インサイダー リスク管理アクティビティを調査する

重要

Microsoft Purview Insider Risk Management は、さまざまなシグナルを関連付けて、IP の盗難、データ漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意による内部関係者のリスクを特定します。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

潜在的に危険なユーザー アクティビティを調査することは、組織のインサイダー リスクを最小限に抑えるための重要な最初のステップです。 これらのリスクは、インサイダー リスク管理ポリシーからアラートを生成するアクティビティである可能性があります。 また、ポリシーによって検出されたコンプライアンス関連のアクティビティからのリスクである可能性もありますが、ユーザー向けのインサイダー リスク管理アラートをすぐには作成しません。 ユーザー アクティビティ レポート (プレビュー) またはアラート ダッシュボードを使用して、これらの種類のアクティビティを調査できます。

ヒント

Microsoft Copilot for Security の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のセキュリティMicrosoft Copilotの詳細については、こちらをご覧ください。

ユーザー アクティビティ レポート

ユーザー アクティビティ レポートを使用すると、潜在的に危険なアクティビティ (特定のユーザーおよび定義された期間) を調べることができます。これらのアクティビティを一時的または明示的にインサイダー リスク管理ポリシーに割り当てる必要はありません。 ほとんどのインサイダー リスク管理シナリオでは、ユーザーはポリシーで明示的に定義されており、ポリシー アラート (トリガー イベントに応じて) とアクティビティに関連付けられたリスク スコアを持つ場合があります。 ただし、シナリオによっては、ポリシーで明示的に定義されていないユーザーのアクティビティを調べたい場合があります。 これらのアクティビティは、ユーザーと潜在的に危険なアクティビティに関するヒントを受け取ったユーザー、または通常はインサイダー リスク管理ポリシーに割り当てる必要がないユーザー向けである可能性があります。

インサイダー リスク管理の [設定] ページでインジケーターを構成すると、選択したインジケーターに関連付けられている潜在的に危険なアクティビティについて、ユーザー アクティビティが検出されます。 この構成は、トリガー イベントがあるかどうか、またはアラートを作成するかどうかに関係なく、ユーザーに対して検出されたすべてのアクティビティを確認できることを意味します。 レポートはユーザーごとに作成され、カスタム 90 日間のすべてのアクティビティを含めることができます。 同じユーザーの複数のレポートはサポートされていません。

潜在的に危険なアクティビティを調査した後、調査担当者は個々のユーザーのアクティビティを良性として却下できます。 また、レポートへのリンクを他の調査員と共有またはメールで送信したり、インサイダー リスク管理ポリシーに (一時的または明示的に) ユーザーを割り当てることもできます。 [ユーザー アクティビティ レポート] ページを表示するには、ユーザーがインサイダー リスク管理調査担当者の役割グループに割り当てられている必要があります。

インサイダー リスク管理ユーザー アクティビティ レポートの概要。

開始するには、インサイダー リスク管理の [概要] ページの [ユーザー アクティビティの調査] セクションで [レポートの管理] を選択します。

ユーザーのアクティビティを表示するには、まず [ユーザー アクティビティ レポートの作成] を選択し、[新しいユーザー アクティビティ レポート] ウィンドウで次のフィールドに入力します。

  • ユーザー: 名前またはメール アドレスでユーザーを検索します。
  • 開始日: カレンダー コントロールを使用して、ユーザー アクティビティの開始日を選択します。
  • 終了日: カレンダー コントロールを使用して、ユーザー アクティビティの終了日を選択します。 選択した終了日は、選択した開始日から 2 日以上後、選択した開始日から 90 日以内にする必要があります。

注:

ユーザーが以前にアラートに含まれていた場合、選択した範囲外のデータが含まれる場合があります。

ユーザー アクティビティ データは、アクティビティが発生してから約 48 時間後に報告できます。 たとえば、12 月 1 日のユーザー アクティビティ データを確認するには、レポートを作成する前に少なくとも 48 時間が経過していることを確認する必要があります (早ければ 12 月 3 日にレポートを作成します)。

通常、新しいレポートは、レビューの準備が整うまでに最大 10 時間かかります。 レポートの準備ができたら、[ユーザー アクティビティ レポート] ページの [状態] 列に [レポートの準備完了] が表示されます。 詳細レポートを表示するユーザーを選択します。

インサイダー リスク管理ユーザー アクティビティ レポート

選択したユーザーのユーザー アクティビティ レポートには、[ユーザー アクティビティ][アクティビティ エクスプローラー][フォレンジック エビデンス] タブが含まれています。

  • ユーザー アクティビティ: このグラフ ビューを使用して、潜在的に危険なアクティビティを調査し、連続して発生する潜在的に関連するアクティビティを表示します。 このタブは、すべてのアクティビティの履歴タイムライン、アクティビティの詳細、ケース内のユーザーの現在のリスク スコア、一連のリスク イベント、調査作業に役立つフィルタリング コントロールなど、ケースをすばやく確認できるように構成されています。
  • アクティビティ エクスプローラー: このタブは、アクティビティに関する詳細情報を提供する包括的な分析ツールをリスク調査担当者に提供します。 アクティビティ エクスプローラーを使用すると、レビュー担当者は、検出された危険なアクティビティのタイムラインをすばやく確認し、アラートに関連付けられている潜在的に危険なアクティビティをすべて特定してフィルター処理できます。 アクティビティ エクスプローラーの使用方法の詳細については、この記事の後半にある「アクティビティ エクスプローラー」セクションを参照してください。

