インサイダー リスク管理データを他のソリューションと共有する
重要
Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。
インサイダー リスク管理のデータは、次のいずれかの方法で共有できます。
- アラート情報を SIEM ソリューションにエクスポートする
- ユーザー リスクの重大度レベルをMicrosoft Defenderおよび Microsoft Purview データ損失防止 (DLP) アラートと共有する
アラート情報を SIEM ソリューションにエクスポートする
Microsoft Purview インサイダー リスク管理アラート情報は、Office 365 Management Activity API スキーマを使用して、セキュリティ情報とイベント管理 (SIEM) ソリューションとセキュリティ オーケストレーション自動応答 (SOAR) ソリューションにエクスポートできます。 Office 365管理アクティビティ API を使用して、organizationがインサイダー リスク情報の管理または集計に使用する可能性がある他のアプリケーションにアラート情報をエクスポートできます。 アラート情報はエクスポートされ、Office 365管理アクティビティ API を介して 60 分ごとに使用できます。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
organizationで Microsoft Sentinel を使用している場合は、すぐに使用できるインサイダー リスク管理データ コネクタを使用して、内部リスク アラート情報を Sentinel にインポートすることもできます。 詳細については、Microsoft Sentinel の記事の 「Insider Risk Management 」を参照してください。
重要
Microsoft 365 やその他のシステムでインサイダー リスク アラートやケースを持つユーザーの参照整合性を維持するために、エクスポート API を使用する場合や、Microsoft Purview eDiscovery ソリューションへのエクスポート時に、エクスポートされたアラートに対してユーザー名の匿名化は保持されません。 エクスポートされたアラートには、この場合の各アラートのユーザー名が表示されます。 アラートまたはケースから CSV ファイルにエクスポートする場合、匿名化 は 保持されます。
API を使用してインサイダー リスク アラート情報を確認する
現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
- Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
- ページの右上隅にある [設定] ボタンを選択します。
- [Insider Risk Management]\(インサイダー リスク管理\) を選択して、インサイダー リスク管理の設定に移動します。
- [ アラートのエクスポート] を選択します。 既定では、この設定は Microsoft 365 organizationで無効になっています。
- 設定を [オン] にします。
- SecurityComplianceAlerts で一般的なOffice 365監査アクティビティをフィルター処理します。
- InsiderRiskManagement カテゴリで SecurityComplianceAlerts をフィルター処理します。
アラート情報には、セキュリティとコンプライアンスの警告スキーマとOffice 365管理アクティビティ API の共通スキーマからの情報が含まれています。
次のフィールドと値は、セキュリティとコンプライアンスのアラート スキーマに関するインサイダー リスク管理アラート用にエクスポートされます。
| Alert パラメーター | 説明 |
|---|---|
| AlertType | アラートの種類は Custom です。 |
| AlertId | アラートの GUID。 インサイダー リスク管理アラートは変更可能です。 アラートの状態が変化すると、同じ AlertID を持つ新しいログが生成されます。 この AlertID を使用して、アラートの更新を関連付けることができます。 |
| カテゴリ | アラートのカテゴリは InsiderRiskManagement です。 このカテゴリを使用すると、これらのアラートを他のセキュリティおよびコンプライアンス アラートと区別できます。 |
| 注釈 | アラートの既定のコメント。 値は 、新しいアラート (アラートの作成時にログに記録) と アラートの更新 (アラート の更新がある場合にログに記録されます) です。 AlertID を使用して、アラートの更新を関連付けます。 |
| データ | アラートのデータには、ユーザーがポリシーにトリガーされたときの一意のユーザー ID、ユーザー プリンシパル名、および日付と時刻 (UTC) が含まれます。 |
| 名前 | アラートを生成したインサイダー リスク管理ポリシーのポリシー名。 |
| PolicyId | アラートをトリガーしたインサイダー リスク管理ポリシーの GUID。 |
| 重要度 | アラートの重大度。 値は High、 Medium、または Low です。 |
| ソース | アラートのソース。 値は、セキュリティ & コンプライアンスOffice 365です。 |
| 状態 | アラートの状態。 値は アクティブ (インサイダー リスクのニーズ レビュー )、 調査 (インサイダー リスクで確認) 、 解決済み (インサイダー リスクで解決) 、 却下 (インサイダー リスクで却下) です。 |
| バージョン | セキュリティとコンプライアンスの警告スキーマのバージョン。 |
次のフィールドと値は、Office 365 Management Activity API の共通スキーマに関するインサイダー リスク管理アラート用にエクスポートされます。
- UserId
- Id
- RecordType
- CreationTime
- 操作
- OrganizationId
- UserType
- UserKey
Microsoft Defenderアラートと DLP アラートを使用してユーザー リスクの重大度レベルを共有する
インサイダー リスク管理からユーザー リスクの重大度レベルを共有して、一意のユーザー コンテキストをMicrosoft Defenderおよび Microsoft Purview データ損失防止 (DLP) アラートに取り込むことができます。 インサイダー リスク管理は、90 日から 120 日間のユーザー アクティビティを分析し、その期間の異常な動作を探します。 このデータをMicrosoft Defenderおよび DLP アラートに追加すると、アナリストがアラートの優先順位を付けるのに役立つ、これらのソリューションで使用できるデータが強化されます。
インサイダー リスク管理ユーザー リスクの重大度レベルを共有するとどうなりますか?
