Microsoft Defender for Cloud Apps アクティビティ ポリシーを作成する

アクティビティポリシーを使用すると、アプリプロバイダーの API を使用して幅広い自動プロセスを適用できます。 これらのポリシーでは、さまざまなユーザーが実行する特定のアクティビティを監視したり、予想外に実行率の高い特定種類のアクティビティを追跡したりできます。

アクティビティ検出ポリシーを設定すると、アラートの生成が開始されます。アラートは、ポリシーの作成後に発生するアクティビティに対してのみ生成されます。

Note

  • 1 日あたり 200,000 件を超える一致、または 3 時間あたり 100,000 件を超える一致をトリガーするポリシーは、自動的に無効になる場合があります。 フィルタを追加してポリシーを調整してみるか、レポート目的でポリシーを使用している場合は、代わりにポリシーをクエリとして保存することを検討してください。
  • 新しいポリシーの設定からデプロイまで、最大で 15 分かかる場合があります。

カスタム アラート

アクティビティ ポリシーを使用すると、ユーザー アクティビティが検出されたときに、カスタム アラートを送信したり、アクションを実行したりできます。 たとえば、次のようなことをその都度知ることができます。

  • ユーザーが 1 分間に 70 回サインインしようとして失敗した
  • ユーザーが 7,000 個のファイルをダウンロードした
  • ユーザーが見慣れない国やリージョンからログインしている

これらのイベントが発生したら、自分自身またはユーザーに送信されるようにアクティビティ アラートを設定することができます。 起きたことの調査が終了するまで、ユーザーによる使用を一時停止させることもできます。

新しいアクティビティ ポリシーを作成するには、次の手順を実行します。

  1. Microsoft Defender ポータルの [Cloud Apps] で [ポリシー ->[ポリシー管理] に移動します。 次に、[脅威の検出] タブを選択します。

  2. [ポリシーの作成] をクリックしてから [アクティビティ ポリシー] を選択します。

    脅威検出ポリシーを作成します。

  3. ポリシーの名前と説明を入力します。この場合、ポリシー テンプレートを使用することもできます。ポリシー テンプレートの詳細については、「Control cloud apps with policies (ポリシーによるクラウド アプリの制御)」を参照してください。

  4. このポリシーをトリガーするアクションまたはその他のメトリックを設定するには、アクティビティ フィルターを使用します。

    指定したフィルター フィールドに値がある結果のみを含めるようにするには、is set テストを使用して同じフィールドを再度追加することをお勧めします。 たとえば、指定した国やリージョンの一覧を [場所] [次に等しくない] でフィルター処理する場合、[場所] [が設定されている] のフィルターも追加します。 [結果の編集とプレビュー] を選択して、フィルター結果をプレビューすることもできます。 次に例を示します。

    場所フィールドが設定されていることを示すフィルター設定のスクリーンショット。

    フィルターが [次と等しくない] に設定され、属性がイベントに存在しない場合、イベントはフィルター処理されません。たとえば、デバイス タグが Microsoft Entra ハイブリッド参加済みと等しくないでフィルター処理した場合、デバイスが Microsoft Entra 参加済みであっても、デバイス タグを含まないイベントは除外されません。

    ゲスト ユーザーの場合、[グループからのユーザー] フィルターでアカウントがドメインによって認識されない場合があります。 すべてのゲスト ユーザーが含まれていることを確認するには、ポリシーのニーズを満たしている場合は、グループとして [外部ユーザー] を使用します。

  5. [ポリシーのフィルターの作成] で、ポリシー違反がトリガーされるタイミングを選択します。 1 つのアクティビティがフィルターと一致したらトリガーするか、または指定した数の反復アクティビティが検出されたときにだけトリガーするかを選択します。

    • 反復アクティビティを選択する場合は、[1 つのアプリで] を設定できます。 これを設定すると、反復アクティビティが同じアプリで起きた場合にのみ、ポリシー一致がトリガーされます。 たとえば、Box から 30 分以内に 5 回ダウンロードが行われると、ポリシー一致がトリガーされます。
  6. 一致が検出された場合に実行する [アクション] を設定します。

以下で例を見ていきます。

  • 複数回失敗したログイン

    短い期間内に多数のログイン失敗が発生したらアラートを受け取るように、ポリシーを設定できます。 この種のポリシーを構成するには、[New Activity Policy]\(新しいアクティビティ ポリシー\) ページで適切なアクティビティ フィルターを選択します。

    [アクティビティ フィルター] フィールドの下で、アラートがトリガーされるパラメーターを設定します。

    複数回失敗したサインイン試行に対するポリシーの例。

  • 高いダウンロード率

    ダウンロード アクティビティが予想を上回るまたは通常レベルを超える場合にアラートを受け取るようにポリシーを設定できます。 この種のポリシーを構成するには、[Rate]\(レート\) パラメーターで、アラートをトリガーするパラメーターを選択します。

    高いダウンロード率の例。

アクティビティ ポリシーの参照

このセクションでは、ポリシーについての参照の詳細、各ポリシーの種類についての説明、ポリシーごとに構成できるフィールドを示します。

アクティビティ ポリシーは API ベースのポリシーであり、クラウドでの組織のアクティビティを監視することができます。 ポリシーでは、デバイスの種類や場所など、20 を超えるファイル メタデータ フィルターが考慮されます。 このポリシーの結果に基づいて、通知を生成し、ユーザーが一時的にクラウド アプリケーションを使用できないようにすることができます。 各ポリシーは、次の部分で構成されます。

  • アクティビティ フィルター – メタデータに基づいた詳細の条件を作成できます。

  • アクティビティ一致パラメーター - アクティビティが何回繰り返されるとポリシーに一致したと見なされるかのしきい値を設定できます。 ポリシーに一致するために必要な反復アクティビティの回数を指定します。 たとえば、ユーザーが 2 分以内にログインの試行を 10 回失敗したらアラートする、といったポリシーを設定します。 デフォルトでは、アクティビティ一致パラメーター は、すべてのアクティビティ フィルターを満たす単一のアクティビティごとに一致を生成します。

    • [反復アクティビティ] を使用すると、反復アクティビティの回数と、アクティビティがカウントされる時間枠を設定できます。 また、すべてのアクティビティが同じユーザーによって同じクラウド アプリ内で実行される必要があることも指定できます。
  • アクション - 違反が検出された場合に自動的に適用される一連のガバナンス アクションをポリシーに設定します。

次のステップ

問題が発生した場合は、私たちがお手伝いいたします。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。