インサイダー リスク管理活動を調査する

重要

Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 インサイダー リスク管理を使用すると、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシーを設計して構築されたユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するためにロールベースのアクセス制御と監査ログが用意されています。

リスクの高い可能性のあるユーザー アクティビティを調査することは、組織のインサイダー リスクを最小限に抑えるための重要な最初のステップです。 これらのリスクは、インサイダー リスク管理ポリシーからアラートを生成するアクティビティである可能性があります。 また、ポリシーによって検出されるコンプライアンス関連のアクティビティからのリスクになる可能性もありますが、ユーザーに対してインサイダー リスク管理アラートをすぐに作成することはありません。 これらの種類のアクティビティは、 ユーザー アクティビティ レポート (プレビュー) または [アラート] ダッシュボードを使用して調査できます。

ヒント

E5 のお客様でない場合は、Microsoft Purview のすべてのプレミアム機能を無料で試すことができます。 90 日間の Purview ソリューション試用版を使用して、堅牢な Purview 機能が組織がデータのセキュリティとコンプライアンスのニーズを管理するのにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから今すぐ開始します。 サインアップと試用版の条件の詳細について説明します。

ユーザー アクティビティ レポート

ユーザー アクティビティ レポートを使用すると、これらのアクティビティを一時的または明示的にインサイダー リスク管理ポリシーに割り当てることなく、潜在的に危険なアクティビティ (特定のユーザーと定義された期間) を調べることができます。 ほとんどのインサイダー リスク管理シナリオでは、ユーザーはポリシーで明示的に定義され、(イベントのトリガーに応じて) ポリシー アラートと、アクティビティに関連付けられたリスク スコアを持つ場合があります。 ただし、一部のシナリオでは、ポリシーで明示的に定義されていないユーザーのアクティビティを調べることをお勧めします。 これらのアクティビティは、ユーザーと危険な可能性のあるアクティビティに関するヒントを受け取ったユーザー、または通常はインサイダー リスク管理ポリシーに割り当てる必要がないユーザーに対するアクティビティです。

[インサイダー リスク管理 の設定] ページでインジケーターを構成すると、選択したインジケーターに関連付けられている危険な可能性のあるアクティビティに対してユーザー アクティビティが検出されます。 この構成は、トリガーイベントがあるかどうか、またはアラートを作成するかどうかに関係なく、ユーザーに対して検出されたすべてのアクティビティを確認できます。 レポートはユーザーごとに作成され、カスタム 90 日間のすべてのアクティビティを含めることができます。 同じユーザーの複数のレポートはサポートされていません。

危険な可能性のあるアクティビティを調べた後、調査官は個々のユーザーのアクティビティを無害として却下できます。 また、レポートへのリンクを他の調査員と共有または電子メールで送信したり、内部リスク管理ポリシーにユーザーを (一時的または明示的に) 割り当てることを選択することもできます。 [ユーザー アクティビティ レポート] ページを表示するには、ユーザーを Insider Risk Management の調査担当者ロール グループに割り当てる必要があります。

インサイダー リスク管理ユーザー アクティビティ レポートの概要。

開始するには、インサイダー リスク管理[概要] ページの [ユーザー アクティビティの調査] セクションで [レポートの管理] を選択します。

ユーザーのアクティビティを表示するには、まず [ ユーザー アクティビティ レポートの作成 ] を選択し、[ 新しいユーザー アクティビティ レポート ] ウィンドウで次のフィールドに入力します。

  • ユーザー: 名前またはメール アドレスでユーザーを検索します。
  • 開始日: 予定表コントロールを使用して、ユーザー アクティビティの開始日を選択します。
  • 終了日: 予定表コントロールを使用して、ユーザー アクティビティの終了日を選択します。 選択した終了日は、選択した開始日から 2 日を超え、選択した開始日から 90 日以内である必要があります。

新しいレポートは、通常、レビューの準備が整うまで最大 10 時間かかります。 レポートの準備ができたら、[ユーザー アクティビティ レポート] ページの [状態] 列に [レポートの準備完了] と表示されます。 ユーザーを選択して、詳細レポートを表示します。

インサイダー リスク管理ユーザー アクティビティ レポート

選択した ユーザーのユーザー アクティビティ レポート には、 ユーザー アクティビティアクティビティ エクスプローラーフォレンジック証拠 (プレビュー) タブが含まれています。

