インサイダー リスク管理ケースに対するアクションを実行する

重要

Microsoft Purview Insider Risk Management は、さまざまなシグナルを関連付けて、IP の盗難、データ漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意による内部関係者のリスクを特定します。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

ケースはインサイダー リスク管理の中心であり、ポリシーで定義されたリスク インジケーターによって生成された問題を深く調査して対処することができます。 ユーザーのコンプライアンス関連の問題に対処するためにさらにアクションが必要な状況では、アラートからケースが手動で作成されます。 各ケースの範囲は 1 人のユーザーであり、ユーザーに対する複数のアラートを既存のケースまたは新しいケースに追加できます。

ケースの詳細を調査した後、次の操作を実行できます。

  • ユーザーに通知を送信する
  • ケースを問題のないものとして解決する
  • ServiceNow インスタンスまたは電子メール受信者とケースを共有する
  • 電子情報開示 (Premium) 調査のケースをエスカレートする

インサイダー リスク管理でのケースの調査と管理方法の概要については、 インサイダー リスク管理の調査とエスカレーション に関するビデオをご覧ください。

ヒント

Microsoft Copilot for Security の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のセキュリティMicrosoft Copilotの詳細については、こちらをご覧ください。

ケース ダッシュボード

ヒント

ケースのレポートを表示するには、[ レポート] ページに移動します。 [ レポート] ページの各レポート ウィジェットには、過去 30 日間の情報が表示されます。

  • アクティブなケース: 調査中のアクティブなケースの合計数。
  • 過去 30 日間のケース: 作成されたケースの合計数。 アクティブ 状態と 終了 状態で並べ替えられます。
  • 統計: アクティブなケースの平均時間 。時間、日、または月で示されます。

インサイダー リスク管理 ケース ダッシュボード を使用すると、ケースを表示して対処できます。 ケース キューには、次のケース属性の現在の状態に加えて、organizationのすべてのアクティブなケースとクローズされたケースが一覧表示されます。

  • ケース ID: ケースの ID。
  • ケース名: アラートが確認され、ケースが作成されたときに定義されるケースの名前。
  • 状態: ケースの状態 ( アクティブ または クローズ)。
  • ユーザー: ケースのユーザー。 ユーザー名の匿名化が有効になっている場合は、匿名化された情報が表示されます。
  • [開かれた時刻] : ケースが開かれてから経過した時間。
  • ポリシー アラートの合計: ケースに含まれるポリシーの一致の数。 新しいアラートがケースに追加されると、この数は増える可能性があります。
  • 最後に更新されたケース: ケースノートが追加されてから経過した時刻、またはケースの状態が変更された時刻。
  • 最終更新日: ケースを最後に更新したインサイダー リスク管理アナリストまたは調査担当者の名前。

注:

ポリシーの スコープが 1 つ以上の管理単位である場合、ケースの所有権は、適切なロール グループのアクセス許可を持つインサイダー リスク管理ユーザーにのみ付与でき、アラートで強調表示されているユーザーは管理単位のスコープ内にある必要があります。 たとえば、管理スコープがドイツのユーザーのみに適用される場合、インサイダー リスク管理ユーザーはドイツのユーザーに対するアラートのみを表示できます。 無制限の管理者は、organization内のすべてのユーザーのすべてのケースを表示できます。

[検索] コントロールを使用して、ケース ID を検索したり、ケース名で特定のテキストを検索したりできます。 ケース フィルターを使用して、次の属性でケースを並べ替えます。

  • 状態
  • ケースが起きてからの時間、開始日、終了日
  • 最終更新、開始日、終了日

ケースを割り当てる

適切なアクセス許可を持つ管理者は、内部リスク管理、インサイダー リスク管理アナリスト、または Insider Risk Management 調査担当者ロールを持つ自分またはインサイダー リスク管理ユーザーにケースの所有権を割り当てることができます。 ケースが割り当てられた後、同じロールのいずれかを持つユーザーに再割り当てすることもできます。 ケースは、一度に 1 人の管理者にのみ割り当てることができます。

