インサイダー リスク管理のフォレンジック証拠について学習する

  • [アーティクル]

重要

フォレンジック証拠は、Insider Risk Management のオプトイン アドオン機能であり、ユーザー のプライバシーが組み込まれた、潜在的なインサイダー データ セキュリティ インシデントに関する視覚的な分析情報をセキュリティ チームに提供します。 フォレンジック証拠には、カスタマイズ可能なイベント トリガーと組み込みのユーザー プライバシー保護制御が含まれており、セキュリティ チームは機密データの不正なデータ流出などの潜在的なインサイダー データ リスクの調査、理解、対応を強化できます。

組織は、フォレンジック証拠をキャプチャするための最も優先度の高いイベントや、最も機密性の高いデータなど、適切なポリシーを設定します。 フォレンジック証拠は既定ではオフになっています。ポリシーの作成にはデュアル承認が必要であり、ユーザー名は仮名化でマスクできます (Insider Risk Management では既定でオンになっています)。 Insider Risk Management 内でポリシーを設定し、セキュリティ アラートを確認すると、強力なロールベースのアクセス制御 (RBAC) が利用され、organizationの指定された個人が追加の監査機能を使用して適切なアクションを実行できるようになります。

重要

Microsoft Purview Insider Risk Management は、さまざまなシグナルを関連付けて、IP の盗難、データ漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意による内部関係者のリスクを特定します。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

視覚コンテキストを持つことは、フォレンジック調査中のセキュリティ チームにとって、リスクの高いセキュリティ関連のユーザー アクティビティに関するより良い分析情報を得るために重要です。 カスタマイズ可能なイベント トリガーと組み込みのユーザー プライバシー保護コントロールを使用すると、フォレンジック証拠を使用すると、デバイス間でカスタマイズ可能なビジュアル アクティビティをキャプチャして、機密データの不正なデータ流出などの潜在的なデータ リスクの軽減、理解、対応をorganizationに役立てることができます。 フォレンジック証拠をキャプチャするための最も優先度の高いイベント、最も機密性の高いデータ、フォレンジック キャプチャがアクティブ化されたときにユーザーに通知されるかどうかなど、organizationに適したポリシーを設定します。 フォレンジック証拠のキャプチャは既定ではオフであり、ポリシーの作成にはデュアル承認が必要です。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

機能機能

  • ビジュアル キャプチャを 使用すると、組織は主要なセキュリティ関連のユーザー アクティビティのクリップをキャプチャできるため、より安全または準拠した可視性を実現し、組織のニーズを満たすことができます。
  • デスクトップ アプリケーションや Web サイトを含めるか除外 して、最もリスクの高いアプリケーションと Web サイトに焦点を当てた記録ポリシーを構成します。 これにより、ストレージ領域とユーザーのプライバシーが保持されます。 たとえば、個人用メールアカウントやソーシャル メディア アカウントを除外します。
  • 強化されたフィッシング保護 (プレビュー) を使用すると、組織は SmartScreen で拡張フィッシング保護に関連するクリップMicrosoft Defenderキャプチャできます。 たとえば、フィッシング サイトまたはフィッシング サイトに接続しているアプリケーションで、ユーザーがWindows 11 デバイスにサインインするために使用した Microsoft パスワードを入力したときにキャプチャできます。 Microsoft Defender SmartScreen での拡張フィッシング保護の詳細
  • キャプチャ機能のアクティブ化に関する複数レベルの承認を通じてユーザーのプライバシーを保護しました。
  • カスタマイズ可能なトリガーとキャプチャ オプション は、セキュリティ チームが、インシデント (たとえば、 ユーザーが 'SecretResearchPlans.docx' をダウンロードした 5 分前と 10 分後のキャプチャ) に基づいているか、継続的なキャプチャのニーズに基づいて、ニーズに合わせてフォレンジック証拠を設定できることを意味します。
  • ユーザー中心のポリシー ターゲット 設定は、セキュリティチームとコンプライアンス チームが、コンテキスト分析情報を向上するために、デバイスではなくユーザー別のアクティビティに集中できることを意味します。
  • 強力なロールベースのアクセス制御 (RBAC) は、フォレンジック クリップを設定および確認する機能が厳密に制御され、適切なアクセス許可を持つorganizationの個人のみが使用できるということです。
  • 現在のインサイダー リスク管理機能との緊密な統合により、内部リスク管理管理者のオンボードが容易になり、より使い慣れたワークフローと信頼できる単一プラットフォーム アプローチが可能になります。
  • キャプチャされたクリップの試用版容量 (最大 20 GB)。容量使用率にすばやくアクセスでき、追加の容量を購入できます。

デバイスと構成の要件

次の表には、インサイダー リスク管理フォレンジック証拠を利用するためのサポートされている最小要件が含まれています。

サポートされるプラットフォーム

オペレーティング システム SKU プロセッサ
Windows 10 Enterprise 64 ビット (Intel または AMD)
Windows 11 Enterprise 64 ビット (Intel または AMD)

