適応型保護を使用してリスクを動的に軽減できるようにする (プレビュー)

[アーティクル]
12/05/2023

重要

Microsoft Purview Insider Risk Management は、さまざまなシグナルを関連付けて、IP の盗難、データ漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意による内部関係者のリスクを特定します。インサイダーリスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。プライバシーバイデザインで構築されており、ユーザーは既定で仮名化され、ユーザーレベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

Microsoft Purview の Adaptive Protection では、機械学習を使用して、最も効果的なデータ損失防止 (DLP) 保護制御を動的に使用して最も重要なリスクを特定して軽減し、セキュリティチームの貴重な時間を節約しながら、データセキュリティを向上させます。 Adaptive Protection は、DLP ポリシーによって提供される機能に対して、検出された危険なアクションに関連する予防オプションを拡張および管理することで、リスク軽減を高めるのに役立ちます。

Adaptive Protection は、次を使用して、これらの潜在的なリスクを軽減するのに役立ちます。

コンテキスト対応の検出。コンテンツとユーザーアクティビティの両方を ML 主導で分析することで、最も重要なリスクを特定するのに役立ちます。
動的コントロール。リスクの高いユーザーに効果的な制御を適用し、他のユーザーが生産性を維持するのに役立ちます。
自動化された軽減策。潜在的なデータセキュリティインシデントの影響を最小限に抑え、管理者のオーバーヘッドを減らすのに役立ちます。

Adaptive Protection は、インサイダーリスク管理の機械学習モデルによって定義および分析されたリスクレベルに基づいて、ユーザーに適切な DLP ポリシーを動的に割り当てます。この新機能により、静的 DLP ポリシーはユーザーコンテキストに基づいてアダプティブになり、データ共有のブロックなどの最も効果的なポリシーがリスクの高いユーザーにのみ適用され、リスクの低いユーザーは生産性を維持できます。ポリシー制御は常に調整されるため、ユーザーのリスクレベルが変更されると、新しいリスクレベルに合わせて適切なポリシーが動的に適用されます。

重要

現在、インサイダーリスク管理は、Azure サービスの依存関係によってサポートされている地理的リージョンと国でホストされているテナントで利用できます。 organizationでインサイダーリスク管理ソリューションがサポートされていることを確認するには、「国/リージョン別の Azure 依存関係の可用性」を参照してください。

アダプティブ保護が、organizationの最も重要なリスクを特定して軽減する方法の概要については、次のビデオをご覧ください。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータセキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンスポータルのトライアルハブで今すぐ開始してください。サインアップと試用期間の詳細については、こちらをご覧ください。

リスクレベルと予防管理

Adaptive Protection を使用すると、管理者は、organizationのニーズに基づいて、カスタマイズ可能なリスクレベルのリスク要因またはアクティビティを構成できます。 Adaptive Protection のリスクレベルは、ユーザーのリスク要因と分析情報に基づいて継続的かつ自動的に更新されるため、ユーザーのデータセキュリティリスクが増減すると、それに応じてリスクレベルが調整されます。 DLP ポリシーは、リスクレベルに基づいて、管理者によって構成された適切なレベルの予防制御 (ブロック、オーバーライドによるブロック、警告など) を自動的に適用します。

Adaptive Protection で割り当てられたインサイダーリスク管理ポリシーに応じて、さまざまな基準 (ユーザー、グループ、インジケーター、しきい値など) を使用して、該当するリスクレベルを決定します。リスクレベルは、特定のユーザーアクティビティのインスタンスの数だけでなく、ユーザーの分析情報に基づいています。分析情報は、アクティビティの合計数と、これらのアクティビティの重大度レベルの計算です。

たとえば、ユーザー A のリスクレベルは、リスクの可能性のあるアクティビティを 3 回以上実行するユーザー A によって決定されません。ユーザー A のリスクレベルは、アクティビティの合計数の分析情報によって決定され、リスクスコアは、選択したポリシーで構成されたしきい値に基づいてアクティビティに割り当てられます。