アラート ダッシュボード

インサイダーリスク管理警告は、インサイダーリスク管理ポリシーで定義されたリスク インジケーターによって自動的に生成されます。 これらのアラートにより、コンプライアンス アナリストや調査担当者は現在のリスク ステータスの全体像を把握できるようになり、組織は発見された潜在的なリスクをトリアージして対処することができます。 既定では、ポリシーは一定量の低、中、高の重大度のアラートを生成しますが、必要に応じてアラートの量を増減できます。 さらに、ポリシー作成ツールで新しいポリシーを作成するときに、ポリシー インジケーターのアラートしきい値を構成できます。

注:

生成されたアラートの場合、インサイダー リスク管理では、ユーザーごとに 1 つの集計アラートが生成されます。 そのユーザーの新しい分析情報は、同じアラートに追加されます。

Insider Risk Management Alerts Triage Experience ビデオをチェックして、アラートが危険なアクティビティの詳細、コンテキスト、関連コンテンツを提供する方法と、調査プロセスをより効果的にする方法の概要を確認してください。

重要

ポリシーの スコープが 1 つ以上の管理単位の場合は、スコープが設定されているユーザーに対するアラートのみを表示できます。 たとえば、管理スコープがドイツのユーザーのみに適用される場合、ドイツのユーザーに対するアラートのみを表示できます。 無制限の管理者は、organization内のすべてのユーザーのすべてのアラートを表示できます。

制限付き管理者は、管理単位で追加されたセキュリティ グループまたは配布グループを通じて、割り当てられたユーザーのアラートにアクセスできません。 このようなユーザー アラートは、無制限の管理者にのみ表示されます。 Microsoft では、管理単位が割り当てられている制限付き管理者にもアラートが表示されるように、ユーザーを管理単位に直接追加することをお勧めします。

アラートの生成方法

次の図は、インサイダー リスク管理でアラートがどのように生成されるかを示しています。

インサイダー リスク管理アラートの生成方法を示す図。

アラートのフィルター処理、フィルター セットのビューの保存、列のカスタマイズ、またはアラートの検索

組織内のアクティブなインサイダー リスク管理ポリシーの数と種類によっては、大量のアラートを確認することが困難な場合があります。 アラートを追跡するために、次のことができます。

  • さまざまな属性でアラートをフィルター処理します。
  • 後で再利用するようにフィルター セットのビューを保存します。
  • 列の表示/非表示を切り替えます。
  • アラートを検索します。

アラートをフィルター処理する

  1. [ フィルターの追加] を選択します

  2. 次の属性の 1 つ以上を選択します。

    属性 説明
    アラートを生成したアクティビティ アラートが生成される原因となったアクティビティ評価期間中の、リスクの高い可能性のあるアクティビティとポリシーの一致の上位を表示します。 この値は、時間の経過と同時に更新できます。
    アラートの無視の理由 アラートを無視する理由。
    割り当て先 トリアージのためにアラートが割り当てられている管理者 (割り当てられている場合)。
    ポリシー ポリシーの名前。
    リスク要因 ユーザーのアクティビティのリスクを判断するのに役立つリスク要因。 使用可能な値は、 累積流出アクティビティアクティビティには優先度コンテンツシーケンス アクティビティアクティビティには未承認ドメイン優先度ユーザー グループのメンバー影響の大きい可能性があるユーザーなどがあります。
    重大度 ユーザーのリスク重大度レベル。 オプションは、です。
    状態 アラートの状態。 オプションは、確認済み非表示レビューが必要解決済みです。
    検出された時刻 (UTC) アラートが作成された日時の開始日と終了日。 フィルターは、開始日の UTC 00:00 から終了日の UTC 00:00 までのアラートを検索します。
    イベントのトリガー ユーザーをポリシーのスコープに持ち込んだイベント。 トリガーイベントは時間の経過と同時に変化する可能性があります。

    選択した属性がフィルター バーに追加されます。

  3. フィルター バーで属性を選択し、フィルターの対象となる値を選択します。 たとえば、検出された時刻 (UTC) 属性を選択し、[開始日] フィールドと [終了日] フィールドで日付を入力または選択し、[適用] を選択します。

    ヒント

    任意の時点でやり直す場合は、フィルター バー で [すべてリセット ] を選択します。

後で再利用するようにフィルター セットのビューを保存する

  1. 前の手順で説明したようにフィルターを適用した後、フィルター バーの上にある [保存] を選択し、フィルター セットの名前を入力して、[保存] を選択 します

    フィルター セットは、フィルター バーの上にカードとして追加されます。 これには、フィルター セットの条件を満たすアラートの数を示す数値が含まれます。

    注:

