インサイダー リスク管理でインテリジェント検出を構成する

重要

Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

Microsoft Purview インサイダー リスク管理の [インテリジェント検出] 設定を使用して、グローバル除外を設定できます。 たとえば、特定のファイルの種類やドメインをリスクのスコア付けから除外できます。 [インテリジェント検出] 設定を使用して、アラートの量を調整したり、アラートMicrosoft Defender for Endpointインポートしたりすることもできます。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

電子メール署名の添付ファイルを無視する (プレビュー)

インサイダー リスク管理ポリシーの "ノイズ" のメインソースの 1 つは、電子メール署名の画像であり、多くの場合、電子メールの添付ファイルとして検出されます。 これにより、ユーザーが電子メールを介して機密ファイルを送信する可能性がある誤検知につながる可能性があります。 [organization以外の受信者に添付ファイルを送信する] インジケーターが選択されている場合、添付ファイルの唯一のものは電子メール署名であっても、organizationの外部に送信された他の電子メールの添付ファイルと同様に、添付ファイルがスコア付けされます。 [電子メール署名の添付ファイルを無視する] 設定をオンにすると、この状況で 電子メール署名の添付ファイルの スコア付けを除外できます。

この設定をオンにすると、電子メール署名の添付ファイルからのノイズが大幅に排除されますが、すべてのノイズが完全に除去されるわけではありません。 これは、 電子メール送信者 の電子メール署名の添付ファイル (電子メールを開始したユーザーまたは電子メールへの返信者) のみがスコアリングから除外されるためです。 To、CC、または BCC 行のすべてのユーザーの署名添付ファイルは引き続きスコア付けされます。 また、誰かがメール署名を変更した場合は、新しい署名をプロファイリングする必要があります。これにより、短時間アラート ノイズが発生する可能性があります。

注:

既定では、[ 電子メール署名の添付ファイルを無視する ] 設定はオフになっています。

ファイル アクティビティの検出

すべてのインサイダー リスク管理ポリシーの一致から特定のファイルの種類を除外するには、ファイルの種類の拡張子をコンマで区切って入力します。 たとえば、ポリシーの一致から特定の種類の音楽ファイルを除外するには、[ファイルの種類の除外] フィールドに「aac,mp3,wav,wma」と入力します。 これらの拡張子を持つファイルは、すべてのインサイダー リスク管理ポリシーによって無視されます。

アラート ボリューム

インサイダー リスク ポリシーによって検出される可能性のある危険なアクティビティには、特定のリスク スコアが割り当てられ、アラートの重大度 (低、中、高) が決定されます。 既定では、インサイダー リスク管理では、一定量の低、中、高の重大度のアラートが生成されますが、ニーズに合わせてボリュームを増減できます。

すべてのインサイダー リスク管理ポリシーのアラートの量を調整するには、次のいずれかの設定を選択します。

• アラートの数が少ない: 重大度の高いアラートがすべて表示され、重大度が中程度のアラートが少なくなり、重大度の低いアラートは表示されません。 この設定レベルを選択すると、真陽性が見逃される可能性があります。
• 既定のボリューム: 重大度の高いアラートと、中程度の重大度と重大度の低いアラートのバランスの取れた量が表示されます。
• その他のアラート: すべての中重大度アラートと重大度の高いアラートと最も低い重大度のアラートが表示されます。 この設定レベルでは、誤検知が増える可能性があります。

アラートの状態をMicrosoft Defender for Endpointする

重要

セキュリティ違反アラートをインポートするには、organizationでMicrosoft Defender for Endpointを構成し、Defender Security Center でインサイダー リスク管理統合のために Defender for Endpoint を有効にする必要があります。 インサイダー リスク管理統合のために Microsoft Defender for Endpoint を構成する方法の詳細については、「Microsoft Defender for Endpoint で高度な機能を構成する」を参照してください。

Microsoft Defender for Endpointは、エンタープライズ ネットワークが高度な脅威を防止、検出、調査、対応できるように設計されたエンタープライズ エンドポイント セキュリティ プラットフォームです。 organizationでのセキュリティ違反の可視性を高めるために、内部リスク管理セキュリティ違反ポリシー テンプレートから作成されたポリシーで使用されるアクティビティについて Defender for Endpoint アラートをインポートしてフィルター処理できます。

