インサイダー リスク管理設定の概要

重要

Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 インサイダー リスク管理を使用すると、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシーを設計して構築されたユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するためにロールベースのアクセス制御と監査ログが用意されています。

インサイダー リスク管理設定は、ポリシーの作成時に選択したテンプレートに関係なく、すべてのインサイダー リスク管理ポリシーに適用されます。 設定は、すべてのインサイダー リスク管理ページの上部にある Insider リスク設定 コントロールを使用して構成されます。 これらの設定は、次の領域のポリシー コンポーネントを制御します。

インサイダー リスク管理ポリシーを開始して作成する前に、これらの設定を理解し、組織のコンプライアンス ニーズに最適な設定レベルを選択することが重要です。

ヒント

E5 のお客様でない場合は、Microsoft Purview のすべてのプレミアム機能を無料で試すことができます。 90 日間の Purview ソリューション試用版を使用して、堅牢な Purview 機能が組織がデータのセキュリティとコンプライアンスのニーズを管理するのにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから今すぐ開始します。 サインアップと試用版の条件の詳細について説明します。

プライバシー

ポリシー照合のあるユーザーのプライバシーの保護は重要であり、インサイダー リスクのアラートに関するデータ調査および分析レビューにおける客観性の促進に役立ちます。 インサイダー リスク ポリシーが一致するユーザーの場合は、次のいずれかの設定を選択できます。

  • 匿名化されたバージョンのユーザー名を表示する: 管理者、データ調査担当者、レビュー担当者がポリシー アラートに関連付けられているユーザーを表示できないように、ユーザーの名前は匿名化されます。 たとえば、ユーザーの「Grace Taylor」は、インサイダー リスク管理環境のすべての領域で「AnonIS8-988」のようなランダムな仮名で表示されます。 この設定を選択すると、現在と過去のポリシー照合のあるすべてのユーザーが匿名化され、すべてのポリシーに適用されます。 このオプションを選択すると、インサイダー リスク アラートのユーザー プロファイル情報とケースの詳細は使用できません。 ただし、ユーザー名は、既存のポリシーに新しいユーザーを追加するとき、または新しいポリシーにユーザーを割り当てるときに表示されます。 この設定をオフにした場合、現在または過去のポリシーに一致するすべてのユーザーのユーザー名が表示されます。

    重要

    Microsoft 365 やその他のシステムでインサイダー リスクアラートやケースを持つユーザーの参照整合性を維持するために、エクスポートされたアラートに対してユーザー名の匿名化は保持されません。 エクスポートされたアラートには、各アラートのユーザー名が表示されます。

  • 匿名化されたバージョンのユーザー名を表示しない: アラートとケースのすべての現在および過去のポリシーの一致に対してユーザー名が表示されます。 ユーザー プロファイル情報 (名前、タイトル、エイリアス、組織または部門) は、すべてのインサイダー リスク管理のアラートとケースに対してユーザーに対して表示されます。

インサイダー リスク管理のプライバシー設定。

インジケーター

インサイダー リスク ポリシー テンプレートは、検出して調査するリスク アクティビティの種類を定義します。 各ポリシー テンプレートは、特定のトリガーとリスク アクティビティに対応する特定のインジケーターに基づいています。 すべてのグローバル インジケーターは既定で無効になっており、インサイダー リスク管理ポリシーを構成するには、1 つ以上のインジケーターを選択する必要があります。

シグナルが収集され、ユーザーがインジケーターに関連するアクティビティを実行すると、ポリシーによってアラートがトリガーされます。 インサイダー リスク管理では、さまざまな種類のイベントとインジケーターを使用してシグナルを収集し、アラートを作成します。

  • イベントのトリガー: ユーザーがインサイダー リスク管理ポリシーでアクティブかどうかを判断するイベント。 ユーザーがインサイダー リスク管理ポリシーに追加された場合、トリガー イベントがない場合、ユーザーはポリシーによって潜在的なリスクとして評価されません。 たとえば、ユーザー A は、ユーザー ポリシー テンプレートを離れ、ポリシーと 365 HR コネクタMicrosoft適切に構成することで、データの盗難から作成されたポリシーに追加されます。 ユーザー A が HR コネクタによって終了日を報告するまで、ユーザー A は潜在的なリスクについて、このインサイダー リスク管理ポリシーによって評価されません。 トリガー イベントのもう 1 つの例は、データ リーク ポリシーを使用するときに、ユーザーが重大度の高い DLP ポリシー アラートを持っている場合です。
  • グローバル設定インジケーター: インサイダー リスク管理のグローバル設定で有効になっているインジケーターは、ポリシーの構成に使用できるインジケーターと、インサイダー リスク管理によって収集されるイベント シグナルの種類の両方を定義します。 たとえば、ユーザーが個人のクラウド ストレージ サービスまたはポータブル ストレージ デバイスにデータをコピーし、これらのインジケーターがグローバル設定でのみ選択されている場合、ユーザーのリスクの高いアクティビティはアクティビティ エクスプローラーで確認できます。 ただし、このユーザーがインサイダー リスク管理ポリシーで定義されていない場合、ユーザーはポリシーによって潜在的なリスクとして評価されないため、リスク スコアが割り当てられず、アラートが生成されることはありません。
  • ポリシー インジケーター: 内部リスク管理ポリシーに含まれるインジケーターは、スコープ内ユーザーのリスク スコアを決定するために使用されます。 ポリシー インジケーターは、グローバル設定で定義されているインジケーターから有効になり、ユーザーに対してトリガー イベントが発生した後にのみアクティブ化されます。 ポリシー インジケーターの例としては、ユーザーが個人のクラウド ストレージ サービスまたはポータブル ストレージ デバイスにデータをコピーする場合、ユーザー アカウントが Azure Active Directory から削除された場合、またはユーザーが内部ファイルとフォルダーを未承認の外部関係者と共有している場合などがあります。

特定のポリシー インジケーターとシーケンスは、特定のポリシー テンプレートのトリガー イベントをカスタマイズするためにも使用できます。 一 般的なデータ リーク または 優先ユーザーによるデータ リーク テンプレートのポリシー ウィザードで構成されている場合、これらのインジケーターまたはシーケンスを使用すると、ポリシーの柔軟性とカスタマイズが向上し、ユーザーがポリシーのスコープ内にある場合に使用できます。 また、これらのトリガー インジケーターに対してリスク管理アクティビティのしきい値を定義して、ポリシーのより細かい制御を行うこともできます。

ポリシー インジケーターは、次の領域に分割されます。 インサイダー リスク ポリシーを作成するときに、各インジケーター レベルのインジケーター イベント制限をアクティブ化およびカスタマイズするインジケーターを選択できます。

  • Office インジケーター: SharePoint サイト、Microsoft Teams、電子メール メッセージングのポリシー インジケーターが含まれます。
  • デバイス インジケーター: これには、ネットワーク経由やデバイスでのファイルの共有などのアクティビティのポリシー インジケーターが含まれます。 インジケーターには、実行可能ファイル (.exe) とダイナミック リンク ライブラリ (.dll) ファイル アクティビティを除く、すべてのファイルの種類に関連するアクティビティが含まれます。 [デバイス インジケーター] を選択すると、Windows 10ビルド 1809 以上のデバイスと macOS (3 つの最新リリースバージョン) デバイスのアクティビティが処理されます。 Windows デバイスと macOS デバイスの両方で、まずデバイスをコンプライアンス ポータルにオンボードする必要があります。 デバイス インジケーターには、組織が、Microsoft Edge と Google Chrome で表示、コピー、共有、または印刷された実行可能でないファイルの流出信号を検出して処理するのに役立つブラウザー信号検出も含まれます。 インサイダー リスクとの統合のために Windows デバイスを構成する方法の詳細については、この記事の「 デバイス インジケーターを有効にして Windows デバイスをオンボードする 」セクションを参照してください。 インサイダー リスクとの統合のために macOS デバイスを構成する方法の詳細については、この記事の「デバイス インジケーターを有効にして macOS デバイスをオンボードする」セクションを参照してください。 ブラウザー信号検出の詳細については、「 インサイダー リスク管理ブラウザーシグナル検出の詳細と構成」を参照してください。
  • Microsoft Defender for Endpointインジケーター (プレビュー): これには、承認されていないソフトウェアのインストールや悪意のあるソフトウェアのインストールやセキュリティ制御のバイパスに関連するMicrosoft Defender for Endpointからのインジケーターが含まれます。 インサイダー リスク管理でアラートを受信するには、アクティブな Defender for Endpoint ライセンスとインサイダー リスク統合が有効になっている必要があります。 インサイダー リスク管理統合用に Defender for Endpoint を構成する方法の詳細については、「Microsoft Defender for Endpointの高度な機能を構成する」を参照してください。
  • 正常性レコード アクセス インジケーター: これには、患者の医療記録へのアクセスに関するポリシー インジケーターが含まれます。 たとえば、電子カルテ (EMR) システム ログ内の患者の医療記録へのアクセスを試みた場合は、インサイダー リスク管理医療ポリシーと共有できます。 インサイダー リスク管理でこれらの種類のアラートを受信するには、医療固有のデータ コネクタと HR データ コネクタが構成されている必要があります。
  • 物理アクセス インジケーター: これには、機密性の高い資産への物理的なアクセスに関するポリシー インジケーターが含まれます。 たとえば、物理的な不正なシステム ログ内の制限された領域へのアクセスを試みた場合、インサイダー リスク管理ポリシーと共有できます。 インサイダー リスク管理でこれらの種類のアラートを受信するには、インサイダー リスク管理で有効になっている優先順位の物理資産と、 物理バッジ データ コネクタが 構成されている必要があります。 物理アクセスの構成の詳細については、この記事の 「優先物理アクセス」セクション を参照してください。
  • Microsoft Defender for Cloud Appsインジケーター: これには、Defender for Cloud Apps からの共有アラートからのポリシー インジケーターが含まれます。 Defender for Cloud Apps で異常検出を自動的に有効にすると、すぐに結果の検出と照合が開始され、ユーザーとネットワークに接続されているマシンとデバイス全体で多数の動作異常が対象になります。 これらのアクティビティをインサイダー リスク管理ポリシー アラートに含める場合は、このセクションで 1 つ以上のインジケーターを選択します。 Defender for Cloud Apps の分析と異常検出の詳細については、「 行動分析と異常検出を取得する」を参照してください。
  • 危険な閲覧インジケーター (プレビュー): これには、悪意のある、または危険と見なされ、セキュリティまたはコンプライアンス インシデントにつながる可能性のあるインサイダー リスクを引き起こす可能性がある Web サイトに関連するユーザー閲覧アクティビティのポリシー インジケーターが含まれます。 危険な閲覧アクティビティとは、マルウェア、ポルノ、暴力、その他の許可されていないアクティビティに関連する Web サイトなど、危険な可能性のある Web サイトにアクセスするユーザーを指します。 これらのリスク管理アクティビティをポリシー アラートに含める場合は、このセクションで 1 つ以上のインジケーターを選択します。 ブラウザー流出シグナルの構成については、「 Insider リスク管理ブラウザーシグナル検出」を参照してください。
  • 累積流出検出 (プレビュー): これには、ユーザーの流出アクティビティが組織またはピア グループの規範を超えたときの累積流出検出の分析が含まれます。 ユーザーが組織外のデータを一般的なユーザーよりも高い割合で共有または電子メールで送信する場合、インサイダー リスク管理ポリシーを有効にして、組織の規範やユーザーのピア グループ内の他のユーザーと比較して流出の異常を検出できます。 たとえば、ユーザーが営業ロールを持ち、組織外の顧客やパートナーと定期的に通信する場合、外部の電子メール アクティビティは組織の平均よりもはるかに高くなる可能性があります。 ただし、ユーザーのアクティビティは、ユーザーのチームメイトや同様の役職を持つ他のユーザーと比較して珍しいものではありません。

