Microsoft Purview データ損失防止 (DLP) ポリシーは、機密アイテムの意図しない共有を防ぐために保護措置を講じることができます。 DLP のアラートを構成することで、機密性の高いアイテムに対してアクションが実行されたときに通知を受け取ることができます。 この記事では、データ損失防止 (DLP) ポリシーでアラートを構成する方法について説明します。 Microsoft Purview ポータルの DLP アラート管理ダッシュボードを使用して、DLP ポリシー違反のアラート、イベント、および関連するメタデータを表示する方法について説明します。
DLP アラートを初めて使用する場合は、「 データ損失防止アラートの概要」を確認する必要があります。
ヒント
Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。
Microsoft Purview ポータル には、次のワークロードに適用される DLP ポリシーのアラートが表示されます。
- Exchange メール
- SharePoint サイト
- OneDrive アカウント
- Teams チャットおよびチャネル メッセージ
- デバイス
- Instances
- オンプレミスのリポジトリ
- ファブリックと Power BI
開始する前に
開始する前に、必要な前提条件があることを確認してください。
ライセンスの詳細については、次を参照してください。
ロールと役割グループ
DLP アラート管理ダッシュボードを表示する場合、または DLP ポリシーのアラート構成オプションを編集する場合は、次のいずれかの役割グループのメンバーである必要があります。
- コンプライアンス管理者
- コンプライアンス データ管理者
- セキュリティ管理者
- セキュリティ オペレーター
- セキュリティ閲覧者
- Information Protection 管理者
- Information Protection アナリスト
- Information Protection 調査員
- Information Protection 閲覧者
詳細については、Microsoft Purview ポータルのアクセス許可に関するページを参照してください。
該当する役割グループの一覧を次に示します。 詳細については、 Microsoft Purview ポータルの「アクセス許可」を参照してください。
- 情報保護
- Information Protection レベル
- Information Protection アナリスト
- Information Protection 調査担当者
- Information Protection 閲覧者
DLP アラート管理ダッシュボードにアクセスするには、 アラートの管理 ロールと、次の 2 つのロールのいずれかが必要です。
- DLP コンプライアンス管理
- 表示専用の DLP コンプライアンス管理
コンテンツ プレビュー機能と一致した機密性の高いコンテンツとコンテキスト機能にアクセスするには、コンテンツ エクスプローラー コンテンツ ビューアー ロール グループのメンバーである必要があります。このロールには、データ分類コンテンツ ビューアー ロールが事前に割り当てられている必要があります。
DLP アラートの構成
DLP ポリシーでアラートを構成する方法については、「 データ損失防止ポリシーの作成と展開」を参照してください。
重要
organizationの監査ログ保持ポリシーの構成によって、アラートがコンソールに表示される期間が制御されます。 詳細については、「 監査ログ保持ポリシーの管理 」を参照してください。
集計イベント アラートの構成
organizationに集約アラート構成オプションのライセンスが付与されている場合は、DLP ポリシーを作成または編集するときにこれらのオプションが表示されます。
この構成を使用すると、アクティビティがポリシー条件に一致するたびに、またはアクティビティの数に基づいて、または流出データの量に基づいて、特定のしきい値を超えたときにアラートを生成するポリシーを設定できます。
単一イベント アラートの構成
organizationにシングル イベント アラート構成オプションのライセンスが付与されている場合は、DLP ポリシーを作成または編集するときにこれらのオプションが表示されます。 DLP ルールの一致が発生するたびに発生するアラートを作成するには、このオプションを使用します。
DLP アラートを調査する
DLP ポータルで DLP アラートを調査するために使用できる 3 つのツールがあります
- 標準ビューの DLP アラート ダッシュボード
- アラート トリアージ エージェント (プレビュー)アラート トリアージ エージェント (プレビュー) の DLP アラート ダッシュボード
- Microsoft Security Copilot。
Standard ビュー
- Microsoft Purview ポータルにサインインします>データ損失防止。
- [ アラート] を選択して、 DLP アラート ダッシュボードを 表示します。
- [フィルター] フィールドを使用して、アラートの一覧を絞り込みます。
- [ 列のカスタマイズ ] を選択して、表示するプロパティを一覧表示します。
- 結果を昇順または降順で並べ替えるには、列ヘッダーをダブルクリックします。
- アラートの詳細については、アラートをダブルクリックします。
- 既定で [ 詳細 ] タブが開き、アラートに関する概要情報が表示されます。