関心のあるシグナルの種類に応じて、Defender for Endpoint アラートトリアージの状態に基づいて、インサイダー リスク管理にアラートをインポートすることができます。 インポートするグローバル設定で、次のアラートトリアージの状態を 1 つ以上定義できます。

• 不明
• 新規
• 処理中
• Resolved

Defender for Endpoint からのアラートは毎日インポートされます。 選択したトリアージの状態によっては、Defender for Endpoint のトリアージ状態の変更と同じアラートに対して複数のユーザー アクティビティが表示される場合があります。

たとえば、この設定で [新規]、[進行中]、[解決済み] を選択した場合、Microsoft Defender for Endpointアラートが生成され、状態が [新規] の場合、内部リスク管理のユーザーに対して初期アラート アクティビティがインポートされます。 Defender for Endpoint トリアージの状態が [進行中] に変わると、このアラートの 2 つ目のアクティビティがインポートされます。 最後の Defender for Endpoint トリアージの状態が [解決済 み] に設定されると、このアラートの 3 番目のアクティビティがインポートされます。 この機能を使用すると、調査担当者は Defender for Endpoint アラートの進行に従い、調査に必要な可視性のレベルを選択できます。

ドメイン

ドメイン設定は、特定のドメインのリスク管理アクティビティのリスク レベルを定義するのに役立ちます。 これらのアクティビティには、ファイルの共有、メール メッセージの送信、コンテンツのダウンロード、コンテンツのアップロードなどがあります。 これらの設定でドメインを指定することで、これらのドメインで行われるリスク管理アクティビティのリスク スコアリングを増減できます。

[ドメインの追加] を使用して、各ドメイン設定のドメインを定義します。 さらに、ワイルドカードを使用して、ルート ドメインまたはサブドメインのバリエーションに一致させることができます。 たとえば、sales.wingtiptoys.com と support.wingtiptoys.com を指定するには、ワイルドカード エントリ '*.wingtiptoys.com' を使用して、これらのサブドメイン (および同じレベルの他のサブドメイン) と一致させます。 ルート ドメインに複数レベルのサブドメインを指定するには、[複数レベルのサブドメインを含める] チェックボックスを選択する必要があります。

次のドメイン設定ごとに、最大 500 個のドメインを入力できます。

• 未承認ドメイン: 未承認ドメインを指定すると、そのドメインで行われるリスク管理アクティビティのリスク スコアが 高 くなります。 たとえば、コンテンツを他のユーザーと共有するアクティビティ (gmail.com アドレスを持つユーザーに電子メールを送信するなど) や、ユーザーが許可されていないドメインからデバイスにコンテンツをダウンロードするアクティビティを指定できます。

• 許可されるドメイン:[許可されたドメイン] で指定されたドメインに関連するリスク管理アクティビティは、ポリシーによって無視され、アラートは生成されません。 これらのアクティビティには、次のものが含まれます。

  • 外部ドメインに送信されるEmail
  • 外部ドメインと共有されているファイル、フォルダー、サイト
  • 外部ドメインにアップロードされたファイル (Microsoft Edge ブラウザーを使用)

  許可されるドメインを指定すると、そのドメインのリスク管理アクティビティは、内部organization アクティビティの処理方法と同様に扱われます。 たとえば、許可されたドメインに追加されたドメインには、organizationの外部のユーザーとコンテンツを共有するアクティビティ (gmail.com アドレスを持つユーザーに電子メールを送信するなど) が含まれる場合があります。

• サード パーティドメイン:organizationがビジネス目的 (クラウド ストレージなど) にサード パーティドメインを使用している場合は、デバイス インジケーターに関連する危険なアクティビティのアラートを受け取ることができるように、これらをここに含めます。ブラウザーを使用してサードパーティのサイトからコンテンツをダウンロードします。