    注:

    ピア グループは、組織の階層、共有 SharePoint リソースへのアクセス、Azure AD のジョブ タイトルに基づいて定義されます。 累積流出検出を有効にした場合、組織は、組織の階層や役職など、コンプライアンス ポータルと Azure AD データを共有することに同意しています。 組織が Azure AD を使用してこの情報を維持していない場合、検出の精度が低下する可能性があります。

  • リスク スコア ブースター: これには、次の理由でアクティビティのリスク スコアを上げることが含まれます。
    • その日のユーザーの通常のアクティビティを上回るアクティビティ: 検出されたアクティビティがユーザーの一般的な動作から逸脱するとスコアがブーストされます。
    • ユーザーが以前のケースをポリシー違反として解決しました:スコアは、ポリシー違反として解決された Insider リスク管理の以前のケースを持つユーザーでブーストされます。
    • ユーザーが優先度ユーザー グループのメンバーである: ユーザーが優先度ユーザー グループのメンバーである場合、スコアがブーストされます。
    • ユーザーが潜在的な影響の大きいユーザーとして検出される: これを有効にすると、ユーザーは次の条件に基づいて、影響の大きい可能性のあるユーザーとして自動的にフラグが設定されます。
      • ユーザーは、組織内の他のユーザーと比較して、より機密性の高いコンテンツと対話します
      • 組織の Azure AD 階層でのユーザーのレベル
      • Azure AD 階層に基づいてユーザーにレポートするユーザーの合計数
      • ユーザーは、管理者特権のアクセス許可を持つ Azure AD 組み込みロールのメンバーです

      注:

      潜在的な影響の大きいユーザー リスク スコア ブースターを有効にすると、Azure AD データをコンプライアンス ポータルと共有することに同意します。 組織で秘密度ラベルを使用していない場合、または Azure AD で組織階層が構成されていない場合、この検出の精度が低下する可能性があります。 ユーザーが優先度の高いユーザー グループのメンバーとして検出され、影響が大きい可能性があるユーザーの両方として検出された場合、リスク スコアは 1 回だけブーストされます。

場合によっては、組織内のインサイダー リスク ポリシーに適用されるインサイダー リスク ポリシー インジケーターを制限することもできます。 グローバル設定のすべてのインサイダー リスク ポリシーから無効にすることで、特定の領域のポリシー インジケーターをオフにすることができます。 トリガー イベントは、優先ユーザー テンプレートによるデータ リークまたはデータ リークから作成されたポリシーに対してのみ変更できます。 他のすべてのテンプレートから作成されたポリシーには、カスタマイズ可能なトリガー インジケーターやイベントはありません。

すべてのインサイダー リスク ポリシーで有効になっているインサイダー リスク ポリシー インジケーターを定義するには、[Insider risk settingsIndicators](インサイダー リスク設定>インジケーター) に移動し、1 つ以上のポリシー インジケーターを選択します。 ポリシー ウィザードでインサイダー リスク ポリシーを作成または編集するときに、[ インジケーター の設定] ページで選択したインジケーターを個別に構成することはできません。

注:

新しい手動で追加されたユーザーが [ ユーザー] ダッシュボードに表示されるまでに数時間かかる場合があります。 これらのユーザーの過去 90 日間のアクティビティは、表示に最大 24 時間かかる場合があります。 手動で追加したユーザーのアクティビティを表示するには、[ ユーザー] ダッシュボード でユーザーを選択し、詳細ウィンドウの [ ユーザー アクティビティ ] タブを開きます。

デバイス インジケーターを有効にし、Windows デバイスをオンボードする

Windows デバイスでリスク アクティビティの検出を有効にし、これらのアクティビティのポリシー インジケーターを含めるために、Windows デバイスは次の要件を満たす必要があり、次のオンボード手順を完了する必要があります。

手順 1: エンドポイントを準備する

インサイダー リスク管理でレポートを計画しているWindows 10 デバイスが、これらの要件を満たしていることを確認します。

  1. x64 ビルド 1809 以降Windows 10実行している必要があり、2020 年 2 月 20 日からWindows 10更新プログラム (OS ビルド 17763.1075) をインストールしている必要があります。
  2. Windows 10 デバイスへのログインに使用するユーザー アカウントは、アクティブな Azure AD アカウントである必要があります。 Windows 10 デバイスには、Azure AD、Azure AD ハイブリッド、参加済み、または登録があります。
  3. Microsoft Edge ブラウザーをエンドポイント デバイスにインストールして、クラウド アップロード アクティビティのアクションを検出します。 「Chromium ベースの新しい Microsoft Edge をダウンロードする」を参照してください。

手順 2: デバイスのオンボード

デバイスでインサイダー リスク管理アクティビティを検出する前に、デバイスのチェックを有効にし、エンドポイントをオンボードする必要があります。 どちらのアクションも、Microsoft Purview コンプライアンス ポータルで実行されます。

まだオンボードされていないデバイスを有効にする場合は、次に示すように、適切なスクリプトをダウンロードしてデプロイする必要があります。

既にMicrosoft Defender for Endpointにオンボードされているデバイスがある場合は、管理対象デバイスの一覧に既に表示されます。 次のセクションの「手順 3: デバイスをMicrosoft Defender for Endpointにオンボードしている場合」に従います。

この展開シナリオでは、まだオンボードされていないデバイスを有効にし、Windows デバイス上のインサイダー リスク アクティビティを検出するだけです。

  1. Microsoft Purview コンプライアンス ポータル を開きます。

  2. コンプライアンス ポータルの設定ページを開き、[ デバイスのオンボード] を選択します。

    注:

    通常、デバイスのオンボーディングが有効になるまで約60秒かかりますが、Microsoft サポートに連絡するまでに最大 30 分かかります。

  3. [デバイス管理]を選択して、[デバイス]リストを開きます。 デバイスをオンボードするまで、リストは空になります。

  4. オンボーディングプロセスを開始するには、[オンボーディング]を選択します。

  5. [ 展開方法 ] ボックスの一覧から、これらの他のデバイスに展開する方法を選択し、 パッケージをダウンロードします。

  6. Windows マシンのオンボード ツールとメソッド」の適切な手順に従います。 このリンクをクリックすると、手順 5 で選択した導入パッケージと一致する Microsoft Defender for Endpoint の手順にアクセスできるランディング ページが表示されます。

    • グループ ポリシーを利用した Windows マシンの登録
    • Microsoft Endpoint Configuration Manager を使用した Windows 10 マシンのオンボード
    • Mobile Device Management ツールを使用した Windows マシンの登録
    • ローカル スクリプトを使用した Windows マシンの登録
    • 非永続的な仮想デスクトップインフラストラクチャ (VDI) マシンをオンボーディングします。

完了し、エンドポイントがオンボードされると、デバイスの一覧に表示され、エンドポイントは監査アクティビティ ログのインサイダー リスク管理へのレポートを開始します。

注:

これは、ライセンス執行時でのエクスペリエンスです。 必要なライセンスがないと、データは表示されず、アクセスできません。

手順 3: デバイスがMicrosoft Defender for Endpointにオンボードされている場合

Microsoft Defender for Endpointが既にデプロイされており、エンドポイントがレポートされている場合は、これらすべてのエンドポイントがマネージド デバイスの一覧に表示されます。 「手順 2: デバイスのオンボード」セクションを使用して、新しいデバイスをインサイダー リスク管理にオンボードし続けてカバレッジを拡大できます。

  1. Microsoft Purview コンプライアンス ポータル を開きます。
  2. コンプライアンス ポータルの設定ページを開き、[ デバイスの監視を有効にする] を選択します。
  3. [デバイス管理]を選択して、[デバイス]リストを開きます。 既にMicrosoft Defender for Endpointに報告しているデバイスの一覧が表示されます。
  4. さらにデバイス をオンボードする 必要がある場合は、[オンボード] を選択します。
  5. [ 展開方法 ] ボックスの一覧から、これらの他のデバイスに展開する方法を選択し、[ パッケージのダウンロード] を選択します。
  6. Windows マシンのオンボード ツールとメソッド」の適切な手順に従います。 このリンクをクリックすると、手順 5 で選択した導入パッケージと一致する Microsoft Defender for Endpoint の手順にアクセスできるランディング ページが表示されます。
    • グループ ポリシーを利用した Windows マシンの登録
    • Microsoft Endpoint Configuration Manager を使用した Windows 10 マシンのオンボード
    • Mobile Device Management ツールを使用した Windows マシンの登録
    • ローカル スクリプトを使用した Windows マシンの登録
    • 非永続的な仮想デスクトップインフラストラクチャ (VDI) マシンをオンボーディングします。

完了し、エンドポイントがオンボードされたら、[ デバイス] テーブルの下に表示され、エンドポイントは監査アクティビティ ログのインサイダー リスク管理へのレポートを開始します。

注:

これは、ライセンス執行時でのエクスペリエンスです。 必要なライセンスがないと、データは表示されず、アクセスできません。

デバイス インジケーターを有効にし、macOS デバイスをオンボードする

macOS デバイス (Catalina 10.15 以降) を Microsoft 365 にオンボードして、Intuneまたは JAMF Pro を使用してインサイダー リスク管理ポリシーをサポートできます。 詳細と構成のガイダンスについては、「macOS デバイスを Microsoft 365 概要 (プレビュー)にオンボードする」を参照してください。

インジケーター レベルの設定

ポリシー ウィザードを使用してポリシーを作成する場合、1 日のリスク イベント数がインサイダー リスク アラートのリスク スコアにどのように影響するかを構成できます。 これらのインジケーター設定は、組織内のリスク イベントの発生回数がリスク スコアに与える影響を制御し、関連するアラート重大度をこれらのイベントに対して制御するのに役立ちます。 必要に応じて、有効なすべてのインジケーターに対してMicrosoftによって推奨される既定のイベントしきい値レベルを保持することもできます。

たとえば、インサイダー リスク ポリシー設定で SharePoint インジケーターを有効にし、新しいインサイダー リスク データ リーク ポリシーのインジケーターを構成するときに SharePoint イベントのカスタムしきい値を設定することにします。 インサイダー リスク ポリシー ウィザードでは、SharePoint インジケーターごとに 3 つの異なる毎日のイベント レベルを構成して、これらのイベントに関連付けられたアラートのリスク スコアに影響を与えます。

インサイダー リスク管理のカスタム インジケーター設定

最初の 1 日のイベント レベルでは、イベントのリスク スコアへの影響が小さい場合は 1 日あたり 10 以上 、イベントのリスク スコアへの影響が中程度の場合は 1 日あたり 20 以上、イベントのリスク スコアへの影響が高い イベントは 1 日あたり 30 以上 にしきい値を設定します。 これらの設定は、実質的に次を意味します。

