重要
Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。
インサイダー リスク管理のデータは、次の方法で共有できます。
- アラート情報を SIEM ソリューションにエクスポートします。
- アラートとユーザー リスクの重大度レベルをMicrosoft Defender XDRで共有します。
- データ損失防止 (DLP) アラートを使用して、ユーザー リスクの重大度レベルを共有します。
アラート情報を SIEM ソリューションにエクスポートする
Microsoft Purview インサイダー リスク管理アラート情報は、Office 365 Management Activity API スキーマを使用して、セキュリティ情報とイベント管理 (SIEM) ソリューションとセキュリティ オーケストレーション自動応答 (SOAR) ソリューションにエクスポートできます。 Office 365管理アクティビティ API を使用して、organizationがインサイダー リスク情報の管理または集計に使用する可能性がある他のアプリケーションにアラート情報をエクスポートできます。 アラート情報はエクスポートされ、Office 365管理アクティビティ API を介して 60 分ごとに使用できます。
ヒント
Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。
organizationがMicrosoft Sentinelを使用している場合は、すぐに使用できるインサイダー リスク管理データ コネクタを使用して、インサイダー リスク アラート情報をインポートしてMicrosoft Sentinelすることもできます。 詳細については、Microsoft Sentinel記事の「Insider Risk Management」を参照してください。
重要
Microsoft 365 やその他のシステムでインサイダー リスク アラートやケースを持つユーザーの参照整合性を維持するために、エクスポート API を使用する場合や、Microsoft Purview eDiscovery ソリューションへのエクスポート時に、エクスポートされたアラートに対してユーザー名の匿名化は保持されません。 エクスポートされたアラートには、この場合の各アラートのユーザー名が表示されます。 アラートまたはケースから CSV ファイルにエクスポートする場合、匿名化 は 保持されます。
API を使用してインサイダー リスク アラート情報を確認する
- Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
- ページの右上隅にある [設定] を選択します。
- [Insider Risk Management]\(インサイダー リスク管理\) を選択して、インサイダー リスク管理の設定に移動します。
- [ アラートのエクスポート] を選択します。 既定では、この設定は Microsoft 365 organizationで無効になっています。
- 設定を [オン] にします。
- SecurityComplianceAlerts で一般的なOffice 365監査アクティビティをフィルター処理します。
- InsiderRiskManagement カテゴリで SecurityComplianceAlerts をフィルター処理します。
アラート情報には、Office 365 Management Activity API セキュリティおよびコンプライアンス アラート スキーマ) と共通スキーマからの情報が含まれています。 共通スキーマのインサイダー リスク管理アラートには、次のフィールドと値がエクスポートされます。
- UserId
- ID
- RecordType
- CreationTime
- 操作
- OrganizationId
- UserType
- UserKey
アラートの重大度レベルを他の Microsoft セキュリティ ソリューションと共有する
インサイダー リスク管理からアラートの重大度レベルを共有して、次の Microsoft セキュリティ ソリューションのアラート調査エクスペリエンスに固有のユーザー コンテキストを提供できます。
インサイダー リスク管理は、90 日から 120 日間のユーザー アクティビティを分析し、その期間の異常な動作を探します。 このデータを他のセキュリティ ソリューションに追加すると、アナリストがアラートの優先順位を付けるのに役立つ、これらのソリューションで使用できるデータが強化されます。
ヒント
インサイダー リスク管理のアラート重大度レベルは、Adaptive Protection で定義されているインサイダー リスク レベルとは異なります。
- アラートの重大度レベル (低、中、高) は、インサイダー リスク管理ポリシーで検出されたアクティビティに基づいてユーザーに割り当てられます。 これらのレベルは、ユーザーに関連付けられているすべてのアクティブなアラートに割り当てられたアラート リスク スコアに基づいて計算されます。 これらのレベルは、インサイダー リスク アナリストや調査担当者がユーザー アクティビティに優先順位を付け、それに応じて対応するのに役立ちます。
- Adaptive Protection のインサイダー リスク レベル (昇格、中程度、またはマイナー) は、ユーザーが 1 日に実行する流出アクティビティの数や、アクティビティによって重大度の高いインサイダー リスク アラートが生成されたかどうかなど、管理者が定義した条件によって決定されるリスクの尺度です。
前提条件
インサイダー リスク管理のユーザー リスク レベルを他の Microsoft セキュリティ ソリューションと共有するには、ユーザーは次の手順を実行します。
- インサイダー リスク管理ポリシーの一部である必要があります。