- [ Copilot で集計] を選択します。 これにより、Microsoft Security Copilotによってアラートの概要が生成されます。 アラートの概要には、次のものが含まれます。
- アラートの重大度
- アラート タイトル
- 一致したポリシーの名前
- 関連する名前ファイルとファイルへのリンク
- アラートの状態
- ポリシーに一致するアクションを実行したユーザーの電子メール アドレス
-
Security Copilotの概要で省略記号を選択すると、次のようになります。
- 概要をクリップボードにコピーする
- 概要を再生成する
- Security Copilotスタンドアロン エクスペリエンスでアラートを開きます。
- [ 詳細の表示] を選択して、[ 概要 ] タブを開きます。[ 概要 ] タブには、次の情報の概要が表示されます。
- どうされました
- ポリシー一致の原因となったアクションを実行したユーザー
- ポリシーの一致に関する追加情報
- [ イベント ] タブには、アラートに関連付けられているすべてのイベントが一覧表示されます。 一覧で任意のイベントを選択して、イベントに関する詳細情報を取得します。 イベントごとに、[ アクション] ドロップダウンを選択して、アラートに対して実行できるアクションの一覧 (アラートが真の一致または誤検知を識別したかどうかを確認するなど) を選択します。
- [ユーザー アクティビティの概要] タブでは、インサイダー リスク管理設定で共有をオンにする必要があります。[ユーザー アクティビティの概要] タブには、ユーザーが関与したすべての流出アクティビティ (過去 120 日まで) が表示されます。 [ユーザー アクティビティの概要] タブを表示するには、ユーザーがインサイダー リスク管理ポリシーのスコープ内にある必要があります。
- アラートを調査したら、[ 概要 ] タブに戻り、 アラート のトリアージと処理の管理、コメントの追加、アラートの所有権の割り当てを行うことができます。 (ワークフロー管理の履歴を表示するには)。)
- アラートに対して必要なアクションを実行したら、アラートの状態を [解決済み] に設定します。
アラート トリアージ エージェント (プレビュー)
プレビューでは、Purview のMicrosoft Security Copilotでは、Security Copilot エージェント (プレビュー) がサポートされます。 このエージェントは、アラートを推論し、organizationに最大のリスクをもたらすものを特定することで、アラートのトリアージにかかる時間を短縮するのに役立ちます。
- 適切なアクセス許可を使用して、Microsoft Purview ポータル>Data loss prevention にサインインします。
- [ アラート] を選択して、 DLP アラート ダッシュボードを 表示します。
- [アラート] ページ ビューのトグルを [アラート トリアージ エージェント (プレビュー)] に設定します。
- カテゴリ ([すべて]、[ 要注意]、[ 緊急度が低い]、または [未分類]) を選択して、タスクに関連するアラートを表示します。
- トリアージされたアラートを選択して、 アラートに関連付けられているエージェントの概要、 概要、 およびイベント を表示します。
注:
アラートに複数の資産が含まれている場合、エージェントは、結果の概要とアラートを割り当てるカテゴリの決定に貢献した上位 10 件のアレストを要約します。
- 概要を確認したら、[ アラートの管理 ] を選択してアナリストに割り当てたり、状態またはアラートを変更したり、コメントを追加したりできます。
セキュリティ copilot
Security Copilotは、セキュリティとコンプライアンスの専門家がorganizationのデータを保護するのを支援できるクラウドベースの AI プラットフォームです。 これを使用して、Microsoft Purview アラート、トリアージ アラートを要約し、Microsoft Puview データにドリルダウンできます。 DLP アラート ダッシュボードとデータ セキュリティ態勢管理で使用できます。
アラート イベントへの共有可能なリンクを作成する
適切なアクセス許可を持つユーザーは、DLP アラート コンソールでMicrosoft Purview データ損失防止 (DLP) アラートを表示できます。 ただし、アラートがトリアージされて調査されるため、DLP とアラート コンソールにアクセスできないユーザーとアラート イベントを共有したい場合があります。 プレビューでは、アラート イベントへの共有可能なリンクを作成できます。
- Purview ポータルで、[データ損失防止] に移動し、[アラート] を選択します。
- アラートを選択し、[詳細の 表示] を選択します。
- [アラートの詳細] 画面で、アラート タイトルのすぐ下にある [ イベント ] タブを選択して、このアラートに含まれるイベントを表示します。
- 共有するイベントを選択し、画面の下部にある [アクション ] ボタンをクリックして、[ アクション ] メニューを表示します。
- [イベント リンクのコピー] を選択し、[コピー] を選択して、共有可能なリンクをイベントにコピーします。
- これで、クリップボードからリンクを貼り付けて、チャット、メール、またはその他の方法でリンクを共有できます。
その他の一致条件
