検出グループと組み込みインジケーターのバリエーションを作成してインサイダー リスク管理の除外を微調整する (プレビュー)
重要
Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。
Microsoft Purview インサイダー リスク管理は、すぐに使用できるインジケーターの数十を提供しています。 ただし、インサイダー リスクの検出は、organization内のすべてのユーザーに対して、万能ソリューションではない可能性があります。 インサイダー リスク管理ポリシーの [インテリジェント検出] 設定 を使用して、特定のアクティビティがポリシーによってスコア付けされないように グローバルに 除外できます。 ただし、これらの除外は、テナント内で作成するすべてのポリシーのすべてのトリガーとインジケーターに適用されます。 検出グループとバリアントを使用すると、組織は組み込みのインサイダー リスク インジケーターを変更し、さまざまなユーザー セットの検出を調整できます。 たとえば、電子メール アクティビティの誤検知の数を減らすために、organization組み込みインジケーターの外部にある受信者に添付ファイルを含む電子メールを送信するインジケーターのバリエーションを作成して、個人ドメインに送信されたメールのみを検出できます。
検出グループを作成し、組み込みのインジケーターバリアントと共に使用するための全体的なプロセス
検出グループを作成し、それをバリアントと共に使用するには、次の 4 つの手順が含まれます。
- この記事の説明に従って、検出グループを作成します。 バリアントを作成するときに、この検出グループを選択します。
- バリアントを作成します。
- 新しいポリシーまたは既存のポリシーでバリアントを使用します。
- バリアントで指定されたアクティビティに関連するアラートを確認します。
検出グループを作成する
組み込みのインジケーターのバリアントを作成するには、まず検出グループを作成します。 検出グループを使用すると、組み込みのインジケーターをスコープダウンして、organizationにとって重要な価値の高いアクティビティに焦点を当てるのに役立ちます。
すべてのポリシー インジケーターには、そのインジケーターに適用できる特定の検出の種類が含まれています。 たとえば、SharePoint ファイルを organization インジケーターの外部のユーザーと共有する場合、検出の種類の 1 つはドメインです。 SharePoint ファイルを共有するときは、ファイルを共有するドメインを選択します。 すべてのインジケーターに同じ検出の種類があるわけではありません。 たとえば、ドメインは SharePoint ファイルを organization インジケーターの外部のユーザーと共有する検出の種類ですが、その場合は適用されないため、[ファイルの作成または USB へのコピー] インジケーターの検出の種類ではありません。
インサイダー リスク管理では、現在、次の 7 種類の検出がサポートされています。
- ドメイン
- ファイルのパス
- ファイルの種類
- キーワード
- 機密情報の種類
- SharePoint サイト
- トレーニング可能な分類子
ヒント
検出グループを作成するときに、グループの種類の入門テキストで [ 適用可能なインジケーターの表示 ] リンクを選択することで、特定の検出に適用可能なすべてのインジケーターを表示できます。
次の手順では、グループの種類ごとに検出グループを作成する方法を示します。
ドメイン検出グループを作成する
インサイダー リスク管理設定で、[ 検出グループ (プレビュー)] を選択します。
右側のパネルの [ 種類] で、[ドメイン] を選択 します。
右側のパネルで、[ 新しいドメイン グループ] を選択します。
[ 新しいドメイン グループ ] ウィンドウで、グループの名前 (または推奨される名前をそのまま使用) と説明 (省略可能) を追加します。
[ ドメインの追加] フィールドに ドメインを入力し、Enter キーを押します。 同じ方法でドメインを追加し続けるか、追加するドメインの長い一覧がある場合は、[ CSV ファイルからドメインをインポートする] を選択して CSV ファイルとしてインポートできます。 追加したドメインがウィンドウの下部に表示されます。 最大 10 個のドメイン検出グループを作成でき、各グループには最大 200 個の項目を含めることができます。
注:
ルート ドメインに複数レベルのサブドメインを指定するには、[ 複数レベルのサブドメインを含める ] チェック ボックスをオンにし、ドメインを追加し、Enter キーを押してドメインを一覧に追加します。 そのドメインに含まれるサブドメインはすべて含まれます。 同じプロセスを繰り返してドメインを追加し、完了したら [ ドメインの追加 ] を選択します。
ヒント
ワイルドカードを使用すると、ルート ドメインまたはサブドメインのバリエーションに一致させることができます。 たとえば、sales.wingtiptoys.com と support.wingtiptoys.com を指定するには、ワイルドカード エントリ '*.wingtiptoys.com' を使用して、これらのサブドメイン (および同じレベルの他のサブドメイン) と一致させます。
[保存] を選択します。 [ 次のステップ ] ダイアログ ボックスが表示されます。このダイアログ ボックスには、バリアントでのこの検出グループの使用が含まれます。
ファイル パス検出グループを作成する
- インサイダー リスク管理設定で、[ 検出グループ (プレビュー)] を選択します。
- 右側のパネルの [ 種類] で、[ ファイル パス] を選択します。
- 右側のパネルで、[ 新しいファイル パス グループ] を選択します。