リスクレベル

Adaptive Protection のリスクレベルは、ユーザーのアクティビティのリスクを定義し、実行した流出アクティビティの数や、アクティビティが重大度の高いインサイダーリスクアラートを生成したかどうかなどの条件に基づいて行うことができます。これらのリスクレベルには組み込みのリスクレベル定義がありますが、これらの定義は必要に応じてカスタマイズできます。

高いリスクレベル: これは最も高いリスクレベルです。これには、重大度の高いアラートを持つユーザー、特定のリスクアクティビティに対する重大度の高いアラートを持つ少なくとも 3 つのシーケンス分析情報を持つユーザー、または 1 つ以上の確認済みの重大度の高いアラートが組み込まれています。
中程度のリスクレベル: 中程度のリスクレベルには、重大度が中程度のアラートを持つユーザーまたは重大度の高いスコアの少なくとも 2 つのデータ流出アクティビティを持つユーザーの組み込み定義が含まれます。
マイナーリスクレベル: 最も低いリスクレベルには、重大度の低いアラートを持つユーザーまたは重大度スコアの高い少なくとも 1 つのデータ流出アクティビティを持つユーザーの組み込み定義が含まれます。

リスクレベルをユーザーに割り当てるには、分析情報の数とアクティビティに割り当てられた重大度が、リスクレベルの定義と一致している必要があります。分析情報のアクティビティの数は、1 つのアクティビティか、単一の分析情報に対して発生する複数のアクティビティです。分析情報に含まれるアクティビティの数ではなく、リスクレベル定義に対して分析情報の数が評価されます。

たとえば、Adaptive Protection に割り当てられたインサイダーリスク管理ポリシーの条件が、organization内の SharePoint サイトからのダウンロードを識別するためのスコープであるとします。ポリシーで、重要度が高いと判断された 1 日に SharePoint サイトから 10 個のファイルをダウンロードしたと検出された場合、これは 10 個のアクティビティイベントで構成される 1 つの分析情報としてカウントされます。このアクティビティが ユーザーに昇格されたリスクレベル を割り当てる資格を得るには、ユーザーに 2 つの追加の分析情報 (重大度が高い) が必要になります。追加の分析情報には、1 つ以上のアクティビティが含まれている場合と含まれていない場合があります。

インサイダーリスク管理アダプティブ保護のリスクレベル。

リスクレベルのカスタマイズ

カスタムリスクレベルを使用すると、organizationのニーズに基づいてリスクレベルを作成できます。リスクレベルの基準をカスタマイズし、リスクレベルがユーザーに割り当てられるタイミングを制御する条件を定義できます。

たとえば、Adaptive Protection の設定と DLP ポリシーを使用すると、小規模または中規模のリスクレベルのユーザーは、機密性の高いデータを処理するベストプラクティスに関するポリシーヒントと教育を受けることができ、時間の経過に伴う肯定的な動作の変化に影響を与え、組織のデータリスクを軽減できます。管理者は、リスクレベルが高いユーザーの場合、機密データの保存や共有をブロックするなど、最も厳格な保護制御を使用して、潜在的なデータインシデントの影響を最小限に抑えることができます。

リスクレベルの基準と条件

リスクレベルの基準と条件のカスタマイズは、次の領域に基づいて行うことができます。

ユーザーに対して生成または確認されたアラート: このオプションを使用すると、選択したインサイダーリスク管理ポリシーのユーザーに対して生成または確認されたアラートの重大度レベルに基づいて条件を選択できます。アラートの条件は加算されず、いずれかの条件が満たされた場合、リスクレベルがユーザーに割り当てられます。
特定のユーザーアクティビティ: このオプションを使用すると、検出するアクティビティの条件、その重大度、過去のアクティビティ検出期間中の毎日の出現回数を選択できます (省略可能)。ユーザーアクティビティの条件は追加的であり、すべての条件が満たされている場合にのみ、リスクレベルがユーザーに割り当てられます。