管理者がケースに割り当てられている場合は、管理者によってフィルター処理できます。

ケース ダッシュボードからケースを割り当てる

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
  2. Insider Risk Management ソリューションに移動します。
  3. 左側のナビゲーションで [ ケース ] を選択します。
  4. [ ケース] ダッシュボードで、割り当てるケースを選択します。
  5. ケース キューの上にあるコマンド バーで、[ 割り当て] を選択します。
  6. 画面の右側にある [ 所有者の割り当て ] ウィンドウで、適切なアクセス許可を持つ管理者を検索し、その管理者のチェック ボックスをオンにします。
  7. [割り当て] を選択します。

ケースの詳細ページからケースを割り当てる

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
  2. Insider Risk Management ソリューションに移動します。
  3. 左側のナビゲーションで [ ケース ] を選択します。
  4. ケースを選択します。
  5. ケースの詳細ウィンドウで、[ 割り当て] を選択します。
  6. [ 推奨される連絡先 ] の一覧で、適切な管理者を選択します。

ケースをフィルター処理する

organization内のアクティブなインサイダー リスク管理ポリシーの数と種類によっては、ケースの大規模なキューを確認するのは困難な場合があります。 ケース フィルターを使用すると、アナリストや調査担当者が複数の属性でケースを並べ替えるのに役立ちます。 [ケース] ダッシュボードでアラートをフィルター処理するには、[フィルター] コントロールを選択します。 ケースは、次の 1 つ以上の属性でフィルター処理できます。

  • [状態]: 1 つ以上の状態値を選択して、ケース リストをフィルター処理します。 オプションは [アクティブ] と [クローズ] です
  • [Time case opened]\(ケースを開いた時刻\): ケースが開かれた日時の開始日と終了日を選択します。
  • 最終更新日: ケースが更新されたときの開始日と終了日を選択します。

ケースのフィルター処理、フィルター セットのビューの保存、列のカスタマイズ、アラートの検索

organization内のアクティブなインサイダー リスク管理ポリシーの数と種類によっては、ケースの大規模なキューを確認するのは困難な場合があります。 ケースを追跡するために、次のことができます。

  • さまざまな属性でケースをフィルター処理します。
  • 後で再利用するようにフィルター セットのビューを保存します。
  • 列の表示/非表示を切り替えます。
  • アラートを検索します。

ケースをフィルター処理する

  1. [ フィルターの追加] を選択します

  2. 次の属性の 1 つ以上を選択します。

    属性 説明
    割り当て先 トリアージのためにアラートが割り当てられている管理者 (割り当てられている場合)。
    最後に更新されたケース ケースが最後に更新された日時の開始日と終了日。
    状態 ケースの現在の状態。 オプションは [アクティブ] と [クローズ] です
    タイム ケースを開く ケースが開かれた日時の開始日と終了日。

    選択した属性がフィルター バーに追加されます。

  3. フィルター バーで属性を選択し、フィルターの対象となる値を選択します。 たとえば、[最終アクティビティの日付] 属性を選択し、[開始日] フィールドと [終了日] フィールドで日付を入力または選択し、[適用] を選択します。

    ヒント

    任意の時点でやり直す場合は、フィルター バー で [すべてリセット ] を選択します。

後で再利用するようにフィルター セットのビューを保存する

  1. 前の手順で説明したようにフィルターを適用した後、フィルター バーの上にある [保存] を選択し、フィルター セットの名前を入力して、[保存] を選択 します

    フィルター セットは、フィルター バーの上にカードとして追加されます。 これには、フィルター セットの条件を満たすケースの数を示す数値が含まれます。

    注:

    最大 5 つのフィルター セットを保存できます。 フィルター セットを削除する必要がある場合は、カードの右上隅にある省略記号 (3 つのドット) を選択し、[削除] を選択します