    最大 5 つのフィルター セットを保存できます。 フィルター セットを削除する必要がある場合は、カードの右上隅にある省略記号 (3 つのドット) を選択し、[削除] を選択します

  2. 保存したフィルター セットを再適用するには、フィルター セットのカードを選択するだけです。

列を表示または非表示にする

  1. ページの右側にある [ 列のカスタマイズ] を選択します。

  2. 表示または非表示にする列のチェックボックスをオンまたはオフにします。

列の設定は、セッション間およびブラウザー間で保存されます。

アラートを検索する

[検索] コントロールを使用して、ユーザー プリンシパル名 (UPN)、割り当てられた管理者名、またはアラート ID を検索します。

トリアージ アラート

インサイダー リスク管理でのアラートの調査と対処には、次の手順が含まれます。

  1. レビューが必要の状態を含むアラートのアラート ダッシュボードを確認します。 これらの種類のアラートを見つける必要がある場合は、アラートの状態フィルター処理します。
  2. 重大度が最も高いアラートから始めます。 これらの種類のアラートを見つける必要がある場合は、アラートの重大度フィルター処理します。
  3. アラートを選択して詳細情報を見つけ、アラートの詳細を確認します。 必要に応じて、アクティビティ エクスプローラーを使用して、関連する潜在的に危険な動作のタイムラインを確認し、アラートのすべてのリスク アクティビティを特定します。
  4. アラートに従って行動します。 アラートのケースを確認して作成するか、アラートを無視して解決することができます。

これらの各手順については、このセクションで詳しく説明します

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Copilot を使用してアラートを要約する

[ Copilot で集計する] または [Copilot ] アイコンを選択すると、アラートをすばやく要約し、さらに調査が必要なアラートに優先順位を付けることができます。 アラートを開かずに、またはアラートの詳細を表示した後に、選択したアラートを要約できます。 Microsoft Purview でMicrosoft Copilotでアラートを要約すると、画面の右側にアラートの概要が表示された [Copilot] ウィンドウが表示されます。

インサイダー リスク管理の Copilot ボタン

アラートの概要には、トリガーされたポリシー、アラートを生成したアクティビティ、トリガーイベント、関連するユーザー、最後の作業日 (該当する場合)、キー ユーザー属性、ユーザーの主要なリスク要因など、アラートに関するすべての重要な詳細が含まれます。 Microsoft Purview の Copilot は、すべてのアラートとスコープ内ポリシーからユーザーに関する情報を統合し、ユーザーの主なリスク要因を強調します。

概要をさらに絞り込み、アラートに関連付けられているアクティビティに追加の分析情報を提供するために、推奨されるプロンプトが自動的に一覧表示されます。 次の推奨されるプロンプトから選択します。

  • このユーザーに関連するすべてのデータ流出アクティビティを一覧表示します
  • このユーザーが関係するすべてのシーケンシャル アクティビティを一覧表示します
  • ユーザーは異常な動作に関与しましたか?
  • 過去 10 日間にユーザーが実行した主要なアクションを表示します。
  • ユーザーの過去 30 日間のアクティビティを要約します

アラートのトリアージ

アラートのトリアージは、[ アラートの詳細 ] ページに移動します。

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
  2. Insider Risk Management ソリューションに移動します。
  3. 左側のナビゲーションで [ アラート] を選択します。
  4. アラート ダッシュボードで、トリアージするアラートを選択します。
  5. [ アラートの詳細 ] ページで、アラートに関する情報を確認できます。 アラートを確認して新しいケースを作成したり、アラートを確認して既存のケースに追加したり、アラートを無視したりできます。 このページには、アラートの現在のステータスとアラート リスクの重大度レベル (高、中、または低) も含まれます。 アラートがトリアージされていない場合、重大度レベルは時間の経過とともに増減する可能性があります。 誤検知の場合は、複数のアラートを選択し、[アラートの無視] を選択して一括で 無視できます。

[アラートの詳細] ページの [ヘッダー/概要] セクション

[ アラートの詳細 ] ページのこのセクションには、ユーザーとアラートに関する一般的な情報が含まれています。 この情報は、ユーザーのアラートに含まれる検出されたリスク管理アクティビティに関する詳細情報を確認する際に、コンテキストとして利用できます。

  • このアラートを生成したアクティビティ: アラートの生成につながったアクティビティ評価期間中の上位の潜在的に危険なアクティビティとポリシーの一致を表示します。
  • トリガー イベント: ポリシーがユーザーのアクティビティへのリスク スコアの割り当てを開始するよう促した最新のトリガー イベントを表示します。 リスクのあるユーザーによるデータ リークまたは危険なユーザーポリシーによるセキュリティ ポリシー違反に対する通信コンプライアンスとの統合を構成した場合、これらのアラートのトリガー イベントは通信コンプライアンス アクティビティにスコープが設定されます。
  • ユーザーの詳細: アラートに割り当てられたユーザーに関する一般情報を表示します。 匿名化が有効になっている場合、ユーザー名、メール アドレス、エイリアス、組織のフィールドは匿名化されます。
  • ユーザー アラート履歴: 過去 30 日間のユーザーのアラートのリストを表示します。 ユーザーの完全なアラート履歴を表示するためのリンクが含まれています。