ファイルパスの除外

除外するファイル パスを指定すると、特定のインジケーターにマップされ、それらのファイル パスの場所で発生するユーザー アクティビティはポリシー アラートを生成しません。 たとえば、ファイルをコピーしたり、システム フォルダーやネットワーク共有パスに移動したりします。 除外するファイル パスは最大 500 個まで入力できます。

除外するファイル パスを追加する

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
2. ページの右上隅にある [設定] ボタンを選択します。
3. [Insider Risk Management]\(インサイダー リスク管理\) を選択して、インサイダー リスク管理の設定に移動します。
4. [ Insider risk settings]\(インサイダー リスク設定\) で、[ インテリジェント検出] を選択します。
5. [ ファイル パスの除外 ] セクションで、[ 除外するファイル パスの追加] を選択します。
6. [ ファイル パスの追加] ウィンドウで 、リスク スコアリングから除外する正確なネットワーク共有またはデバイス パスを入力します。

* と *([0-9]) を使用して、除外する特定のワイルドカード フォルダーとサブフォルダーを示すこともできます。 詳細については、次の例を参照してください。

例	説明
\\ms.temp\LocalFolder\ または C:\temp	フォルダーの直下にあるファイルと、入力したプレフィックスで始まるすべてのファイル パスのすべてのサブフォルダーを除外します。
\public\local\	入力した値を含むすべてのファイル パスからファイルを除外します。 'C:\Users\Public\local\'、'C:\Users\User1\Public\local'、および '\\ms.temp\Public\local' と一致します。
C:\Users\*\Desktop	'C:\Users\user1\Desktop' および 'C:\Users\user2\Desktop' と一致します。
C:\Users\*(2)\Desktop	'C:\Users\user1\Desktop' および 'C:\Users\user2\Shared\Desktop' と一致します。

7. [ ファイル パスの追加] を選択します。

コンプライアンス ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用してコンプライアンス ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. [設定][インテリジェント検出] > の順に移動します。
4. [ ファイル パスの除外 ] セクションで、[ 除外するファイル パスの追加] を選択します。
5. [ ファイル パスの追加] ウィンドウで 、リスク スコアリングから除外する正確なネットワーク共有またはデバイス パスを入力します。

* と *([0-9]) を使用して、除外する特定のワイルドカード フォルダーとサブフォルダーを示すこともできます。 詳細については、次の例を参照してください。

例	説明
\\ms.temp\LocalFolder\ または C:\temp	フォルダーの直下にあるファイルと、入力したプレフィックスで始まるすべてのファイル パスのすべてのサブフォルダーを除外します。
\public\local\	入力した値を含むすべてのファイル パスからファイルを除外します。 'C:\Users\Public\local\'、'C:\Users\User1\Public\local'、および '\\ms.temp\Public\local' と一致します。
C:\Users\*\Desktop	'C:\Users\user1\Desktop' および 'C:\Users\user2\Desktop' と一致します。
C:\Users\*(2)\Desktop	'C:\Users\user1\Desktop' および 'C:\Users\user2\Shared\Desktop' と一致します。

6. [ ファイル パスの追加] を選択します。

注:

ファイル パスの除外を削除するには、ファイル パスの除外を選択し、[ 削除] を選択します。

既定のファイル パスの除外

既定では、いくつかのファイル パスがポリシー アラートの生成から自動的に除外されます。 通常、これらのファイル パス内のアクティビティは問題ありません。アクションできないアラートの量が増える可能性があります。 必要に応じて、これらの既定のファイル パスの除外の選択を取り消して、これらの場所でのアクティビティのリスク スコアリングを有効にすることができます。

既定のファイル パスの除外は次のとおりです。

• \Users\*\AppData
• \Users\*\AppData\Local
• \Users\*\AppData\Local\Roaming
• \Users\*\AppData\Local\Local\Temp

これらのパスのワイルドカードは、\Users と \AppData の間のすべてのフォルダー レベルが除外に含まれていることを示します。 たとえば、 C:\Users\Test1\AppData\Local と C:\Users\Test2\AppData\Local、 C:\Users\Test3\AppData\Local (など) のアクティビティはすべて含まれ、 \Users\*\AppData\Local の除外選択の一部としてリスクにスコア付けされません。