  • ユーザー アクティビティ: このグラフ ビューを使用して、潜在的に危険なアクティビティを調査し、シーケンスで発生する可能性のある関連アクティビティを表示します。 このタブは、すべてのアクティビティの履歴タイムライン、アクティビティの詳細、ケース内のユーザーの現在のリスク スコア、リスク イベントのシーケンス、調査作業に役立つフィルター処理コントロールなど、ケースの迅速なレビューを可能にするように構成されています。
  • アクティビティ エクスプローラー: このタブでは、リスク調査担当者に、アクティビティに関する詳細情報を提供する包括的な分析ツールが提供されます。 アクティビティ エクスプローラーを使用すると、校閲者は、検出された危険なアクティビティのタイムラインをすばやく確認し、アラートに関連付けられている可能性のあるすべての危険なアクティビティを特定してフィルター処理できます。 アクティビティ エクスプローラーの使用方法の詳細については、この記事の後半の 「アクティビティ エクスプローラー 」セクションを参照してください。

アラート ダッシュボード

インサイダー リスク管理アラートは、インサイダー リスク管理ポリシーで定義されているリスク インジケーターによって自動的に生成されます。 これらのアラートは、コンプライアンス アナリストと調査担当者に現在のリスクの状態を把握し、検出された潜在的なリスクに対してトリアージとアクションを実行できるようにします。 既定では、ポリシーによって一定量の低、中、高の重大度のアラートが生成されますが、ニーズに合わせて アラートの量を増減 できます。 さらに、ポリシー作成ツールを使用して新しいポリシーを作成するときに、 ポリシー インジケーターのアラートしきい値 を構成できます。

リスクの高いアクティビティの詳細、コンテキスト、および関連コンテンツをアラートで提供する方法と、調査プロセスをより効果的にする方法の概要については、「 Insider Risk Management Alerts Triage Experience」ビデオ をご覧ください。

インサイダー リスク アラート ダッシュボード を使用すると、インサイダー リスク ポリシーによって生成されたアラートを表示して対処できます。 各レポート ウィジェットには、過去 30 日間の情報が表示されます。

  • レビューが必要なアラートの合計数: アラートの重大度別の内訳など、レビューとトリアージが必要なアラートの合計数が一覧表示されます。
  • 過去 30 日間のアラートを開く: ポリシーによって作成されたアラートの合計数は、過去 30 日間に一致し、アラートの重大度レベルが高、中、低で並べ替えられます。
  • アラートを解決するための平均時間: 役に立つアラート統計の概要:
    • 重大度の高いアラートを解決するための平均時間。時間、日、または月単位で表示されます。
    • 中程度の重大度のアラートを解決するための平均時間。時間、日、または月単位で表示されます。
    • 重大度の低いアラートを解決するための平均時間。時間、日、または月単位で表示されます。

インサイダー リスク管理アラート ダッシュボード

注:

インサイダー リスク管理は、組み込みのアラート調整を使用して、リスク調査を保護および最適化し、エクスペリエンスを確認します。 この調整により、誤って構成されたデータ コネクタやデータ損失防止ポリシーなど、ポリシー アラートが過負荷になる可能性がある問題から保護されます。 その結果、ユーザーに対する新しいアラートの表示に遅延が生じる可能性があります。

アラートの状態と重大度

アラートは、次のいずれかの状態にトリアージできます。

  • 確認済み: アラートが確認され、新規または既存のケースに割り当てられます。
  • 無視: トリアージ プロセスでアラートが無害として無視されました。 アラートが無視される理由を指定し、ユーザーのアラート履歴で使用できるメモを含めて、将来の参照や他のレビュー担当者に追加のコンテキストを提供できます。 理由は、予想されるアクティビティ、影響のないイベント、ユーザーのアラート アクティビティの数の削減、またはアラート ノートに関連する理由などです。 分類の選択肢には、 このユーザーに対してアクティビティが予想されるアクティビティがさらに調査するのに十分な影響がある、 このユーザーのアラートに含まれるアクティビティが多すぎるなどの理由があります。
  • 確認が必要: トリアージ アクションがまだ実行されていない新しいアラート。
  • 解決済み: 閉じられ解決されたケースの一部であるアラート。