過去のアクティビティ検出

このリスクレベル設定は、Adaptive Protection が調べて、ユーザーがいずれかのリスクレベルで定義された条件を満たしているかどうかを検出する日数を決定します。既定の設定は 7 日ですが、前のアクティビティの 5 日から 30 日間を選択して、リスクレベルの条件を適用できます。この設定は、ユーザーの毎日のアクティビティに基づくリスクレベルにのみ適用され、アラートに基づくリスクレベルは除外されます。

次の例は、過去のアクティビティ検出設定とリスクレベルが対話して、ユーザーの過去のアクティビティがスコープ内であるかどうかを判断する方法を示しています。

昇格されたリスクレベル の設定: ユーザーは、重大度の高いリスクスコア (67 から 100) を持つ少なくとも 3 つのシーケンスを実行します。
過去のアクティビティ検出 設定: 3 日間

ユーザーアクティビティ	リスクレベルのスコープ内アクティビティ
ユーザーは、T-3 日、T-2 日、T-1 日に重大度の高いシーケンスを毎日 1 つ持っています	はい
ユーザーが T-3 日目に重大度の高いシーケンスを 3 つ持っている	はい
ユーザーは、T-4 日目に重大度が高いシーケンスが 1 つ、T-3 日目に重大度が高いシーケンスが 2 つあり	いいえ

リスクレベルの時間枠

このリスクレベル設定は、リスクレベルが自動的にリセットされるまでのユーザーへの割り当て期間を決定します。既定の設定は 7 日ですが、ユーザーのリスクレベルをリセットする前に 5 日から 30 日を選択できます。

リスクレベルは、次の場合にもユーザーに対してリセットされます。

ユーザーに関連付けられているアラートは無視されます
ユーザーに関連付けられているケースが解決される
リスクレベルの終了日が手動で期限切れになっている

注:

ユーザーに現在リスクレベルが割り当てられ、そのユーザーがそのリスクレベルの基準をもう一度満たしている場合、そのユーザーの定義された日数に対してリスクレベルの期間が延長されます。

Adaptive Protection のアクセス許可

DLP の内部リスク管理組み込みロールグループと役割グループの使用方法によっては、organizationの管理者、アナリスト、調査担当者のアクセス許可を更新する必要がある場合があります。

次の表では、特定の Adaptive Protection タスクに必要なアクセス許可について説明します。

タスク	必要な役割グループ
Adaptive Protection と更新の設定を構成する	インサイダーリスク管理またはインサイダーリスク管理管理者
アダプティブ保護条件を使用して DLP ポリシーを作成および管理する	次のいずれか: コンプライアンス管理者、コンプライアンスデータ管理者、 DLP コンプライアンス管理、グローバル管理者
ユーザーに割り当てられたリスクレベルの詳細を表示する	インサイダーリスク管理、インサイダーリスク管理アナリスト、またはインサイダーリスク管理調査官

重要

役割グループの 3 つのカテゴリは、[Adaptive Protection] ページの [ リスクレベル]、[ ユーザー割り当てリスクレベル]、[ DLP ポリシー] の各タブに対応しています。適切な役割グループに割り当てられない場合、[アダプティブ保護] ページにタブは表示されません。

Microsoft Defender for Office 365と Microsoft Purview コンプライアンスの役割グループの詳細

Adaptive Protection の構成

organizationのニーズ、または現在インサイダーリスク管理と DLP を使用して構成されている場所に応じて、Adaptive Protection の使用を開始するには、次の 2 つのオプションがあります。

クイックセットアップ
カスタムセットアップ

クイックセットアップ

クイックセットアップオプションは、Adaptive Protection を使い始める最速の方法です。このオプションでは、既存のインサイダーリスク管理や DLP ポリシーは必要ありません。また、設定や機能を事前に構成する必要はありません。 organizationに、インサイダーリスク管理または DLP をサポートする現在のサブスクリプションまたはライセンスがない場合は、クイックセットアッププロセスを開始する前に、Microsoft Purview リスクとコンプライアンスソリューションの試用版にサインアップしてください。

はじめに、コンプライアンスポータルのホームページまたは DLP 概要ページの Adaptive Protection カードから [アダプティブ保護を 有効にする ] を選択します。また、Insider リスク管理>のアダプティブ保護>ダッシュボード>のクイックセットアップに移動して、クイックセットアップ プロセスを開始することもできます。