注:

ユーザーが影響の大きい可能性のあるユーザーとして検出されると、この情報は [ユーザーの詳細] ページのアラート ヘッダーで強調表示されます。 ユーザーの詳細には、ユーザーがそのように検出された理由の概要も含まれます。 潜在的な影響の大きいユーザーに対するポリシー インジケーターの設定の詳細については、「インサイダー リスク管理の設定」を参照してください。

優先度の高いコンテンツを含むアクティビティのみを対象とするポリシーから生成されたアラートには、このセクションの「優先度の高いコンテンツを含むアクティビティのみがこのアラートに対してスコア付けされました」という通知が含まれます。

ヒント

アラートの概要を簡単に確認するには、アラートの詳細ページで [集計 ] を選択します。 [集計] を選択すると、ページの右側に [Copilot] ウィンドウが表示され、アラートの概要が表示されます。 アラートの概要には、トリガーされたポリシー、アラートを生成したアクティビティ、トリガーイベント、関連するユーザー、最後の作業日 (該当する場合)、キー ユーザー属性、ユーザーの主要なリスク要因など、アラートに関するすべての重要な詳細が含まれます。 Microsoft Purview の Copilot は、すべてのアラートとスコープ内ポリシーからユーザーに関する情報を統合し、ユーザーの主なリスク要因を強調します。 また、Copilot を使用してアラートを開く必要なく、アラート キューからアラートを要約することもできます。 または、セキュリティ用Microsoft Copilotのスタンドアロン バージョンを使用して、インサイダー リスク管理、Microsoft Purview データ損失防止 (DLP)、およびMicrosoft Defender XDRアラートを調査します

[すべてのリスク要因] タブ

[ アラートの詳細 ] ページのこのタブでは、ユーザーのアラート アクティビティのリスク要因の概要が開きます。 リスク要因は、レビュー中にこのユーザーのリスク管理アクティビティがどの程度危険であるかを判断するのに役立ちます。 リスク要因には、次の概要が含まれます。

  • 上位の流出アクティビティ: アラートの数またはイベントが最も多い流出アクティビティを表示します。
  • 累積的な流出アクティビティ: 累積的な流出アクティビティに関連するイベントを表示します。
  • アクティビティのシーケンス: リスク シーケンスに関連付けられた、検出された潜在的に危険なアクティビティを表示します。
  • このユーザーの異常なアクティビティ: 通常とは異なる、一般的なアクティビティから逸脱しているため、リスクの可能性があると見なされるユーザーの特定のアクティビティを表示します。
  • 優先度の高いコンテンツ: 優先度の高いコンテンツに関連する潜在的に危険な活動を表示します。
  • 許可されていないドメイン: 許可されていないドメインに関連するイベントの潜在的に危険なアクティビティを表示します。
  • 健康記録へのアクセス: 健康記録へのアクセスに関連するイベントの潜在的に危険なアクティビティを表示します。
  • 危険なブラウザーの使用: 不適切な可能性のある Web サイトの閲覧に関連するイベントの潜在的に危険なアクティビティを表示します。

これらのフィルターでは、上記のリスク要因を持つアラートのみが表示されますが、アラートを生成したアクティビティは、これらのカテゴリのいずれにも該当しない可能性があります。 たとえば、ユーザーがファイルを USB デバイスにコピーしただけで、シーケンス アクティビティを含むアラートが生成された可能性があります。

検出されたコンテンツ

[ すべてのリスク要因 ] タブのこのセクションには、アラートのリスク アクティビティに関連付けられたコンテンツが含まれており、アクティビティ イベントを主要な領域別に要約します。 アクティビティ リンクを選択すると、アクティビティ エクスプローラーが開き、アクティビティの詳細が表示されます。

[ユーザー アクティビティ] タブ

[ ユーザー アクティビティ ] タブは、内部リスク分析とインサイダー リスク管理ソリューションのアラートとケースの調査のための最も強力なツールの 1 つです。 このタブは、すべてのアラートの履歴タイムライン、アラートの詳細、ユーザーの現在のリスク スコア、一連のリスク イベントなど、ユーザーのすべてのアクティビティをすばやく確認できるように構成されています。

インサイダー リスク管理ユーザー アクティビティ

  1. ケースのアクション: ケースを解決するためのオプションは、ケースアクションツールバーにあります。 ケースを表示すると、ケースを解決したり、ユーザーにメール通知を送信したり、データまたはユーザーの調査のためにケースをエスカレートしたりできます。

  2. リスクアクティビティ年表: ケースに関連するすべてのリスクアラートの全年表がリストに表示されます。これには、対応するアラートバブルにあるすべての詳細が含まれます。

  3. フィルターと並べ替え (プレビュー):

