インサイダー リスク管理ユーザー ダッシュボードを使用してワークフローを管理する

重要

Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

[ユーザー] ダッシュボードは、インサイダー リスク管理ワークフローの重要なツールであり、調査担当者やアナリストがリスク アクティビティをより完全に理解するのに役立ちます。 このダッシュボードには、インサイダー リスク管理ポリシーの作成とインサイダー リスク管理ケースの管理の間の管理ニーズを満たすビューと管理機能が用意されています。

ユーザーがインサイダー リスク管理ポリシーに追加されると、バックグラウンド プロセスによって 、インジケーターをトリガーするためのユーザー アクティビティが自動的に評価されます。 トリガー インジケーターが存在すると、ユーザー アクティビティにリスク スコアが割り当てられます。 これらのアクティビティの中には、インサイダー リスク アラートが発生する場合もありますが、一部のアクティビティが最小リスク スコア レベルを満たしていない場合があり、インサイダー リスク アラートは作成されません。 [ユーザー] ダッシュボードでは、これらの種類のインジケーターとリスク スコアを持つユーザーと、アクティブなインサイダー リスク アラートを持つユーザーを表示できます。

次のシナリオでユーザー ダッシュボードにユーザーが表示される方法の詳細を確認します。

• アクティブなインサイダー リスク ポリシー アラートを持つユーザー
• トリガー イベントを持つユーザー
• 影響の大きい可能性があるユーザーまたは優先度の高いユーザー グループ内のユーザー
• ポリシーに一時的に追加されたユーザー

ヒント

Microsoft Security Copilotの使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のMicrosoft Security Copilotの詳細については、こちらをご覧ください。

アクティブなインサイダー リスク ポリシー アラートを持つユーザー

[ユーザー] ダッシュボードには、アクティブなインサイダー リスク ポリシー アラートを持つすべてのユーザーが自動的に表示されます。 アラートを持つこれらのユーザーには、トリガー インジケーターと、インサイダー リスク アラートを作成するための要件を満たすアクティビティ リスク スコアの両方があります。 これらのユーザーのアクティビティは、[ユーザー] ダッシュボード でユーザーを選択し、[ ユーザー アクティビティ ] タブに移動して表示されます。

トリガー イベントを持つユーザー

[ユーザー] ダッシュボードには、トリガー イベントを持つすべてのユーザーが自動的に表示されますが、インサイダー リスク アラートを作成するアクティビティ リスク スコアはありません。 たとえば、報告された辞任日を持つユーザーは、このアクティビティはトリガーイベントですが、リスク スコアを持つアクティビティではないので表示されます。 これらのユーザーのアクティビティは、[ユーザー] ダッシュボード でユーザーを選択し、[ ユーザー アクティビティ ] タブに移動して表示されます。

ポリシーに一時的に追加されたユーザー

[ユーザー] ダッシュボードには、インサイダー リスク管理ワークフローの外部で異常なイベントが発生した後に、インサイダー リスク管理ポリシーに追加されたユーザーが含まれます。 (ポリシー ダッシュボードから) ユーザーを一時的に追加することも、必要なコネクタが構成されていない場合でも、ポリシーをテストするためのインサイダー リスク管理ポリシーのユーザー アクティビティのスコア付けを開始する方法です。

ユーザーがポリシーに手動で追加されると、過去 90 日間のユーザー アクティビティがスコア付けされ、[ユーザー アクティビティ] タイムラインに追加されます。 たとえば、現在、ユーザーにインサイダー リスク ポリシーのリスク スコアが割り当てられず、ユーザーにデータ リーク アクティビティがorganizationの法務部門に報告されているとします。 法務部門では、ユーザーの新しい短期的な検出要件を構成することをお勧めします。 指定された期間 (アクティブ化期間) に、ユーザーを データ リーク ポリシーに一時的に割り当てることができます。 トリガー イベントの要件は免除されるため、一時的に追加されたすべての ユーザーが [ユーザー] ダッシュボード に表示されます。

注意

新しい手動で追加されたユーザーが [ ユーザー] ダッシュボードに表示されるまでに数時間かかる場合があります。 これらのユーザーの過去 90 日間のアクティビティは、表示に最大 24 時間かかることがあります。 手動で追加したユーザーのアクティビティを表示するには、[ ユーザー] ダッシュボード でユーザーを選択し、詳細ウィンドウの [ ユーザー アクティビティ ] タブを開きます。

ユーザーは [ ユーザー] ダッシュボード から自動的に削除され、[ アクティブ化] ウィンドウ で定義されている時間が次の場合に期限切れになるとスコアリングが停止します。

• ユーザーには、追加のトリガー イベントやインサイダー リスク ポリシー アラートがありません。
• 手動で定義された アクティブ化ウィンドウ 期間がグローバル ポリシーの アクティブ化期間 期間よりも長い場合。

