Insider Risk Management アラート データを含む 2 つの新しいテーブルに対して 高度なハンティング クエリ を実行します。
- Microsoft Graph APIを使用して、豊富な Insider Risk Management アラート データをエクスポートします。
- アラートトリアージ中にユーザーの Insider Risk Management の重大度を表示します。 Insider リスク管理で高リスク、中リスク、または低リスク レベルを持つユーザーの [ユーザー] ページに、[Insider risk severity]\(インサイダー リスクの重大度\) フィールドが追加されます。 このデータは、アクティブな Insider Risk Management アラートを持つすべてのユーザーが使用できます。 [ユーザー] ページの右側に、そのユーザーのインサイダー リスク アクティビティの概要とアクティビティのタイムラインが表示されます。
Office 365管理アクティビティ API から Microsoft Graph API への移行
Insider Risk Management アラート メタデータは、Office 365管理アクティビティ API を通じて使用できます。 ただし、Graph APIは、より豊富なメタデータと双方向のサポートを提供します。 Insider Risk Management データをエンタープライズ システムと統合するには、Graph APIに移行することをお勧めします。
次の表は、最も一般的なOffice 365管理アクティビティ API パラメーターと同等の Microsoft Graph API パラメーターをまとめたものです。
| Office 365管理アクティビティ API パラメーター | Microsoft Graph API パラメーター |
|---|---|
| Alert パラメーター | 同等のパラメーターがありません |
| AlertId | ID |
| カテゴリ | ServiceSource |
| 注釈 | 同等のパラメーターがありません |
| データ | Evidence.useraccount.userPrincipalName(サフィックスと共に) |
| 名前 | AlertPolicyName |
| PolicyId | AlertPolicyId |
| 重要度 | 重要度 |
| ソース | DetectionSource |
| 状態 | 状態 |
| バージョン | 同等のパラメーターがありません |
スキーマ マッピングの詳細については、Office 365管理アクティビティ API と Microsoft Graph APIのDefender XDR スキーマに関するページを参照してください。
Insider Risk Management と ServiceNow セキュリティ運用の統合
ServiceNow は、Microsoft Graph を使用して Microsoft セキュリティ テクノロジと接続するための統合を提供します。 これらのソリューションには、Microsoft Sentinel、Microsoft Defender Advanced Threat Protection、Azure Advanced Threat Protection が含まれます。 この統合により、Microsoft 製品から貴重な分析情報にアクセスでき、ServiceNow プラットフォームを使用してセキュリティ インシデントを一元的に管理して対応するのに役立ちます。 Insider Risk Management アラート データは、Microsoft Graph セキュリティ API を介して Microsoft Purview 環境の外部からアクセスされます。
Insider Risk Management アラート データを ServiceNow と共有するには、次の手順を実行します。
- セキュリティ操作の Microsoft Graph Security API アラート インジェスト統合を取得する
- ServiceNow ドキュメントに従って、Microsoft Graph Security APIアラート インジェスト統合のプロファイルを設定または作成します。
詳細については、「Microsoft Defender ポータルでインサイダー リスクの脅威を調査する」を参照してください。
[コミュニケーション コンプライアンス アラート]
コミュニケーション コンプライアンス ポリシーが一致するたびに、送信者に関連付けられているユーザー リスクの重大度を表示できます。 アラートの通信の [ ユーザー アクティビティ ] タブで、この情報を表示します。 このビューでは、 Insider Risk Management と Communication Compliance によってキャプチャされたリスク プロファイル、ポリシーの一致、およびユーザー アクティビティが提供されます。
重大度レベルは、 高、 中、 低、または なしとして分類されます。
[ なし] のリスク重大度レベルの場合、次のいずれかのシナリオが原因である可能性があります。
- ユーザーはインサイダー リスク ポリシーに含まれていません。
- ユーザーのアクティビティにはリスク スコアが割り当てられていません。つまり、ユーザーがポリシーのアクティブなスコープに含まれていないことを意味します。
- ユーザーは Insider Risk Management ポリシーに含まれていますが、危険なアクティビティには関与していません。
- organizationには、アクティブな Insider Risk Management ポリシーがありません。
ユーザー リスクの重大度が利用できない場合、Insider Risk Management からデータ共有は有効になりません。
インサイダー リスク管理の [ユーザー履歴] タブの [詳細の表示] セクションで、インサイダー リスク アクティビティを最大 120 日間表示できます。 現在、 流出インジケーター からのデータのみが、コミュニケーション コンプライアンスのユーザー アクティビティの概要に表示されます。
DLP アラート
DLP アラートに関連付けられている Insider Risk Management ポリシーの場合、高、中、低、または None の値を持つ Insider リスク重大度列が DLP アラート キューに追加されます。 ポリシーに一致するアクティビティを持つ複数のユーザーがある場合は、インサイダー リスク レベルが最も高いユーザーが表示されます。
None の値は、次のいずれかを意味します。
ユーザーは、Insider Risk Management ポリシーの一部ではありません。
ユーザーは Insider Risk Management ポリシーの一部ですが、ポリシーのスコープに自分自身を取り込むための危険なアクティビティを行っていません (流出データはありません)。
DLP アラート キュー内のインサイダー リスク レベルを選択すると、[ユーザー アクティビティの概要] タブにアクセスできます。このタブには、過去 90 日から 120 日間のすべての流出アクティビティのタイムラインが表示されます。 DLP アラート キューと同様に、[ ユーザー アクティビティの概要 ] タブには、インサイダー リスク レベルが最も高いユーザーが表示されます。 ユーザーが過去 90 日から 120 日間に行ったことに関するこの深いコンテキストは、そのユーザーが提示するリスクの広いビューを提供します。
流出インジケーターからのデータのみがユーザー アクティビティの概要に表示されます。 HR、閲覧などの他の機密インジケーターからのデータは、DLP アラートと共有されません。
[アクターの詳細] セクションが [DLP アラートの詳細] ページに追加されます。 このページを使用すると、特定の DLP アラートに関連 するすべての ユーザーを表示できます。 DLP アラートに関係する各ユーザーについて、過去 90 日から 120 日間のすべての流出アクティビティを表示できます。
DLP アラートで [Security Copilotから概要を取得する] を選択した場合、ユーザーが Insider Risk Management ポリシーのスコープ内にある場合、Microsoft Security Copilotによって提供されるアラートの概要には、DLP の概要情報に加えて Insider Risk Management の重大度レベルが含まれます。
ヒント
Security Copilotを使用して DLP アラートを調査することもできます。 Insider Risk Management データ共有 設定が有効になっている場合は、DLP/Insider リスク管理の調査を組み合わせて実行できます。 たとえば、まず Copilot に DLP アラートの要約を依頼してから、アラートにフラグが設定されたユーザーに関連付けられているインサイダー リスク レベルを表示するように Copilot に依頼します。 または、ユーザーがリスクの高いユーザーと見なされる理由を確認することもできます。 この場合のユーザー リスク情報は、Insider Risk Management から取得されます。 Security Copilotは、Insider Risk Management と DLP をシームレスに統合して、調査を支援します。 DLP/Insider Risk Management の調査を組み合わせたスタンドアロン バージョンの Copilot の使用について詳しく説明します。