データ損失防止アラート ダッシュボードの概要

Microsoft Purview データ損失防止 (DLP) ポリシーは、機密アイテムの意図しない共有を防ぐために保護措置を講じることができます。 DLP のアラートを構成することで、機密性の高いアイテムに対してアクションが実行されたときに通知を受け取ることができます。 この記事では、データ損失防止 (DLP) ポリシーでアラートを構成する方法について説明します。 Microsoft Purview ポータルDLP アラート管理ダッシュボードを使用して、DLP ポリシー違反のアラート、イベント、および関連するメタデータを表示する方法について説明します。

DLP アラートを初めて使用する場合は、「 データ損失防止アラートの概要」を確認する必要があります。

ヒント

Microsoft Copilot for Security の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のセキュリティMicrosoft Copilotの詳細については、こちらをご覧ください。

Microsoft Purview ポータル には、次のワークロードに適用される DLP ポリシーのアラートが表示されます。

  • Exchange メール
  • SharePoint サイト
  • OneDrive アカウント
  • Teams チャットおよびチャネル メッセージ
  • デバイス
  • Instances
  • オンプレミスのリポジトリ
  • Fabric と Power BI

開始する前に

開始する前に、必要な前提条件があることを確認してください。

  • DLP アラート管理ダッシュボードのライセンス
  • アラート構成オプションのライセンス
  • 必要な役割

DLP アラート管理ダッシュボードのライセンス

DLP ポリシーの使用を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認してください。

ライセンスの詳細については、「Microsoft 365、Office 365、Enterprise Mobility + Security、Windows 11 Subscriptions for Enterprises」を参照してください。

Teams DLP の対象となるエンドポイント DLP を使用するお客様は、DLP アラート管理ダッシュボードにエンドポイント DLP ポリシー アラートと Teams DLP ポリシー アラートが表示されます。

アラート構成オプションのライセンス

DLP ポリシーの使用を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認してください。

ライセンスの詳細については、「Microsoft 365、Office 365、Enterprise Mobility + Security、Windows 11 Subscriptions for Enterprises」を参照してください。

ロールとロールのグループ

DLP アラート管理ダッシュボードを表示する場合、または DLP ポリシーのアラート構成オプションを編集する場合は、次のいずれかの役割グループのメンバーである必要があります。

  • コンプライアンス管理者
  • コンプライアンス データ管理者
  • セキュリティ管理者
  • セキュリティ オペレーター
  • セキュリティ閲覧者
  • Information Protection 管理者
  • Information Protection アナリスト
  • Information Protection 調査員
  • Information Protection 閲覧者

詳細については、Microsoft Purview コンプライアンス ポータルの「アクセス許可」を参照してください。

該当する役割グループの一覧を次に示します。 詳細については、Microsoft Purview コンプライアンス ポータルのアクセス許可に関するページを参照してください。

  • 情報保護
  • Information Protection レベル
  • Information Protection アナリスト
  • Information Protection 調査担当者
  • Information Protection 閲覧者

DLP アラート管理ダッシュボードにアクセスするには、 アラートの管理 ロールと、次の 2 つのロールのいずれかが必要です。

  • DLP コンプライアンス管理
  • 表示専用の DLP コンプライアンス管理

コンテンツ プレビュー機能と一致した機密性の高いコンテンツとコンテキスト機能にアクセスするには、コンテンツ エクスプローラー コンテンツ ビューアー ロール グループのメンバーである必要があります。このロールには、データ分類コンテンツ ビューアー ロールが事前に割り当てられている必要があります。

DLP アラートの構成

DLP ポリシーでアラートを構成する方法については、「 データ損失防止ポリシーの作成と展開」を参照してください。

重要

organizationの監査ログ保持ポリシーの構成によって、アラートがコンソールに表示される期間が制御されます。 詳細については、「 監査ログ保持ポリシーの管理 」を参照してください。

集計イベント アラートの構成

organizationに集約アラート構成オプションのライセンスが付与されている場合は、DLP ポリシーを作成または編集するときにこれらのオプションが表示されます。

集約されたアラート構成オプションの対象となるユーザーのインシデント レポートのオプションを示すスクリーンショット。

この構成を使用すると、アクティビティがポリシー条件に一致するたびに、またはアクティビティの数に基づいて、または流出データの量に基づいて、特定のしきい値を超えたときにアラートを生成するポリシーを設定できます。

単一イベント アラートの構成

organizationにシングル イベント アラート構成オプションのライセンスが付与されている場合は、DLP ポリシーを作成または編集するときにこれらのオプションが表示されます。 DLP ルールの一致が発生するたびに発生するアラートを作成するには、このオプションを使用します。

シングル イベント アラート構成オプションの対象となるユーザーのインシデント レポートのオプションを示すスクリーンショット。

DLP アラートを調査する

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

DLP アラート管理ダッシュボードを操作するには:

  1. Microsoft Purview ポータルにサインインします>データ損失防止
  2. [ アラート] を選択して、 DLP アラート ダッシュボードを 表示します。
  3. [フィルター] フィールドを使用して、アラートの一覧を絞り込みます。
  4. [ 列のカスタマイズ ] を選択して、表示するプロパティを一覧表示します。
  5. 結果を昇順または降順で並べ替えるには、列ヘッダーをダブルクリックします。
  6. アラートの詳細については、アラートをダブルクリックします。
  7. 既定で [ 詳細 ] タブが開き、アラートに関する概要情報が表示されます。
  8. [ Copilot で集計] を選択します。 これにより、Security Copilotによってアラートの概要が生成されます。 アラートの概要には、次のものが含まれます。
    • アラートの重大度
    • アラート タイトル
    • 一致したポリシーの名前
    • 関連する名前ファイルとファイルへのリンク
    • アラートの状態
    • ポリシーに一致するアクションを実行したユーザーの電子メール アドレス
  9. Security Copilotの概要で省略記号を選択すると、次のようになります。
    • 概要をクリップボードにコピーする
    • 概要を再生成する
    • Security Copilotスタンドアロン エクスペリエンスでアラートを開きます。
  10. [ 詳細の表示] を選択して、[ 概要 ] タブを開きます。[ 概要 ] タブには、次の情報の概要が表示されます。
    • どうされました
    • ポリシー一致の原因となったアクションを実行したユーザー
    • ポリシーの一致に関する追加情報
  11. [ イベント ] タブには、アラートに関連付けられているすべてのイベントが一覧表示されます。 一覧で任意のイベントを選択して、イベントに関する詳細情報を取得します。 イベントごとに、[ アクション] ドロップダウンを選択して、アラートに対して実行できるアクションの一覧 (アラートが真の一致または誤検知を識別したかどうかを確認するなど) を選択します。
    1. [ユーザー アクティビティの概要] タブでは、インサイダー リスク管理設定で共有をオンにする必要があります。[ユーザー アクティビティの概要] タブには、ユーザーが関与したすべての流出アクティビティ (過去 120 日まで) が表示されます。 [ユーザー アクティビティの概要] タブを表示するには、ユーザーがインサイダー リスク管理ポリシーのスコープ内にある必要があります
    2. アラートを調査したら、[ 概要 ] タブに戻り、 アラート のトリアージと処理の管理、コメントの追加、アラートの所有権の割り当てを行うことができます。 (ワークフロー管理の履歴を表示するには)。)
    3. アラートに対して必要なアクションを実行したら、アラートの状態を [解決済み] に設定します。

その他の一致条件

Microsoft Purview では、DLP イベントで一致した条件を表示して、フラグ付き DLP ポリシーの正確な原因を明らかにすることをサポートしています。 この情報は、次の情報に表示されます。

[ イベント ] タブで [ 詳細 ] を開き、[ その他の一致条件] を表示します。

前提条件

一致したイベント情報は、これらの条件でサポートされています

条件 Exchange Sharepoint Teams エンドポイント
送信者が はい いいえ はい いいえ
送信者のドメインが次の場合 はい いいえ はい いいえ
送信者アドレスに単語が含まれている はい いいえ いいえ いいえ
送信者のアドレスがパターンと一致している はい いいえ いいえ いいえ
送信者は のメンバーです。 はい いいえ いいえ いいえ
送信者の IP アドレスが はい いいえ いいえ いいえ
送信者がポリシー ヒントをオーバーライドしました はい いいえ いいえ いいえ
SenderAdAttribute に単語が含まれている はい いいえ いいえ いいえ
SenderAdAttribute 一致パターン はい いいえ いいえ いいえ
受信者が はい いいえ はい いいえ
受信者ドメインが はい いいえ はい いいえ
受信者のアドレスに単語が含まれている はい いいえ いいえ いいえ
受信者のアドレスがパターンと一致している はい いいえ いいえ いいえ
受信者が次のメンバーの場合 はい いいえ いいえ いいえ
RecipientAdAttribute に単語が含まれている はい いいえ いいえ いいえ
RecipientAdAttribute 一致パターン はい いいえ いいえ いいえ
ドキュメントがパスワードで保護されている はい いいえ いいえ いいえ
ドキュメントをスキャンできませんでした はい いいえ いいえ いいえ
ドキュメントのスキャンが完了しませんでした はい いいえ いいえ いいえ
ドキュメント名に単語が含まれている はい はい いいえ いいえ
ドキュメント名がパターンと一致する はい いいえ いいえ いいえ
文書のプロパティが はい はい いいえ いいえ
ドキュメントサイズオーバー はい はい いいえ いいえ
ドキュメント コンテンツに単語が含まれている はい いいえ いいえ いいえ
ドキュメント コンテンツがパターンと一致する はい いいえ いいえ いいえ
ドキュメントの種類は いいえ いいえ いいえ はい
ドキュメントの拡張子は はい はい いいえ はい
コンテンツは M365 から共有されます はい はい はい いいえ
コンテンツの受信元 はい いいえ いいえ いいえ
コンテンツ文字セットに単語が含まれている はい いいえ いいえ いいえ
件名に単語が含まれている はい いいえ いいえ いいえ
件名がパターンと一致している はい いいえ いいえ いいえ
件名または本文に単語が含まれている はい いいえ いいえ いいえ
件名または本文がパターンに一致する はい いいえ いいえ いいえ
ヘッダーに単語が含まれている はい いいえ いいえ いいえ
ヘッダーがパターンと一致している はい いいえ いいえ いいえ
メッセージ サイズオーバー はい いいえ いいえ いいえ
メッセージの種類は はい いいえ いいえ いいえ
メッセージの重要度は はい いいえ いいえ いいえ

DLP アラート内から電子メールをダウンロードするときの制限事項

一般に、DLP アラート管理ダッシュボードを使用する場合は、アラート内から特定の電子メールをダウンロードできます。 ただし、次のいずれかのシナリオで削除されたメールはダウンロードできません。

Sender Recipient Email状態
内部 外部 送信者によって削除された
外部 内部 受信者によって削除された
内部 内部 両方のパーティによって削除された

その他のアラート調査ツール