Microsoft Defender XDR を使用してデータ損失防止アラートを調査する

  • [アーティクル]

適用対象:

  • Microsoft Defender XDR

Microsoft Defender ポータルでMicrosoft Purview データ損失防止 (DLP) アラートを管理できます。 Microsoft Defender ポータルのクイック 起動で[インシデント] & アラート> インシデントを開きます。 このページでは、次のことができます。

  • Microsoft Defender XDR インシデント キュー内のインシデントでグループ化されたすべての DLP アラートを表示します。
  • インテリジェントなソリューション間 (DLP-MDE、DLP-MDO) とソリューション内 (DLP-DLP) の相関アラートを 1 つのインシデントで表示します。
  • 高度なハンティングの下で、セキュリティと共にコンプライアンス ログを検索します。
  • ユーザー、ファイル、デバイスに対するインプレース管理者の修復アクション。
  • カスタム タグを DLP インシデントに関連付け、フィルター処理します。
  • DLP ポリシー名、タグ、日付、サービス ソース、インシデントの状態、統合インシデント キューのユーザーでフィルター処理します。

ヒント

また、イベントや証拠と共に DLP インシデントを Microsoft Sentinel にプルして、Microsoft Sentinel のMicrosoft Defender XDR コネクタを使用して調査と修復を行うこともできます。

ライセンスの要件

Microsoft Defender ポータルでMicrosoft Purview データ損失防止 インシデントを調査するには、次のいずれかのサブスクリプションのライセンスが必要です。

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 コンプライアンス
  • Microsoft 365 E5/A5 情報の保護とガバナンス

注:

この機能のライセンスが付与され、資格がある場合、DLP アラートは自動的にMicrosoft Defender XDRに流れ込みます。 DLP アラートを Defender に送信しない場合は、サポート ケースを開いてこの機能を無効にします。 この機能を無効にすると、Office アラートのMicrosoft Defenderとして Defender ポータルに DLP アラートが表示されます。

役割

Microsoft Defender ポータルでアラートに最小限のアクセス許可のみを付与することをお勧めします。 これらのロールを使用してカスタム ロールを作成し、DLP アラートを調査する必要があるユーザーに割り当てることができます。

アクセス許可 Defender アラート アクセス
通知の管理 DLP + セキュリティ
表示専用のアラート管理 DLP + セキュリティ
Information Protection アナリスト DLP のみ
DLP コンプライアンス管理 DLP のみ
表示専用の DLP コンプライアンス管理 DLP のみ

始める前に

Microsoft Purview コンプライアンス ポータル内のすべての DLP ポリシーのアラートを有効にします

注:

管理単位 の制限は、データ損失防止 (DLP) から Defender ポータルに流れ込みます。 管理単位の制限付き管理者の場合は、管理単位の DLP アラートのみが表示されます。

Microsoft Defender ポータルで DLP アラートを調査する

  1. Microsoft Defender ポータルに移動し、左側のナビゲーション メニューで [インシデント] を選択してインシデント ページを開きます。

  2. 右上の [フィルター] を選択し、[ サービス ソース: データ損失防止 ] を選択して、DLP アラートを含むすべてのインシデントを表示します。 プレビューで使用できるサブフィルターの例を次に示します。

    1. ユーザー名とデバイス名別
    2. (プレビュー段階) [エンティティ ] フィルターでは、ファイル名、ユーザー、デバイス名、およびファイル パスを検索できます。
    3. (プレビュー段階)[インシデント] キュー>の [アラート ポリシー]> アラート ポリシー のタイトル。 DLP ポリシー名を検索できます。

  3. 関心のあるアラートとインシデントの DLP ポリシー名をSearchします。

  4. インシデントの概要ページを表示するには、キューからインシデントを選択します。 同様に、アラートを選択して DLP アラート ページを表示します。

  5. ポリシーと アラート で検出された機密情報の種類の詳細については、アラート ストーリーを参照してください。 [関連イベント] セクションで イベント を選択して、ユーザー アクティビティの詳細を表示します。

  6. [ 機密情報の種類 ] タブで一致した機密コンテンツを表示し、必要なアクセス許可がある場合は [ ソース ] タブのファイル コンテンツを表示します (詳細 については、こちらを参照してください)。

高度なハンティングを使用して DLP アラート調査を拡張する

高度なハンティングは、ユーザー、ファイル、サイトの場所の監査ログを最大 30 日間探索して調査を支援するクエリ ベースの脅威ハンティング ツールです。 ネットワーク内のイベントを事前に検査して、脅威インジケーターとエンティティを見つけることができます。 データへの柔軟なアクセスにより、既知の脅威と潜在的な脅威の両方を無制限に捜索できます。

CloudAppEvents テーブルには、SharePoint、OneDrive、Exchange、デバイスなど、すべての場所のすべての監査ログが含まれています。

はじめに

高度なハンティングを初めて使用する場合は、「 高度なハンティングの概要」を確認する必要があります。

事前ハンティングを使用するには、Microsoft Purview データを含む CloudAppEvents テーブルにアクセスする必要があります。

組み込みクエリの使用

重要

この機能はプレビュー段階です。 プレビュー機能は運用環境向けではなく、機能が制限されている可能性があります。 これらの機能は、お客様が早期にアクセスしてフィードバックを提供できるように、公式リリースの前に利用できます。

Defender ポータルには、DLP アラートの調査に役立つ複数の組み込みクエリが用意されています。

  1. Microsoft Defender ポータルに移動し、左側のナビゲーション メニューで [インシデント & アラート] を選択してインシデント ページを開きます。 [ インシデント] を選択します
  2. 右上の [フィルター] を選択し、[ サービス ソース: データ損失防止 ] を選択して、DLP アラートを含むすべてのインシデントを表示します。
  3. DLP インシデントを開きます。
  4. アラートを選択して、関連するイベントを表示します。
  5. イベントを選択します。
  6. イベントの詳細ウィンドウで、 Go Hunt コントロールを選択します。
    1. Defender には、イベントのソースの場所に関連する組み込みクエリの一覧が表示されます。 たとえば、イベントが SharePoint からである場合は、次のように表示されます。
      1. 共有先のファイル
      2. ファイル アクティビティ
      3. サイト アクティビティ
      4. 過去 30 日間のユーザー DLP 違反
  7. [クエリをすぐに 実行 する] を選択し、時間範囲を変更し、後で使用できるようにクエリを編集または保存できます。
  8. クエリを実行したら、[ 結果 ] タブで結果を表示します。

アラートが電子メール メッセージの場合は、[アクション>] [電子メールのダウンロード] を選択してメッセージをダウンロードできます。

SharePoint Online または One Drive for Business のファイルに対するアラートの場合は、次のアクションを実行できます。

修復アクションの場合は、アラート ページの上部にある [ユーザー カード] を選択して、ユーザーの詳細を開きます。

[デバイス DLP アラート] で、アラート ページの上部にあるデバイス カードを選択して、デバイスの詳細を表示し、デバイスで修復アクションを実行します。

インシデントの概要ページに移動し、[ インシデントの管理 ] を選択してインシデント タグの追加、割り当て、またはインシデントの解決を行います。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします