トレーニング
認定資格
Microsoft 認定: Information Protection and Compliance Administrator Associate - Certifications
Microsoft 365 デプロイを保護するためのデータ セキュリティ、ライフサイクル管理、情報セキュリティ、コンプライアンスの基礎を示します。
このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
Microsoft Purview データ損失防止 (DLP) ポリシーは、ポリシーの条件が一致したときにアラートを生成するように構成できます。
アラートの概要については、次を参照してください。
この記事には、ライセンスとアクセス許可の詳細、およびアラートを操作するときに必要なその他の重要な情報が含まれています。
DLP アラートは、Microsoft Defender XDR ダッシュボードとMicrosoft Purview コンプライアンス ポータルで調査および管理できます。 Microsoft Defender XDR ダッシュボードは、DLP アラートの調査と管理に推奨される場所です。 MICROSOFT PURVIEW コンプライアンス ポータルは、DLP ポリシーを作成および編集するための推奨される場所です。
ヒント
Microsoft Security Copilotの使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のMicrosoft Security Copilotの詳細については、こちらをご覧ください。
アラートは、アクティビティがルールに一致するたびに送信できます。これはノイズが多い場合や、一致する数または一定の期間のアイテムの量に基づいて集計できます。 DLP ポリシーで構成できるアラートには 2 種類あります。
単一イベント アラートは、通常、10 個以上の顧客クレジットカード番号がorganization外に送信される単一の電子メールなど、少量で発生する機密性の高いイベントを監視するポリシーで使用されます。
集計イベント アラート は、通常、一定期間にわたって大量に発生するイベントを監視するポリシーで使用されます。 たとえば、1 つの顧客クレジット カード番号を持つ 10 件の個々の電子メールが 48 時間にわたって組織外に送信されると、集計アラートをトリガーできます。
開始する前に、必要な前提条件があることを確認してください。
エンドポイント DLP を使用し、Teams DLP の対象となるお客様には、DLP アラート管理ダッシュボードにエンドポイント DLP ポリシー アラートと Teams DLP ポリシー アラートが表示されます。
DLP アラート管理ダッシュボードを表示する場合、または DLP ポリシーのアラート構成オプションを編集する場合は、次のいずれかの役割グループのメンバーである必要があります。
詳細については、Microsoft Purview コンプライアンス ポータルの「アクセス許可」を参照してください。
該当する役割グループの一覧を次に示します。 詳細については、Microsoft Purview コンプライアンス ポータルのアクセス許可に関するページを参照してください。
DLP アラート管理ダッシュボードにアクセスするには、 アラートの管理 ロールと、次の 2 つのロールのいずれかが必要です。
コンテンツ プレビュー機能と一致した機密性の高いコンテンツとコンテキスト機能にアクセスするには、コンテンツ エクスプローラー コンテンツ ビューアー ロール グループのメンバーである必要があります。このロールには、データ分類コンテンツ ビューアー ロールが事前に割り当てられている必要があります。
ヒント
管理者がコンテキスト/機密情報ではなくアラートにアクセスする必要がある場合は、データ分類コンテンツ ビューアーのアクセス許可を含まないカスタム ロールを作成して割り当てることができます。
DLP ポリシーでアラートを構成する方法については、「 データ損失防止ポリシーの作成と展開」を参照してください。 ライセンスに応じて、さまざまなアラート構成エクスペリエンスがあります。
注意
DLP ポリシーで既存のアラートを構成または変更した後、アラートを生成するまでに最大 3 時間かかる場合があります。
集約されたアラート構成オプションのライセンスが付与されている場合は、DLP ポリシーを作成または編集するときに、これらのオプションが表示されます。
この構成では、アラートを生成するポリシーを設定できます。
通知メールが大量に送信されるのを防ぐために、同じ DLP ルールと同じ場所にある 1 分間の時間枠内で発生するすべての一致が、同じアラートにグループ化されます。 1 分間の集計時間枠機能は、次の場合に使用できます。
E1、F1、または G1 サブスクリプションまたは E3 または G3 サブスクリプションを持つ組織の場合、集計期間は 15 分です。