    • リスク カテゴリ: 次のリスク カテゴリでアクティビティをフィルター処理します: リスク スコアが 15 のアクティビティ> (シーケンス内の場合を除く) およびシーケンス アクティビティ
    • アクティビティの種類: アクセス削除収集流出侵入難読化セキュリティコミュニケーション リスクの種類でアクティビティをフィルター処理します。
    • 並べ替え: 潜在的に危険なアクティビティのタイムラインを、発生日またはリスク スコア別に一覧表示します。
  4. 時間フィルター: 既定では、過去 3 か月間の潜在的に危険なアクティビティがユーザー アクティビティ チャートに表示されます。 バブル チャートで [6 か月][3 か月]、または [1 か月] タブを選択すると、グラフ ビューを簡単にフィルター処理できます。

  5. リスク シーケンス: 潜在的にリスクのあるアクティビティの時系列順は、リスク調査の重要な側面であり、これらの関連アクティビティを特定することは、組織の全体的なリスクを評価する上で重要な部分です。 関連するアラート アクティビティは接続線で表示され、これらのアクティビティがより大きなリスク領域に関連付けられていることが強調されます。 シーケンスは、このビューでも、シーケンスのリスク スコアに関連するシーケンス アクティビティの上に配置されたアイコンによって識別されます。 アイコンにカーソルを合わせると、このシーケンスに関連する危険なアクティビティの日時が表示されます。 アクティビティのこのビューは、調査担当者が、孤立した、または 1 回限りのイベントと見なされた可能性のあるリスク アクティビティについて、文字通り「点をつなぐ」のに役立ちます。 一連のアイコンまたはバブルを選択すると、関連するすべてのリスク アクティビティの詳細が表示されます。 詳細は次のとおりです。

    • シーケンスの名前
    • シーケンスの日付または日付範囲
    • シーケンスのリスク スコア。 このスコアは、シーケンス内の関連するアクティビティごとにアラート リスクの重大度レベルを組み合わせたシーケンスの数値スコアです。
    • シーケンス内の各アラートに関連付けられたイベントの数。 潜在的に危険な活動に関連する各ファイルまたはメールへのリンクも利用できます。
    • アクティビティを順番に表示します。 シーケンスをバブル チャートにハイライト ラインとして表示し、アラートの詳細を展開してシーケンス内の関連するすべてのアラートを表示します。
  6. リスク アラート アクティビティと詳細: 潜在的に危険なアクティビティは、ユーザー アクティビティ グラフに色付きのバブルとして視覚的に表示されます。 バブルは、リスクのさまざまなカテゴリに対して作成されます。 バブルを選択して、潜在的に危険なアクティビティの詳細を表示します。 詳細は次のとおりです。

    • リスクアクティビティの日付
    • リスク アクティビティ カテゴリ。 たとえば、組織外に送信された添付ファイル付きのメール、または SharePoint Online からダウンロードされたファイルがあります。
    • アラートのリスクスコア。 このスコアは、アラートリスクの重大度レベルを表すスコアの数値です。
    • アラートに関連付けられているイベント数。 リスクアクティビティに関連した各ファイルまたはメールへのリンクも表示されます。
  7. 累積流出アクティビティ: ユーザーのアクティビティの時間の経過に伴うアクティビティの構築方法の視覚的なグラフを表示する場合に選択します。

  8. リスクアクティビティの凡例: ユーザーアクティビティチャートの下部にある 色分けされた凡例は、各アラートのリスクカテゴリをすばやく判別するのに役立ちます。

[アクティビティ エクスプローラー] タブ

注:

アクティビティ エクスプローラーは、この機能が組織で利用可能になった後、イベントをトリガーするユーザーのアラート管理領域で利用できます。

アクティビティ エクスプローラーは、リスク調査担当者とアナリストに、アラートに関する詳細情報を提供する包括的な分析ツールを提供します。 アクティビティ エクスプローラーを使用すると、レビュー担当者は、検出された潜在的に危険なアクティビティのタイムラインをすばやく確認し、アラートに関連付けられているすべてのリスク アクティビティを特定してフィルター処理できます。

アクティビティ エクスプローラーを使用する

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
  2. Insider Risk Management ソリューションに移動します。
  3. 左側のナビゲーションで [ アラート] を選択します。
  4. アラート ダッシュボードで、トリアージするアラートを選択します。
  5. [アラートの詳細] ウィンドウで、[展開されたビューを開く] を選択します。
  6. 選択したアラートのページで、[アクティビティ エクスプローラー] タブを選択します。

アクティビティ エクスプローラーでアクティビティを確認する場合、調査担当者とアナリストは特定のアクティビティを選択して、アクティビティの詳細ウィンドウを開くことができます。 このウィンドウには、アラートのトリアージ プロセス中に調査担当者とアナリストが使用できるアクティビティに関する詳細情報が表示されます。 詳細情報は、アラートのコンテキストを提供し、アラートをトリガーしたリスク アクティビティの全範囲を特定するのに役立ちます。

アクティビティ タイムラインからアクティビティのイベントを選択すると、エクスプローラーに表示されるアクティビティの数が、タイムラインにリストされているアクティビティ イベントの数と一致しない場合があります。 この違いが発生する理由の例:

  • 累積流出検出: 累積流出検出はイベント ログを分析しますが、重複除去と同様のアクティビティを含むモデルを適用して累積流出リスクを計算します。 さらに、既存のポリシーまたは設定に変更を加えた場合、アクティビティ エクスプローラーに表示される潜在的に危険なアクティビティの数に違いが生じる場合もあります。 たとえば、ポリシーが作成され、潜在的に危険なアクティビティの一致が発生した後に、許可/許可されていないドメインを変更したり、新しいファイルの種類の除外を追加したりすると、累積的な流出検出アクティビティは、ポリシーまたは設定が変更される前の結果とは異なります。 累積的な流出検出アクティビティの合計は、計算時のポリシーと設定の構成に基づいており、ポリシーと設定の変更前のアクティビティは含まれません。
  • 外部受信者へのメール: 外部受信者に送信されたメールの潜在的に危険なアクティビティには、送信されたメールの数に基づいてリスク スコアが割り当てられ、アクティビティ イベント ログと一致しない場合があります。

インサイダー リスク管理アクティビティ エクスプローラーの詳細。

リスク スコアリングから除外されたイベントを含むシーケンス

シーケンスには、設定の構成に基づいてリスク スコアリングから除外される 1 つ以上のイベントが含まれている場合があります。 たとえば、organizationではグローバル除外設定を使用して、.png ファイルは通常危険ではないため、.png ファイルをリスク スコアリングから除外できます。 ただし、.png ファイルを使用して、悪意のあるアクティビティを難読化することができます。 このため、リスク スコアリングから除外されるイベントが難読化アクティビティのためにシーケンスの一部である場合、そのイベントはシーケンスのコンテキストで興味深い可能性があるため、シーケンスに含まれます。

アクティビティ エクスプローラーには、除外されたイベントに関する次の情報が順番に表示されます。

  • シーケンスに、すべてのイベントが除外されるステップが含まれている場合、分析情報にはアクティビティの名前と日付だけが含まれます。 [ 除外されたイベントの表示 ] リンクを選択して、アクティビティ エクスプローラーで除外されたイベントをフィルター処理します。 すべてのイベントが除外されている場合、ユーザー アクティビティ散布図アイコンのリスク スコアは 0 です。
  • シーケンスに一部のイベントが除外される分析情報がある場合、除外されていないイベントのイベント情報が表示されますが、イベント数には除外されたイベントは含まれません。 [ 除外されたイベントの表示 ] リンクを選択して、アクティビティ エクスプローラーで除外されたイベントをフィルター処理します。
  • 分析情報の シーケンス リンク を選択した場合は、スコアリングから除外されたすべてのイベントを含め、アクティビティの詳細ウィンドウでイベントのシーケンスをドリルダウンできます。 スコアリングから除外されたイベントは、除外としてマーク されます
アクティビティ エクスプローラーでアラートをフィルター処理する

アクティビティ エクスプローラーで列情報のアラートをフィルター処理するには、[フィルター] を選択 します。 アラートの詳細ウィンドウに一覧表示されている 1 つ以上の属性でアラートをフィルター処理できます。 アクティビティ エクスプローラーはカスタマイズ可能な列もサポートしており、調査担当者やアナリストがダッシュボードで最も重要な情報に集中できるようにします。

アクティビティ スコープリスク要因レビューの状態 フィルターを使用して、次の領域のアクティビティと分析情報を表示および並べ替えます。

  • アクティビティ スコープ: ユーザーのスコア付けされたすべてのアクティビティをフィルター処理します。

    • このユーザーのすべてのスコア付けされたアクティビティ
    • このアラートのスコア付けされたアクティビティのみ
  • リスク要因: リスク スコアを割り当てるすべてのポリシーに適用されるリスク要因アクティビティのフィルター。これには、スコープ内ユーザーのすべてのポリシーのすべてのアクティビティが含まれます。

    • 異常なアクティビティ
    • 優先度の高いコンテンツを含むイベントを含みます
    • 許可されていないドメインのイベントを含みます
    • シーケンス アクティビティ
    • 累積流出アクティビティ数
    • 健康記録へのアクセス アクティビティ
    • 危険なブラウザーの使用
  • レビューの状態: アクティビティ レビューの状態をフィルター処理します。

    • すべて
    • まだ確認されていません (無視または解決されたアラートの一部であったアクティビティを除外します)

インサイダー リスク管理アクティビティ エクスプローラーの概要

後で再利用するフィルターのビューを保存する

フィルターを作成し、フィルターの列をカスタマイズする場合は、変更のビューを保存して、後で同じ変更をすばやくフィルター処理できます。 ビューを保存するときは、フィルターと列の両方を保存します。 ビューを読み込むと、保存されたフィルターと列の両方が読み込まれます。

  1. フィルターを作成し、列をカスタマイズします。

    ヒント

    任意の時点でやり直す場合は、[リセット] を選択 します。 カスタマイズした列を変更するには、[ 列のリセット] を選択します。

  2. フィルターを希望の方法で選択したら、[ このビューを保存] を選択し、ビューの名前を入力して、[保存] を選択 します

    注:

    ビュー名の最大長は 40 文字で、特殊文字は使用できません。

  3. フィルターのビューを後で再利用するには、[ ビュー] を選択し、[ 推奨ビュー ] タブ (最も使用されているビューが表示されます) または [ カスタム ビュー ] タブ (最もよく使用されるフィルターが一覧の上部に表示されます) から開くビューを選択します。

この方法でビューを選択すると、既存のすべてのフィルターがリセットされ、選択したビューに置き換えられます。

アラートの状態と重大度

注:

インサイダー リスク管理は、組み込みのアラート調整を使用して、リスク調査を保護および最適化し、エクスペリエンスを確認します。 この調整により、データ コネクタの構成ミスやデータ損失防止ポリシーなど、ポリシー アラートが過負荷になる可能性がある問題を防ぎます。 その結果、ユーザーに対する新しいアラートの表示に遅延が生じる可能性があります。

アラートを次のいずれかの状態にトリアージできます。

  • 確認済み: 確認され、新規または既存のケースに割り当てられたアラート。
  • 無視: トリアージ プロセスで良性として却下されたアラート。 アラートの却下の理由を提供し、ユーザーのアラート履歴で使用可能なメモを含めて、今後の参照または他のレビュー担当者に追加のコンテキストを提供できます。 理由は、予想されるアクティビティ、非実行イベント、ユーザーのアラート アクティビティの数の削減、またはアラート ノートに関連する理由などです。 理由の分類の選択には、このユーザーのアクティビティが予想されるアクティビティはさらに調査するのに十分な影響があるこのユーザーのアラートに含まれるアクティビティが多すぎる、が含まれます。
  • レビューが必要 :トリアージ アクションがまだ実行されていない場合の新しいアラート。
  • 解決済み: クローズ済みで解決済みのケースの一部であるアラート。

アラート リスク スコアは、複数のリスク アクティビティ インジケーターから自動的に計算されます。 これらのインジケーターには、リスク アクティビティの種類、アクティビティの発生回数、アクティビティの発生頻度、ユーザーのリスク アクティビティの履歴、危険な可能性のあるアクティビティの深刻さを高める可能性があるアクティビティ リスクの追加が含まれます。 アラート リスク スコアは、各アラートのリスク重大度レベルのプログラムによる割り当てを駆動し、カスタマイズすることはできません。 アラートがトリアージされず、リスク アクティビティがアラートに蓄積され続ける場合、リスクの重大度レベルが上がる可能性があります。 リスク アナリストと調査担当者は、アラート リスクの重大度を使用して、組織のリスク ポリシーと基準に従ってアラートをトリアージすることができます。

アラート リスクの重大度レベルは次のとおりです。

  • 高重大度: アラートの潜在的に危険なアクティビティとインジケーターは、重大なリスクをもたらします。 関連するリスク アクティビティは、深刻で反復的であり、他の重要なリスク要因と強く相関しています。
  • 中重大度: アラートの潜在的に危険なアクティビティとインジケーターは、中程度のリスクをもたらします。 関連するリスク アクティビティは、中程度で頻繁であり、他のリスク要因とある程度の相関関係があります。
  • 低重大度: アラートの潜在的に危険なアクティビティとインジケーターは、軽微なリスクをもたらします。 関連するリスク アクティビティは軽微で頻度が低く、他の重要なリスク要因とは相関していません。

複数のアラートを無視する (プレビュー)

アナリストや調査担当者が複数のアラートを一度にすぐに無視することで、トリアージ時間を節約できる場合があります。 [アラートを無視する] コマンド バー オプションを使用すると、ダッシュボードで [レビューが必要] 状態のアラートを 1 つ以上選択し、トリアージ プロセスで必要に応じてこれらのアラートを無害としてすばやく閉じることができます。 一度に最大 400 個のアラートを選択して閉じることができます。

インサイダー リスク アラートを無視する

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
  2. Insider Risk Management ソリューションに移動します。
  3. 左側のナビゲーションで [ アラート] を選択します。
  4. [ アラート] ダッシュボードで、[ 確認が必要 ] 状態のアラート (またはアラート) を選択します。
  5. [アラート] コマンド バーで、[アラートを無視] を選択します。
  6. [ アラートの無視 の詳細] ウィンドウで、選択したアラートに関連付けられているユーザーとポリシーの詳細を確認します。
  7. [ アラートを無視する] を選択して、アラートを問題のないものとして解決します。

アラートのレポート

アラートのレポートを表示するには、[ レポート] ページに移動します。 [ レポート] ページの各レポート ウィジェットには、過去 30 日間の情報が表示されます。

  • レビューが必要なアラートの総数: レビューとトリアージが必要なアラートの総数が、アラートの重大度別の内訳を含めて一覧表示されます。
  • 過去 30 日間のオープン アラート: 過去 30 日間にポリシー マッチによって作成されたアラートの総数が、高、中、低のアラート重大度レベルで並べ替えられます。
  • アラートを解決する平均時間: 有益なアラートの統計情報の概要:
    • 重大度の高いアラートを解決するための平均時間。時間、日、または月単位で表示されます。
    • 中程度の重大度のアラートを解決するための平均時間。時間、日、または月単位で表示されます。
    • 重大度の低いアラートを解決するための平均時間。時間、日、または月単位で表示されます。