  2. 保存したフィルター セットを再適用するには、フィルター セットのカードを選択するだけです。

列を表示または非表示にする

  1. ページの右側にある [ 列のカスタマイズ] を選択します。

  2. 表示または非表示にする列のチェックボックスをオンまたはオフにします。

列の設定は、セッション間およびブラウザー間で保存されます。

アラートを検索する

[検索] コントロールを使用して、ユーザー プリンシパル名 (UPN)、割り当てられた管理者名、またはアラート ID を検索します。

ケースを調査する

インサイダー リスク管理アラートの詳細な調査は、適切な是正措置を取るために重要です。 インサイダー リスク管理ケースは、ユーザー リスク アクティビティの履歴、アラートの詳細、リスク イベントのシーケンスを詳しく調べて、リスクにさらされるコンテンツとメッセージを調べる中央管理ツールです。 リスク アナリストや調査担当者は、レビュー フィードバックとメモを一元化し、ケースの解決を処理するためにケースも使用します。

ケースを選択すると、ケース管理ツールが開き、分析担当者と調査担当者がケースの詳細を調査します。

ケースの概要

[ ケースの概要 ] タブには、リスク アナリストと調査担当者のケースの詳細が要約されます。 [ このケース について] 領域には、次の情報が含まれています

  • ケース ID: ケースの ID。
  • 状態: ケースの現在の状態 (アクティブまたはクローズ)。
  • ケースの作成日: ケースが作成された日付と時刻。
  • ユーザーのリスク スコア: ケースのユーザーの現在の計算されたリスク レベル。 このスコアは 24 時間ごとに計算され、ユーザーに関連付けられているすべてのアクティブなアラートからのアラート リスク スコアを使用します。 ユーザーが影響の大きい可能性があるユーザーとして検出された場合、またはユーザーが優先ユーザー グループリスク ブースターのメンバーである場合は、[Insider リスク管理設定] ページの [ポリシー インジケーター] セクションでリスク スコア ブースターが有効になると、[ユーザーの詳細] ページには、ユーザーの計算されたリスク レベルに関する詳細情報が含まれます。
  • Email: ケースのユーザーのメール エイリアス。
  • 組織または部署: ユーザーが割り当てられているorganizationまたは部署。
  • マネージャー名: ユーザーのマネージャーの名前。
  • マネージャーのメール: ユーザーのマネージャーのメール エイリアス。

インサイダー リスク管理ケースの詳細

[ ケースの概要 ] タブには、ケースに関連付けられたポリシー一致 アラート に関する次の情報が含まれる [アラート] セクションも含まれています。

  • ポリシーの一致: セキュリティ インシデントにつながる可能性のある危険なユーザー アクティビティの一致アラートに関連付けられているインサイダー リスク管理ポリシーの名前。
  • 状態: アラートの状態。
  • 重大度: アラートの重大度。
  • 検出された時間: アラートが生成されてから経過した時間。

アラート

[ アラート ] タブには、ケースに含まれる現在のアラートが要約されます。 新しいアラートは既存のケースに追加され、割り当てられた アラート キューに 追加されます。 キューには、次のアラート属性が一覧表示されます。

  • 通知
  • アラート ID
  • 状態
  • 重要度
  • 検出された時間

キューからアラートを選択して、[アラートの 詳細 ] ページを表示します。

検索コントロールを使用して、アラート ID を検索するか、アラート名内の特定のテキストを検索します。 アラート フィルターを使用して、次の属性でケースを並べ替えます。

  • 状態
  • 重要度
  • 検出された時間、開始日、終了日

フィルター コントロールを使用して、次のようないくつかの属性でアラートをフィルター処理します。

  • 状態: 1 つ以上の状態値を選択して、アラート リストをフィルター処理します。 オプションは、確認済み非表示レビューが必要解決済みです。
  • 重大度: アラート の一覧をフィルター処理するために、1 つ以上のアラート リスクの重大度レベルを選択します。 オプションは、です。
  • 検出時間: アラートが作成された開始および終了日を選びます。
  • ポリシー: 1 つ以上のポリシーを選択して、選択したポリシーによって生成されたアラートをフィルター処理します。

ユーザー アクティビティ

[ ユーザー アクティビティ ] タブを使用すると、リスク アナリストと調査担当者は、ユーザー アクティビティの詳細を確認し、リスク アラートとケースに関連付けられているリスクの可能性のあるすべてのアクティビティを視覚的に表現して、それらの危険なアクティビティがセキュリティ インシデントにつながる可能性があるかどうかを判断できます。 たとえば、アラートトリアージ プロセスの一環として、アナリストはケースに関連付けられているすべてのリスク アクティビティを確認して詳細を確認する必要がある場合があります。 場合によっては、リスク調査担当者は、ユーザー アクティビティの詳細とバブル チャートを確認して、ケースに関連するリスク アクティビティの全体的な範囲を理解するのに役立ちます。 ユーザー アクティビティ チャートの詳細については、 Insider リスク管理アクティビティ に関する記事を参照してください。