シングル イベント アラート構成オプションのライセンスがある場合は、DLP ポリシーを作成または編集するときに、これらのオプションが表示されます。 DLP ルールの一致が発生するたびに発生するアラートを作成するには、このオプションを使用します。
アラートに関連付けられているイベントの一部を次に示します。 アラート ダッシュボードでは、特定のイベントを選択して詳細を表示できます。
プロパティ名 | 説明 | イベントの種類 |
---|---|---|
ID | イベントに関連付けられている一意の ID | すべてのイベント |
場所 | イベントが検出されたワークロード | すべてのイベント |
アクティビティの時間 | DLP ポリシーの条件に一致したユーザー アクティビティの時間 |
プロパティ名 | 説明 | イベントの種類 |
---|---|---|
ユーザー | ポリシーの一致の原因となったアクションを実行したユーザー | すべてのイベント |
hostname | DLP ポリシーが一致したコンピューターのホスト名 | デバイス イベント |
IP アドレス | DLP ポリシーが一致したコンピューターの IP アドレス | デバイス イベント |
sha1 | ファイルの SHA-1 ハッシュ | デバイス イベント |
sha256 | ファイルの SHA-256 ハッシュ | デバイス イベント |
MDATP デバイス ID | エンドポイント デバイス MDATP ID | |
ファイル サイズ | ファイルのサイズ | SharePoint、OneDrive、およびデバイス イベント |
ファイル パス | DLP ポリシーの一致に関連する項目の絶対パス | SharePoint、OneDrive、デバイスのイベント |
メール受信者 | 電子メールが DLP ポリシーに一致する機密性の高いアイテムである場合、このフィールドにはそのメールの受信者が含まれます | Exchange イベント |
メールの件名 | DLP ポリシーに一致した電子メールの件名 | Exchange イベント |
電子メールの添付ファイル | DLP ポリシーに一致した電子メール内の添付ファイルの名前 | Exchange イベント |
サイト所有者 | サイト所有者の名前 | SharePoint イベントと OneDrive イベント |
サイト URL | DLP ポリシーの一致が発生した SharePoint または OneDrive サイトの URL でいっぱい | SharePoint イベントと OneDrive イベント |
ファイルが作成されました | DLP ポリシーに一致したファイルの作成時刻 | SharePoint イベントと OneDrive イベント |
ファイルの最終変更 | DLP ポリシーに一致するファイルが最後に変更された時刻 | SharePoint イベントと OneDrive イベント |
ファイル サイズ | DLP ポリシーに一致したファイルのサイズ | SharePoint イベントと OneDrive イベント |
ファイル所有者 | DLP ポリシーに一致したファイルの所有者 | SharePoint イベントと OneDrive イベント |
プロパティ名 | 説明 | イベントの種類 |
---|---|---|
DLP ポリシーの一致 | 一致する DLP ポリシーの名前 | すべてのイベント |
一致したルール | 一致する DLP ポリシー 規則の名前 | すべてのイベント |
機密情報の種類 (SIT) が検出されました | DLP ポリシーの一致の一部として検出された SID | すべてのイベント |
実行された処理 | DLP ポリシーの一致の原因となったアクション | すべてのイベント |
違反アクション | DLP アラートを発生させたエンドポイント デバイスのアクション | デバイス イベント |
ユーザー のオーバーロード ポリシー | ユーザーがポリシー ヒントを使用してポリシーをオーバーライドしました | すべてのイベント |
オーバーライドの正当な理由を使用する | オーバーライドのためにユーザーによって提供される理由のテキスト | すべてのイベント |
重要
organizationの監査ログ保持ポリシー構成は、コンソールにアラートが表示されたままの期間を制御します。 詳細については、「監査ログ保持ポリシーを管理する」を参照してください。
トレーニング
認定資格
Microsoft 認定: Information Protection and Compliance Administrator Associate - Certifications
Microsoft 365 デプロイを保護するためのデータ セキュリティ、ライフサイクル管理、情報セキュリティ、コンプライアンスの基礎を示します。