注:

既に Microsoft Purview のスコープ管理者である場合は、クイックセットアップを有効にすることはできません。

Adaptive Protection のクイックセットアッププロセスを使用する場合に構成される内容を次に示します。

領域	構成
インサイダーリスク設定 (まだ構成されていない場合)	- プライバシー: 匿名化されたバージョンのユーザー名を表示する - ポリシー期間: 既定値 - ポリシーインジケーター: Office インジケーターのサブセット (インサイダーリスク管理設定で表示できます) - リスクスコアブースター: すべて - インテリジェント検出: アラートボリューム = 既定のボリューム - 分析: オン - 管理通知: すべてのユーザーに対して最初のアラートが生成されたときに通知メールを送信する
インサイダーリスク設定 (既に構成されている場合)	- ポリシーインジケーター: Office インジケーターがまだ構成されていません (インサイダーリスク管理設定で表示できます)。 - 以前に構成したその他の設定はすべて更新または変更されません。 - 分析: オン (ポリシー内のイベントをトリガーするためのしきい値は、Analytics の推奨事項によって決定される既定の設定です)。
新しいインサイダーリスクポリシー	- ポリシーテンプレート: データリーク - ポリシー名: Insider Risk Management のアダプティブ保護ポリシー - ユーザーとグループのポリシースコープ: すべてのユーザーとグループ - 優先度のコンテンツ: なし - イベントのトリガー: 選択した流出イベント (インサイダーリスク管理設定で表示できます) - ポリシーインジケーター: Office インジケーターのサブセット (インサイダーリスク管理設定で表示できます) - リスクスコアブースター: アクティビティは、その日のユーザーの通常のアクティビティを上回っています
Adaptive Protection のリスクレベル	- 高いリスクレベル: ユーザーは、重大度の高い流出シーケンスを少なくとも 3 つ持っている必要があります - 中程度のリスクレベル: ユーザーには、少なくとも 2 つの重大度の高いアクティビティが必要です (一部の種類のダウンロードを除く) - マイナーリスクレベル: ユーザーは、重大度の高いアクティビティを少なくとも 1 つ持っている必要があります (一部の種類のダウンロードを除く)
2 つの新しい DLP ポリシー	エンドポイント DLP のアダプティブ保護ポリシー - 昇格されたリスクレベルルール: ブロック - 中程度または軽微なリスクレベルルール: 監査 - ポリシーはテストモードで開始されます (監査のみ) Teams と Exchange DLP のアダプティブ保護ポリシー - 昇格されたリスクレベルルール: ブロック - 中程度または軽微なリスクレベルのルール: 監査 - ポリシーはテストモードで開始されます (監査のみ)

クイックセットアッププロセスが開始されると、分析が完了するまでに最大 72 時間かかる場合があり、関連するインサイダーリスク管理と DLP ポリシーが作成され、適応型保護リスクレベルと DLP アクションが該当するユーザーアクティビティに適用されることがわかります。クイックセットアッププロセスが完了すると、管理者は通知メールを受け取ります。

カスタムセットアップ

カスタムセットアップオプションを使用すると、Adaptive Protection 用に構成されたインサイダーリスク管理ポリシー、リスクレベル、DLP ポリシーをカスタマイズできます。このオプションを使用すると、インサイダーリスク管理と DLP の間の Adaptive Protection 接続を実際に有効にする前に、これらの項目を構成することもできます。ほとんどの場合、このオプションは、インサイダーリスク管理や DLP ポリシーが既に設定されている組織で使用する必要があります。

カスタムセットアップを使用して Adaptive Protection を構成するには、次の手順を実行します。

手順 1: インサイダーリスク管理ポリシーを作成する

Adaptive Protection で割り当てられたポリシーがユーザーアクティビティを検出するか、次の手順で定義したリスクレベルの条件に一致するアラートを生成すると、リスクレベルがユーザーに割り当てられます。既存のインサイダーリスク管理ポリシー (手順 2 で選択) を使用しない場合は、新しいインサイダーリスク管理ポリシーを作成する必要があります。 Adaptive Protection のインサイダーリスク管理ポリシーには、次のものが含まれている必要があります。