アクティビティ エクスプローラー (プレビュー)

[ アクティビティ エクスプローラー ] タブを使用すると、リスク アナリストと調査担当者は、リスク アラートに関連付けられているケース アクティビティの詳細を確認できます。 たとえば、ケース管理アクションの一環として、調査担当者とアナリストは、ケースに関連付けられているすべてのリスク アクティビティを確認して詳細を確認する必要がある場合があります。 アクティビティ エクスプローラーを使用すると、レビュー担当者は、検出された潜在的に危険なアクティビティのタイムラインをすばやく調べ、アラートに関連付けられているすべてのリスク アクティビティを特定してフィルター処理できます。

アクティビティ エクスプローラーの詳細については、 Insider リスク管理アクティビティ に関する記事を参照してください。

フォレンジック証拠

[ フォレンジック証拠 ] タブを使用すると、リスク調査担当者は、ケースに含まれるリスク アクティビティに関連する視覚的キャプチャを確認できます。 たとえば、ケース管理アクションの一部として、調査担当者はレビュー中のユーザー アクティビティのコンテキストを明確にするのに役立つ必要があります。 アクティビティの実際のクリップを表示すると、調査担当者は、ユーザー アクティビティが危険な可能性があり、セキュリティ インシデントにつながる可能性があるかどうかを判断するのに役立ちます。

フォレンジック証拠の詳細については、 インサイダー リスク管理のフォレンジック証拠に関する 記事を参照してください。

コンテンツ エクスプローラー

[ コンテンツ エクスプローラー ] タブを使用すると、リスク調査担当者は、リスク アラートに関連付けられているすべての個々のファイルと電子メール メッセージのコピーを確認できます。 たとえば、ユーザーが SharePoint Online から何百ものファイルをダウンロードしたときにアラートが作成され、アクティビティによってポリシー アラートがトリガーされた場合、アラートに対してダウンロードされたすべてのファイルがキャプチャされ、元のストレージ ソースからインサイダー リスク管理ケースにコピーされます。

コンテンツ エクスプローラーは、基本的で高度な検索機能とフィルター処理機能を備えた強力なツールです。 コンテンツ エクスプローラーの使用方法の詳細については、「 Insider リスク管理コンテンツ エクスプローラー」を参照してください。

インサイダー リスク管理ケース コンテンツ エクスプローラー。

ケース ノート

ケースの [ ケース ノート ] タブでは、リスク アナリストと調査担当者がケースの作業に関するコメント、フィードバック、分析情報を共有します。 ノートはケースへの永続的な追加であり、ノートの保存後に編集または削除することはできません。 アラートからケースが作成されると、「アラートの確認とインサイダーリスクケースの作成」ダイアログに入力されたコメントが、ケースメモとして自動的に追加されます。

ケース ノート ダッシュボードには、ノートを作成したユーザーのメモと、ノートが保存されてから経過した時間が表示されます。 ケース ノート テキスト フィールドで特定のキーワード (keyword)を検索するには、ケース ダッシュボードで [検索] を使用し、特定のキーワード (keyword)を入力します。

ケース ノートを追加する

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
  2. Insider Risk Management ソリューションに移動します。
  3. 左側のナビゲーションで [ ケース ] を選択します。
  4. ケースを選択し、[ ケース ノート ] タブを選択します。
  5. [ ケース ノートの追加] を選択します
  6. [ ケース ノートの追加 ] ダイアログ ボックスで、メモを入力します。
  7. [ 保存] を 選択して、ケースにメモを追加します。

共同作成者

ケースの [共同作成者] タブでは、リスク分析担当者や調査担当者が、ケースに別のレビュー担当者を追加することができます。 既定では、 Insider Risk Management 調査担当者Insider Risk Management ロールが割り当てられているすべてのユーザーが、アクティブなケースとクローズされたケースごとに共同作成者として一覧表示されます。