  • イベントのトリガー後に発生する SharePoint イベントが 1 ~ 9 個ある場合、リスク スコアは最小限の影響を受け、アラートを生成しない傾向があります。
  • トリガー イベントの後に発生する SharePoint イベントが 10 から 19 個ある場合、リスク スコアは本質的に低く、アラートの重大度レベルは低いレベルになる傾向があります。
  • トリガー後に発生する SharePoint イベントが 20 から 29 個ある場合、リスク スコアは本質的に高くなり、アラートの重大度レベルは中程度になる傾向があります。
  • トリガー後に発生する SharePoint イベントが 30 個以上ある場合、リスク スコアは本質的に高くなり、アラートの重大度レベルは高いレベルになる傾向があります。

ポリシーのしきい値のもう 1 つのオプションは、ポリシートリガー イベントを、一般的な 1 日のユーザー数を超えるリスク管理アクティビティに割り当てることです。 特定のしきい値設定によって定義されるのではなく、スコープ内ポリシー ユーザーに対して検出された異常なアクティビティに対して、各しきい値が動的にカスタマイズされます。 個々のインジケーターで異常なアクティビティのしきい値アクティビティがサポートされている場合は、そのインジケーターのポリシー ウィザードで [ アクティビティがユーザーの通常のアクティビティを超 えています] を選択できます。 このオプションが一覧にない場合、異常なアクティビティトリガーはインジケーターで使用できません。 アクティビティが日のユーザーの通常のアクティビティを上回っている場合は、インジケーターのオプションが表示されますが、選択できない場合は、Insider リスク設定>ポリシー インジケーターでこのオプションを有効にする必要があります。

ポリシー期間

ポリシー期間を使用すると、インサイダー リスク管理ポリシー テンプレートのイベントおよびアクティビティに基づいて、ポリシー照合の後にトリガーされる過去および将来の確認期間を定義できます。 選択したポリシー テンプレートに応じて、次のポリシー期間を使用できます。

  • アクティブ化ウィンドウ: すべてのポリシー テンプレートで使用できます。 [アクティブ化] ウィンドウ は、トリガーイベントの にウィンドウがアクティブ化する定義済みの日数です。 このウィンドウは、ポリシーに割り当てられたすべてのユーザーに対してトリガー イベントが発生した後、1 から 30 日間アクティブになります。 たとえば、インサイダー リスク管理ポリシーを構成し、[ アクティブ化] ウィンドウ を 30 日に設定しました。 ポリシーを構成してから数か月が経過し、ポリシーに含まれるいずれかのユーザーに対してトリガー イベントが発生します。 トリガー イベントは [アクティブ化] ウィンドウ をアクティブ化し、トリガー イベントが発生した後 30 日間、そのユーザーに対してポリシーがアクティブになります。
  • 過去のアクティビティ検出: すべてのポリシー テンプレートで使用できます。 過去のアクティビティ検出 は、トリガーイベント の前に ウィンドウがアクティブ化する定義済みの日数です。 このウィンドウは、ポリシーに割り当てられているすべてのユーザーに対してトリガーイベントが発生する前に、0 から 90 日間アクティブになります。 たとえば、インサイダー リスク管理ポリシーを構成し、[ 過去のアクティビティ検出 ] を 90 日に設定しました。 ポリシーを構成してから数か月が経過し、ポリシーに含まれるいずれかのユーザーに対してトリガー イベントが発生します。 トリガー イベントは 、過去のアクティビティ検出 をアクティブ化し、トリガーイベントの 90 日前にそのユーザーの履歴アクティビティを収集します。

インサイダー リスク管理の時間枠の設定。

インテリジェントな検出

インテリジェント検出設定は、危険なアクティビティの検出をアラートに対して処理する方法を調整するのに役立ちます。 特定の状況では、無視するファイルの種類を定義する必要がある場合や、ユーザーのリスク スコアを向上させるために、毎日のイベントの検出レベルを適用する必要がある場合があります。 これらの設定を使用して、ファイルの種類の除外を制御し、危険な可能性のあるアクティビティのリスク スコアを高め、ファイル ボリュームの制限を制御します。

ファイル アクティビティの検出

すべてのインサイダー リスク管理ポリシーの一致から特定のファイルの種類を除外するには、ファイルの種類の拡張子をコンマで区切って入力します。 たとえば、特定の種類の音楽ファイルをポリシー照合から除外するには、ファイルの種類の除外 フィールドで aac、mp3、wav、wma と入力します。 これらの拡張子を持つファイルは、すべてのインサイダー リスク管理ポリシーによって無視されます。

アラート ボリューム

インサイダー リスク ポリシーによって検出される可能性のある危険なアクティビティには、特定のリスク スコアが割り当てられ、アラートの重大度 (低、中、高) が決定されます。 既定では、特定の量の低、中、高の重大度のアラートが生成されますが、ニーズに合わせてボリュームを増減できます。 すべてのインサイダー リスク管理ポリシーのアラートの量を調整するには、次のいずれかの設定を選択します。

  • アラートの数が少ない: 重大度の高いアラートがすべて表示され、重大度が中程度のアラートが少なくなり、重大度が低いアラートは表示されません。 この設定レベルは、いくつかの真の陽性を見逃す可能性を意味します。
  • 既定のボリューム: すべての重大度の高いアラートと、中程度と低の重大度のアラートのバランスの取れた量が表示されます。
  • その他のアラート: すべての中高の重大度アラートと最も低い重大度のアラートが表示されます。 この設定レベルでは、誤検知が増える可能性があります。

アラートの状態をMicrosoft Defender for Endpointする

Microsoft Defender for Endpointは、エンタープライズ ネットワークが高度な脅威を防止、検出、調査、対応できるように設計されたエンタープライズ エンドポイント セキュリティ プラットフォームです。 組織内のセキュリティ違反の可視性を高めるために、内部リスク管理セキュリティ違反ポリシー テンプレートから作成されたポリシーで使用されるアクティビティについて Defender for Endpoint アラートをインポートしてフィルター処理できます。

関心のあるシグナルの種類に応じて、Defender for Endpoint アラートトリアージの状態に基づいて、インサイダー リスク管理にアラートをインポートできます。 インポートするグローバル設定で、次のアラートトリアージの状態を 1 つ以上定義できます。

  • 不明
  • 新規
  • 処理中
  • Resolved

Defender for Endpoint からのアラートは毎日インポートされます。 選択したトリアージの状態によっては、Defender for Endpoint のトリアージ状態の変更と同じアラートに対して複数のユーザー アクティビティが表示される場合があります。

たとえば、この設定で [新規]、[進行中]、[解決済み] を選択した場合、Microsoft Defender for Endpointアラートが生成され、状態が [新規] の場合、内部リスクのあるユーザーに対して初期アラート アクティビティがインポートされます。 Defender for Endpoint トリアージの状態が [進行中] に変わると、このアラートの 2 つ目のアクティビティがインサイダー リスクのユーザーに対してインポートされます。 最後の Defender for Endpoint トリアージ状態が Resolved に設定されると、このアラートの 3 番目のアクティビティがインサイダー リスクでユーザーにインポートされます。 この機能を使用すると、調査担当者は Defender for Endpoint アラートの進行に従い、調査に必要な可視性のレベルを選択できます。

重要

セキュリティ違反警告をインポートするには、組織に Microsoft Defender for Endpoint を構成し、Defender セキュリティ センターで Microsoft Defender for Endpoint とインサイダー リスク管理統合を有効にする必要があります。 インサイダー リスク管理統合のために Microsoft Defender for Endpoint を構成する方法の詳細については、「Microsoft Defender for Endpoint で高度な機能を構成する」を参照してください。

ドメイン

ドメイン設定は、特定のドメインに対するリスク管理アクティビティのリスク レベルを定義するのに役立ちます。 これらのアクティビティには、ファイルの共有、電子メール メッセージの送信、コンテンツのダウンロード、またはアップロードが含まれます。 これらの設定でドメインを指定することで、これらのドメインで行われるリスク管理アクティビティのリスク スコアリングを増減できます。

[ドメインの追加] を使用して、各ドメイン設定のドメインを定義します。 さらに、ワイルドカードを使用して、ルート ドメインまたはサブドメインのバリエーションを一致させることができます。 たとえば、sales.wingtiptoys.com と support.wingtiptoys.com を指定するには、ワイルドカード エントリ '*.wingtiptoys.com' を使用して、これらのサブドメイン (および同じレベルの他のサブドメイン) と一致させます。 ルート ドメインに複数レベルのサブドメインを指定するには、[ 複数レベルのサブドメインを含める] チェック ボックスをオンにする必要があります。

次のドメイン設定ごとに、最大 500 個のドメインを入力できます。

  • 未承認ドメイン: 未承認のドメインを指定することで、これらのドメインで行われるリスク管理アクティビティのリスク スコアが くなります。 たとえば、コンテンツを他のユーザーと共有するアクティビティ (gmail.com アドレスを持つユーザーにメールを送信するなど) や、ユーザーがこれらの許可されていないドメインの 1 つからデバイスにコンテンツをダウンロードする場合などです。

  • 許可されるドメイン: 許可されたドメインに関連する特定のリスク管理アクティビティは、ポリシーによって無視され、アラートは生成されません。 これらのアクティビティには、次のものが含まれます。

    • 外部ドメインに送信されるEmail
    • 外部ドメインと共有されているファイル、フォルダー、サイト
    • 外部ドメインにアップロードされたファイル (Microsoft Edge ブラウザーを使用)

    設定で許可されるドメインを指定することで、これらのドメインを含むリスク管理アクティビティは、内部組織のアクティビティの処理方法と同様に扱われます。 たとえば、ここで追加されたドメインがアクティビティにマップされている場合、組織外のユーザーとコンテンツを共有する (gmail.com アドレスを持つユーザーに電子メールを送信するなど)。

  • サード パーティドメイン: 組織がビジネス目的 (クラウド ストレージなど) にサード パーティドメインを使用している場合は、デバイス インジケーターに関連する危険な可能性のあるアクティビティに関するアラートを受け取ることができるように、これらをここに含めます。 ブラウザーを使用してサードパーティのサイトからコンテンツをダウンロードします。

機密情報の種類の除外 (プレビュー)

設定で除外される機密情報の種類は、エンドポイント、SharePoint、Teams、OneDrive、Exchange のファイル関連のアクティビティに関連するインジケーターとトリガーにマップされます。 これらの除外された型は、機密情報以外の種類として扱われます。 ここで特定された機密情報の種類を含むファイルの場合、リスク スコアは付けられますが、機密情報の種類に関連するコンテンツに関連するアクティビティとして表示されません。 完全な一覧については、「 機密情報の種類のエンティティ定義」を参照してください。

テナントで使用可能なすべての種類 (すぐに使用できる種類とカスタム型) の一覧から除外する機密情報の種類を選択できます。 除外する機密情報の種類は最大 500 個まで選択できます。

注:

機密情報の種類の除外リストは、 優先度のコンテンツ リストよりも優先されます。

機密情報の種類を除外するには、次の手順を実行します。

  1. コンプライアンス ポータルで、[インサイダー リスク管理>] [設定][インテリジェント検出] > の順に移動します。
  2. [ 機密情報の種類 ] セクションで、[ 除外する機密情報の種類の追加] を選択します。
  3. [ 機密情報の種類の追加または編集 ] ウィンドウで、除外する種類を選択します。
  4. [ 追加] [変更を受け入れる] または [キャンセル] を選択 して変更を破棄します。

