次の方法で共有

インサイダー リスク管理でアラート ボリュームを管理するためのベスト プラクティス

  • [アーティクル]

重要

Microsoft Purview Insider Risk Management は、さまざまなシグナルを関連付けて、IP の盗難、データ漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意による内部関係者のリスクを特定します。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

潜在的に危険なインサイダー アラートを確認、調査、対応することは、組織内のインサイダー リスクを最小限に抑える上で重要な部分です。 これらのリスクの影響を最小限に抑えるために迅速に行動を起こすことで、組織の時間、費用、規制や法律の影響を節約できる可能性があります。 この修復プロセスでは、アラートを確認する最初の手順が、多くのアナリストや調査担当者にとって最も困難な作業のように思える場合があります。

この記事では、組織内のアラートの量を管理するためのベスト プラクティスについて説明します。アラートの数が多すぎるか少なすぎないようにします。 アラートの生成方法とアラートを管理するためのツールの一般的な説明については、「 インサイダー リスク アクティビティの調査」を参照してください。

確認するアラートが少なすぎます

インサイダー リスク管理アラートが少なすぎる場合:

  • 設定を更新します。 設定に加えた変更は、すべてのポリシーにグローバルに適用されます。

    • その他のインジケーターを有効にする: より多くのインジケーターを選択すると、検出するアクティビティのグループが大きくなります。

      操作方法:[設定>Policy インジケーター] に移動し、使用可能で関連するすべてのインジケーターを有効にします。

    • [アラート ボリューム] スライダーを調整します。 このスライダーを使用して、重大度が中および高のすべてのアラートと、重大度が最も低いアラートを表示します。 手記: スライダーを調整すると、誤検知が増える可能性があります。

      操作方法:[設定>Intelligent detections>Alert ボリュームに移動し、スライダーを [その他のアラート] に移動します。

  • ポリシーを変更します。 十分なアラートを生成していないポリシーを特定し、次のアクションを検討します。

    • ポリシーのユーザー カバレッジを増やします 。スコープに含まれるユーザーが少ないポリシーは、アラートを生成する可能性が低くなります。 該当する場合は、ポリシーのスコープ内のユーザー数を増やすことを検討してください。

      操作方法: [ ポリシー ] ページで特定のポリシーを選択し、[ ポリシーの編集] を選択し、[ ユーザーとグループ ] ページに移動して、スコープ内ユーザーの数を増やします。

    • トリガーのしきい値を下げる:データ リーク危険なブラウザー使用状況 (プレビュー) テンプレートに基づくポリシーを使用すると、トリガーのしきい値をいくつかカスタマイズできます。 これらのしきい値は、ユーザー アクティビティの検出を開始するタイミングを定義します。 トリガーのしきい値を下げると、ユーザーが危険なアクティビティの評価を開始するための基準を下げることができます。 手記: ユーザーが [ ユーザーとグループ ] ページに表示されない場合は、トリガーイベントの条件がまだ満たされていないことを意味します。

      操作方法:[ポリシー] ページで特定のポリシーに移動し、[ポリシーの編集] を選択し、[トリガーのしきい値] ページに移動し、[カスタムしきい値を使用する] オプションを選択して、しきい値を調整します。

    • さらにインジケーターを追加します。 インジケーターは、ユーザーが危険と見なすために実行する必要があるアクティビティです。 ポリシーで多くのインジケーター (危険と見なされるアクティビティ) が選択されていない場合、アラートが生成される可能性は低くなります。

      操作方法:[ポリシー] ページで特定のポリシーに移動し、[ポリシーの編集] を選択し、[インジケーター] ページに移動して、その他のインジケーターを選択します。

    • インジケーターのしきい値を下げる: ユーザーが評価を受け始めた後 (トリガー イベントがある) と、アクティビティが危険であることを示す可能性のある特定のしきい値を超えるアクティビティを実行した場合にのみ、それらのユーザーに対してアラートが生成されます。 インジケーターのしきい値を下げると、アラートを生成するためにユーザーが超える必要があるしきい値が下がります。

      操作方法:[ポリシー] ページで特定のポリシーに移動し、[ポリシーの編集] を選択し、[インジケーターのしきい値] ページに移動し、[しきい値のカスタマイズ] オプションを選択して、しきい値を設定します。 インジケーターのしきい値に関する推奨事項について説明します

確認するアラートが多すぎます

有効なアラートが多すぎる場合、または古い低リスクアラートが多すぎる場合は、次のアクションを実行することを検討してください。

  • 分析を有効にする: 分析を有効にすると、ユーザーの潜在的なリスク領域をすばやく特定し、構成する可能性があるインサイダー リスク管理ポリシーの種類と範囲を判断するのに役立ちます。

    操作方法:[設定>Analytics] に移動します

  • リアルタイムの分析情報を取得する: しきい値の推奨事項を利用する場合は、分析からリアルタイムの分析情報を取得することもできます。 これらの分析情報は、アクティビティ発生のインジケーターとしきい値の選択を効率的に調整するのに役立ち、ポリシー アラートの数が少なすぎるか、または多すぎることがないようにします。

    操作方法:「リアルタイム分析を使用してアラート ボリュームを管理する」を参照してください。

  • ポリシーを調整する: 適切なインサイダー リスク ポリシーを選択して構成することは、アラートの種類と量に対処するための最も基本的な方法です。 適切な ポリシー テンプレート から始めると、表示されるリスク アクティビティとアラートの種類に焦点を当てるのに役立ちます。 アラートの量に影響を与える可能性があるその他の要因は、対象範囲内のユーザーとグループのサイズ、優先されるコンテンツとチャンネルです。 ポリシーを調整して、これらの領域を組織にとって最も重要なものに絞り込むことを検討してください。

    操作方法:[ポリシー] ページで特定のポリシーを選択し、[ポリシーの編集] を選択します。

  • インサイダー リスク設定を変更する: インサイダー リスク設定には、受信するアラートの量と種類に影響を与える可能性があるさまざまな構成オプションが含まれています。 アラート ノイズを除外するには、次の設定を確認して理解してください。

  • インライン アラートのカスタマイズを有効にする:インライン アラートのカスタマイズを有効にすると、アナリストや調査担当者はアラートを確認するときにポリシーをすばやく編集できます。 Microsoft の推奨事項を使用してアクティビティ検出のしきい値を更新したり、カスタムしきい値を構成したり、アラートを作成したアクティビティの種類を無視することを選択したりできます。 これが有効になっていない場合は、 Insider Risk Management ロール グループに割り当てられているユーザーのみがインライン アラートのカスタマイズを使用できます。

    操作方法:[設定>Inline アラートのカスタマイズ] に移動します

  • 該当する場合は、アラートを一括削除します。 アナリストや調査担当者が 複数のアラート をすぐに一括で無視するためのトリアージ時間を節約するのに役立つ場合があります。 一度に最大 400 個のアラートを選択して閉じることができます。

組織内のリソース制約の管理

現代の職場のユーザーは、多くの場合、さまざまな責任と時間の要求を抱えています。 リソースの制約に対処するために実行できるアクションがいくつかあります。

関連項目

インサイダー リスク管理アクティビティを調査する