重要
Microsoft Purview コミュニケーション コンプライアンスは、組織が規制コンプライアンス (SEC や FINRA など) や機密情報、嫌がらせや脅迫的な言語、成人向けコンテンツの共有などのビジネス行為違反を検出するのに役立つツールを提供します。 コミュニケーション コンプライアンスは、設計上プライバシーを使用して構築されています。 ユーザー名は既定で仮名化され、ロールベースのアクセス制御が組み込まれており、調査担当者は管理者によってオプトインされ、監査ログはユーザーレベルのプライバシーを確保するために用意されています。
Microsoft Purview コミュニケーション コンプライアンスは、organizationで不適切な可能性のあるメッセージを検出、キャプチャ、対処することで、コミュニケーション リスクを最小限に抑えるのに役立つインサイダー リスク ソリューションです。 Microsoft Sentinelや Splunk などのセキュリティ情報とイベント管理 (SIEM) ソリューションは、通常、organization内の脅威を集計して追跡するために使用されます。
組織の一般的なニーズは、コミュニケーション コンプライアンス アラートとその SIEM ソリューションを統合することです。 この統合により、組織は SIEM ソリューションでコミュニケーション コンプライアンス アラートを表示し、コミュニケーション コンプライアンス ワークフローとユーザー エクスペリエンス内のアラートを修復できます。
たとえば、従業員が別の従業員に不快なメッセージを送信すると、そのメッセージは、不適切な可能性のあるコンテンツに関するコミュニケーション コンプライアンス ポリシーによって検出されます。 このようなイベントは、コミュニケーション コンプライアンス ソリューションによって Microsoft 365 Audit ("統合監査ログ" とも呼ばれます) に記録され、SIEM ソリューションにインポートされます。 Microsoft 365 監査に含まれる SIEM ソリューションでトリガーされたアラートは、コミュニケーション コンプライアンス アラートに関連付けられます。 調査担当者は SIEM ソリューションでこれらのアラートを通知された後、コミュニケーション コンプライアンス ダッシュボードで対応するアラートを調査して修復できます。
ヒント
Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。
Microsoft 365 監査でのコミュニケーション コンプライアンス アラート
すべてのコミュニケーション コンプライアンス ポリシーの一致は、Microsoft 365 監査でキャプチャされます。 次の例は、選択したコミュニケーション コンプライアンス ポリシーの一致アクティビティで使用できる詳細を示しています。
不適切なコンテンツ ポリシー テンプレートの一致に対する監査ログ エントリの例:
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/7/2022 5:30:11 AM
UserIds: user1@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-07T05:30:11","Id":"44e98a7e-57fd-4f89-79b8-08d941084a35","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<HE1P190MB04600526C0524C75E5750C5AC61A9@HE1P190MB0460.EURP190.PROD.OUTLOOK.COM\>","UserId":"user1@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"53be0bf4-75ee-4315-b65d-17d63bdd53ae","SRPolicyName":"Adult images","SRRuleMatchDetails":\[\]}}
ResultIndex: 24
ResultCount: 48
Identity: 44e98a7e-57fd-4f89-79b8-08d941084a35
IsValid: True
ObjectState: Unchanged
カスタム キーワード (keyword) 一致するポリシーの Microsoft 365 監査ログ エントリの例 (カスタム機密情報の種類):
RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/6/2022 9:50:12 PM
UserIds: user2@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-06T21:50:12","Id":"5c61aae5-26fc-4c8e-0791-08d940c8086f","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"public\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<20210706174831.24375086.807067@sailthru.com\>","UserId":"user2@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"a97cf128-c0fc-42a1-88e3-fd3b88af9941","SRPolicyName":"Insiders","SRRuleMatchDetails":\[{"SRCategoryName":"New insiders lexicon"}\]}}
ResultIndex: 46
ResultCount: 48
Identity: 5c61aae5-26fc-4c8e-0791-08d940c8086f
IsValid: True
ObjectState: Unchanged
注:
現在、Microsoft 365 監査でポリシーの一致が記録されるまで、および通信コンプライアンスでポリシーの一致を調査できる時間の間には、最大 24 時間の遅延が発生する可能性があります。
コミュニケーション コンプライアンスとMicrosoft Sentinel統合を構成する
Microsoft Sentinelを使用してコミュニケーション コンプライアンス ポリシーの一致を集計する場合、Microsoft Sentinelはデータ ソースとして Microsoft 365 Audit を使用します。 コミュニケーション コンプライアンス アラートをMicrosoft Sentinelと統合するには、次の手順を実行します。
