データ損失防止レポート機能の説明

  • 7 分

データ損失防止ポリシーを作成した後、管理者は、運用環境での DLP ポリシーのパフォーマンスを確認し、監視する必要があります。 これは、ユーザーの生産性への影響を最小限に抑えつつ、ポリシーに準拠した状態を維持するために、組織にとって重要な繰り返しタスクです。

DLP アクティビティ エクスプローラーとレポート

DLP ページの [アクティビティ エクスプローラー] タブには、DLP イベントの表示に使用できる複数のフィルターがあります。 このツールを使用して、機密情報を含むコンテンツやラベルが適用されたコンテンツに関連するアクティビティ (どのラベルが変更されたか、どのファイルが修正されたか、ルールに一致したかなど) を確認します。

これらの事前構成済みフィルターを使用して、アクティビティ エクスプローラーで過去 30 日間の DLP 情報を表示できます。

  • エンドポイント DLP アクティビティ
  • 機密情報の種類を含むファイル
  • エグレス アクティビティ
  • アクティビティを検出した DLP ポリシー
  • アクティビティを検出した DLP ポリシー ルール
この情報を表示するには このアクティビティを選択する
ユーザーのオーバーライド DLP ルールを元に戻す
DLP ルールに一致する項目 DLP ルールに一致

DLP レポートにアクセスするために、PowerShell および Security & Compliance PowerShell モジュールを使用できます。

  1. 次のように Security & Compliance PowerShell モジュールに接続します。

    Connect-IPPSSession

  2. Export-ActivityExplorerData コマンドレットを使用して、Microsoft 365 Purview コンプライアンス ポータルの [データ分類] > [アクティビティ エクスプローラー] からアクティビティをエクスポートします。 -StartTime-EndTime パラメーターを使用して、目的の時間範囲を指定します。 -OutputFormat パラメーターを設定して、JSON や CSV などの出力形式を選択します。 次に例を示します。

    Export-ActivityExplorerData -StartTime "06/24/2023 00:00 AM" -EndTime "06/25/2023 00:00 AM" -OutputFormat JSON

Export-ActivityExplorerData コマンドレットの詳細については、以下を参照してください。

コンテキストの概要

アクティビティ エクスプローラーの DLPRuleMatch イベントでクレジット カード番号など、一致したコンテンツを囲むテキストを確認できます。 これを行うには、まず、高度な分類スキャンと保護を有効にする必要があります。

DLPRuleMatch イベントは、ユーザー アクティビティ イベントと対になっています。 アクティビティ エクスプローラーでは、それらはすぐ隣りにある (または少なくとも非常に近くにある) はずです。 ユーザー アクティビティ イベントには、一致したポリシーに関する詳細が含まれ、DLPRuleMatch イベントには、一致したコンテンツを囲むテキストに関する詳細が含まれているため、両方を確認する必要があります。

エンドポイントの場合は、Windows 10 デバイスに KB5016688 を、Windows 11 以上のデバイスに KB5016691 を適用していることを確認します

詳細については、「アクティビティ エクスプローラーの概要」を参照してください

Microsoft Defender for Cloud Apps ダッシュボードでのデータ損失防止アラート

DLP アラートのレポートは、Defender for Cloud Apps のダッシュボードから参照することも可能です。 このレポートには、DLP カテゴリに含まれるすべての Defender for Cloud Apps ポリシーのアラートと一致が表示されています。 各アラートまたは一致を選択すると、次の情報を得ることができます。

  • 機密情報の種類
  • 機密情報の場所
  • アラートを発生させているポリシー
  • ポリシーの一致をトリガーしているユーザー
  • 一致したファイルをセキュリティで保護するために実行されたアクション

Screenshot of alerts screen example.

Defender for Cloud Apps の DLP アラートのレポートは、Defender for Cloud Apps ポリシーのアラートの概要を参照するために使用できます。 Defender for Cloud Apps 側で作成したポリシーのオプションとスコープは、Microsoft Purview コンプライアンス ポータルで作成した Defender for Cloud Apps のポリシーとは異なるため、両方のダッシュボードのアラートに注意することをお勧めします。