アラートを割り当てる

管理者であり、 Insider Risk ManagementInsider Risk Management Analysts、または Insider Risk Managementの調査担当者 ロール グループのメンバーである場合は、アラートの所有権を自分または同じロールの 1 つを持つインサイダー リスク管理ユーザーに割り当てることができます。 アラートが割り当てられた後、同じロールのいずれかを持つユーザーに再割り当てすることもできます。 アラートは、一度に 1 人の管理者にのみ割り当てることができます。

注:

ポリシーの スコープが 1 つ以上の管理単位である場合、アラートの所有権は、適切なロール グループのアクセス許可を持つインサイダー リスク管理ユーザーにのみ付与でき、アラートで強調表示されているユーザーは管理単位のスコープ内にある必要があります。 たとえば、管理スコープがドイツのユーザーのみに適用される場合、インサイダー リスク管理ユーザーはドイツのユーザーに対するアラートのみを表示できます。 無制限の管理者は、organization内のすべてのユーザーのすべてのアラートを表示できます。

管理者が割り当てられたら、管理者で検索できます。

注:

Microsoft Entra セキュリティ グループに含まれる管理者は、アラートの割り当てではサポートされていません。 管理者は、必要なロールのいずれかに直接割り当てる必要があります。

カスタム グループを使用している場合は、カスタム グループに ケース管理 ロールが含まれていることを確認します。 Insider Risk Management アナリストInsider Risk Management 調査担当者ロール グループにはどちらもケース管理ロールが含まれますが、カスタム グループを使用している場合は、ケース管理ロールを明示的にグループに追加する必要があります。

アラート ダッシュボードからアラートを割り当てる

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
  2. Insider Risk Management ソリューションに移動します。
  3. 左側のナビゲーションで [ アラート] を選択します。
  4. [ アラート] ダッシュボードで、割り当てるアラートを選択します。
  5. アラート キューの上にあるコマンド バーで、[ 割り当て] を選択します。
  6. 画面の右側にある [ 所有者の割り当て ] ウィンドウで、適切なアクセス許可を持つ管理者を検索し、その管理者のチェック ボックスをオンにします。
  7. [割り当て] を選択します。

アラートの詳細ページからアラートを割り当てる

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
  2. Insider Risk Management ソリューションに移動します。
  3. 左側のナビゲーションで [ アラート] を選択します。
  4. アラートを選択します。
  5. アラートの詳細ウィンドウで、ページの右上隅にある [ 割り当て] を選択します。
  6. [ 推奨される連絡先 ] の一覧で、適切な管理者を選択します。

アラートのケースを作成する

リスクの高いアクティビティをさらに調査する場合は、アラートのケースを作成できます。

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
  2. Insider Risk Management ソリューションに移動します。
  3. 左側のナビゲーションで [ アラート] を選択します。
  4. アラート ダッシュボードで、確認するアラートを選択し、新しいケースを作成します。
  5. [ アラートの詳細] ウィンドウで、[ アクション>アラートの作成 & ケースを作成する] を選択します。
  6. [ アラートの確認とインサイダー リスク ケースの作成 ] ダイアログ ボックスで、ケースの名前を入力し、共同作成者として追加するユーザーを選択し、必要に応じてコメントを追加します。 コメントは、ケースメモとしてケースに自動的に追加されます。
  7. [ ケースの作成] を 選択して、新しいケースを作成します。

ケースが作成された後、調査担当者とアナリストはケースを管理して対応できます。 詳細については、「インサイダー リスク管理ケース」の記事を参照してください。

保持とアイテムの制限

インサイダー リスク管理アラートが古くなるにつれて、ほとんどの組織にとって、潜在的に危険なアクティビティを最小限に抑えるためのアラートの価値が低下します。 逆に、アクティブなケースと関連するアーティファクト (アラート、インサイト、アクティビティ) は常に組織にとって価値があり、自動有効期限を設けるべきではありません。 これには、アクティブなケースに関連付けられているすべてのユーザーのアクティブなステータスにある、将来のすべてのアラートと成果物が含まれます。

現在の価値が限られている古いアイテムの数を最小限に抑えるために、インサイダー リスク管理アラート、ケース、ユーザー レポートには、次の保持と制限が適用されます。

項目 保持/制限
レビューが必要状態のアラート アラートの作成から 120 日、その後は自動的に削除されます
アクティブなケース (および関連する成果物) 無期限の保持、無期限
解決済みのケース (および関連する成果物) ケースの解決から 120 日、その後は自動的に削除されます
アクティブなケースの最大数。 100
ユーザー アクティビティ レポート レポートの作成から 120 日、その後は自動的に削除されます

アラート ボリュームを管理するためのベスト プラクティス

潜在的に危険なインサイダー アラートを確認、調査、対応することは、組織内のインサイダー リスクを最小限に抑える上で重要な部分です。 これらのリスクの影響を最小限に抑えるために迅速に行動を起こすことで、組織の時間、費用、規制や法律の影響を節約できる可能性があります。 インサイダー リスク管理アラート キューを管理するためのベスト プラクティスについて説明します

関連項目