アクティビティを検出するユーザー。これは、organization内のすべてのユーザーとグループ、または特定のリスク軽減シナリオまたはテスト目的のサブセットです。
アクティビティのリスクスコアに影響を与える危険なしきい値とカスタムしきい値を考慮するアクティビティ。危険なアクティビティには、organization外のユーザーにメールを送信したり、USB デバイスにファイルをコピーしたりする場合があります。

[ インサイダーリスクポリシーの作成 ] を選択して、新しいポリシーウィザードを起動します。データリークポリシーテンプレートはウィザードで自動的に選択されますが、必要に応じて任意のポリシーテンプレートを選択できます。

重要

選択したポリシーテンプレートによっては、リスクの高い可能性のあるアクティビティを適切に検出し、該当するアラートを作成するために、ポリシーの追加設定を構成する必要がある場合があります

手順 2: リスクレベルの設定を構成する

[ アダプティブ保護] タブの [リスクレベル ] を選択します。まず、Adaptive Protection に使用するインサイダーリスク管理ポリシーを選択します。これは、手順 1 で作成した新しいポリシー、または既に構成した既存のポリシーのいずれかです。

次に、該当する組み込みのリスクレベルの条件を受け入れるか、独自の条件を作成します。選択したポリシーの種類に応じて、リスクレベルの条件には、ポリシーで構成したインジケーターとアクティビティに関連付けられている該当する条件が反映されます。

たとえば、データリークポリシーテンプレートに基づいてポリシーを選択した場合、組み込みのリスクレベルの条件の選択は、そのポリシーで使用できるインジケーターとアクティビティに適用されます。セキュリティポリシー違反ポリシーテンプレートに基づいてポリシーを選択した場合、組み込みのリスクレベルの条件は、そのポリシーで使用できるインジケーターとアクティビティに自動的にスコープ設定されます。

ポリシーのリスクレベルをカスタマイズするには、次の手順を実行します。

[アダプティブ保護のリスクレベル] タブで、カスタマイズするリスクレベル (昇格、モデレート、マイナー) の [編集] を選択します。
[ カスタムリスクレベル ] ウィンドウで、[ リスクレベルに基づく ] セクションでオプションを選択します。
- ユーザーに対して生成または確認されたアラート
- 特定のユーザーアクティビティ
[ユーザーに対して生成または確認されたアラート] オプションを選択した場合は、このリスクレベルを使用するユーザーに対して生成または確認されたアラートの重大度レベルを選択します。 生成されたアラートの重大度と、確認されたアラート条件の重大度を保持するか、これらの条件のいずれかを使用する場合は、これらの条件のいずれかを削除できます。これらの条件のいずれかを再度追加する必要がある場合は、[ 条件の追加 ] を選択し、条件を選択します。条件ごとに、条件に適用する重大度レベル (高、中、低) を選択します。 いずれかの条件が満たされた場合、リスクレベルがユーザーに割り当てられます。
[特定のユーザーアクティビティ] オプションを選択した場合は、検出するアクティビティ、その重大度、過去のアクティビティ検出期間中の毎日の出現回数を選択します。このリスクレベルの検出期間中の アクティビティ、 アクティビティの重大度、および アクティビティの発生 を構成する必要があります。

[アクティビティ] 条件では、関連するポリシーで構成されたインジケーターで定義したアクティビティの種類に対して、選択できるオプションが自動的に更新されます。必要に応じて、[ 上記の条件が満たされていない場合でも、将来のアラートが確認されたユーザーにこのリスクレベルを割り当てる ] チェックボックスをオンにします。 すべての条件が満たされると、リスクレベルがユーザーに割り当てられます。

[ アクティビティの重大度 ] 条件に、毎日のアクティビティ分析情報に含まれるアクティビティの重大度レベルを指定します。オプションは High、 Medium、 Low で、リスクスコア範囲に基づいています。

