次の方法で共有

データ損失防止の詳細

  • [アーティクル]

この記事では、アラート調査フローと、DLP アラートの調査に使用できるツールについて説明します。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

開始する前に

Microsoft Purview DLP を初めて使用する場合は、データ損失防止のプラクティスを実装する際に理解しておくべきコア記事の一覧を次に示します。

  1. 管理単位
  2. Microsoft Purview データ損失防止の詳細: この記事では、データ損失防止規範と Microsoft による DLP の実装について説明します。
  3. データ損失防止 (DLP) の計画: この記事を使用して、次の作業を行います。
    1. 利害関係者を特定する
    2. 保護する機密情報のカテゴリについて説明する
    3. 目標と戦略を設定する
  4. データ損失防止ポリシーリファレンス: この記事では、DLP ポリシーのすべてのコンポーネントと、それぞれがポリシーの動作にどのように影響するかを紹介します。
  5. DLP ポリシーを設計する: この記事では、ポリシー意図ステートメントを作成し、それを特定のポリシー構成にマッピングする方法について説明します。
  6. データ損失防止ポリシーの作成と展開: 構成オプションにマップする一般的なポリシー意図シナリオを示します。 その後、これらのオプションの構成について説明し、ポリシーのデプロイに関するガイダンスを提供します。
  7. データ損失防止アラートの調査について説明します。この記事では、作成から最終的な修復とポリシーのチューニングまでのアラートのライフサイクルについて説明します。 また、アラートの調査に使用するツールについても説明します。

DLP アラートのライフサイクル

すべてのアラートとそれらの操作は、次の 6 つの手順を実行します。

トリガー

ポリシーで 定義されている条件が一致すると、Microsoft Purview データ損失防止 (DLP) アラートの有効期間が開始されます。 ポリシーの一致が発生すると、ポリシーで定義されているアクションがトリガーされます。これには、ポリシーが 構成されている場合のアラートの生成が 含まれます。

DLP ポリシーは、通常、次の場合にアラートを監視して生成するように構成されます。

  • 個人を特定するデータや知的財産などの機密情報は、組織から流出します。
  • 機密情報は、組織外または組織内のユーザーと不適切に共有されます。
  • ユーザーは、リムーバブル メディアに機密情報をダウンロードするなど、危険なアクティビティを行います。

通知

アラートが生成されると、インシデントとして Microsoft Defender ポータルDLP アラート管理ダッシュボードに送信されます。 DLP ポリシーは、ユーザー、管理者、およびその他の関係者に電子メールで通知を送信するように構成できます。

通知フェーズでは、Microsoft Purview:

  • DLP ポリシーの一致とユーザーのオーバーライドに関するレポート。
  • アクティビティ エクスプローラーを使用すると、DLP 関連のアクティビティを表示し、レポート生成のためにフィルター処理できます。

Export-ActivityExplorerData を使用してレポート用のアクティビティ データをエクスポートするには (ExchangePowerShell) |O365 Management Activity API または Incident API を使用した Microsoft Doc。

注:

Microsoft Defender ポータルでは、インシデントが 6 か月間保持されます。 DLP アラート管理ダッシュボードでは、アラートが 30 日間保持されます。

トリアージ

この手順では、アラートと関連するログを分析し、アラートが真陽性か誤検知かを判断します。 本当に肯定的な場合は、問題の重大度と組織への影響に基づいてアラートの優先順位を設定し、所有者を割り当てます。 誤検知の場合は、ユーザーのブロックを解除し、次のアラートに進むことができます。

Defender ポータルは、DLP イベントをインシデントにグループ化します。 インシデントは、Defender が受信している他のすべてのシグナルに基づいてグループ化された関連アラートのコレクションです。 たとえば、SharePoint サイト上の機密性の高いファイルを監視および警告するように DLP ポリシーを構成し、ユーザーが SharePoint サイトからファイルをダウンロードし、個人用 OneDrive にアップロードした後、外部ユーザーと共有する場合、Defender はそれらのすべてのアラートを 1 つのインシデントにグループ化します。 これは、最も重要なアラートに最初に集中できる強力な機能です。

Defender ポータルでは、インシデントのトリアージをすぐに開始し、タグ、コメント、その他の機能を使用してインシデント管理を構成できます。 Microsoft Defender ポータルの [インシデント] ページを使用して、DLP アラートを管理する必要があります。 [フィルター] を選択し、[サービス ソース: データ損失防止] を選択することで、インシデント キューをフィルター処理して、Microsoft Purview DLP アラートを含むすべてのインシデントを表示できます。

Microsoft Defender XDR (プレビュー) とのインサイダー リスク管理データの共有を有効にしている場合は、[DLP アラート] ページにユーザーに関連付けられている Insider Risk Management ポリシーの重大度レベルが表示されます。 Insider Risk Management の重大度レベルは、 およびなしです。 この情報を使用して、調査と修復作業の優先順位を付けることができます。 この情報は、インシデントの詳細に関する Microsoft 365 Defender ポータルでも入手できます。