- [ 新しいファイル パス グループ ] ウィンドウで、グループの名前 (または推奨される名前をそのまま使用) と説明 (省略可能) を追加します。
- [ ファイル パスの追加] を選択し、スコアリングから除外するファイル パスを選択し、[ 追加] を選択します。 最大 10 個のファイル パス検出グループを作成でき、各グループには最大 200 個の項目を含めることができます。
- [保存] を選択します。 [ 次のステップ ] ダイアログ ボックスが表示されます。このダイアログ ボックスには、バリアントでのこの検出グループの使用が含まれます。
ファイルの種類の検出グループを作成する
- インサイダー リスク管理設定で、[ 検出グループ (プレビュー)] を選択します。
- 右側のパネルの [ 種類] で、[ファイルの 種類] を選択します。
- 右側のパネルで、[ 新しいファイルの種類] グループを選択します。
- [ 新しいファイルの種類のグループ ] ウィンドウで、グループの名前を追加します (または、推奨される名前をそのまま使用します)、説明 (省略可能)。
- [ ファイルの種類の追加] フィールドにファイル拡張子を入力し、Enter キーを押します。 同じ方法でさらにファイル拡張子を追加し続けます。 追加した拡張機能がウィンドウの下部に表示されます。 最大 10 個のファイルの種類の検出グループを作成でき、各グループには最大 200 個の項目を含めることができます。
- [保存] を選択します。 [ 次のステップ ] ダイアログ ボックスが表示されます。このダイアログ ボックスには、バリアントでのこの検出グループの使用が含まれます。
キーワード検出グループを作成する
- インサイダー リスク管理設定で、[ 検出グループ (プレビュー)] を選択します。
- 右側のパネルの [ 種類] で、[キーワード] を選択 します。
- 右側のパネルで、[ 新しいキーワード グループ] を選択します。
- [ 新しいキーワード グループ ] ウィンドウで、グループの名前 (または推奨される名前をそのまま使用) と説明 (省略可能) を追加します。
- [キーワードの追加] フィールドにキーワード (keyword)を入力し、Enter キーを押します。 追加するキーワード (keyword)ごとに、このプロセスを繰り返します。 追加したキーワードは、ウィンドウの下部に表示されます。 最大 10 個のキーワード検出グループを作成でき、各グループには最大 200 個の項目を含めることができます。
- [保存] を選択します。 [ 次のステップ ] ダイアログ ボックスが表示されます。このダイアログ ボックスには、バリアントでのこの検出グループの使用が含まれます。
機密情報の種類の検出グループを作成する
注:
機密情報の種類の除外リストは、 優先度のコンテンツ リストよりも優先されます。
- インサイダー リスク管理設定で、[ 検出グループ (プレビュー)] を選択します。
- 右側のパネルの [ 種類] で、[機密情報の 種類] を選択します。
- 右側のパネルで、[ 新しい機密情報の種類] グループを選択します。
- [ 新しい機密情報の種類グループ ] ウィンドウで、グループの名前 (または推奨される名前をそのまま使用) と説明 (省略可能) を追加します。
- [ 機密情報の種類の追加] を選択し、スコア付けから除外する機密情報の種類を選択し、[ 追加] を選択します。 最大 10 個の機密情報の種類グループを作成でき、各グループには最大 200 個のアイテムを含めることができます。
- [保存] を選択します。 [ 次のステップ ] ダイアログ ボックスが表示されます。このダイアログ ボックスには、バリアントでのこの検出グループの使用が含まれます。
SharePoint サイト検出グループを作成する
- インサイダー リスク管理設定で、[ 検出グループ (プレビュー)] を選択します。
- 右側のパネルの [ 種類] で、[ SharePoint サイト] を選択します。
- 右側のパネルで、[ 新しい SharePoint サイト グループ] を選択します。
- [ 新しい SharePoint サイト グループ ] ウィンドウで、グループの名前 (または推奨される名前をそのまま使用) と説明 (省略可能) を追加します。
- [ サイトの追加] を選択し、スコアリングから除外する SharePoint サイトを選択し、[ 追加] を選択します。 最大 10 個の SharePoint サイト検出グループを作成でき、各グループには最大 200 個のアイテムを含めることができます。
- [保存] を選択します。 [ 次のステップ ] ダイアログ ボックスが表示されます。このダイアログ ボックスには、バリアントでのこの検出グループの使用が含まれます。
トレーニング可能な分類子検出グループを作成する
- インサイダー リスク管理設定で、[ 検出グループ (プレビュー)] を選択します。
- 右側のパネルの [ 種類] で、[ トレーニング可能な分類子] を選択します。
- 右側のパネルで、[ 新しいトレーニング可能な分類子グループ] を選択します。
- [ 新しいトレーニング可能な分類子グループ ] ウィンドウで、グループの名前 (または推奨される名前をそのまま使用) と説明 (省略可能) を追加します。
- [ トレーニング可能な分類子の追加] を選択し、スコア付けから除外するトレーニング可能な分類子を選択し、[ 追加] を選択します。 最大 10 個のトレーニング可能な分類子検出グループを作成でき、各グループには最大 200 個の項目を含めることができます。
- [保存] を選択します。 [ 次のステップ ] ダイアログ ボックスが表示されます。このダイアログ ボックスには、バリアントでのこの検出グループの使用が含まれます。
関連項目
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示