機密情報の種類の除外を削除するには、除外と削除を選択 します

トレーニング可能な分類子の除外 (プレビュー)

設定で除外されたトレーニング可能な分類子は、SharePoint、Teams、OneDrive、Exchange のファイル関連のアクティビティに関連するインジケーターとトリガーにマップされます。 ここで識別されたトレーニング可能な分類子を含むファイルの場合、リスク スコアは付けられますが、トレーニング可能な分類子に関連するコンテンツに関連するアクティビティとして表示されません。 詳細については、トレーニング 済みのすべての分類子 の完全な一覧については、「トレーニング可能な分類子の定義」を参照してください。

テナントで使用可能なすべての (すぐに使用できる種類とカスタム型) の一覧から除外するトレーニング可能な分類子を選択できます。 インサイダー リスク管理では、脅威、不適切な表現、標的型ハラスメント、攻撃的な言語、差別など、トレーニング可能な分類子が既定で除外されます。 除外するトレーニング可能な分類子は最大 500 個まで選択できます。

注:

必要に応じて、 優先順位コンテンツ リストに含めるトレーニング可能な分類子を選択できます。

トレーニング可能な分類子を除外するには、次の手順を実行します。

  1. コンプライアンス ポータルで、[インサイダー リスク管理>] [設定][インテリジェント検出] > の順に移動します。
  2. [ トレーニング可能な分類子 ] セクションで、[ トレーニング可能な分類子を追加して除外する] を選択します。
  3. [ トレーニング可能な分類子の追加または編集 ] ウィンドウで、除外する分類子を選択します。
  4. [ 追加] [変更を受け入れる] または [キャンセル] を選択 して変更を破棄します。

トレーニング可能な分類子の除外を削除するには、除外と 削除を選択します。

ファイルパスの除外

除外するファイル パスを定義することで、特定のインジケーターにマップされ、これらのファイル パスの場所で発生するユーザー アクティビティはポリシー アラートを生成しません。 一部の例では、ファイルをシステム フォルダーまたはネットワーク共有パスにコピーまたは移動しています。 除外するファイル パスは最大 500 個まで入力できます。

除外するファイル パスを追加するには、次の手順を実行します。

  1. コンプライアンス ポータルで、[インサイダー リスク管理>] [設定][インテリジェント検出] > の順に移動します。

  2. [ ファイル パスの除外 ] セクションで、[ 除外するファイル パスの追加] を選択します。

  3. [ ファイル パスの追加] ウィンドウで 、リスク スコアリングから除外する正確なネットワーク共有またはデバイス パスを入力します。 * と *([0-9]) を使用して、除外する特定のワイルドカード フォルダーとサブフォルダーを示すこともできます。 詳細については、次の例を参照してください。

    • \\ms.temp\LocalFolder\ または C:\temp: フォルダーの直下にあるファイルと、入力したプレフィックスで始まるすべてのファイル パスのすべてのサブフォルダーを除外します。
    • \public\local\: 入力した値を含むすべてのファイル パスからファイルを除外します。 'C:\Users\Public\local\'、'C:\Users\User1\Public\local'、および '\\ms.temp\Public\local' と一致します。
    • C:\Users\*\Desktop: C:\Users\*\Desktop: ワイルドカードがサポートされています。 'C:\Users\user1\Desktop' および 'C:\Users\user2\Desktop' と一致します。
    • C:\Users\*(2)\Desktop: 数値を含むワイルドカードがサポートされています。 'C:\Users\user1\user1\Desktop' および 'C:\Users\user2\Shared\Desktop' と一致します。
  4. [除外する ファイル パスの追加] を選択してファイル パスの除外を構成するか、[ 閉じる] を選択して変更を破棄します。

ファイル パスの除外を削除するには、ファイル パスの除外を選択し、[削除] を選択 します

既定のファイル パスの除外

既定では、いくつかのファイル パスがポリシー アラートの生成から自動的に除外されます。 通常、これらのファイル パス内のアクティビティは問題ありません。アクションできないアラートの量が増える可能性があります。 必要に応じて、これらの既定のファイル パスの除外の選択を取り消して、これらの場所でのアクティビティのリスク スコアリングを有効にすることができます。

既定のファイル パスの除外は次のとおりです。

  • \Users\*\AppData
  • \Users\*\AppData\Local
  • \Users\*\AppData\Local\Roaming
  • \Users\*\AppData\Local\Local\Temp

これらのパスのワイルドカードは、\Users と \AppData の間のすべてのフォルダー レベルが除外に含まれていることを示します。 たとえば、 C:\Users\Test1\AppData\LocalC:\Users\Test2\AppData\LocalC:\Users\Test3\AppData\Local (など) のアクティビティはすべて含まれ、 \Users\*\AppData\Local の除外選択の一部としてリスクに対してスコア付けされません。

サイトの除外

SharePoint (およびチーム チャネル サイトに関連付けられている SharePoint サイト) で発生する可能性のある危険なアクティビティがポリシー アラートを生成しないように、サイト URL の除外を構成します。 機密性の高くないファイルや、関係者や一般ユーザーと共有できるデータを含むサイトとチャネルを除外することを検討する必要がある場合があります。 除外するサイト URL パスは最大 500 個まで入力できます。

除外するサイト URL パスを追加するには、次の手順を実行します。

  1. コンプライアンス ポータルで、[インサイダー リスク管理>] [設定][インテリジェント検出] > の順に移動します。
  2. [ サイト URL の除外 ] セクションで、[ SharePoint サイトの追加または編集] を選択します。
  3. [ SharePoint サイトの追加または編集 ] ウィンドウで、リスク スコアリングから除外する SharePoint サイトを入力または検索します。 アクセス許可を持っている SharePoint サイトのみが表示されます。
  4. [ 追加] を選択してサイト URL の除外を構成するか 、[キャンセル] を選択 して変更を破棄します。

除外するサイト URL パスを編集するには、次の手順を実行します。

  1. コンプライアンス ポータルで、[インサイダー リスク管理>] [設定][インテリジェント検出] > の順に移動します。
  2. [ サイト URL の除外 ] セクションで、[ SharePoint サイトの追加または編集] を選択します。
  3. [ SharePoint サイトの追加または編集 ] ウィンドウで、リスク スコアリングから除外する SharePoint サイトを入力または検索します。 アクセス許可を持っている SharePoint サイトのみが表示されます。
  4. [ 編集] を 選択してサイト URL の除外を構成するか 、[キャンセル] を選択 して変更を破棄します。

サイト URL の除外を削除するには、サイト URL の除外を選択し、[削除] を選択 します

キーワードの除外

ファイル名、ファイル パス、または電子メール メッセージの件名行に表示されるキーワードの除外を構成します。 これにより、組織に対して指定された問題のない用語のフラグが設定されるため、潜在的なアラート頻度を減らす必要がある組織の柔軟性が得られます。 キーワードを含むファイルまたは電子メールの件名に関連するこのようなアクティビティは、インサイダー リスク管理ポリシーによって無視され、アラートは生成されません。 除外するキーワードは最大 500 個まで入力できます。

除外を無視する用語の特定のグループを定義するフィールドが含まれていない場合にのみ、除外を無視する用語を使用します。たとえば、キーワード 'トレーニング'を除外するが、'コンプライアンス トレーニング' を除外しない場合は、[除外する] フィールドと [トレーニング] フィールドが含まれていない場合にのみ、"コンプライアンス" (または "コンプライアンス トレーニング") と入力します。

特定のスタンドアロンの用語のみを除外する場合 は、[が含まれます] フィールド にのみ用語を入力します。

除外するスタンドアロン キーワードを追加するには、次の手順を実行します。

  1. コンプライアンス ポータルで、[インサイダー リスク管理>] [設定][インテリジェント検出] > の順に移動します。
  2. [ キーワードの除外 ] セクションで、[ が含まれています ] フィールドにスタンドアロン キーワードを入力します。
  3. [ 保存] を 選択して、キーワードの除外を構成します。

除外するスタンドアロン キーワードを削除するには、次の手順を実行します。

  1. コンプライアンス ポータルで、[インサイダー リスク管理>] [設定][インテリジェント検出] > の順に移動します。
  2. [キーワードの除外] セクションで、[が含まれています] フィールドで、特定のスタンドアロン キーワードの X を選択します。 必要に応じて繰り返して、複数のキーワードを削除します。
  3. [ 保存] を 選択して、キーワードの除外を削除します。

アラートをエクスポートする

インサイダー リスク管理アラート情報は、Office 365 Management Activity API スキーマを使用して、セキュリティ情報とイベント管理 (SIEM) ソリューションとセキュリティ オーケストレーション自動応答 (SOAR) ソリューションにエクスポートできます。 Office 365管理アクティビティ API を使用して、組織がインサイダー リスク情報の管理または集計に使用する可能性がある他のアプリケーションにアラート情報をエクスポートできます。 アラート情報はエクスポートされ、Office 365管理アクティビティ API を介して 60 分ごとに使用できます。

組織で Microsoft Sentinel を使用している場合は、すぐに使用できるインサイダー リスク管理データ コネクタを使用して、内部リスク アラート情報を Sentinel にインポートすることもできます。 詳細については、Microsoft Sentinel の記事の「Insider Risk Management (IRM) (プレビュー)」を参照してください。

重要

Microsoft 365 やその他のシステムでインサイダー リスクアラートやケースを持つユーザーの参照整合性を維持するために、エクスポートされたアラートに対してユーザー名の匿名化は保持されません。 エクスポートされたアラートには、各アラートのユーザー名が表示されます。

API を使用してインサイダー リスク アラート情報を確認するには:

  1. Insider リスク管理設定>エクスポート アラートでOffice 365管理>アクティビティ API のサポートを有効にします。 既定では、この設定は、Microsoft 365 組織で無効になっています。
  2. SecurityComplianceAlerts で一般的なOffice 365監査アクティビティをフィルター処理します。
  3. InsiderRiskManagement カテゴリで SecurityComplianceAlerts をフィルター処理します。

インサイダー リスク管理のエクスポート アラート設定。

アラート情報には、セキュリティとコンプライアンスの警告スキーマとOffice 365管理アクティビティ API の共通スキーマからの情報が含まれています。

次のフィールドと値は、セキュリティとコンプライアンスのアラート スキーマに関するインサイダー リスク管理アラート用にエクスポートされます。

Alert パラメーター 説明
AlertType アラートの種類は Custom です
AlertId アラートの GUID。 インサイダー リスク管理アラートは変更可能です。 アラートの状態が変化すると、同じ AlertID を持つ新しいログが生成されます。 この AlertID を使用して、アラートの更新を関連付けることができます。
カテゴリ アラートのカテゴリは InsiderRiskManagement です。 このカテゴリを使用すると、これらのアラートを他のセキュリティおよびコンプライアンス アラートと区別できます。
Comments アラートの既定のコメント。 値は 、新しいアラート (アラートの作成時にログに記録) と アラートの更新 (アラート の更新がある場合にログに記録されます) です。 AlertID を使用して、アラートの更新を関連付けます。
データ アラートのデータには、ユーザーがポリシーにトリガーされたときの一意のユーザー ID、ユーザー プリンシパル名、および日付と時刻 (UTC) が含まれます。
名前 アラートを生成したインサイダー リスク管理ポリシーのポリシー名。
PolicyId アラートをトリガーしたインサイダー リスク管理ポリシーの GUID。
重要度 アラートの重大度。 値は HighMedium、または Low です
ソース アラートのソース。 値はセキュリティ コンプライアンスOffice 365&です。
状態 アラートの状態。 値は アクティブ (インサイダー リスクのニーズ レビュー )、 調査 (インサイダー リスクで確認)解決済み (インサイダー リスクで解決)却下 (インサイダー リスクで却下) です。
バージョン セキュリティとコンプライアンスの警告スキーマのバージョン。