[ 検出中のアクティビティの出現回数] 条件では、指定した 過去のアクティビティ 検出期間内に選択したアクティビティを検出する必要がある回数を指定します。この数は、アクティビティに対して発生する可能性があるイベントの数とは関係ありません。たとえば、ユーザーが SharePoint から 1 日に 20 個のファイルをダウンロードし、20 個のイベントで構成される 1 日のアクティビティ分析情報としてカウントすることをポリシーで検出した場合です。
[ 確認] を選択してカスタムリスクレベルの条件を適用するか 、[キャンセル] を選択 して変更を破棄します。

ユーザーが複数のポリシーのスコープ内にある場合のリスクレベルの割り当て方法

ユーザーが複数のポリシーのスコープ内にある場合、ユーザーが異なる重大度レベルのアラートを受信した場合、既定では、ユーザーには受信した最高の重大度レベルが割り当てられます。たとえば、ユーザーが重大度の高いアラートを受け取った場合に、昇格されたリスクレベルを割り当てるポリシーを考えてみましょう。ユーザーがポリシー 1 から重大度が低いアラート、ポリシー 2 から重大度が中程度のアラート、ポリシー 3 から重大度が高いアラートを受け取った場合、ユーザーには昇格されたリスクレベル (受信したアラートの重大度が最も高いレベル) が割り当てられます。

検出するには、選択したポリシーにリスクレベルの条件が存在する必要があることに注意してください。たとえば、[ USB にコピー ] アクティビティを選択して中程度のリスクレベルを割り当てるが、選択した 3 つのポリシーのうちの 1 つだけでアクティビティが選択されている場合、その 1 つのポリシーのアクティビティのみが、そのアクティビティに対して中程度のリスクレベルを割り当てます。

手順 3: DLP ポリシーを作成または編集する

次に、既存の DLP ポリシーを作成 (または編集) して、Adaptive Protection のリスクレベルの条件に一致するユーザーのアクションを制限します。 DLP ポリシー構成には、次のガイドラインを使用します。

DLP ポリシーには、 Adaptive Protection is condition のユーザーのリスクレベル を含める必要があります。この DLP ポリシーには、必要に応じて他の条件を含めることができます。
DLP ポリシーには他の場所を含めることができますが、Adaptive Protection では現在、Exchange、Microsoft Teams、デバイスのみがサポートされています。

[ DLP ポリシーの作成 ] を選択して DLP ポリシーウィザードを起動し、新しい DLP ポリシーを作成します。 Adaptive Protection 用に構成する既存の DLP ポリシーがある場合は、コンプライアンスポータルの [データ損失防止>ポリシー] に移動し、Adaptive Protection 用に更新する DLP ポリシーを選択します。新しい DLP ポリシーを構成する方法、または Adaptive Protection 用の既存の DLP ポリシーを更新する方法のガイダンスについては、「データ損失防止のアダプティブ保護の詳細: 手動構成」を参照してください。

ヒント

DLP ポリシー (ポリシーヒント付き) をテストして、DLP アラートを確認して、AP を有効にする前にポリシーが期待どおりに動作していることを確認できるようにすることをお勧めします。

手順 4: アダプティブ保護を有効にする

前の 3 つの手順をすべて完了したら、Adaptive Protection を有効にする準備が整いました。アダプティブ保護を有効にすると、次の手順が実行されます。

インサイダーリスク管理ポリシーは、リスクレベルの条件に一致するユーザーアクティビティの検索を開始します。検出された場合、リスクレベルがユーザーに割り当てられます。
リスクレベルが割り当てられているユーザーは、Adaptive Protection の [ スコープ内のユーザー ] タブに表示されます。
DLP ポリシーは、DLP ポリシーに含まれるリスクレベルに割り当てられているすべてのユーザーに対して保護アクションを適用します。
DLP ポリシーは、Adaptive Protection (プレビュー) の [DLP ポリシー] タブに追加されます。 DLP ポリシーの詳細を表示し、ダッシュボードからポリシーの条件を編集できます。