Microsoft Sentinelにオンボードします。 オンボード プロセスの一環として、データ ソースを構成します。
Microsoft Sentinel Microsoft Office 365 データ コネクタを構成し、[コネクタの構成] で [Exchange] を選択します。
通信コンプライアンス アラートを取得するように検索クエリを構成します。 例:
|OfficeActivity |where OfficeWorkload == "Exchange" と Operation == "SupervisionRuleMatch" |TimeGenerated による並べ替え
特定のユーザーをフィルター処理するには、次のクエリ形式を使用します。
|OfficeActivity |ここで、OfficeWorkload == "Exchange" と Operation == "SupervisionRuleMatch" と UserId == "User1@Contoso.com" | TimeGenerated による並べ替え
Microsoft Sentinelによって収集されたOffice 365の Microsoft 365 監査ログの詳細については、「Azure Monitor ログ リファレンス」を参照してください。
コミュニケーション コンプライアンスと Splunk の統合を構成する
コミュニケーション コンプライアンス アラートを Splunk と統合するには、次の手順を実行します。
Microsoft Office 365用 Splunk アドオンのMicrosoft Entra IDで統合アプリケーションを構成する
Splunk ソリューションで検索クエリを構成します。 次の検索例を使用して、すべてのコミュニケーション コンプライアンス アラートを特定します。
index=* sourcetype="o365:management:activity" Workload=Exchange Operation=SupervisionRuleMatch
特定の通信コンプライアンス ポリシーの結果をフィルター処理するには、 SRPolicyMatchDetails.SRPolicyName パラメーターを 使用します。
たとえば、次の検索例では、 不適切なコンテンツという名前のコミュニケーション コンプライアンス ポリシーに一致するアラートを返します。
index=* sourcetype='o365:management:activity' Workload=Exchange Operation=SupervisionRuleMatch SRPolicyMatchDetails.SRPolicyName=<Inappropriate コンテンツ>
次の表は、さまざまなポリシーの種類のサンプル検索結果を示しています。
| ポリシーの種類 | 検索結果の例 |
|---|---|
| カスタム機密情報の種類キーワード (keyword)一覧を検出するポリシー | { CreationTime: 2022-09-17T16:29:57 ID: 4b9ce23d-ee60-4f66-f38d-08d979f8631f IsPolicyHit: true ObjectId: CY1PR05MB27158B96AF7F3AFE62E1F762CFDD9@CY1PR05MB2715.namprd05.prod.outlook.com 操作: SupervisionRuleMatch OrganizationId: d6a06676-95e8-4632-b949-44bc00f0793f RecordType: 68 ResultStatus: {"ItemClass":"IPM。注","CcsiResults":"leak"} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.OnMicrosoft.com UserKey: SupervisionStoreDeliveryAgent UserType: 0 バージョン: 1 ワークロード: Exchange } |
| 不適切な言語の可能性を検出するポリシー | { CreationTime: 2022-09-17T23:44:35 ID: e0ef6f54-9a52-4e4c-9584-08d97a351ad0 IsPolicyHit: true ObjectId: BN6PR05MB3571AD9FBB85C4E12C1F66B4CCDD9@BN6PR05MB3571.namprd05.prod.outlook.com 操作: SupervisionRuleMatch OrganizationId: d6a06676-95e8-4632-b949-44bc00f0793f RecordType: 68 ResultStatus: {"ItemClass":"IPM。Yammer.Message","CcsiResults":""} SRPolicyMatchDetails: { [+] } UserId: user1@contoso.com UserKey: SupervisionStoreDeliveryAgent UserType: 0 バージョン: 1 } |
他の SIEM ソリューションとの通信コンプライアンスを構成する
Microsoft 365 Audit からコミュニケーション コンプライアンス ポリシーの一致を取得するには、PowerShell または Office 365 Management API を使用します。
PowerShell を使用する場合は、 Search-UnifiedAuditLog コマンドレットでこれらのパラメーターのいずれかを使用して、コミュニケーション コンプライアンス アクティビティの監査ログ イベントをフィルター処理できます。
| 監査ログ パラメーター | 通信コンプライアンス パラメーター値 |
|---|---|
| 運用 | SupervisionRuleMatch |
| RecordType | ComplianceSupervisionExchange |
たとえば、 Operations パラメーターと SupervisionRuleMatch 値を使用したサンプル検索を次に示します。
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -Operations SupervisionRuleMatch | ft CreationDate,UserIds,AuditData
RecordsType パラメーターと ComplianceSupervisionExchange 値を使用したサンプル検索を次に示します。
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType ComplianceSuperVisionExchange | ft CreationDate,UserIds,AuditData