次のフィールドと値は、Office 365 Management Activity API の共通スキーマに関するインサイダー リスク管理アラート用にエクスポートされます。

  • UserId
  • Id
  • RecordType
  • CreationTime
  • Operation
  • OrganizationId
  • UserType
  • UserKey

優先度の高いユーザー グループ

組織内のユーザーは、自分の位置、機密情報へのアクセスレベル、またはリスク履歴に応じて、異なるレベルのリスクを持つ場合があります。 これらのユーザーのアクティビティの調査とスコア付けを優先すると、組織にとってより高い結果をもたらす可能性がある潜在的なリスクに対するアラートを生成するのに役立ちます。 インサイダー リスク管理の優先ユーザー グループは、詳細な検査とより機密性の高いリスク スコアリングを必要とする組織内のユーザーを定義するのに役立ちます。 優先度の高い ユーザーによるセキュリティ ポリシー違反と、優先度の 高いユーザー ポリシー テンプレート によるデータ リーク と組み合わせて、優先度の高いユーザー グループに追加されたユーザーは、インサイダー リスク アラートと重大度レベルの高いアラートの可能性が高くなります。

インサイダー リスク管理の優先度ユーザー グループ設定

すべてのアナリストや調査担当者がレビューを受け入れるのではなく、優先ユーザー グループがレビュー アクティビティを特定のユーザーまたはインサイダー リスク ロール グループに制限する必要がある場合もあります。 個々のユーザーと役割グループを割り当てて、優先度の高い各ユーザー グループのユーザー、アラート、ケース、レポートを確認できます。 優先度ユーザー グループには、組み込みの Insider Risk ManagementInsider Risk Management アナリスト、Insider Risk Management 調査担当者 ロール グループ、これらのロール グループの 1 つ以上、またはユーザーのカスタム選択に割り当てられたレビューアクセス許可を持つことができます。

たとえば、ユーザーが機密情報にアクセスできる機密性の高いプロジェクトのデータ 漏洩から保護する必要があります。 このプロジェクトで作業する組織内のユーザーに対して 、機密プロジェクトユーザーの優先度 ユーザー グループを作成することを選択します。 また、この優先度のユーザー グループには、既定のすべてのインサイダー リスク管理管理者、アナリスト、調査担当者に対して、グループに関連付けられたユーザー、アラート、ケース、レポートを表示しないようにする必要があります。 [設定] で、機密プロジェクト ユーザー優先度ユーザー グループを作成し、グループに関連するデータを表示できるレビュー担当者として 2 人のユーザーを割り当てます。 ポリシー ウィザードと 優先度ユーザー別のデータ リーク ポリシー テンプレートを使用して、新しいポリシーを作成し、 機密プロジェクト ユーザー の優先度ユーザー グループをポリシーに割り当てます。 機密プロジェクト ユーザー優先ユーザー グループのメンバーに対してポリシーによって調査されたアクティビティはリスクに対してより敏感であり、これらのユーザーによるアクティビティはアラートを生成する可能性が高く、重大度レベルが高いアラートを持つ可能性が高くなります。

優先度の高いユーザー グループを作成する

新しい優先度のユーザー グループを作成するには、Microsoft Purview コンプライアンス ポータルの Insider リスク管理ソリューションの設定コントロールを使用します。 (Insider Risk Management または Insider Risk ManagementAdmins ロール グループのメンバーである必要があります)。

次の手順を実行して、優先度の高いユーザー グループを作成します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider risk management]\(インサイダー リスク管理\) に移動し、[Insider risk settings]\(インサイダー リスク設定\) を選択します。
  2. [ 優先度ユーザー グループ ] ページを選択します。
  3. [ 優先度ユーザー グループ ] ページで、[ 優先度の高いユーザー グループの作成 ] を選択して、グループ作成ウィザードを開始します。
  4. [ 名前と説明 ] ページで、次のフィールドに入力します。
    • 名前 (必須): 優先度のユーザー グループのフレンドリ名を入力します。 ウィザードを完了した後は、優先度の高いユーザー グループの名前を変更することはできません。
    • 説明 (省略可能): 優先度のユーザー グループの説明を入力します。
  5. [次へ] を選んで続行します。
  6. [ メンバーの選択 ] ページで、[ メンバーの選択 ] を選択して検索し、グループに含めるメールが有効なユーザー アカウントを選択するか、[ すべて選択 ] チェック ボックスをオンにして組織内のすべてのユーザーをグループに追加します。 [ 追加] を選択して続行するか 、[キャンセル] を選択 してグループにユーザーを追加せずに閉じます。
  7. [次へ] を選んで続行します。
  8. [ このグループを表示できるユーザーの選択] ページで、優先ユーザー グループのユーザー、アラート、ケース、レポートを確認できるユーザーを定義する必要があります。 少なくとも 1 つのユーザーまたはインサイダー リスク管理ロール グループを割り当てる必要があります。 [ ユーザーとロール グループの選択 ] を選択し、優先度の高いユーザー グループに割り当てるユーザーまたはインサイダー リスク管理ロール グループを選択します。 [ 追加] を 選択して、選択したユーザーまたは役割グループをグループに割り当てます。
  9. [次へ] を選んで続行します。
  10. [ レビュー ] ページで、優先ユーザー グループに対して選択した設定を確認します。 [編集] リンクを選択してグループの値を変更するか、[送信] を選択して優先度のユーザー グループを作成してアクティブ化します。
  11. 確認ページで、[ 完了 ] を選択してウィザードを終了します。

優先度の高いユーザー グループを更新する

既存の優先度ユーザー グループを更新するには、Microsoft Purview コンプライアンス ポータルの Insider リスク管理ソリューションで設定コントロールを使用します。 (Insider Risk Management または Insider Risk ManagementAdmins ロール グループのメンバーである必要があります)。

優先度の高いユーザー グループを編集するには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider risk management]\(インサイダー リスク管理\) に移動し、[Insider risk settings]\(インサイダー リスク設定\) を選択します。
  2. [ 優先度ユーザー グループ ] ページを選択します。
  3. 編集する優先度のユーザー グループを選択し、[ グループの編集] を選択します。
  4. [ 名前と説明 ] ページで、必要に応じて [説明] フィールドを更新します。 優先度ユーザー グループの名前を更新することはできません。 [次へ] を選んで続行します。
  5. [ メンバーの選択] ページで、[メンバーの選択] コントロールを使用して新しい メンバー をグループに追加します。 グループからユーザーを削除するには、削除するユーザーの横にある [X] を選択します。 [次へ] を選んで続行します。
  6. [ このグループを表示できるユーザーの選択] ページで、優先ユーザー グループのユーザー、アラート、ケース、レポートを確認できるユーザーまたは役割グループを追加または削除します。
  7. [次へ] を選んで続行します。
  8. [ レビュー ] ページで、優先ユーザー グループに対して選択した更新設定を確認します。 [ 編集 ] リンクを選択してグループの値を変更するか、[ 送信] を選択して優先度のユーザー グループを更新します。
  9. 確認ページで、[ 完了 ] を選択してウィザードを終了します。

優先度の高いユーザー グループを削除する

既存の優先度ユーザー グループを削除するには、Microsoft Purview コンプライアンス ポータルの Insider リスク管理ソリューションで設定コントロールを使用します。 (Insider Risk Management または Insider Risk Management管理ロール グループのメンバーである必要があります)。

重要

優先度ユーザー グループを削除すると、割り当てられているアクティブなポリシーから削除されます。 アクティブ なポリシーに割り当てられている優先度のユーザー グループを削除した場合、ポリシーにはスコープ内ユーザーが含まれていないので、実質的にアイドル状態になり、アラートは作成されません。

優先度の高いユーザー グループを削除するには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider risk management]\(インサイダー リスク管理\) に移動し、[Insider risk settings]\(インサイダー リスク設定\) を選択します。
  2. [ 優先度ユーザー グループ ] ページを選択します。
  3. 編集する優先度のユーザー グループを選択し、ダッシュボード メニューから [削除 ] を選択します。
  4. [ 削除 ] ダイアログで、[ はい ] を選択して優先度のユーザー グループを削除するか、[ キャンセル ] を選択してダッシュボードに戻ります。

物理資産の優先順位 (プレビュー)

優先度の高い物理資産へのアクセスを識別し、アクセス アクティビティをユーザー イベントに関連付けるのは、コンプライアンス インフラストラクチャの重要なコンポーネントです。 これらの物理資産は、会社の建物、データ センター、サーバー ルームなど、組織内の優先順位の高い場所を表します。 インサイダー リスク アクティビティは、通常とは異なる時間に作業するユーザー、これらの未承認の機密領域またはセキュリティで保護された領域へのアクセス、正当なニーズのない高レベルエリアへのアクセス要求に関連付けられている可能性があります。

優先度の高い物理資産を有効にし、 物理バッジ データ コネクタを 構成すると、インサイダー リスク管理によって、物理的な制御およびアクセス システムからのシグナルが他のユーザー リスク アクティビティと統合されます。 物理的なアクセス システム間の動作パターンを調べ、これらのアクティビティを他のインサイダー リスク イベントと関連付けることで、インサイダー リスク管理は、コンプライアンス調査担当者やアナリストがアラートに対してより多くの情報に基づいた対応決定を行うのに役立ちます。 優先度の高い物理資産へのアクセスは、優先度以外の資産へのアクセスとは異なる分析情報でスコア付けされ、識別されます。

たとえば、組織には、通常の作業と機密性の高いプロジェクト領域への物理的なアクセスを管理および承認するユーザー向けの不正なシステムがあります。 機密性の高いプロジェクトで作業しているユーザーが複数います。これらのユーザーは、プロジェクトが完了すると、組織の他の領域に戻ります。 機密性の高いプロジェクトが完了に近づくにつれて、プロジェクトの作業が機密のままであり、プロジェクト領域へのアクセスが厳しく制御されていることを確認する必要があります。

Microsoft 365 の物理バッジ データ コネクタを有効にして、物理バッジ システムからアクセス情報をインポートし、インサイダー リスク管理で優先順位の高い物理資産を指定することを選択します。 バッジ システムから情報をインポートし、インサイダー リスク管理で特定された他のリスク アクティビティと物理的なアクセス情報を関連付けることで、プロジェクトのユーザーの 1 人が通常の勤務時間後にプロジェクト オフィスにアクセスしており、また、通常の作業領域から個人用クラウド ストレージ サービスに大量のデータをエクスポートしていることがわかります。 オンライン アクティビティに関連付けられているこの物理的なアクセス アクティビティは、データの盗難の可能性を指し示す場合があり、コンプライアンス調査担当者とアナリストは、このユーザーの状況に応じて適切なアクションを実行できます。

インサイダー リスク管理の優先順位付け物理資産。

優先順位の物理資産を構成する

優先度の高い物理資産を構成するには、物理バッジ コネクタを構成し、Microsoft Purview コンプライアンス ポータルの Insider リスク管理ソリューションで設定コントロールを使用します。 優先度の高い物理資産を構成するには、Insider Risk Management または Insider Risk Management管理ロール グループのメンバーである必要があります。

優先順位の物理資産を構成するには、次の手順を実行します。

  1. インサイダー リスク管理の概要に関する記事のインサイダー リスク管理 の構成手順に従います。 手順 3 で、物理バッジ コネクタを構成していることを確認します。

    重要

    インサイダー リスク管理ポリシーが、出発および終了したユーザーに関連するシグナル データを使用して、物理的な制御およびアクセス プラットフォームからのイベント データと関連付けるためには、Microsoft 365 HR コネクタも構成する必要があります。 Microsoft 365 HR コネクタを有効にせずに物理バッジ コネクタを有効にした場合、インサイダー リスク管理ポリシーは組織内のユーザーの物理的なアクセス アクティビティのイベントのみを処理します。

  2. Microsoft Purview コンプライアンス ポータルで、[Insider risk management]\(インサイダー リスク管理\) に移動し、[Insider risk settings]\(インサイダー リスク設定>\) [物理的な資産の優先順位] を選択します。

  3. [ 物理資産の優先順位 ] ページで、物理バッジ コネクタによってインポートされた資産イベントを検出する物理資産 ID を手動で追加するか、物理バッジ コネクタによってインポートされたすべての物理資産 ID の.csv ファイルをインポートできます。a) 物理資産 ID を手動で追加するには、[ 優先物理資産の追加] を選択し、物理資産 ID を入力します。 [ 追加] を選択します。 他の物理資産 ID を入力し、[ Add priority physical assets]\(優先度の高い物理資産の追加\) を選択して、入力したすべての資産を保存します。 b) .csv ファイルから物理資産 ID の一覧を追加するには、[ 優先物理資産のインポート] を選択します。 エクスプローラー ダイアログで、インポートする CSV ファイルを選択し、[ 開く] を選択します。 CSV ファイルの物理資産 ID が一覧に追加されます。

  4. [設定][ポリシー インジケーター] ページに移動します。

  5. [ ポリシー インジケーター ] ページで、[ 物理アクセス インジケーター ] セクションに移動し、[ 終了後の物理アクセス] または機密資産へのアクセスが失敗した場合のチェック ボックスをオンにします。

  6. [ 保存] を 選択して構成して終了します。

優先度の高い物理資産を削除する

既存の優先度の物理資産を削除するには、Microsoft Purview コンプライアンス ポータルの Insider リスク管理ソリューションで設定コントロールを使用します。 Insider Risk Management または Insider Risk Management Admins ロール グループのメンバーである必要があります。

重要

優先度の物理資産を削除すると、以前に含まれていたアクティブなポリシーによる検査から削除されます。 優先度の物理資産に関連付けられているアクティビティによって生成されたアラートは削除されません。

優先順位の物理資産を削除するには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider risk management]\(インサイダー リスク管理\) に移動し、[Insider risk settings]\(インサイダー リスク設定>\) [物理的な資産の優先順位] を選択します。
  2. [ 物理資産の優先順位 ] ページで、削除する資産を選択します。
  3. アクション メニューの [削除 ] を選択して、資産を削除します。

Power Automate フロー (プレビュー)

Microsoft Power Automate は、アプリケーションとサービス間でアクションを自動化するワークフロー サービスです。 テンプレートからのフローを使用するか、手動で作成することで、これらのアプリケーションとサービスに関連付けられている一般的なタスクを自動化できます。 インサイダー リスク管理の Power Automate フローを有効にすると、ケースとユーザーの重要なタスクを自動化できます。 Power Automate フローを構成して、ユーザー、アラート、ケースの情報を取得し、この情報を利害関係者や他のアプリケーションと共有したり、ケース ノートへの投稿などのインサイダー リスク管理でのアクションを自動化したりできます。 Power Automate フローは、ポリシーのスコープ内のケースと任意のユーザーに適用されます。

インサイダー リスク管理を含む Microsoft 365 サブスクリプションをお持ちのお客様は、推奨されるインサイダー リスク管理 Power Automate テンプレートを使用するために、追加の Power Automate ライセンスは必要ありません。 これらのテンプレートは、組織をサポートし、主要なインサイダー リスク管理シナリオをカバーするようにカスタマイズできます。 これらのテンプレートで Premium Power Automate 機能を使用する場合、Microsoft Purview コネクタを使用してカスタム テンプレートを作成する場合、または Microsoft 365 の他のコンプライアンス領域に Power Automate テンプレートを使用する場合は、さらに Power Automate ライセンスが必要になる場合があります。

次の Power Automate テンプレートは、インサイダー リスク管理ユーザーとケースのプロセス自動化をサポートするためにお客様に提供されます。

  • インサイダー リスク ポリシーに追加されたときにユーザーに通知する: このテンプレートは、内部ポリシー、プライバシー、または規制要件を持つ組織向けであり、ユーザーがインサイダー リスク管理ポリシーの対象になったときに通知する必要があります。 [ ユーザー ] ページでユーザーに対してこのフローを構成して選択すると、ユーザーとそのマネージャーは、ユーザーがインサイダー リスク管理ポリシーに追加されたときに電子メール メッセージを送信します。 このテンプレートでは、SharePoint サイトでホストされている SharePoint リストの更新もサポートされており、日付/時刻やメッセージ受信者などの通知メッセージの詳細を追跡するのに役立ちます。 プライバシー設定でユーザーを匿名化することを選択した場合、このテンプレートから作成されたフローは、ユーザーのプライバシーが維持されるように意図したとおりに機能しません。 このテンプレートを使用した Power Automate フローは、[ ユーザー] ダッシュボードで使用できます。

  • インサイダー リスク ケースのユーザーに関する人事または企業からの情報の要求: ケースに対して行動する場合、インサイダー リスク アナリストや調査担当者は、ケース アクティビティのコンテキストを理解するために、人事やその他の利害関係者と相談する必要があります。 このフローが構成され、ケースに対して選択されると、アナリストと調査担当者は、このフロー用に構成された人事およびビジネス関係者に電子メール メッセージを送信します。 各受信者には、事前に構成済みまたはカスタマイズ可能な応答オプションを含むメッセージが送信されます。 受信者が応答オプションを選択すると、応答はケース ノートとして記録され、受信者と日付/時刻の情報が含まれます。 プライバシー設定でユーザーを匿名化することを選択した場合、このテンプレートから作成されたフローは、ユーザーのプライバシーが維持されるように意図したとおりに機能しません。 このテンプレートを使用した Power Automate フローは 、[ケース] ダッシュボードで使用できます。

  • ユーザーがインサイダー リスク アラートを持っている場合にマネージャーに通知する: 組織によっては、ユーザーがインサイダー リスク管理アラートを持っているときに、すぐに管理通知を受け取る必要がある場合があります。 このフローを構成して選択すると、ケース ユーザーのマネージャーに、すべてのケース アラートに関する次の情報を含む電子メール メッセージが送信されます。

    • アラートに適用されるポリシー
    • アラートの日付/時刻
    • アラートの重大度レベル

    フローは、メッセージが送信されたこと、およびフローがアクティブ化されたことを示すケース ノートを自動的に更新します。 プライバシー設定でユーザーを匿名化することを選択した場合、このテンプレートから作成されたフローは、ユーザーのプライバシーが維持されるように意図したとおりに機能しません。 このテンプレートを使用した Power Automate フローは 、[ケース] ダッシュボードで使用できます。

  • ServiceNow でインサイダー リスク ケースのレコードを作成する: このテンプレートは、ServiceNow ソリューションを使用してインサイダー リスク管理ケースを追跡する組織向けです。 場合によっては、インサイダー リスク アナリストと調査担当者は、ServiceNow でケースのレコードを作成できます。 このテンプレートをカスタマイズして、組織の要件に基づいて ServiceNow で選択したフィールドを設定できます。 このテンプレートを使用した Power Automate フローは 、[ケース] ダッシュボードで使用できます。 使用可能な ServiceNow フィールドの詳細については、 ServiceNow コネクタのリファレンス 記事を参照してください。

インサイダー リスク管理テンプレートから Power Automate フローを作成する

推奨されるインサイダー リスク管理テンプレートから Power Automate フローを作成するには、Microsoft Purview コンプライアンス ポータルの Insider リスク管理ソリューションの設定コントロールを使用するか、[ケース] または [ユーザー] ダッシュボードで直接作業するときの自動化コントロールの [Power Automate フローの管理] オプションを使用します。

設定領域に Power Automate フローを作成するには、 Insider Risk Management または Insider Risk Management Admins ロール グループのメンバーである必要があります。 Power Automate フローの管理オプションを使用して Power Automate フロー を作成するには、少なくとも 1 つのインサイダー リスク管理役割グループのメンバーである必要があります。

推奨されるインサイダー リスク管理テンプレートから Power Automate フローを作成するには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider risk management]\(インサイダー リスク管理\) に移動し、[Insider risk settings]\(インサイダー リスク設定>\) [Power Automate flow]\(フローの自動化\) を選択します。 [Power Automate フローの管理自動化>] を選択して、[ケース] または [ユーザー] ダッシュボード ページからアクセスすることもできます。
  2. [ Power Automate フロー ] ページで、ページの [ Insider リスク管理テンプレート ] セクションから推奨されるテンプレートを選択します。
  3. フローには、フローに必要な埋め込み接続が一覧表示され、接続の状態が使用可能かどうかが確認されます。 必要に応じて、使用可能として表示されない接続を更新します。 [続行] を選択します。
  4. 既定では、推奨されるフローは、推奨されるインサイダー リスク管理で事前に構成され、フローに割り当てられたタスクを完了するために必要な 365 のサービス データ フィールドをMicrosoftします。 必要に応じて、[ 詳細オプションの表示 ] コントロールを使用してフロー コンポーネントをカスタマイズし、フロー コンポーネントで使用可能なプロパティを構成します。
  5. 必要に応じて、[ 新しい ステップ] ボタンを選択して、フローに他のステップを追加します。 ほとんどの場合、これは推奨される既定のテンプレートには必要ありません。
  6. [ 下書きを保存] を 選択してフローをさらに構成するために保存するか、[ 保存 ] を選択してフローの構成を完了します。
  7. [ 閉じる] を選択して、 Power Automate フロー ページに戻ります。 新しいテンプレートは [ マイ フロー ] タブのフローとして一覧表示され、フローを作成するユーザーのインサイダー リスク管理ケースを操作するときに 、[自動] ドロップダウン コントロールから自動的に使用できます。

重要

組織内の他のユーザーがフローにアクセスする必要がある場合は、フローを共有する必要があります。

インサイダー リスク管理用のカスタム Power Automate フローを作成する

組織の一部のプロセスとワークフローは、推奨されるインサイダー リスク管理フロー テンプレートの外部にあり、インサイダー リスク管理領域にカスタム Power Automate フローを作成する必要がある場合があります。 Power Automate フローは柔軟であり、広範なカスタマイズをサポートしますが、インサイダー リスク管理機能と統合するために実行する必要がある手順があります。