- ユーザーをポリシーのスコープに取り込む流出アクティビティを実行している必要があります。
- (DLP と共有する場合): DLPアラートのアクセス許可が必要です。 [データ共有] 設定を有効にすると、DLP アラートのアクセス許可を持つユーザーは、DLP アラートの調査と [Microsoft Defender XDR ユーザー] ページのインサイダー リスク管理コンテキストにアクセスできます。 インサイダー リスク管理のアクセス許可を持つユーザーは、このデータにアクセスすることもできます。
- (コミュニケーション コンプライアンスと共有する場合): コミュニケーション コンプライアンス のユーザー リスクの重大度レベルとアクティビティ履歴を表示するには、 コミュニケーション コンプライアンス アナリスト または コミュニケーション コンプライアンス調査担当者 ロールを割り当てる必要があります。
ヒント
Microsoft Purview や Microsoft Defender で DLP アラートにアクセスできる場合は、それらのソリューションと共有されているインサイダー リスク管理からユーザー コンテキストを表示できます。
他の Microsoft セキュリティ ソリューションとデータを共有する
1 つの設定を有効にすることで、インサイダー リスク管理アラートの重大度レベルを他の Microsoft セキュリティ ソリューションと共有できます。
- インサイダー リスク管理設定で、[ データ共有 ] 設定を選択します。
- [ 他の Microsoft セキュリティ ソリューションとデータを共有 する] セクションで、設定をオンにします。
注:
この設定をオンにしない場合、[DLP アラート のインサイダー リスクの重大度 ] 列に表示される値は "ユーザー データは使用できません" であり、コミュニケーション コンプライアンスでは "Insider Risk Activity not available" と表示されます。
インサイダー リスク管理アラートの重大度レベルを共有するとどうなりますか?
Microsoft Defender XDR
Microsoft Defender ポータルでアラート データを共有することは、organizationの機密情報を保護し、セキュリティを維持するために不可欠です。 セキュリティ オペレーション センター (SOC) アナリストは、次のことができます。
- Microsoft Defenderアラート キュー内のインサイダー リスク管理アラートを調査します。
- Microsoft Defender XDR インシデント キュー内のデータ損失防止、Microsoft Defender for Identity、Office 用Microsoft Defenderなど、他の検出ソースからのアラートと関連付けられたインサイダー リスク管理アラートを調査します。
- インサイダー リスク管理アラート データを含む 2 つの新しいテーブルに対して 高度なハンティング クエリ を実行します。
- Microsoft Graph APIを使用して、豊富なインサイダー リスク管理アラート データをエクスポートします。
- アラートトリアージ中に、ユーザーのインサイダー リスク管理の重大度を表示します。 インサイダー リスク管理で高、中、または低のリスク レベルを持つユーザーの [ユーザー] ページに、[Insider risk severity]\(インサイダー リスクの重大度\) フィールドが追加されます。 このデータは、アクティブなインサイダー リスク管理アラートを持つすべてのユーザーが利用できます。 [ユーザー] ページの右側に、そのユーザーのインサイダー リスク アクティビティの概要とアクティビティのタイムラインが表示されます。
Office 365管理アクティビティ API から Microsoft Graph API への移行
インサイダー リスク管理アラート メタデータは、Office 365管理アクティビティ API を通じて使用できます。 ただし、Graph APIは、より豊富なメタデータと双方向のサポートを提供します。 Graph APIに移行して、インサイダー リスク管理データをエンタープライズ システムと統合することをお勧めします。
次の表は、最も一般的なOffice 365管理アクティビティ API パラメーターと同等の Microsoft Graph API パラメーターをまとめたものです。
Office 365管理アクティビティ API パラメーター | Microsoft Graph API パラメーター |
---|---|
Alert パラメーター | 同等のパラメーターがありません |
AlertId | ID |
カテゴリ | ServiceSource |
注釈 | 同等のパラメーターがありません |
データ | Evidence.useraccount.userPrincipalName(サフィックスと共に) |
名前 | AlertPolicyName |
PolicyId | AlertPolicyId |
重要度 | 重要度 |
ソース | DetectionSource |
状態 | 状態 |
バージョン | 同等のパラメーターがありません |
スキーマ マッピングの詳細については、Office 365管理アクティビティ API と Microsoft Graph APIのDefender XDR スキーマに関するページを参照してください。
Insider Risk Management と ServiceNow セキュリティ運用の統合