アダプティブ保護を有効にするには、[ アダプティブ保護の設定 ] タブを選択し、[ アダプティブ保護の有効化] を [オン] に切り替えます。アダプティブ保護のリスクレベルと、該当するユーザーアクティビティに適用される DLP アクションが表示されるまでに、最大 36 時間かかる場合があります。

Microsoft Mechanics チャネルで次のビデオを見て、 Adaptive Protection がユーザーの計算されたデータセキュリティリスクレベルに基づいてデータ保護の強度を自動的に調整する方法を確認します。

アダプティブ保護を管理する

Adaptive Protection を有効にし、インサイダーリスク管理と DLP ポリシーを構成すると、ポリシーメトリック、現在のスコープ内ユーザー、および現在スコープ内のリスクレベルに関する情報にアクセスできるようになります。

ダッシュボード

[クイック] または [カスタム] のいずれかのセットアッププロセスを完了すると、Adaptive Protection (プレビュー) の [ダッシュボード] タブに、DLP ポリシーとユーザーリスクレベルに関する概要情報のウィジェットが表示されます。

DLP ポリシー: Adaptive Protection 用に構成された DLP ポリシーの数と、DLP ポリシーの現在スコープ内のユーザー数を表示します。
ユーザー割り当てリスクレベル: 各リスクレベル (リスクの昇格、中程度の リスク、 マイナーリスク) のユーザー数を表示します。

インサイダーリスク管理 Adaptive Protection ダッシュボード。

ユーザー割り当てリスクレベル

Adaptive Protection でリスクレベルが割り当てられているユーザーは、[ ユーザー割り当て済みのリスクレベル ] タブに表示されます。ユーザーごとに次の情報を確認できます。

ユーザー: organizationのインサイダーリスク管理設定で [匿名化されたバージョンのユーザー名を表示する] オプションが選択されていない限り、ユーザー名を一覧表示します。このオプションを選択すると、匿名化されたユーザー名が表示されます。

重要

参照整合性を維持するために、アラートまたはアクティビティを持つ Adaptive Protection のユーザーがインサイダーリスク管理の外部に表示される場合、ユーザー名の匿名化 (オンになっている場合) は保持されません。実際のユーザー名は、関連する DLP アラートとアクティビティエクスプローラーに表示されます。
リスクレベル: ユーザーに割り当てられている現在のリスクレベル。
ユーザーに割り当てられている: ユーザーにリスクレベルが割り当てられた後に経過した日数または月数。
リスクレベルのリセット: ユーザーのリスクレベルが自動的にリセットされるまでの日数。

ユーザーのリスクレベルを手動でリセットするには、ユーザーを選択し、[ 期限切れ] を選択します。このユーザーにはリスクレベルが割り当てられなくなりました。このユーザーの既存のアラートまたはケースは削除されません。このユーザーが選択したインサイダーリスク管理ポリシーに含まれている場合、トリガーイベントが検出されると、リスクレベルが再び割り当てられます。
アクティブなアラート: ユーザーの現在のインサイダーリスク管理アラートの数。
違反として確認されたケース: ユーザーに対して確認されたケースの数。
大文字と小文字: 大文字と小文字の名前。

必要に応じて、 リスクレベルでユーザーをフィルター処理できます。

インサイダーリスク管理 Adaptive Protection ユーザー。

特定のユーザーの詳細なインサイダーリスクと Adaptive Protection 情報を表示するには、ユーザーを選択してユーザーの詳細ウィンドウを開きます。詳細ウィンドウには、 ユーザープロファイル、 ユーザーアクティビティ、 アダプティブ保護の概要の 3 つのタブが含まれています。 [ユーザープロファイル] タブと [ユーザーアクティビティ] タブの詳細については、「ユーザーの詳細を表示する」を参照してください。