アラート リスク スコアは、複数のリスク アクティビティ インジケーターから自動的に計算されます。 これらの指標には、リスク アクティビティの種類、アクティビティの発生回数と頻度、ユーザーのリスク アクティビティの履歴、危険な可能性のあるアクティビティの深刻さを高める可能性があるアクティビティ リスクの追加が含まれます。 アラート リスク スコアは、各アラートのリスク重大度レベルのプログラムによる割り当てを促進し、カスタマイズすることはできません。 アラートが未解決のままであり、リスク アクティビティが引き続きアラートに蓄積される場合は、リスクの重大度レベルが高くなる可能性があります。 リスク アナリストと調査担当者は、アラート リスクの重大度を使用して、組織のリスク ポリシーと標準に従ってアラートをトリアージできます。

アラート リスクの重大度レベルは次のとおりです。

  • 重大度が高い: 潜在的に危険なアクティビティとアラートのインジケーターは、重大なリスクを引き起こす可能性があります。 関連するリスクアクティビティは、深刻で反復的であり、他の重要なリスク要因に強く根付きます。
  • 中程度の重大度: 潜在的に危険なアクティビティとアラートのインジケーターは、中程度のリスクを引き起こす可能性があります。 関連するリスク アクティビティは、中程度で頻繁であり、他のリスク要因とある程度の相関関係があります。
  • 重大度が低い: 潜在的に危険なアクティビティとアラートのインジケーターは、軽微なリスクを引き起こす可能性があります。 関連するリスク アクティビティは軽微であり、頻度が低く、他の重要なリスク要因とは関係ありません。

アラート ダッシュボードでアラートをフィルター処理する

組織内のアクティブなインサイダー リスク管理ポリシーの数と種類によっては、大量のアラートを確認することが困難な場合があります。 アラート フィルターを使用すると、アナリストや調査担当者が複数の属性でアラートを並べ替えるのに役立ちます。

[アラート] ダッシュボードでアラートをフィルター処理するには、[ フィルター] コントロールを選択します。 アラートは、1 つ以上の属性でフィルター処理できます。

  • 状態: アラート リストをフィルター処理する 1 つ以上の状態値を選択します。 オプションは、確認済み非表示レビューが必要解決済みです。
  • 重大度: アラート リストをフィルター処理するアラート リスクの重大度レベルを 1 つ以上選択します。オプションは [高]、[ 中]、[ 低] です
  • 検出された時刻: アラートが作成された日時の開始日と終了日を選択します。 このフィルターは、開始日の UTC 00:00 から終了日の UTC 00:00 までのアラートを検索します。 特定の日のアラートをフィルター処理するには、[開始日] フィールドに日付を入力し、[ 終了日 ] フィールドに次の日の 日付 を入力します。
  • ポリシー: 1 つ以上のポリシーを選択して、選択したポリシーによって生成されたアラートをフィルター処理します。
  • リスク要因: アラート リストをフィルター処理するリスク要因を 1 つ以上選択します。 オプションは、 累積流出アクティビティアクティビティには優先度コンテンツシーケンス アクティビティアクティビティには未承認ドメイン、優先度の高い ユーザー グループのメンバー影響の大きい可能性があるユーザーが含まれます。

アラート ダッシュボードでアラートを検索する

特定の単語でアラート名を検索するには、検索コントロールを選び、検索する単語を入力します。 検索結果には、検索で定義された単語を含むポリシー アラートが表示されます。

複数のアラートを無視する (プレビュー)

アナリストや調査担当者が一度に複数のアラートをすぐに無視するためのトリアージ時間を節約するのに役立つ場合があります。 [ アラートの無視 ] コマンド バー オプションを使用すると、ダッシュボードで [確認が必要 ] 状態のアラートを 1 つ以上選択し、トリアージ プロセスで必要に応じてこれらのアラートを適切に無視できます。 一度に無視するアラートは最大 400 個まで選択できます。