ServiceNow は、Microsoft Graph を使用して Microsoft セキュリティ テクノロジと接続するための統合を提供します。 これらのソリューションには、Microsoft Sentinel、Microsoft Defender Advanced Threat Protection、Azure Advanced Threat Protection が含まれます。 この統合により、Microsoft 製品から貴重な分析情報にアクセスでき、ServiceNow プラットフォームを使用してセキュリティ インシデントを一元的に管理して対応するのに役立ちます。 インサイダー リスク管理アラート データは、Microsoft Graph セキュリティ API を介して Microsoft Purview 環境の外部にアクセスされます。
インサイダー リスク管理アラート データを ServiceNow と共有するには、次の手順を実行します。
- セキュリティ操作の Microsoft Graph Security API アラート インジェスト統合を取得する
- ServiceNow ドキュメントに従って、Microsoft Graph Security APIアラート インジェスト統合のプロファイルを設定または作成します。
詳細については、「Microsoft Defender ポータルでインサイダー リスクの脅威を調査する」を参照してください。
コミュニケーション コンプライアンス アラート
通信コンプライアンス ポリシーが一致するたびに、送信者に関連付けられているユーザー リスクの重大度を表示できます。 アラートの通信の [ ユーザー アクティビティ ] タブで、この情報を表示します。 このビューでは、 インサイダー リスク管理 とコミュニケーション コンプライアンスによってキャプチャされたリスク プロファイル、ポリシーの一致、およびユーザー アクティビティが提供されます。
重大度レベルは、 高、 中、 低、または なしとして分類されます。
[ なし] のリスク重大度レベルの場合、次のいずれかのシナリオが原因である可能性があります。
- ユーザーはインサイダー リスク ポリシーに含まれていません。
- ユーザーのアクティビティにはリスク スコアが割り当てられていません。つまり、ユーザーがポリシーのアクティブなスコープに含まれていないことを意味します。
- ユーザーはインサイダー リスク管理ポリシーに含まれていますが、危険なアクティビティには関与していません。
- organizationには、アクティブなインサイダー リスク管理ポリシーがありません。
ユーザー リスクの重大度が利用できない場合、データ共有はインサイダー リスク管理から有効になりません。
インサイダー リスク管理の [ユーザー履歴] タブの [詳細の表示] セクションで、インサイダー リスク アクティビティを最大 120 日間表示できます。 現在、流出 インジケーター からのデータのみが、コミュニケーション コンプライアンスのユーザー アクティビティの概要に表示されます。
DLP アラート
DLP アラートに関連付けられているインサイダー リスク管理ポリシーの場合、高、中、低、または None の値を持つ Insider リスク重大度列が DLP アラート キューに追加されます。 ポリシーに一致するアクティビティを持つ複数のユーザーがある場合は、インサイダー リスク レベルが最も高いユーザーが表示されます。
None の値は、次のいずれかを意味します。
ユーザーはインサイダー リスク管理ポリシーの一部ではありません。
ユーザーはインサイダー リスク管理ポリシーの一部ですが、ポリシーのスコープに自分自身を取り込むための危険なアクティビティを行っていません (流出データはありません)。
DLP アラート キュー内のインサイダー リスク レベルを選択すると、[ユーザー アクティビティの概要] タブにアクセスできます。このタブには、過去 90 日から 120 日間のすべての流出アクティビティのタイムラインが表示されます。 DLP アラート キューと同様に、[ ユーザー アクティビティの概要 ] タブには、インサイダー リスク レベルが最も高いユーザーが表示されます。 ユーザーが過去 90 日から 120 日間に行ったことに関するこの深いコンテキストは、そのユーザーが提示するリスクの広いビューを提供します。
流出インジケーターからのデータのみがユーザー アクティビティの概要に表示されます。 HR、閲覧などの他の機密インジケーターからのデータは、DLP アラートと共有されません。
[アクターの詳細] セクションが [DLP アラートの詳細] ページに追加されます。 このページを使用すると、特定の DLP アラートに関連 するすべての ユーザーを表示できます。 DLP アラートに関係する各ユーザーについて、過去 90 日から 120 日間のすべての流出アクティビティを表示できます。
DLP アラートで [Security Copilotから概要を取得する] を選択した場合、Microsoft Security Copilotによって提供されるアラートの概要には、ユーザーがインサイダー リスク管理ポリシーのスコープ内にある場合、DLP の概要情報に加えてインサイダー リスク管理の重大度レベルが含まれます。
ヒント
Security Copilotを使用して DLP アラートを調査することもできます。 インサイダー リスク管理 の [データ共有 ] 設定が有効になっている場合は、DLP/Insider リスク管理の調査を組み合わせて行うことができます。 たとえば、まず Copilot に DLP アラートの要約を依頼してから、アラートにフラグが設定されたユーザーに関連付けられているインサイダー リスク レベルを表示するように Copilot に依頼します。 または、ユーザーがリスクの高いユーザーと見なされる理由を確認することもできます。 この場合のユーザー リスク情報は、インサイダー リスク管理から取得されます。 Security Copilotは、内部リスク管理と DLP をシームレスに統合して、調査を支援します。 DLP/Insider リスク管理の調査を組み合わせたスタンドアロン バージョンの Copilot の使用について詳しく説明します。