[Adaptive Protection の概要] タブでは、次の 3 つのセクションの情報が集計されます。

アダプティブ保護: このセクションでは、ユーザーの現在の リスクレベル、 割り当てられたリスクレベル、および リスクレベルのリセットに 関する情報を表示します。
スコープ内の DLP ポリシー (動的): このセクションでは、ユーザーの現在スコープ内のすべての DLP ポリシーと、ポリシーの開始日と終了日が表示されます。これは、ユーザーのリスクレベルと、リスクレベルの DLP ポリシー構成に基づいています。たとえば、ユーザーにインサイダーリスク管理ポリシーの 昇格された リスクレベルとして定義されているアクティビティがあり、昇格 された リスクレベル条件で 2 つの DLP ポリシーが構成されている場合、この 2 つの DLP ポリシーがユーザーに対してここに表示されます。
Adaptive Protection のインサイダーリスクポリシー: このセクションでは、ユーザーが現在スコープ内にあるインサイダーリスク管理ポリシーを表示します。

インサイダーリスク管理 Adaptive Protection ユーザーの詳細。

DLP ポリシー

[DLP ポリシー] ページには、アダプティブ保護にユーザーのリスクレベルが条件として使用されているすべての DLP ポリシーが表示されます。ポリシーごとに次の情報を確認できます。

ポリシー名: DLP ポリシーの名前。
ポリシーの状態: ポリシーの現在の状態。値は アクティブ または 非アクティブです。
ポリシーの場所: DLP ポリシーに含まれる場所。現在、Adaptive Protection は Exchange、Teams、デバイスのみをサポートしています。
含まれるリスクレベル: アダプティブ保護にユーザーのリスクレベルを使用する DLP ポリシーに含まれる リスクレベルは条件です 。オプションは、昇格、中レベル、またはマイナー リスクレベルです。
ポリシーの状態: DLP ポリシーの現在の状態。オプションは [オン] または [通知ありのテスト] です。
作成日: DLP ポリシーが作成された日付。
最終更新日: DLP ポリシーが最後に編集された日付。

インサイダーリスク管理 Adaptive Protection DLP ポリシー。

リスクレベルの設定を調整する

リスクレベルを持つユーザーを確認した後、リスクレベルが割り当てられているユーザーが多すぎる、または少なすぎる場合があります。次の 2 つの方法を使用して、ポリシー構成を調整して、リスクレベルが割り当てられているユーザーの数を減らすか、増やすことができます。

インサイダーリスクレベルの設定を変更します。しきい値を調整して、ユーザーにリスクレベルを割り当てることができます。
- リスクレベルを割り当てるために必要なアクティビティの重大度を増減します。たとえば、リスクレベルのユーザーが少なすぎる場合は、アクティビティまたはアラートの重大度を減らすことができます。
- リスクレベルが特定のユーザーアクティビティに基づいている場合は、検出期間中に発生するアクティビティを増減します。たとえば、リスクレベルを持つユーザーが少なすぎると、アクティビティの発生を減らすことができます。
- リスクレベルの基準を変更します。たとえば、リスクレベルを持つユーザーが多すぎる場合、ユーザーの数を減らすには、アラートが確認された場合にのみリスクレベルを割り当てることができます。
ポリシーのしきい値を変更します。リスクレベルはポリシー検出に基づいて割り当てられるため、ポリシーを変更することもできます。これにより、リスクレベルを割り当てる要件が変更されます。ポリシーを変更するには、重大度の高い/中低のアクティビティとアラートにつながるポリシーのしきい値を増減します。

アダプティブ保護を無効にする

アダプティブ保護を一時的に無効にする必要がある場合があります。アダプティブ保護を無効にするには、[ アダプティブ保護の設定 ] タブを選択し、[ アダプティブ保護の有効化] を [オフ] に切り替えます。

有効でアクティブになった後に Adaptive Protection がオフになっている場合、リスクレベルはユーザーに割り当てられなくなるし、DLP と共有され、ユーザーのすべての既存のリスクレベルがリセットされます。 Adaptive Protection をオフにした後、ユーザーアクティビティへのリスクレベルの割り当てを停止し、すべてリセットするまでに最大 6 時間かかる場合があります。インサイダーリスク管理と DLP ポリシーは自動的に削除されません。

インサイダーリスク管理 Adaptive Protection を有効にします。

適応型保護を使用してリスクを動的に軽減できるようにする (プレビュー)