有効期間が最も長い アクティブ化ウィンドウ の設定は、常に有効期間が短い アクティブ化ウィンドウ の設定をオーバーライドします。 たとえば、インサイダー リスク管理のグローバル設定の [グローバル ポリシー期間] タブの [アクティブ化] ウィンドウを 15 日間構成しました。これは、すべてのインサイダー リスク ポリシーに自動的に適用されます。

データ 漏洩インサイダー リスク ポリシーにユーザーを一時的に追加し、このユーザーのアクティブ化ウィンドウとして 30 日間を定義します。 一時的に追加されたユーザーに対して アクティブ化ウィンドウ の設定を 30 日に定義することで、15 日間のグローバル アクティブ化ウィンドウ 設定がオーバーライドされます。 一時的に追加されたユーザーは 、[ ユーザー] ダッシュボード に残り、ポリシーのスコープ内に 30 日間表示されます。

一時的に追加されたユーザーに対して定義されているアクティブ化ウィンドウの設定よりもグローバルなアクティブ化ウィンドウの設定が長い逆のシナリオでは、一時的に追加されたユーザーのアクティブ化ウィンドウ設定がグローバルアクティブ化ウィンドウ設定よりも優先されます。 一時的に追加されたユーザーは 、[ユーザー] ダッシュボード に残り、グローバル なアクティブ化ウィンドウ 設定で定義された日数のポリシーのスコープ内になります。

[ユーザー] ダッシュボードでユーザー情報を表示する

[ユーザー] ダッシュボードに表示される各 ユーザー には、次の情報があります。

• ユーザー: ユーザーのユーザー名。 インサイダー リスク管理のグローバル匿名化設定が有効になっている場合、このフィールドは匿名化されます。
• アラートの重大度レベル: ユーザーの現在の計算されたリスク レベル。 このスコアは 24 時間ごとに計算され、ユーザーに関連付けられているすべてのアクティブなアラートからのアラート リスク スコアを使用します。 トリガー インジケーターのみを持つユーザーの場合、アラートの重大度レベルは 0 です。
• アクティブなアラート: すべてのポリシーのアクティブなアラートの数。
• [確認された違反]: ユーザーに対して 確認済みのポリシー違反 として解決されたケースの数。
• ケース: ユーザーの現在のアクティブなケース。

特定のユーザーをすばやく見つけるには、[ユーザー] ダッシュボードの右上にある [検索 ] を使用します。 ユーザーを検索するときは、ユーザー プリンシパル名 (UPN) を使用する必要があります。 たとえば、organizationで 'thidayah' の UPN を持つ "Tiara Hidayah" という名前のユーザーを検索する場合は、検索で "thidayah" または UPN の一部を入力します。

注意

[ユーザー] ダッシュボードに表示されるユーザーの数は、アクティブなアラートと一致するポリシーの量によっては、一部のインスタンスで制限される場合があります。 アクティブなアラートを持つユーザーは、アラートが生成されると [ユーザー] ダッシュボード に表示され、表示されるユーザーの最大数に達する場合はまれな場合があります。 この制限が発生した場合、アクティブなアラートが表示されていないユーザーは、既存のユーザー アラートがトリアージされると 、[ユーザー] ダッシュボード に追加されます。

ユーザーの詳細を表示する

ユーザーのリスク アクティビティの詳細を表示するには、[ユーザー] ダッシュボードでユーザーをダブルクリックしてユーザーの詳細ウィンドウを開 きます。 詳細ウィンドウで、次の情報を表示できます。

• [ユーザー プロファイル ] タブ

  • 名前とタイトル: Microsoft Entra IDからのユーザーの名前と位置のタイトル。 インサイダー リスク管理のグローバル匿名化設定が有効になっている場合、これらのユーザー フィールドは匿名化されるか、空になります。
  • ユーザーの詳細: ユーザーが影響の大きい可能性のあるユーザーとして識別されているか、ユーザーが優先度の高いユーザー グループに含まれているかをListsします。
  • アラートとアクティビティの概要: アクティブなユーザー アラートとオープン ケースをListsします。
  • ユーザーの電子メール: ユーザーのアドレスEmail。
  • エイリアス: ユーザーのネットワーク エイリアス。
  • 組織または部署: ユーザーの組織または部門。
  • スコープ内: ポリシーへのユーザーのスコープ内割り当てをListsします。

• [ユーザー アクティビティ ] タブ

  • 最近のユーザー アクティビティの履歴: 過去 90 日間までのリスク アクティビティのトリガー インジケーターとインサイダー リスク インジケーターの両方をListsします。 インサイダー リスク インジケーターに関連するすべてのリスク アクティビティもスコア付けされますが、アクティビティによってインサイダー リスク アラートが生成された場合と生成されていない可能性があります。 トリガーインジケーターの例としては、ユーザーの辞任日または最終スケジュールされた作業日が考えられます。 インサイダー リスク インジケーターは、リスクの要素があると判断されたアクティビティであり、セキュリティ インシデントにつながる可能性があり、ユーザーが含まれているポリシーで定義されます。 イベントとリスクのアクティビティは、最初に一覧表示された最新の項目と共に一覧表示されます。

