次の方法で共有


インサイダー リスクの管理の詳細

重要

Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

インサイダー リスク管理ポリシーを開始する前に、organizationのコンプライアンス ニーズに最適なインサイダー リスク管理設定を理解して選択することが重要です。 インサイダー リスク管理設定は、ポリシーの作成時に選択したテンプレートに関係なく、すべてのインサイダー リスク管理ポリシーに適用されます。

注:

インサイダー リスク管理ページの上部にある [設定] を使用して、設定を変更します。

次の表では、各インサイダー リスク管理設定について説明し、設定の詳細を確認するためのリンクを示します。

設定 説明
プライバシー アラートとケースのすべての現在および過去のポリシーの一致に対して、ユーザー名または匿名化されたバージョンのユーザー名を表示するかどうかを選択します。
ポリシー インジケーター 各インサイダー リスク管理ポリシー テンプレートは、特定のトリガーとリスク アクティビティに対応する特定のインジケーターに基づいています。 既定では、すべてのグローバル インジケーターが無効になっています。 インサイダー リスク管理ポリシーを構成するには、1 つ以上のインジケーターを選択する必要があります。 インジケーター レベルの設定は、organizationのリスク イベントの発生回数がリスク スコアにどのように影響するかを制御するのに役立ちます。
検出グループ さまざまなユーザー セットの検出を調整する場合は、[ 検出グループ ] 設定を使用して、組み込みのインジケーターのバリエーションを作成します。 検出グループを作成すると、誤検知を減らすことができます。
[グローバル除外] [グローバル除外] 設定を使用して、インサイダー リスク管理ポリシーによってスコア付けされないグローバル除外を指定します。
ポリシー期間 [ポリシー期間] 設定を使用すると、インサイダー リスク管理ポリシー テンプレートのイベントとアクティビティに基づいて、ポリシーの一致後にトリガーされる過去と将来のレビュー期間を定義できます。
インテリジェントな検出 [インテリジェント検出] 設定を使用して、異常なダウンロード アクティビティのスコアを向上させ、アラートの量を制御し、Microsoft Defender for Endpointアラートをインポートおよびフィルター処理し、リスク スコアリング用に許可されていないドメインとサードパーティドメインを指定します。
アラートをエクスポートする インサイダー リスク管理アラート情報は、Office 365 Management Activity API スキーマを使用して、セキュリティ情報とイベント管理 (SIEM) ソリューションとセキュリティ オーケストレーション自動応答 (SOAR) ソリューションにエクスポートできます。 Office 365管理アクティビティ API を使用して、organizationがインサイダー リスク情報の管理または集計に使用する可能性がある他のアプリケーションにアラート情報をエクスポートできます。
データの共有 [データ共有] 設定を使用して、1) Office 365管理アクティビティ API スキーマを使用して内部リスク管理アラート情報を SIEM ソリューションにエクスポートします。2) Microsoft Defenderおよび DLP アラートを使用してインサイダー リスク管理のユーザー リスク レベルを共有します。
優先度の高いユーザー グループ organizationのユーザーの位置、機密情報へのアクセスのレベル、またはリスク履歴に応じて、異なるレベルのリスクが発生する可能性があります。 これらのユーザーのアクティビティの調査とスコア付けを優先すると、organizationにより高い結果をもたらす可能性がある潜在的なリスクに対するアラートを生成するのに役立ちます。 [優先度ユーザー グループ] 設定を使用して、詳細な検査とより機密性の高いリスク スコアリングを必要とするユーザーをorganizationで定義します。
物理資産の優先順位 (プレビュー) 優先度の高い物理資産へのアクセスを識別し、アクセス アクティビティをユーザー イベントに関連付けるのは、コンプライアンス インフラストラクチャの重要なコンポーネントです。 これらの物理資産は、会社の建物、データ センター、サーバー ルームなど、organization内の優先順位の場所を表します。 インサイダー リスク アクティビティは、通常とは異なる時間に作業するユーザー、これらの未承認の機密領域またはセキュリティで保護された領域へのアクセス、正当なニーズのない高レベルエリアへのアクセス要求に関連付けられている可能性があります。
Power Automate フロー (プレビュー) Microsoft Power Automate は、アプリケーションとサービス間でアクションを自動化するワークフロー サービスです。 テンプレートからのフローを使用するか、手動で作成することで、これらのアプリケーションとサービスに関連付けられている一般的なタスクを自動化できます。 インサイダー リスク管理の Power Automate フローを有効にすると、ケースとユーザーの重要なタスクを自動化できます。 Power Automate フローを構成して、ユーザー、アラート、ケースの情報を取得し、この情報を利害関係者や他のアプリケーションと共有したり、ケース ノートへの投稿などのインサイダー リスク管理でのアクションを自動化したりできます。 Power Automate フローは、ポリシーのスコープ内のケースと任意のユーザーに適用されます。
Microsoft Teams (プレビュー) コンプライアンス アナリストと調査担当者が Teams を使用してインサイダー リスク管理ケースで共同作業できるように、Microsoft Teamsサポートを有効にすることができます。 Teams を使用して次の手順を実行します。
- プライベート Teams チャネルのケースの対応アクティビティを調整および確認する
- 個々のケースに関連するファイルと証拠を安全に共有して保存する
- アナリストや調査担当者による対応アクティビティを検出して確認する
分析 Insider リスク分析では、インサイダー リスク ポリシーを構成することなく、組織内の潜在的なインサイダー リスクの評価を行うことができます。 この評価は、組織が高いユーザー リスクの潜在的領域を特定し、構成することを考えるべきインサイダー リスク マネジメント ポリシーの種類と範囲を特定するのに役立ちます。
管理通知 管理通知設定を使用して、選択可能なインサイダー リスク管理役割グループに電子メール通知を自動的に送信します。 次の操作を行うことができます:
- 新しいポリシーに対して最初のアラートが生成されたときに通知メールを送信する
- 新しい重大度の高いアラートが生成されたときに、毎日の電子メールを送信する
- 警告が未解決のポリシーをまとめた週単位のメールを送信する
インライン アラートのカスタマイズ インライン アラートのカスタマイズを使用すると、アラートを確認しながら 、アラート ダッシュボード から直接インサイダー リスク管理ポリシーをすばやく調整できます。 リスク管理アクティビティが関連ポリシーで構成されたしきい値を満たしている場合、アラートが生成されます。 この種類のアクティビティから取得するアラートの数を減らすには、しきい値を変更するか、ポリシーからリスク管理アクティビティを完全に削除します。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。