Microsoft Purview では、DLP イベントで一致した条件を表示して、フラグ付き DLP ポリシーの正確な原因を明らかにすることをサポートしています。 この情報は、次の情報に表示されます。
- DLP アラート コンソール
- アクティビティ エクスプローラー
- Microsoft Defender for Business ポータル
[ イベント ] タブで [ 詳細 ] を開き、[ その他の一致条件] を表示します。
前提条件
- x64 (ビルド 1809 以降) またはWindows 11 Windows 10実行している必要があります。
- 必要最小限の Windows オペレーティング システム ビルドについては、2023 年 3 月 21 日のKB5023773 (OS ビルド 19042.2788、19044.2788、19045.2788) プレビュー を参照してください。
- 一致した条件データは、有効な E3 および E5 ライセンス所有者が使用できます。
- 監査を有効にします。
- 高度な分類のスキャンと保護を有効にします。
一致したイベント情報は、これらの条件でサポートされています
| 条件 | Exchange | Sharepoint | Teams | エンドポイント |
|---|---|---|---|---|
| 送信者が | はい | 不要 | はい | 不要 |
| 送信者のドメインが次の場合 | はい | 不要 | はい | 不要 |
| 送信者のアドレスに指定の単語が含まれている | はい | 不要 | 不要 | 不要 |
| 送信者のアドレスがパターンと一致している | はい | 不要 | 不要 | 不要 |
| 送信者が次のグループのメンバーの場合 | はい | 不要 | 不要 | 不要 |
| 送信者の IP アドレスが | はい | 不要 | 不要 | 不要 |
| 送信者がポリシー ヒントを上書きした | はい | 不要 | 不要 | 不要 |
| SenderAdAttribute に単語が含まれている | はい | 不要 | 不要 | 不要 |
| SenderAdAttribute 一致パターン | はい | 不要 | 不要 | 不要 |
| 受信者が | はい | 不要 | はい | 不要 |
| 受信者ドメインが | はい | 不要 | はい | 不要 |
| 受信者のアドレスに単語が含まれている | はい | 不要 | 不要 | 不要 |
| 受信者のアドレスがパターンと一致している | はい | 不要 | 不要 | 不要 |
| 受信者が次のメンバーの場合 | はい | 不要 | 不要 | 不要 |
| RecipientAdAttribute に単語が含まれている | はい | 不要 | 不要 | 不要 |
| RecipientAdAttribute 一致パターン | はい | 不要 | 不要 | 不要 |
| ドキュメントがパスワードで保護されている | はい | 不要 | 不要 | 不要 |
| ドキュメントをスキャンできなかった | はい | 不要 | 不要 | 不要 |
| ドキュメントのスキャンが完了しませんでした | はい | 不要 | 不要 | 不要 |
| ドキュメント名に単語が含まれています | はい | はい | 不要 | 不要 |
| ドキュメント名がパターンと一致する | はい | 不要 | 不要 | 不要 |
| 文書のプロパティが | はい | はい | 不要 | 不要 |
| ドキュメントサイズオーバー | はい | はい | 不要 | 不要 |
| ドキュメント コンテンツに単語が含まれている | はい | 不要 | 不要 | 不要 |
| ドキュメントのコンテンツがパターンと一致する | はい | 不要 | 不要 | 不要 |
| ドキュメントの種類は | 不要 | 不要 | 不要 | はい |
| ドキュメントの拡張子は | はい | はい | 不要 | はい |
| コンテンツは M365 から共有されます | はい | はい | はい | 不要 |
| コンテンツが指定の送信者から受信された場合 | はい | 不要 | 不要 | 不要 |
| コンテンツの文字セットに指定の単語が含まれている | はい | 不要 | 不要 | 不要 |
| 件名に単語が含まれている | はい | 不要 | 不要 | 不要 |
| 件名がパターンと一致している | はい | 不要 | 不要 | 不要 |
| 件名または本文に単語が含まれている | はい | 不要 | 不要 | 不要 |
| 件名または本文がパターンと一致する | はい | 不要 | 不要 | 不要 |
| ヘッダーに単語が含まれている | はい | 不要 | 不要 | 不要 |
| ヘッダーがパターンと一致している | はい | 不要 | 不要 | 不要 |
| メッセージのサイズが指定値を超える | はい | 不要 | 不要 | 不要 |
| メッセージの種類が以下の場合 | はい | 不要 | 不要 | 不要 |
| メッセージの重要度が以下の場合 | はい | 不要 | 不要 | 不要 |
DLP アラート内から電子メールをダウンロードするときの制限事項
一般に、DLP アラート管理ダッシュボードを使用する場合は、アラート内から特定の電子メールをダウンロードできます。 ただし、次のいずれかのシナリオで削除されたメールはダウンロードできません。
| Sender | Recipient | Email状態 |
|---|---|---|
| 内部 | 外部 | 送信者によって削除された |
| 外部 | 内部 | 受信者によって削除された |
| 内部 | 内部 | 両方のパーティによって削除された |