Copilot を使用してユーザー アクティビティを集計する (プレビュー)

ユーザーの詳細ウィンドウ で [Copilot で集計 ] を選択すると、さらに調査が必要になる可能性があるユーザーのアクティビティをすばやく要約できます。 Microsoft Purview でMicrosoft Copilotを使用してユーザー リスク アクティビティを集計すると、画面の右側に Copilot ウィンドウが表示され、ユーザーの概要が表示されます。

ユーザーの概要には、ユーザー名、タイトル、ユーザー プリンシパル名、アラートとケース履歴、上位のリスク要因などの重要な詳細が含まれます。 最も重要なリスク要因は、ユーザー ロール、アクセス許可、流出アクティビティへの関与、シーケンシャル パターン、または異常な動作に関する重要な分析情報を提供します。 このビューは、organizationに最も高いインサイダー リスクをもたらす可能性があるユーザーを特定するのに役立ちます。

概要をさらに絞り込み、ユーザーに関連付けられているアクティビティに関する追加の分析情報を提供するために、推奨されるプロンプトが自動的に一覧表示されます。 次の推奨されるプロンプトから選択します。

• このユーザーに関連するすべてのデータ流出アクティビティを一覧表示します。
• このユーザーが関係するすべてのシーケンシャル アクティビティを一覧表示します。
• ユーザーは異常な動作に関与しましたか?
• 過去 10 日間にユーザーが実行した主要なアクションを表示します。
• ユーザーの過去 30 日間のアクティビティを要約します。

ヒント

スタンドアロン バージョンのMicrosoft Security Copilotを使用して、インサイダー リスク管理、Microsoft Purview データ損失防止 (DLP)、およびMicrosoft Defender XDRアラートを調査することもできます。

スコープ内のポリシーへの割り当てからユーザーを削除する

インサイダー リスク管理ポリシーのユーザーにリスク スコアの割り当てを停止する必要があるシナリオが存在する場合があります。 [ユーザー] ダッシュボードの [ユーザーのスコアリングの停止] アクティビティを使用して、現在スコープ内にあるすべてのインサイダー リスク管理ポリシーからユーザーのリスク スコアの割り当てを停止します。 このアクションは、ポリシーの割り当て全体からユーザーを削除するのではなく (ユーザーまたはグループをポリシー構成に追加する場合)、現在のトリガー イベントの後にポリシーによるアクティブな処理からユーザーを削除するだけです。 ユーザーが将来別のトリガー イベントを持っている場合、ポリシーからのリスク スコアが自動的にユーザーに割り当て直されます。 このユーザーの既存のアラートまたはケースは削除されません。

すべてのインサイダー リスク管理ポリシーでスコープ内の状態からユーザーを削除する

現在使用しているポータルに該当するタブを選択してください。 Microsoft 365 プランによっては、Microsoft Purview コンプライアンス ポータルは廃止されるか、間もなく廃止されます。

Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. 左側のナビゲーションで [ ユーザー ] を選択します。
4. [ ユーザー] ダッシュボードで、スコアリング アクティビティを停止するユーザーを選択します。
5. [ ユーザーのスコアリング アクティビティの停止] を選択します。

コンプライアンス ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用してコンプライアンス ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. [ユーザー] タブを選択します。
4. [ ユーザー] ダッシュボードで、スコアリング アクティビティを停止するユーザーを選択します。
5. [ ユーザーのスコアリング アクティビティの停止] を選択します。

注意

スコープ内の状態からユーザーを削除する場合、数分かかる場合があります。 完了すると、ユーザーは [ ユーザー] ダッシュボードに表示されません。 削除されたユーザーにアクティブなアラートまたはケースがある場合、ユーザーは [ユーザー] ダッシュボード に残り、ユーザーの詳細にはポリシーのスコープ内にないことを示します。

ユーザーの Power Automate フローを使用して自動タスクを実行する

推奨される Power Automate フローを使用すると、リスク調査担当者やアナリストは、インサイダー リスク ポリシーに追加されたときにユーザーに通知するためのアクションをすばやく実行できます。

インサイダー リスク管理ユーザー向けの Power Automate フローを実行、管理、作成するには、次の手順を実行します。

1. ユーザー アクション ツール バーの [ 自動化 ] を選択します。
2. 実行する Power Automate フローを選択し、[ フローの実行] を選択します。
3. フローが完了したら、[完了] を選択 します。

インサイダー リスク管理のための Power Automate フローの詳細については、「 インサイダー リスク管理設定の概要」を参照してください。