重要
Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 Insider Risk Management を使用すると、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。
Insider Risk Management ポリシーを開始する前に、organizationのコンプライアンス ニーズに最適な Insider Risk Management 設定を理解して選択することが重要です。 Insider Risk Management 設定は、ポリシーの作成時に選択したテンプレートに関係なく、すべての Insider Risk Management ポリシーに適用されます。
注:
Insider Risk Management ページの上部にある [設定] を使用して、設定を変更します。
次の表では、各 Insider Risk Management 設定について説明し、設定の詳細を確認するためのリンクを示します。
| 設定 | 説明 |
|---|---|
| プライバシー | アラートとケースのすべての現在および過去のポリシーの一致に対して、ユーザー名または匿名化されたバージョンのユーザー名を表示するかどうかを選択します。 |
| ポリシー インジケーター | 各 Insider Risk Management ポリシー テンプレートは、特定のトリガーとリスク アクティビティに対応する特定のインジケーターに基づいています。 既定では、すべてのグローバル インジケーターが無効になっています。 Insider Risk Management ポリシーを構成するには、1 つ以上のインジケーターを選択する必要があります。 インジケーター レベルの設定は、organizationのリスク イベントの発生回数がリスク スコアにどのように影響するかを制御するのに役立ちます。 |
| 検出グループ | さまざまなユーザー セットの検出を調整する場合は、[ 検出グループ ] 設定を使用して、組み込みのインジケーターのバリエーションを作成します。 検出グループを作成すると、誤検知を減らすことができます。 |
| グローバル除外 | [グローバル除外] 設定を使用して、Insider Risk Management ポリシーによってスコア付けされないグローバル除外を指定します。 |
| ポリシー期間 | [ポリシー期間] 設定を使用すると、Insider Risk Management ポリシー テンプレートのイベントとアクティビティに基づいて、ポリシーの一致後にトリガーされる過去と将来のレビュー期間を定義できます。 |
| インテリジェントな検出 | [インテリジェント検出] 設定を使用して、異常なダウンロード アクティビティのスコアを向上させ、アラートの量を制御し、Microsoft Defender for Endpointアラートをインポートおよびフィルター処理し、リスク スコアリング用に許可されていないドメインとサードパーティドメインを指定します。 |
| アラートをエクスポートする | Insider Risk Management アラート情報は、Office 365 Management Activity API スキーマを使用して、セキュリティ情報とイベント管理 (SIEM) ソリューションとセキュリティ オーケストレーション自動応答 (SOAR) ソリューションにエクスポートできます。 Office 365管理アクティビティ API を使用して、organizationがインサイダー リスク情報の管理または集計に使用する可能性がある他のアプリケーションにアラート情報をエクスポートできます。 |
| データの共有 | データ共有設定を使用して、次のいずれかを実行します。1) Office 365 Management アクティビティ API スキーマを使用して内部リスク管理アラート情報を SIEM ソリューションにエクスポートします。2) Microsoft Defenderと DLP アラートを使用して Insider Risk Management ユーザー リスク レベルを共有します。 |
| 優先度の高いユーザー グループ | organizationのユーザーの位置、機密情報へのアクセスのレベル、またはリスク履歴に応じて、異なるレベルのリスクが発生する可能性があります。 これらのユーザーのアクティビティの調査とスコア付けを優先すると、organizationに対してより高い結果をもたらす可能性がある潜在的なリスクに対するアラートを生成するのに役立ちます。 [優先度ユーザー グループ] 設定を使用して、詳細な検査とより機密性の高いリスク スコアリングを必要とするユーザーをorganizationで定義します。 |
| 物理資産の優先順位 (プレビュー) | 優先度の高い物理資産へのアクセスを識別し、アクセス アクティビティをユーザー イベントに関連付けるのは、コンプライアンス インフラストラクチャの重要なコンポーネントです。 これらの物理資産は、会社の建物、データ センター、サーバー ルームなど、organization内の優先順位の場所を表します。 インサイダー リスク アクティビティは、通常とは異なる時間に作業するユーザー、これらの未承認の機密領域またはセキュリティで保護された領域へのアクセス、正当なニーズのない高レベルエリアへのアクセス要求に関連付けられている可能性があります。 |
| Power Automate フロー (プレビュー) | Microsoft Power Automateは、アプリケーションとサービス間のアクションを自動化するワークフロー サービスです。 テンプレートからのフローを使用するか、手動で作成することで、これらのアプリケーションとサービスに関連付けられている一般的なタスクを自動化できます。 Insider Risk Management の Power Automate フローを有効にすると、ケースとユーザーの重要なタスクを自動化できます。 Power Automate フローを構成して、ユーザー、アラート、ケースの情報を取得し、この情報を利害関係者や他のアプリケーションと共有したり、ケース ノートへの投稿などの Insider Risk Management でのアクションを自動化したりできます。 Power Automate フローは、ポリシーのスコープ内のケースと任意のユーザーに適用されます。 |
| Microsoft Teams (プレビュー) | コンプライアンス アナリストと調査担当者が Teams を使用して Insider Risk Management ケースで共同作業できるように、Microsoft Teamsサポートを有効にすることができます。 Teams を使用して次の手順を実行します。 - プライベート Teams チャネルのケースの対応アクティビティを調整および確認する - 個々のケースに関連するファイルと証拠を安全に共有して保存する - アナリストや調査担当者による対応アクティビティを検出して確認する |
| 分析 | Insider リスク分析では、インサイダー リスク ポリシーを構成することなく、組織内の潜在的なインサイダー リスクの評価を行うことができます。 この評価は、organizationがユーザー リスクの高い潜在的な領域を特定するのに役立ち、構成を検討する可能性がある Insider Risk Management ポリシーの種類と範囲を決定するのに役立ちます。 |
| 管理通知 |
管理通知設定を使用して、選択可能な Insider Risk Management ロール グループに電子メール通知を自動的に送信します。 次の操作を行うことができます: - 新しいポリシーに対して最初のアラートが生成されたときに通知メールを送信する - 新しい重大度の高いアラートが生成されたときに、毎日の電子メールを送信する - 警告が未解決のポリシーをまとめた週単位のメールを送信する |
| インライン アラートのカスタマイズ | インライン アラートのカスタマイズを使用すると、アラートを確認しながら 、アラート ダッシュボード から直接 Insider Risk Management ポリシーをすばやく調整できます。 リスク管理アクティビティが関連ポリシーで構成されたしきい値を満たしている場合、アラートが生成されます。 この種類のアクティビティから取得するアラートの数を減らすには、しきい値を変更するか、ポリシーからリスク管理アクティビティを完全に削除します。 |
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview トライアル ハブ で今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。