インサイダー リスク管理用のカスタム Power Automate テンプレートを作成するには、次の手順を実行します。

  1. Power Automate フロー ライセンスを確認する: インサイダー リスク管理トリガーを使用するカスタマイズされた Power Automate フローを作成するには、Power Automate ライセンスが必要です。 推奨されるインサイダー リスク管理フロー テンプレートは、追加のライセンスを必要とせず、インサイダー リスク管理ライセンスの一部として含まれています。
  2. 自動フローの作成: インサイダー リスク管理イベントによってトリガーされた後に 1 つ以上のタスクを実行するフローを作成します。 自動フローを作成する方法の詳細については、「 Power Automate でフローを作成する」を参照してください。
  3. Microsoft Purview コネクタを選択します。[検索] を選択し、Microsoft Purview コネクタを選択します。 このコネクタにより、インサイダー リスク管理のトリガーとアクションが可能になります。 コネクタの詳細については、コネクタリファレンスの概要に関する記事 を参照 してください。
  4. フローのインサイダー リスク管理トリガーを選択する: Insider リスク管理には、カスタム Power Automate フローで使用できる 2 つのトリガーがあります。
    • 選択したインサイダー リスク管理ケースの場合: このトリガーを含むフローは、[インサイダー リスク管理ケース] ダッシュボード ページから選択できます。
    • 選択したインサイダー リスク管理ユーザーの場合: このトリガーを含むフローは、インサイダー リスク管理の [ユーザー] ダッシュボード ページから選択できます。
  5. フローに対してインサイダー リスク管理アクションを選択する: カスタム フローに含めるインサイダー リスク管理に関するいくつかのアクションから選択できます。
    • インサイダー リスク管理アラートを取得する
    • インサイダー リスク管理ケースを取得する
    • インサイダー リスク管理ユーザーを取得する
    • ケースのインサイダー リスク管理アラートを取得する
    • インサイダー リスク管理ケース ノートを追加する

Power Automate フローを共有する

既定では、ユーザーによって作成された Power Automate フローは、そのユーザーのみが使用できます。 他のインサイダー リスク管理ユーザーがフローにアクセスして使用するには、フロー作成者がフローを共有する必要があります。 フローを共有するには、Microsoft Purview コンプライアンス ポータルの Insider リスク管理ソリューションの設定コントロールを使用するか、[ケース] または [ユーザー] ダッシュボード ページで直接作業するときの自動化コントロールの [Power Automate フローの管理] オプションを使用します。 フローを共有したら、共有されているすべてのユーザーは、[ケース] ダッシュボードと [ユーザー] ダッシュボードの [自動制御] ドロップダウンからフローにアクセスできます。

設定領域で Power Automate フローを共有するには、 Insider Risk Management または Insider Risk Management Admins ロール グループのメンバーである必要があります。 Power Automate フローを [Power Automate フローの管理 ] オプションと共有するには、少なくとも 1 つのインサイダー リスク管理役割グループのメンバーである必要があります。

Power Automate フローを共有するには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider risk management]\(インサイダー リスク管理\) に移動し、[Insider risk settings]\(インサイダー リスク設定>\) [Power Automate flow]\(フローの自動化\) を選択します。 [Power Automate フローの管理自動化>] を選択して、[ケース] または [ユーザー] ダッシュボード ページからアクセスすることもできます。
  2. [ Power Automate フロー] ページで、[ マイ フロー ] タブまたは [ チーム フロー ] タブを選択します。
  3. 共有するフローを選択し、フロー オプション メニューから [共有 ] を選択します。
  4. フロー共有ページで、フローの所有者として追加するユーザーまたはグループの名前を入力します。
  5. [ 接続の使用 ] ダイアログで、[ OK] を選択して 、追加されたユーザーまたはグループがフローへのフル アクセス権を持っていることを確認します。

Power Automate フローを編集する

フローを編集するには、Microsoft Purview コンプライアンス ポータルの Insider リスク管理ソリューションの設定コントロールを使用するか、[ケース] ダッシュボードまたは [ユーザー] ダッシュボードで直接作業する場合は、[自動化] コントロールの [Power Automate フローの管理] オプションを使用します。

設定領域で Power Automate フローを編集するには、 Insider Risk Management または Insider Risk Management Admins ロール グループのメンバーである必要があります。 Power Automate フローの管理オプションを使用して Power Automate フロー を編集するには、少なくとも 1 つのインサイダー リスク管理ロール グループのメンバーである必要があります。

Power Automate フローを編集するには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider risk management]\(インサイダー リスク管理\) に移動し、[Insider risk settings]\(インサイダー リスク設定>\) [Power Automate flow]\(フローの自動化\) を選択します。 [Power Automate フローの管理自動化>] を選択して、[ケース] または [ユーザー] ダッシュボード ページからアクセスすることもできます。
  2. [ Power Automate フロー] ページで、編集するフローを選択し、フロー制御メニューから [編集 ] を選択します。
  3. 省略記号> [設定] を選択してフロー コンポーネントの設定を変更するか、省略記号>[削除] を選択してフロー コンポーネントを削除します。
  4. [ 保存] を 選択し、[ 閉じる] を選択してフローの編集を完了します。

Power Automate フローを削除する

フローを削除するには、Microsoft Purview コンプライアンス ポータルの Insider リスク管理ソリューションの設定コントロールを使用するか、[ケース] ダッシュボードまたは [ユーザー] ダッシュボードで直接作業するときに、自動制御から [Power Automate フローの管理] オプションを使用します。 フローが削除されると、すべてのユーザーのオプションとして削除されます。

設定領域で Power Automate フローを削除するには、 Insider Risk Management または Insider Risk Management Admins ロール グループのメンバーである必要があります。 Power Automate フローの管理オプションを使用して Power Automate フロー を削除するには、少なくとも 1 つのインサイダー リスク管理ロール グループのメンバーである必要があります。

Power Automate フローを削除するには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider risk management]\(インサイダー リスク管理\) に移動し、[Insider risk settings]\(インサイダー リスク設定>\) [Power Automate flow]\(フローの自動化\) を選択します。 [Power Automate フローの管理自動化>] を選択して、[ケース] または [ユーザー] ダッシュボード ページからアクセスすることもできます。
  2. [ Power Automate フロー ] ページで、削除するフローを選択し、フロー制御メニューから [削除 ] を選択します。
  3. 削除確認ダイアログで、[ 削除 ] を選択してフローを削除するか、[ キャンセル ] を選択して削除アクションを終了します。

Microsoft Teams (プレビュー)

コンプライアンス アナリストと調査担当者は、インサイダー リスク管理ケースのコラボレーションにMicrosoft Teams を簡単に使用できます。 チームは、Microsoft Teams の他の関係者と調整し、コミュニケーションを取り、次のことができます。

  • プライベート Teams チャネルのケースの対応アクティビティを調整および確認する
  • 個々のケースに関連するファイルと証拠を安全に共有して保存する
  • アナリストや調査員による対応活動の追跡とレビュー

Microsoft Teams がインサイダー リスク管理に対して有効になった後、アラートが確認され、ケースが作成されるたびに、専用のMicrosoft Teams チームが作成されます。 既定では、チームには、 Insider Risk ManagementInsider Risk Management アナリスト、および Insider Risk Management調査担当者 ロール グループ (最大 100 人の初期ユーザー) のすべてのメンバーが自動的に含まれます。 追加の組織の共同作成者は、作成後、必要に応じてチームに追加される場合があります。 Microsoft Teams を有効にする前に作成された既存のケースの場合、アナリストと調査担当者は、必要に応じてケースで作業するときに、新しいMicrosoft Teams チームを作成することを選択できます。 インサイダー リスク管理で関連するケースを解決すると、チームは自動的にアーカイブされます (非表示と読み取り専用に移動されます)。

Microsoft Teams でチームとチャネルを使用する方法の詳細については、「Microsoft Teams のチームとチャネルの概要」を参照してください。

ケースMicrosoft Teams サポートを有効にすると、すばやく簡単に構成できます。 インサイダー リスク管理Microsoft Teams を有効にするには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider risk management Insider risk settings]\(インサイダー リスク管理>\) [Insider risk settings]\(インサイダー リスク設定\) に移動します。
  2. [Microsoft Teams] ページを選択します。
  3. インサイダー リスク管理Microsoft Teams 統合を有効にします。
  4. [ 保存] を 選択して構成して終了します。

Teams Microsoftインサイダー リスク管理。

既存のケースのMicrosoft Teams チームを作成する

既存のケースを作成した後Microsoft Teams のインサイダー リスク管理のサポートを有効にする場合は、必要に応じて各ケースのチームを手動で作成する必要があります。 インサイダー リスク管理設定Microsoft Teams サポートを有効にすると、新しいケースによって新しいMicrosoft Teams チームが自動的に作成されます。

ユーザーは、ケースからMicrosoft Teams チームを作成するために、組織内Microsoft 365 グループを作成するアクセス許可が必要です。 Microsoft 365 グループのアクセス許可の管理の詳細については、「Microsoft 365 グループを作成できるユーザーを管理する」を参照してください。

ケースのチームを作成するには、既存のケースで直接作業するときに、Microsoft チームの作成コントロールを使用します。 新しいチームを作成するには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider リスク管理>ケース] に移動し、既存のケースを選択します。
  2. ケース アクション メニューで、[Microsoft チームの作成] を選択します。
  3. [チーム名] フィールドに、新しいMicrosoft Teams チームの名前を入力します。
  4. [Microsoft チームの作成] を選択し、[閉じる] を選択します。

インサイダー リスク管理役割グループに割り当てられたユーザーの数によっては、すべての調査担当者とアナリストがケースのMicrosoft Teams チームに追加されるまでに 15 分かかる場合があります。

分析

Insider リスク分析では、インサイダー リスク ポリシーを構成することなく、組織内の潜在的なインサイダー リスクの評価を行うことができます。 この評価は、組織が高いユーザー リスクの潜在的領域を特定し、構成することを考えるべきインサイダー リスク マネジメント ポリシーの種類と範囲を特定するのに役立ちます。 分析スキャンでは、組織に次の利点があります。

  • 構成が簡単: 分析スキャンを開始するには、分析の推奨事項によってプロンプトが表示されたら [スキャンの実行] を選択するか、[Insider risk settings Analytics]\( インサイダー リスク設定>\) [分析 ] に移動して分析を有効にします。
  • 設計によるプライバシー: スキャン結果と分析情報は、集計された匿名化されたユーザー アクティビティとして返されます。個々のユーザー名はレビュー担当者によって識別されません。
  • 統合された分析情報を通じて潜在的なリスクを理解する: スキャン結果は、ユーザーの潜在的なリスク領域を迅速に特定し、これらのリスクを軽減するのに最適なポリシーを特定するのに役立ちます。

Insider Risk Management Analytics ビデオを参照して、分析が潜在的なインサイダー リスクの特定を促進し、迅速にアクションを実行するのに役立つ方法を理解するのに役立ちます。

分析は、リスク管理アクティビティを複数のソースからスキャンして、潜在的なリスク領域に関する分析情報を特定するのに役立ちます。 現在の構成に応じて、分析では、次の領域で適格なリスク アクティビティが検索されます。