機密情報の種類の除外 (プレビュー)

除外された 機密情報の種類 は、エンドポイント、SharePoint、Teams、OneDrive、Exchange のファイル関連アクティビティに関連するインジケーターとトリガーにマップされます。 これらの除外された型は、機密情報以外の種類として扱われます。 このセクションで特定された機密情報の種類がファイルに含まれている場合、ファイルはリスク スコア付けされますが、機密情報の種類に関連するコンテンツに関連するアクティビティとして表示されません。 機密情報の種類の完全な一覧については、「 機密情報の種類のエンティティ定義」を参照してください。

テナントで使用可能なすべての種類 (すぐに使用できる種類とカスタム型) の一覧から除外する機密情報の種類を選択できます。 除外する機密情報の種類は最大 500 個まで選択できます。

注:

機密情報の種類の除外リストは、 優先度のコンテンツ リストよりも優先されます。

機密情報の種類を除外する

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
2. ページの右上隅にある [設定] ボタンを選択します。
3. [Insider Risk Management]\(インサイダー リスク管理\) を選択して、インサイダー リスク管理の設定に移動します。
4. [ Insider risk settings]\(インサイダー リスク設定\) で、[ インテリジェント検出] を選択します。
5. [ 機密情報の種類 ] セクションで、[ 除外する機密情報の種類の追加] を選択します。
6. [ 機密情報の種類の追加または編集 ] ウィンドウで、除外する種類を選択します。
7. [追加] を選択します。

コンプライアンス ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用してコンプライアンス ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. [設定][インテリジェント検出] > の順に移動します。
4. [ 機密情報の種類 ] セクションで、[ 除外する機密情報の種類の追加] を選択します。
5. [ 機密情報の種類の追加または編集 ] ウィンドウで、除外する種類を選択します。
6. [追加] を選択します。

注:

機密情報の種類の除外を削除するには、除外を選択し、[削除] を選択 します。

トレーニング可能な分類子の除外 (プレビュー)

除外された トレーニング可能な分類子は 、SharePoint、Teams、OneDrive、Exchange のファイル関連アクティビティに関連するインジケーターとトリガーにマップされます。 このセクションで識別されたトレーニング可能な分類子がファイルに含まれている場合、ファイルはリスク スコア付けされますが、トレーニング可能な分類子に関連するコンテンツに関連するアクティビティとして表示されません。 事前トレーニング済みの分類子の完全な一覧については、「 トレーニング可能な分類子の定義」を参照してください。

テナントで使用可能なすべての (すぐに使用できる種類とカスタム型) の一覧から除外するトレーニング可能な分類子を選択できます。 インサイダー リスク管理では、脅威、不適切な表現、標的型ハラスメント、攻撃的な言語、差別など、トレーニング可能な分類子が既定で除外されます。 除外するトレーニング可能な分類子は最大 500 個まで選択できます。

注:

必要に応じて、 優先順位コンテンツ リストに含めるトレーニング可能な分類子を選択できます。

トレーニング可能な分類子を除外する

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
2. ページの右上隅にある [設定] ボタンを選択します。
3. [Insider Risk Management]\(インサイダー リスク管理\) を選択して、インサイダー リスク管理の設定に移動します。
4. [ Insider risk settings]\(インサイダー リスク設定\) で、[ インテリジェント検出] を選択します。
5. [ トレーニング可能な分類子 ] セクションで、[ トレーニング可能な分類子を追加して除外する] を選択します。
6. [ トレーニング可能な分類子の追加または編集 ] ウィンドウで、除外する分類子を選択します。
7. [追加] を選択します。

コンプライアンス ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用してコンプライアンス ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. [設定][インテリジェント検出] > の順に移動します。
4. [ トレーニング可能な分類子 ] セクションで、[ トレーニング可能な分類子を追加して除外する] を選択します。
5. [ トレーニング可能な分類子の追加または編集 ] ウィンドウで、除外する分類子を選択します。
6. [追加] を選択します。