インサイダー リスク アラートを無視するには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider リスク管理] に移動し、[アラート] タブ選択します。
  2. [ アラート] ダッシュボードで、無視する [ 確認が必要 ] 状態のアラート (またはアラート) を選択します。
  3. [アラート] コマンド バーで、[ アラートの無視] を選択します。
  4. [アラートの無視の詳細] ウィンドウで、選択した アラート に関連付けられているユーザーとポリシーの詳細を確認できます。
  5. [ アラートを無視する] を選択してアラートを問題なく解決するか、[ キャンセル ] を選択してアラートを無視せずに詳細ウィンドウを閉じます。

トリアージ アラート

インサイダー リスク アラートをトリアージするには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider リスク管理] に移動し、[アラート] タブ選択します。
  2. [ アラート] ダッシュボードで、トリアージするアラートを選択します。
  3. [ アラートの詳細 ] ページでは、アラートに関する情報を確認できます。 アラートを確認して新しいケースを作成したり、アラートを確認して既存のケースに追加したり、アラートを無視したりできます。 このページには、アラートの現在の状態と、アラート リスクの重大度レベルも含まれます([高]、[中]、または [低] と表示されます)。 アラートがトリアージされていない場合、重大度レベルは時間の経過と同時に増減する可能性があります。

アラートの詳細については、[アラートの詳細] ページの次のセクションとタブを使用します。

ヘッダー/概要セクション

このセクションには、ユーザーとアラートに関する一般的な情報が含まれています。 この情報は、ユーザーのアラートに含まれる検出されたリスク管理アクティビティに関する詳細情報を確認しながら、コンテキストで使用できます。

  • このアラートを生成したアクティビティ: アラートが生成されたアクティビティ評価期間中に、リスクが高い可能性のある上位のアクティビティとポリシーの一致を表示します。
  • トリガー イベント: ユーザーのアクティビティへのリスク スコアの割り当てを開始するようにポリシーに求めた最新のトリガー イベントを表示します。 リスクのあるユーザーによるデータ リークまたは危険なユーザーポリシーによるセキュリティ ポリシー違反に対する通信コンプライアンスとの統合を構成した場合、これらのアラートのトリガー イベントは通信コンプライアンス アクティビティのスコープになります。
  • ユーザーの詳細: アラートに割り当てられたユーザーに関する一般的な情報を表示します。 匿名化が有効になっている場合、ユーザー名、電子メール アドレス、エイリアス、および組織のフィールドは匿名化されます。
  • ユーザー アラート履歴: 過去 30 日間のユーザーのアラートの一覧を表示します。 ユーザーの完全なアラート履歴を表示するためのリンクが含まれています。

注:

影響の大きい可能性のあるユーザーとしてユーザーが検出されると、[ ユーザーの詳細 ] ページのアラート ヘッダーでこの情報が強調表示されます。 ユーザーの詳細には、ユーザーが検出された理由の概要も含まれます。 影響の大きい可能性があるユーザーのポリシー インジケーターの設定の詳細については、「 Insider リスク管理設定」を参照してください。

優先度のコンテンツを含むアクティビティのみにスコープを設定したポリシーから生成されたアラートには、このセクションのこのアラート通知に対してスコアが付いた優先度の高いアクティビティのみが含まれます。

すべてのリスク要因

このタブでは、ユーザーのアラート アクティビティのリスク要因の概要が開きます。 リスク要因は、レビュー中にこのユーザーのリスク管理アクティビティがどの程度危険であるかを判断するのに役立ちます。 リスク要因には、次の概要が含まれます。

  • 上位流出アクティビティ: アラートの数が最も多い流出アクティビティまたはイベントを表示します。
  • 累積流出アクティビティ: 累積流出アクティビティに関連付けられているイベントを表示します。
  • アクティビティのシーケンス: リスク シーケンスに関連付けられている、検出された潜在的に危険なアクティビティを表示します。
  • このユーザーの異常なアクティビティ: 通常とは異なる、一般的なアクティビティから逸脱しているため、リスクの可能性があると見なされるユーザーの特定のアクティビティを表示します。
  • 優先度コンテンツ: 優先度の高いコンテンツに関連付けられている危険なアクティビティを表示します。
  • [未承認ドメイン]: 未承認ドメインに関連付けられているイベントに対して危険な可能性があるアクティビティを表示します。
  • 正常性レコード へのアクセス: 正常性レコードへのアクセスに関連するイベントについて、危険な可能性のあるアクティビティを表示します。
  • 危険なブラウザーの使用状況: 不適切な可能性のある Web サイトへの閲覧に関連するイベントについて、危険な可能性のあるアクティビティを表示します。