調査

調査ステージの主な目標は、割り当てられた所有者が証拠を関連付け、アラートの原因と完全な影響を特定し、修復計画を決定することです。 割り当てられた所有者は、アラートの詳細な調査と修復を担当します。 主要なアラート調査ツールは、 Microsoft Defender ポータルDLP アラート管理ダッシュボードですアクティビティ エクスプローラーを使用してアラートを調査することもできます。 組織内の他 ユーザーとアラートを共有することもできます。

次のような DLP 機能を利用できます。

Microsoft Defender ポータルと Purview ツールの両方を使用してアラートをトリアージおよび調査できますが、Microsoft Defender ポータルには、次のようなアラートとインシデントを管理するためのより多くの機能が用意されています。

  • Microsoft Defender XDR インシデント キューのインシデントでグループ化されたすべての DLP アラートを表示します。
  • インテリジェントなソリューション間 (DLP-MDE、DLP-MDO) とソリューション内 (DLP-DLP) の相関アラートを 1 つのインシデントで表示します。
  • 高度なハンティングの下で、セキュリティと共にコンプライアンス ログを検索します。
  • ユーザー、ファイル、デバイスに対するインプレース管理者の修復アクション。
  • カスタム タグを DLP インシデントに関連付け、フィルター処理します。
  • DLP ポリシー名、タグ、日付、サービス ソース、インシデントの状態、統合インシデント キューのユーザーでフィルター処理します。

インサイダー リスク管理データを Defender (プレビュー) と共有している場合は、ユーザーが過去 120 日間に関与したすべての流出アクティビティのユーザー アクティビティの概要を確認できます。

修復する

修復計画は、組織のポリシー、業界、準拠する必要がある地政学的規制、およびビジネス プラクティスに固有です。 組織がアラートへの応答を選択する方法は、アラートの正確性 (真陽性、誤検知、偽陰性)、問題の重大度、組織への影響を中心に展開します。

修復アクションには、次のものが含まれます。

  • 監視のみ、それ以上の操作は必要ありません。
  • ポリシーによって実行されるアクションによってリスクが十分に軽減されるため、それ以上のアクションは必要ありません。
  • 自動化されたポリシー アクションによって軽減されるリスクですが、ユーザー教育が必要です。
  • この問題はポリシーによって完全に軽減されていないため、より多くのユーザー トレーニングと共にクリーンアップとリスク軽減が必要です。
  • DLP が Insider Risk Management と統合されている データ損失防止 (プレビュー) のアダプティブ保護 を使用して、さらに監視とアクションを行うためにリスク レベルをユーザーに割り当てることができます。

Defender ポータルを使用すると、アラートとインシデントに対して修復アクションをすぐに実行できます。 例:

  • パスワードのリセット
  • アカウントを無効にする
  • ユーザー アクティビティを表示する
  • DLP 検出に対するアクション
  • ドキュメントを削除する
  • 秘密度ラベルを適用する
  • 共有を解除する
  • 電子メールをダウンロードする
  • 高度な追求
  • デバイスの分離
  • デバイスから調査パックを収集する
  • AV スキャンを実行する
  • ファイルの検疫
  • ユーザーを無効にする
  • pwd をリセットする
  • 電子メールを削除する
  • メールを他のメールボックス フォルダーに移動する
  • ファイルをダウンロードする

チューン

ポリシーの正確性と有効性に基づいて、ポリシーを更新して有効なままにする必要がある場合があります。 ポリシーの作成と展開プロセス中にポリシーは既に調整されていますが、データ資産とビジネス ニーズが変化するにつれて、ポリシーを更新して引き続き有効にする必要があります。 これらの変更は、 ポリシー意図ステートメントポリシー構成で最もよく追跡されます。

調整する項目:

  • ポリシーのスコープ。
  • ポリシーの一致に必要な条件。
  • ポリシーの一致が発生したときに実行されるアクション。
  • ユーザーと管理者に送信される通知。

ビジネス ニーズをポリシーの設計とテスト ポリシーにマッピングする方法の詳細については、次を参照してください。

ツールセット

Microsoft Purview データ損失防止 (DLP) アラートの調査と管理に使用できる複数のツールがあります。 これには次のものがあります。

Microsoft では、Microsoft Defender ポータルで統合インシデント キューを使用して DLP アラートを管理することをお勧めします。 ただし、組織には、Microsoft Defender ポータルに加えて DLP アラート管理ダッシュボードを使用して満たすことができるニーズがある場合があります。

Microsoft Defender ポータル

Microsoft Purview コンプライアンス ポータル

  • アラート ダッシュボード、アクティビティ エクスプローラー、コンテンツ エクスプローラーはすべて、Microsoft Purview コンプライアンス ポータルで使用できます。 Microsoft Copilot for Security を使用してアラートを要約できます DLP アラートを調査する
  • アラートの状態を [調査中] に設定できます。
  • 組織内の他のユーザーとアラートを共有できます。
  • OneDrive と SharePoint からファイルをダウンロードする (このアクションにはデータ分類コンテンツ ビューアーロール が必要です)

DLP アラート ダッシュボードを初めて使用する場合は、これらの記事を読んで作業を開始する必要があります。

次の手順