物理デバイス

ハードウェア 最小要件
RAM 8 GB 以上 (クライアントの使用には少なくとも 2 GB を使用できる必要があります)
CPU プロセッサ Intel i5 以上および AMD Ryzen 5 以上
グラフィックス カード DIRECTX 11 以降と互換性があり、WDDM 1.0 以降のドライバー (現在サポートされている統合グラフィックス カードのみ)
ディスク領域 10 GB 以上のディスク ストレージ
ディスプレイ 1920 x 1080 の最小画面解像度

Hyper-V と仮想マシン

ハードウェア 最小要件
RAM 16 GB 以上 (クライアントの使用には少なくとも 2 GB を使用する必要があります)
CPU プロセッサ 最小 8 個の vCPU プロセッサまたは同等のプロセッサ
ディスク領域 10 GB 以上のディスク ストレージ
ディスプレイ 1920 x 1080 の最小画面解像度

重要

最小要件が満たされていない場合、ユーザーは Microsoft Purview クライアントの問題に陥る可能性があり、フォレンジック キャプチャの品質は信頼性が高くない可能性があります。

キャプチャ オプション

イベント、グローバル インジケーター、ポリシー インジケーターのトリガーは、 フォレンジック証拠ポリシーを含むすべてのインサイダー リスク管理ポリシーで重要な役割を果たします。 イベントのトリガーは、ユーザーがインサイダー リスク管理ポリシーの評価対象に持ち込まれるかどうかを判断するユーザー アクションです。 グローバル設定インジケーターは、インサイダー リスク管理によって収集されるアクティビティを決定するために使用されます。 ポリシー インジケーターは、スコープ内ユーザーのリスク スコアを決定するために使用されます。

organizationがフォレンジック証拠を構成する方法に応じて、次の 2 つのキャプチャ オプションがあります。

  • 特定のアクティビティ: このポリシー オプションでは、トリガー イベントによって承認されたユーザーがフォレンジック証拠ポリシーのスコープに入り、ポリシー インジケーターの条件がユーザーに対して検出された場合にのみアクティビティがキャプチャされます。 たとえば、フォレンジック証拠のキャプチャが承認されたユーザーは、フォレンジック証拠ポリシーにスコープ内に取り込まれ、ユーザーは個人のクラウド ストレージ サービスまたはポータブル ストレージ デバイスにデータをコピーします。 キャプチャの範囲は、ユーザーが個人クラウド ストレージ サービスまたはポータブル ストレージ デバイスにデータをコピーしている場合にのみ、構成された時間枠に限定されます。 このオプションのキャプチャは、[アラート] ダッシュボードの [フォレンジック証拠] タブで確認できます。
  • すべてのアクティビティ: このポリシー オプションは、ユーザーによって実行されたすべてのアクティビティをキャプチャします。 たとえば、organizationには、セキュリティ インシデントを引き起こす可能性のある危険なアクティビティに積極的に関与している承認済みユーザーのアクティビティをキャプチャする必要があります。 ポリシー インジケーターがポリシーによって生成されるアラートのしきい値に達していない可能性があり、潜在的に危険なアクティビティが文書化されていない可能性があります。 継続的なキャプチャのヘルプにより、危険な可能性のあるアクティビティが見逃されたり、検出されなかったりするのを防ぐことができます。 このオプションのキャプチャは、ユーザー アクティビティ レポート (プレビュー) ダッシュボードの [フォレンジック証拠] タブで確認できます。

重要

フォレンジック証拠クリップは、キャプチャされてから 120 日後、またはプレビュー期間の終わりのいずれか早い方で削除されます。 フォレンジック証拠クリップは、削除する前にダウンロードまたは転送できます。

ワークフロー

クリップ キャプチャを含むアラートを検出、調査、修復するための全体的なワークフローは、他のインサイダー リスク管理ポリシーと 同じ基本的な手順 に従います。 ただし、organizationで構成されているフォレンジック証拠には、いくつかの注目すべき違いがあります。

  • キャプチャの対象となるユーザーには、明示的なキャプチャ要求と承認が必要です。これは、他のインサイダー リスク管理ポリシーの構成の一部として含まれていない追加のプロセスです。 Insider Risk Management または Insider Risk Management管理者ロール グループに割り当てられたユーザーは、organizationのユーザーがクリップ キャプチャ オプションの対象になる前に、Insider Risk Management Approvers ロール グループに割り当てられたユーザーに要求を送信する必要があります。 たとえば、この要件は、インサイダー リスク管理管理者が、任意のユーザーのキャプチャを有効にする前に、指定された法務担当者または人事担当者から明示的な承認を得る必要がある組織のシナリオをサポートするのに役立ちます。
  • デバイスはオンボードされ、Microsoft Purview クライアントがインストールされている必要があります。フォレンジック証拠が対象ユーザー用にキャプチャされたクリップを収集して保存するには、そのデバイスをMicrosoft Purview コンプライアンス ポータルにオンボードする必要があります。 さらに、各デバイスには Microsoft Purview クライアントがインストールされている必要があります。 これらの前提条件により、オンラインとオフラインの両方のデバイスキャプチャのサポートが可能になります。

始める準備はいいですか。