これらのフィルターでは、上記のリスク要因を含むアラートのみが表示されますが、アラートを生成したアクティビティは、これらのカテゴリのいずれにも該当しない可能性があります。 たとえば、ユーザーが USB デバイスにファイルをコピーしたという理由だけで、シーケンス アクティビティを含むアラートが生成された可能性があります。

コンテンツが検出されました

[ すべてのリスク要因 ] タブのセクションには、アラートのリスク アクティビティに関連付けられたコンテンツが含まれており、アクティビティ イベントを主要な領域別に要約します。 アクティビティ リンクを選択すると、アクティビティ エクスプローラーが開き、アクティビティの詳細が表示されます。

アクティビティ エクスプローラー

このタブでは、アクティビティ エクスプローラーが開きます。 詳細については、この記事の「アクティビティ エクスプローラー」セクションを参照してください。

ユーザー アクティビティ

ユーザー アクティビティ チャートは、内部リスク分析とインサイダー リスク管理ソリューションのアラートとケースの調査のための最も強力なツールの 1 つです。 このタブは、すべてのアラートの履歴タイムライン、アラートの詳細、ユーザーの現在のリスク スコア、リスク イベントのシーケンスなど、ユーザーのすべてのアクティビティをすばやく確認できるように構成されています。

インサイダー リスク管理ユーザー アクティビティ

  1. 時間フィルター: 既定では、[ユーザー アクティビティ] グラフに表示される、危険な可能性のあるアクティビティの過去 3 か月間。 バブル チャートの [6 か月]、[3 か月]、または [1 か月] タブを選択すると、グラフ ビューを簡単にフィルター処理できます。

  2. リスク アラート アクティビティと詳細: 危険な可能性のあるアクティビティは、[ユーザー アクティビティ] グラフに色付きのバブルとして視覚的に表示されます。 バブルは、さまざまなカテゴリのリスクと に対して作成されます。 バブルを選択すると、リスクの高いアクティビティごとに詳細が表示されます。 詳細は次のとおりです。

    • リスクアクティビティの日付
    • リスク アクティビティ カテゴリ。 たとえば、組織外に送信された添付ファイルを含むEmail、SharePoint Online からダウンロードしたファイルなどです。
    • アラートのリスクスコア。 このスコアは、アラートリスクの重大度レベルを表すスコアの数値です。
    • アラートに関連付けられているイベント数。 リスク アクティビティに関連付けられている各ファイルまたは電子メールへのリンクも利用できます。
  3. フィルターと並べ替え (プレビュー):

    • リスク カテゴリ: 次のリスク カテゴリでアクティビティをフィルター処理します。 リスク スコア > が 15 のアクティビティ (シーケンス内を除く)[シーケンス アクティビティ] です。
    • アクティビティの種類: Access削除コレクション流出、侵入、難読化セキュリティの各種類アクティビティをフィルター処理します。
    • 並べ替え順: 発生 した日付 または リスク スコア別に、危険な可能性のあるアクティビティのタイムラインを一覧表示します。
  4. リスク シーケンス: リスクの可能性のあるアクティビティの時系列順序は、リスク調査の重要な側面であり、これらの関連するアクティビティを特定することは、組織の全体的なリスクを評価する上で重要な部分です。 関連するアラート アクティビティが接続線と共に表示され、これらのアクティビティがより大きなリスク領域に関連付けられていることが強調表示されます。 シーケンスは、シーケンスのリスク スコアを基準にしてシーケンス アクティビティの上に配置されたアイコンによってもこのビューで識別されます。 アイコンの上にマウス ポインターを合わせると、このシーケンスに関連付けられている危険なアクティビティの日付と時刻が表示されます。 このアクティビティビューは、調査担当者が、分離されたイベントまたは 1 回限りのイベントと見なされた可能性のあるリスク アクティビティに対して、文字通り 「ドットを接続する」のに役立ちます。 シーケンス内のアイコンまたはバブルを選択して、関連するすべてのリスク アクティビティの詳細を表示します。 詳細は次のとおりです。