Microsoft Defender
インサイダー リスクの重大度フィールドは、インサイダー リスク管理の高または中のインサイダー リスク レベルを持つユーザーのMicrosoft Defender DLP インシデント ページの [影響を受ける資産] セクションに追加されます。 ユーザーが内部リスクレベルが 低い 場合、[インシデント] ページには何も追加されません。 これにより、アナリストが最もリスクの高いユーザー アクティビティに集中できるように、気晴らしが最小限に抑えられます。
[影響を受ける資産] セクションでインサイダー リスク レベルを選択すると、そのユーザーのインサイダー リスク アクティビティの概要とアクティビティのタイムラインを確認できます。 最大 120 日間の分析は、アナリストがユーザーのアクティビティの全体的なリスクを判断するのに役立ちます。
[DLP ポリシーの一致] ページで DLP イベントを選択すると、[DLP ポリシーの一致] セクションに [影響を受けたエンティティ ] セクションが表示され、ポリシーに一致するすべてのユーザーが表示されます。
DLP アラート
DLP アラートに関連付けられているインサイダー リスク管理ポリシーの場合、高、中、低、または None の値を持つ Insider リスク重大度列が DLP アラート キューに追加されます。 ポリシーに一致するアクティビティを持つ複数のユーザーがある場合は、インサイダー リスク レベルが最も高いユーザーが表示されます。
None の値は、次のいずれかを意味します。
ユーザーは、インサイダー リスク管理ポリシーの一部ではありません。
ユーザーはインサイダー リスク管理ポリシーの一部ですが、ポリシーのスコープに自分自身を取り込むための危険なアクティビティを行っていません (流出データはありません)。
DLP アラート キュー内のインサイダー リスク レベルを選択すると、[ユーザー アクティビティの概要] タブにアクセスできます。このタブには、過去 90 日から 120 日間のすべての流出アクティビティのタイムラインが表示されます。 DLP アラート キューと同様に、[ ユーザー アクティビティの概要 ] タブには、インサイダー リスク レベルが最も高いユーザーが表示されます。 ユーザーが過去 90 日から 120 日間に行ったことに関するこの深いコンテキストは、そのユーザーが提示するリスクの広いビューを提供します。
流出インジケーターからのデータのみがユーザー アクティビティの概要に表示されます。 HR、閲覧など、他の機密インジケーターからのデータは、DLP アラートと共有されません。
[アクターの詳細] セクションが [DLP アラートの詳細] ページに追加されます。 このページを使用すると、特定の DLP アラートに関連 するすべての ユーザーを表示できます。 DLP アラートに関係する各ユーザーについて、過去 90 日から 120 日間のすべての流出アクティビティを表示できます。
DLP アラートの [Copilot for Securityから概要を取得する] ボタンを選択した場合、Microsoft Copilot for Securityによって提供されるアラートの概要には、ユーザーがインサイダー リスク管理ポリシーのスコープ内にある場合、DLP の概要情報に加えてインサイダー リスク管理の重大度レベルが含まれます。
ヒント
Copilot for Securityを使用して DLP アラートを調査することもできます。 インサイダー リスク管理 の [データ共有 ] 設定が有効になっている場合は、DLP/Insider リスク管理の調査を組み合わせて行うことができます。 たとえば、まず Copilot に DLP アラートの要約を依頼してから、アラートにフラグが設定されたユーザーに関連付けられているインサイダー リスク レベルを表示するように Copilot に依頼します。 または、ユーザーがリスクの高いユーザーと見なされる理由を確認することもできます。 この場合のユーザー リスク情報は、インサイダー リスク管理から取得されます。 Copilot for Securityは、内部リスク管理と DLP をシームレスに統合して、調査を支援します。 DLP/インサイダーリスク管理の調査を組み合わせたスタンドアロン バージョンの Copilot の使用の詳細
前提条件
インサイダー リスク管理のインサイダー リスク レベルをMicrosoft Defenderおよび DLP アラートと共有するには、ユーザーは次の手順を実行します。
- インサイダー リスク管理ポリシーの一部である必要があります。
- ユーザーをポリシーのスコープに取り込む流出アクティビティを実行している必要があります。
注:
Microsoft Purview や Microsoft Defender で DLP アラートにアクセスできる場合は、それらのソリューションと共有されているインサイダー リスク管理からユーザー コンテキストを表示できます。
Microsoft Defenderおよび DLP アラートを使用してデータを共有する
1 つの設定をオンにすることで、Microsoft Defenderアラートと DLP アラートの両方でインサイダー リスク管理ユーザー リスクの重大度レベルを共有できます。
- インサイダー リスク管理設定で、[ データ共有 ] 設定を選択します。
- [Microsoft Defender XDRでデータを共有する (プレビュー)] セクションで、設定をオンにします。
注:
この設定をオンにしない場合、[DLP アラートの インサイダー リスクの重大度 ] 列に表示される値は "ユーザー データは使用できません" です。
関連項目
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示