注:

トレーニング可能な分類子の除外を削除するには、除外を選択し、[ 削除] を選択します。

サイトの除外

サイト URL の除外を構成して、SharePoint (および Teams チャネル サイトに関連付けられている SharePoint サイト) で発生する可能性のある危険なアクティビティがポリシー アラートを生成しないようにします。 機密性の高くないファイルや、関係者や一般ユーザーと共有できるデータを含むサイトとチャネルを除外することを検討する必要がある場合があります。 除外するサイト URL パスは最大 500 個まで入力できます。

除外するサイト URL パスを追加する

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
2. ページの右上隅にある [設定] ボタンを選択します。
3. [Insider Risk Management]\(インサイダー リスク管理\) を選択して、インサイダー リスク管理の設定に移動します。
4. [ Insider risk settings]\(インサイダー リスク設定\) で、[ インテリジェント検出] を選択します。
5. [ サイト URL の除外 ] セクションで、[ SharePoint サイトの追加または編集] を選択します。
6. [ SharePoint サイトの追加または編集 ] ウィンドウで、リスク スコアリングから除外する SharePoint サイトを入力または検索します。
7. [追加] を選択します。

コンプライアンス ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用してコンプライアンス ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. [設定][インテリジェント検出] > の順に移動します。
4. [ サイト URL の除外 ] セクションで、[ SharePoint サイトの追加または編集] を選択します。
5. [ SharePoint サイトの追加または編集 ] ウィンドウで、リスク スコアリングから除外する SharePoint サイトを入力または検索します。
6. [追加] を選択します。

注:

• 除外するサイト URL パスを編集するには、[SharePoint サイトの追加または編集] ウィンドウから [編集] を選択します。
• サイト URL の除外を削除するには、サイト URL の除外を選択し、[ 削除] を選択します。

キーワードの除外

ファイル名、ファイル パス、または電子メール メッセージの件名行に表示されるキーワードの除外を構成します。 これにより、organizationに対して指定された問題のない用語のフラグが付けられているため、潜在的なアラート頻度を減らす必要がある組織に柔軟性が提供されます。 キーワード (keyword)を含むファイルまたは電子メールの件名に関連するこのようなアクティビティは、インサイダー リスク管理ポリシーによって無視され、アラートは生成されません。 除外するキーワードは最大 500 個まで入力できます。

除外を無視する用語の特定のグループ化を定義するフィールド が含まれていない場合にのみ 、除外を使用します。 たとえば、キーワード (keyword) 'トレーニング' を除外するが、'コンプライアンス トレーニング' を除外しない場合は、[除外] フィールドにフィールドと 'トレーニング' が含まれていない場合にのみ、"コンプライアンス" (または "コンプライアンス トレーニング") と入力します。ただし、フィールドは含まれません。

特定のスタンドアロンの用語のみを除外する場合 は、[が含まれます] フィールド にのみ用語を入力します。

除外するスタンドアロン キーワードを追加する

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
2. ページの右上隅にある [設定] ボタンを選択します。
3. [Insider Risk Management]\(インサイダー リスク管理\) を選択して、インサイダー リスク管理の設定に移動します。
4. [ Insider risk settings]\(インサイダー リスク設定\) で、[ インテリジェント検出] を選択します。
5. [ キーワードの除外 ] セクションで、[ が含まれています ] フィールドにスタンドアロン キーワードを入力します。
6. [保存] を選択して、キーワード (keyword)除外を構成します。

コンプライアンス ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用してコンプライアンス ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. [設定][インテリジェント検出] > の順に移動します。
4. [ キーワードの除外 ] セクションで、[ が含まれています ] フィールドにスタンドアロン キーワードを入力します。
5. [保存] を選択して、キーワード (keyword)除外を構成します。

除外するスタンドアロン キーワード (keyword)を削除するには:

1. [キーワードの除外] セクションで、[が含まれています] フィールドで、特定のスタンドアロン キーワード (keyword)の [X] を選択します。 必要に応じて繰り返して、複数のキーワードを削除します。
2. [保存] を選択します。