    • シーケンスの名前
    • シーケンスの日付または日付範囲。
    • シーケンスのリスク スコア。 このスコアは、シーケンス内の関連する各アクティビティのアラート リスクの重大度レベルを組み合わせたシーケンスの数値スコアです。
    • シーケンス内の各アラートに関連付けられているイベントの数。 リスクの高い各アクティビティに関連付けられている各ファイルまたは電子メールへのリンクも利用できます。
    • アクティビティを順番に表示します。 バブル チャートの強調表示線としてシーケンスを表示し、アラートの詳細を展開して、シーケンス内のすべての関連アラートを表示します。
  5. リスク アクティビティの凡例: ユーザー アクティビティ グラフの下部に色分けされた凡例を使用すると、各アラートのリスク カテゴリをすばやく特定できます。

  6. リスク アクティビティの年表: 対応するアラート バブルで使用可能なすべての詳細を含め、ケースに関連付けられているすべてのリスク アラートの完全な年表が一覧表示されます。

  7. ケース アクション: ケースを解決するためのオプションは、ケース アクション ツール バーにあります。 ケースで表示する場合は、ケースを解決したり、メール通知をユーザーに送信したり、データやユーザーの調査のためにケースをエスカレートしたりできます。

アクティビティ エクスプローラー

注:

アクティビティ エクスプローラーは、組織でこの機能を利用できるようになった後にイベントをトリガーするユーザーのアラート管理領域で使用できます。

アクティビティ エクスプローラーは、リスク調査担当者とアナリストに、アラートに関する詳細情報を提供する包括的な分析ツールを提供します。 アクティビティ エクスプローラーを使用すると、レビュー担当者は、検出された潜在的に危険なアクティビティのタイムラインをすばやく確認し、アラートに関連付けられているすべてのリスク アクティビティを特定してフィルター処理できます。

アクティビティ エクスプローラーで列情報のアラートをフィルター処理するには、[フィルター] コントロールを選択します。 アラートの詳細ウィンドウに一覧表示されている 1 つ以上の属性でアラートをフィルター処理できます。 アクティビティ エクスプローラーでは、調査担当者やアナリストが最も重要な情報にダッシュボードをフォーカスするのに役立つカスタマイズ可能な列もサポートされています。

[アクティビティ スコープ] フィルターと [リスク分析情報] フィルターを使用して、次の領域のアクティビティと分析情報を表示および並べ替えます。

  • アクティビティ スコープ フィルター: ユーザーのスコア付けされたすべてのアクティビティをフィルター処理します。

    • このユーザーのすべてのスコア付けされたアクティビティ
    • このアラートのスコア付けされたアクティビティのみ
  • リスク要因フィルター: リスク スコアを割り当てるすべてのポリシーに適用できるリスク要因アクティビティのフィルター。これには、スコープ内ユーザーのすべてのポリシーのすべてのアクティビティが含まれます。

    • 異常なアクティビティ
    • 優先度の高いコンテンツを含むイベントを含む
    • 未承認ドメインを含むイベントを含む
    • シーケンス アクティビティ
    • 累積流出アクティビティ
    • 正常性レコードのアクセス アクティビティ
    • 危険なブラウザーの使用

インサイダー リスク管理アクティビティ エクスプローラーの概要

アクティビティ エクスプローラーを使用するには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider リスク管理] に移動し、[アラート] タブ選択します。
  2. [ アラート] ダッシュボードで、トリアージするアラートを選択します。
  3. [アラートの詳細] ウィンドウで、[展開されたビューを開く] を選択します。
  4. 選択したアラートのページで、[ アクティビティ エクスプローラー ] タブを選択します。

アクティビティ エクスプローラーでアクティビティを確認する場合、調査担当者とアナリストは特定のアクティビティを選択し、アクティビティの詳細ウィンドウを開くことができます。 ウィンドウには、調査担当者とアナリストがアラートトリアージ プロセス中に使用できるアクティビティに関する詳細情報が表示されます。 詳細情報は、アラートのコンテキストを提供し、アラートをトリガーしたリスク アクティビティの完全な範囲を特定するのに役立ちます。

アクティビティ タイムラインからアクティビティのイベントを選択すると、エクスプローラーに表示されるアクティビティの数が、タイムラインに一覧表示されているアクティビティ イベントの数と一致しない可能性があります。 この違いが発生する理由の例:

  • 累積流出検出: 累積流出検出はイベント ログを分析しますが、同様のアクティビティの重複除去を含むモデルを適用して累積流出リスクを計算します。 さらに、既存のポリシーまたは設定を変更した場合、アクティビティ エクスプローラーに表示される危険な可能性のあるアクティビティの数に違いがある場合もあります。 たとえば、ポリシーの作成後に許可または未承認のドメインを変更したり、新しいファイルの種類の除外を追加したり、危険な可能性のあるアクティビティの一致が発生した場合、累積的な流出検出アクティビティは、ポリシーまたは設定が変更される前の結果とは異なります。 累積流出検出アクティビティの合計は、計算時のポリシーと設定の構成に基づいており、ポリシーと設定の変更前のアクティビティは含まれません。
  • 外部受信者へのメール: 外部の受信者に送信される電子メールに対して危険な可能性があるアクティビティには、送信されたメールの数に基づいてリスク スコアが割り当てられます。これは、アクティビティ イベント ログと一致しない可能性があります。

インサイダー リスク管理アクティビティ エクスプローラーの詳細。

アラートのケースを作成する

アラートを確認してトリアージすると、リスクの高い可能性のあるアクティビティをさらに調査するための新しいケースを作成できます。 アラートのケースを作成するには、次の手順に従います。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider リスク管理] に移動し、[アラート] タブ選択します。
  2. [ アラート] ダッシュボードで、確認するアラートを選択し、新しいケースを作成します。
  3. [アラートの詳細] ウィンドウで、[アクション] [アラートの確認] [ケースの作成] の順に&選択します>。
  4. [ アラートの確認とインサイダー リスク ケースの作成 ] ダイアログで、ケースの名前を入力し、共同作成者として追加するユーザーを選択し、必要に応じてコメントを追加します。 コメントは、ケース ノートとしてケースに自動的に追加されます。
  5. [ ケースの作成 ] を選択して新しいケースを作成するか 、[キャンセル ] を選択してケースを作成せずにダイアログを閉じます。

ケースが作成されると、調査担当者とアナリストはケースを管理して対処できます。 詳細については、 Insider リスク管理ケース に関する記事を参照してください。

アイテム保持とアイテムの制限

インサイダー リスク管理アラートの年齢が経過すると、リスクの高い可能性のあるアクティビティを最小限に抑えるための価値は、ほとんどの組織で減少します。 逆に、アクティブなケースと関連する成果物 (アラート、分析情報、アクティビティ) は、常に組織にとって重要であり、自動有効期限を設定しないでください。 これには、アクティブなケースに関連付けられているすべてのユーザーのアクティブな状態のすべての将来のアラートと成果物が含まれます。

制限された現在の値を提供する古いアイテムの数を最小限に抑えるために、インサイダー リスク管理アラート、ケース、およびユーザー レポートには、次の保持と制限が適用されます。

項目 保持/制限
確認状態が必要なアラート アラートの作成から 120 日後、自動的に削除されます
アクティブなケース (および関連する成果物) 無期限のリテンション期間、期限切れなし
解決されたケース (および関連する成果物) ケース解決から 120 日後、自動的に削除されます
アクティブなケースの最大数 100
ユーザー アクティビティ レポート アクティビティ検出から 120 日後、自動的に削除されます

インサイダー リスク アラート キューの管理に関するヘルプを表示する

リスクの高い可能性のあるインサイダー アラートの確認、調査、対処は、組織内のインサイダー リスクを最小限に抑える上で重要な部分です。 これらのリスクの影響を最小限に抑えるために迅速にアクションを実行すると、組織の時間、コスト、規制上または法的な影響を節約できる可能性があります。 この修復プロセスでは、アラートを確認する最初の手順は、多くのアナリストや調査担当者にとって最も困難な作業のように見える場合があります。 状況によっては、リスクの高いインサイダー アラートに対処するときに、いくつかの小さな障害に直面する可能性があります。 次の推奨事項を確認し、アラート レビュー プロセスを最適化する方法について説明します。

確認するアラートが多すぎます

インサイダー リスク管理ポリシーによって生成されるアラートの数に圧倒されるのは、イライラする可能性があります。 アラートの数は、受信しているアラート ボリュームの種類に応じて、簡単な手順で迅速に対処できます。 有効なアラートが多すぎるか、古い低リスクアラートが多すぎる可能性があります。 次のアクションを実行することを検討してください。