  • Microsoft 365 個の監査ログ: すべてのスキャンに含まれています。これは、危険な可能性のあるアクティビティの大部分を特定するための主要なソースです。
  • Exchange Online: すべてのスキャンに含まれるExchange Onlineアクティビティは、添付ファイル内のデータが外部の連絡先またはサービスに電子メールで送信されるアクティビティを特定するのに役立ちます。
  • Azure Active Directory: すべてのスキャンに含まれる Azure AD 履歴は、削除されたユーザー アカウントを持つユーザーに関連付けられている危険なアクティビティを特定するのに役立ちます。
  • Microsoft 365 HR データ コネクタ: 構成されている場合、HR コネクタ イベントは、辞任または今後の終了日を持つユーザーに関連付けられている危険なアクティビティを特定するのに役立ちます。

スキャンからの分析分析情報は、インサイダー リスク管理ポリシーで使用されるのと同じリスク管理アクティビティ シグナルに基づいており、単一ユーザー アクティビティとシーケンス ユーザー アクティビティの両方に基づいて結果を報告します。 ただし、分析のリスク スコアリングは最大 10 日間のアクティビティに基づいていますが、インサイダー リスク ポリシーでは分析情報に毎日のアクティビティが使用されます。 最初に組織で分析を有効にして実行すると、1 日のスキャン結果が表示されます。 分析を有効のままにすると、過去 10 日間のアクティビティの最大範囲について、分析情報レポートに追加された毎日のスキャンの結果が表示されます。

分析を有効にしてスキャンを開始する

インサイダー リスク分析を有効にするには、Insider Risk ManagementInsider Risk Management Admins、または Microsoft 365 グローバル管理者ロール グループのメンバーである必要があります。 インサイダー リスク分析を有効にするには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider risk management]\(インサイダー リスク管理\) に移動します。
  2. [インサイダー リスク管理の概要] タブの [組織のインサイダー リスクのスキャン] カードで [スキャンの実行] を選択します。これにより、組織の分析スキャンが有効になります。 また、[Insider risk settings Analytics]\( インサイダー リスク設定>\) [分析 ] に移動し、[テナントのユーザー アクティビティをスキャンする] を有効にして 、潜在的なインサイダー リスクを特定することで、組織内のスキャンを有効にすることもできます。
  3. [ 分析の詳細 ] ウィンドウで、[ スキャンの実行 ] を選択して、組織のスキャンを開始します。 分析スキャン結果は、分析情報がレポートとして確認できるようになるまで最大 48 時間かかる場合があります。

インサイダー リスク管理の分析設定

分析分析情報の表示と新しいポリシーの作成

組織の最初の分析スキャンが完了すると、 Insider Risk Management Admins ロール グループのメンバーは自動的に電子メール通知を受け取り、ユーザーが危険な可能性のあるアクティビティに関する最初の分析情報と推奨事項を表示できます。 組織の分析をオフにしない限り、毎日のスキャンは続行されます。 管理者へのEmail通知は、組織内のリスクの高い可能性のあるアクティビティの最初のインスタンスの後に、分析 (データ リーク、盗難、流出) の 3 つのスコープ内カテゴリごとに提供されます。 Email通知は、毎日のスキャンに起因するフォローアップ リスク管理アクティビティ検出のために管理者に送信されません。 組織で Insider リスク管理>設定>分析の分析が無効になってから再度有効になっている場合、自動メール通知がリセットされ、Insider Risk Management Admins ロール グループのメンバーに電子メールが送信され、新しいスキャン分析情報が得られます。

組織の潜在的なリスクを表示するには、[概要] タブに移動し、[Insider リスク分析] カードで [結果の表示] を選択します。 組織のスキャンが完了していない場合は、スキャンがまだアクティブであることを示すメッセージが表示されます。

インサイダー リスク管理分析レポートの準備カード

完了した分析については、組織で検出された潜在的なリスクと、これらのリスクに対処するための分析情報と推奨事項が表示されます。 特定されたリスクと特定の分析情報は、領域別にグループ化されたレポート、特定されたリスクを持つユーザーの総数、危険な可能性のあるアクティビティを持つこれらのユーザーの割合、およびこれらのリスクを軽減するために推奨されるインサイダー リスク ポリシーに含まれます。 レポートには次のものが含まれます。

  • データ リークの分析情報: 組織外の情報の偶発的な過剰共有や、悪意のあるユーザーによるデータ リークを含む可能性があるすべてのユーザーに対して。
  • データ盗難の分析情報: 組織外の情報の危険な共有や、悪意のあるユーザーによるデータの盗難を含む可能性がある、削除された Azure AD アカウントを持つユーザーまたはユーザーを離れる場合。
  • 上位の流出分析情報: 組織外でのデータの共有を含む可能性があるすべてのユーザーに対して。

インサイダー リスク管理分析の概要レポート。

分析情報の詳細を表示するには、[ 詳細の表示 ] を選択して、分析情報の詳細ウィンドウを表示します。 詳細ウィンドウには、完全な分析情報の結果、インサイダー リスク ポリシーの推奨事項、および推奨ポリシーの作成に役立つ [ ポリシーの作成 ] ボタンが含まれています。 [ポリシーの作成] を選択すると、ポリシー ウィザードに移動し、分析情報に関連する推奨ポリシー テンプレートが自動的に選択されます。 たとえば、分析分析情報が データ リーク アクティビティの場合、ポリシー ウィザードで データ リーク ポリシー テンプレートが事前に選択されます。

インサイダー リスク管理分析の詳細レポート。

分析をオフにする

インサイダー リスク分析を無効にするには、Insider Risk ManagementInsider Risk Management Admins、または Microsoft 365 グローバル管理者ロール グループのメンバーである必要があります。 分析を無効にした後、分析分析情報レポートは静的であり、新しいリスクに対して更新されません。

インサイダー リスク分析をオフにするには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider risk management]\(インサイダー リスク管理\) に移動します。
  2. [Insider risk settings]\(インサイダー リスク設定\) [分析] > ページを選択します。
  3. [ 分析 ] ページで、[ テナントのユーザー アクティビティのスキャン] をオフにして、潜在的なインサイダー リスクを特定します。

管理通知

管理通知は、選択可能なインサイダー リスク管理役割グループに電子メール通知を自動的に送信します。 通知を有効にし、次のシナリオの通知を受け取る役割グループを割り当てることができます。

  • 新しいポリシーに対して最初のアラートが生成されたときに通知メールを送信します。 ポリシーは 24 時間おきに初めてのアラートに対してチェックされ、ポリシーの後続のアラートでは通知は送信されません。
  • 新しい重大度の高いアラートが生成されたら、毎日のメールを送信します。 ポリシーは、重大度の高いアラートが 24 時間ごとにチェックされます。
  • 未解決の警告があるポリシーをまとめた週単位のメールを送信する

組織のインサイダー リスク管理分析を有効にしている場合、 Insider Risk Management Admins ロール グループのメンバーは、データ 漏洩、盗難、流出アクティビティに関する初期分析分析情報の電子メール通知を自動的に受け取ります。

管理者と分析の通知を無効にする場合は、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider risk management Insider risk settings]\(インサイダー リスク管理>\) [Insider risk settings]\(インサイダー リスク設定\) に移動します。

  2. [管理通知] ページを選択します。

  3. 必要に応じて、次のオプションのチェック ボックスをオフにします。

    • 新しいポリシーに対して最初のアラートが生成されたときに通知メールを送信する
    • Analytics で新しい分析情報を利用できる場合に電子メール通知を送信する
    • Analytics がオフになっているときに電子メール通知を送信する
  4. [ 保存] を 選択して構成して終了します。

インサイダー リスク管理の優先度管理者通知。

インライン アラートのカスタマイズ

インライン アラートのカスタマイズを使用すると、アラートを確認しながら 、アラート ダッシュボード から直接インサイダー リスク管理ポリシーをすばやく調整できます。 リスク管理アクティビティが関連ポリシーで構成されたしきい値を満たしている場合、アラートが生成されます。 この種類のアクティビティから取得するアラートの数を減らすには、しきい値を変更するか、ポリシーからリスク管理アクティビティを完全に削除します。

インライン アラートのカスタマイズを有効にすると、 Insider Risk Management アナリストと Insider Risk Management調査担当者 ロール グループに割り当てられたユーザーがポリシーのしきい値を編集したり、特定のインジケーターを無効にしたりできます。 インライン アラートのカスタマイズが有効になっていない場合は、Insider Risk Management 管理者または Insider Risk Management ロール グループに割り当てられているユーザーのみがこれらのポリシー条件を編集できます。 インライン アラートのカスタマイズは、現在のアラートの状態に関係なくアラートに対してサポートされており、アナリストや調査担当者は、必要に応じて 、無視された アラートと 解決済み アラートのポリシーを更新できます。

インライン アラートのカスタマイズを有効にするには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider risk management Insider risk settings]\(インサイダー リスク管理>\) [Insider risk settings]\(インサイダー リスク設定\) に移動します。
  2. [ インライン アラートのカスタマイズ ] ページを選択します。
  3. インサイダー リスク管理のインライン アラートのカスタマイズを有効にします。
  4. [ 保存] を 選択して構成して終了します。

注:

インライン アラートのカスタマイズを有効にするには、新規および既存のポリシー アラートで使用できるようになるまでに約 1 時間かかります。

有効にすると、アナリストと調査担当者は、[アラート] ダッシュボードアラートに対して [このアクティビティのアラートを減らす] を選択し、アラートに関連付けられているリスク管理アクティビティとインジケーターの詳細を表示できます。 さらに、低、中、高の重大度のアラートを作成するために使用されるイベントの数に対して、現在のポリシーしきい値が表示されます。 [このアクティビティのアラートを減らす] が選択され、しきい値を変更する以前のポリシーの編集が行われた場合、または関連付けられているインジケーターが削除された場合は、ポリシーに対する以前の変更の詳細を示す通知メッセージが表示されます。

アナリストと調査担当者は、[ このアクティビティのアラートを減らす ] ウィンドウで次のオプションから選択して、アラートを作成したポリシーをすばやく編集できます。

  • Microsoftの推奨しきい値を使用してアラートを減らす: ポリシーのしきい値を自動的に増やします。 ポリシーを変更する前に、新しい推奨しきい値の設定を確認できます。
  • 独自のしきい値を選択してアラートを減らす: 現在および将来のアラートのこの種類のアクティビティのしきい値を手動で増やすことができます。 ポリシーを変更する前に、現在のしきい値の設定を確認し、新しいしきい値設定を構成できます。
  • このアクティビティのアラートの取得を停止する: これにより、このインジケーターがポリシーから削除され、このリスク管理アクティビティはポリシーによって検出されなくなります。 これは、インジケーターがしきい値ベースかどうかに関係なく、すべてのインジケーターに適用されます。

オプションを選択した後、アナリストと調査担当者は、ポリシーを更新するために次の 2 つのオプションを選択できます。

  • アラートの保存と無視: ポリシーの変更を保存し、アラートの状態を [解決済み] に更新します。
  • 保存のみ: ポリシーに対する変更を保存しますが、アラートの状態は変わりません。

インサイダー リスク管理の優先順位のインライン アラート。