  • インサイダー リスク ポリシーを調整する: 適切なインサイダー リスク ポリシーを選択して構成することは、アラートの種類と量に対処するための最も基本的な方法です。 適切な ポリシー テンプレート から始めると、表示されるリスク アクティビティとアラートの種類に焦点を当てるのに役立ちます。 アラートボリュームに影響を与える可能性があるその他の要因は、スコープ内のユーザーとグループのサイズと 、優先順位が付いているコンテンツとチャネルです。 これらの領域を組織にとって最も重要なものに絞り込むためのポリシーの調整を検討してください。
  • インサイダー リスク設定を変更する: Insider リスク設定には、受信するアラートの量と種類に影響を与える可能性があるさまざまな構成オプションが含まれています。 これには、 ポリシー インジケーターインジケーターのしきい値およびポリシー期間の設定が含まれます。 特定のファイルの種類と機密情報の種類、トレーニング可能な分類子を除外し、アクティビティ アラートがポリシーによって報告される前の最小しきい値を定義し、アラート ボリュームの構成を低い設定に変更するように インテリジェント検出 オプションを構成することを検討してください。
  • インライン アラートのカスタマイズ (プレビュー) を有効にする: インライン アラートのカスタマイズ を有効にすると、アナリストと調査担当者はアラートを確認するときにポリシーをすばやく編集できます。 Microsoft の推奨事項を使用してアクティビティ検出のしきい値を更新したり、カスタムしきい値を構成したり、アラートを作成したアクティビティの種類を無視したりできます。 これが有効になっていない場合は、 Insider Risk Management ロール グループに割り当てられているユーザーのみがインライン アラートのカスタマイズを使用できます。
  • 該当するアラートの一括削除: アナリストや調査担当者が一度に 複数のアラート をすぐに無視するためのトリアージ時間を節約するのに役立つ場合があります。 一度に無視するアラートは最大 400 個まで選択できます。

アラートトリアージ プロセスに慣れていない

インサイダー リスク管理でのアラートの調査と対処は簡単です。

  1. [ アラート] ダッシュボード でアラートを確認し、[要確認] の状態を確認します。 これらの種類のアラートを見つけるのに役立つ必要がある場合は、アラートの状態フィルター処理します。
  2. 重大度が最も高いアラートから始めます。 これらの種類のアラートを見つけるのに役立つ必要がある場合は、アラートの重大度フィルター処理します。
  3. アラートを選択して詳細情報を検出し、アラートの詳細を確認します。 必要に応じて、 アクティビティ エクスプローラー を使用して、関連する潜在的に危険な動作のタイムラインを確認し、アラートのすべてのリスク アクティビティを特定します。
  4. アラートに基づいて操作します。 アラートの ケースを 確認して作成するか、アラートを無視して解決できます。

組織内のリソース制約

現代の職場ユーザーは、多くの場合、自分の時間に対してさまざまな責任と要求を持っています。 リソースの制約に対処するために実行できるアクションがいくつかあります。

  • アナリストと調査担当者の取り組みを、最初に最もリスクの高いアラートに焦点を当てます。 ポリシーによっては、ユーザー アクティビティをキャプチャし、リスク軽減作業に影響を与える可能性のある程度のアラートを生成する場合があります。 重大度でアラートをフィルター処理し、重大度の高いアラートに優先順位を付ける。
  • アナリストと調査担当者としてユーザーを割り当てます。 適切なユーザーを適切なロールに割り当てることは、インサイダー リスク アラート レビュー プロセスの重要な部分です。 適切なユーザーを Insider Risk Management アナリストと Insider Risk Managementの調査担当者 ロール グループに割り当てられていることを確認します。
  • 自動インサイダー リスク機能を使用して、最もリスクの高いアクティビティを検出します。 インサイダー リスク管理 シーケンス検出累積流出検出 機能は、組織内のリスクを見つけるのが難しい場合にすばやく検出するのに役立ちます。 リスク スコア ブースターファイル アクティビティ検出ドメイン、およびポリシーの最小インジケーターしきい値設定を微調整することを検討してください。