ケースへの一時的なアクセスは、共同作成者としてユーザーを追加することによって付与できますが、次の制限があります。

  • アナリストと調査担当者は、共同作成者を追加できます
  • アナリストを共同作成者として追加することはできません
  • 共同作成者は共同作成者を追加できません

共同作成者は、次を除く特定のケースに対して、すべてのケース管理コントロールを持っています。

  • アラートの確認または消去する権限
  • ケースの共同作成者を編集する権限

ケースに共同作成者を追加する

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
  2. Insider Risk Management ソリューションに移動します。
  3. 左側のナビゲーションで [ ケース ] を選択します。
  4. ケースを選択し、[ 共同作成者 ] タブを選択します。
  5. [ 共同作成者の追加] を選択します
  6. [ 共同作成者の追加 ] ダイアログ ボックスで、追加するユーザーの名前の入力を開始し、推奨されるユーザーの一覧からユーザーを選択します。 この一覧は、テナント サブスクリプションのMicrosoft Entra IDから生成されます。
  7. [ 追加] を 選択して、共同作成者としてユーザーを追加します。

ケースへの対処

リスク調査担当者は、ケースの重大度、ユーザーのリスク履歴、organizationのリスク ガイドラインに応じて、いくつかの方法のいずれかでケースに対してアクションを実行できます。 場合によっては、ケースをユーザーまたはデータ調査にエスカレートして、organizationの他の領域と共同作業を行い、リスク アクティビティをさらに詳しく調べる必要がある場合があります。 インサイダー リスク管理は、エンド ツー エンドの解決管理を支援するために、他の Microsoft Purview ソリューションと緊密に統合されています。

メール通知を送信する

ほとんどの場合、インサイダー リスク アラートを作成するユーザー アクションは、不注意または偶発的です。 電子メールを介してユーザーにリマインダー通知を送信することは、ケース レビューとアクションを文書化するための効果的な方法であり、企業ポリシーをユーザーに通知したり、リフレッシャー トレーニングをポイントしたりする方法です。 通知は、インサイダー リスク管理インフラストラクチャ用 に作成した通知テンプレート から生成されます。

ユーザーに電子メール通知を送信しても、ケースは Closed として解決されないことに注意してください。 場合によっては、新しいケースを開かずに、より多くのリスク アクティビティを探す通知をユーザーに送信した後、ケースを開いたままにしておきたい場合があります。 通知が送信された後にケースを解決する場合は、通知を送信した後の手順として、「ケース解決済」を選択しなければなりません。

ケースに割り当てられたユーザーに通知を送信する

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
  2. Insider Risk Management ソリューションに移動します。
  3. 左側のナビゲーションで [ ケース ] を選択します。
  4. ケースを選択し、ケース アクション ツール バーの [ メール通知の送信 ] を選択します。
  5. [ 電子メール通知の送信 ] ダイアログ ボックスで、[ 通知テンプレートの選択 ] ドロップダウン コントロールを選択して、通知の通知テンプレートを選択します。 この選択により、通知の他のフィールドが事前に入力されます。
  6. 通知フィールドを確認し、必要に応じて更新します。 入力された値は、テンプレート内の値をオーバーライドします。
  7. [ 送信] を選択して、ユーザーに通知を送信します。 送信されたすべての通知は、ケース ノート ダッシュボードのケース ノート キューに追加されます。

調査を拡大する

ユーザーのリスク アクティビティに対して追加の法的レビューが必要な状況で、ユーザー調査のケースをエスカレートします。 このエスカレーションにより、Microsoft 365 organizationで新しいMicrosoft Purview eDiscovery (Premium) ケースが開きます。 電子情報開示 (プレミアム) は、組織の内部および外部の法的調査と関連性のあるコンテンツを保管、収集、確認、分析、エクスポートするための、エンドツーエンドのワークフローを提供します。 また、訴訟チームが法的情報保留通知ワークフロー全体を管理して、ケースに関係するカストディアンとコミュニケーションを取ることができます。 インサイダー リスク管理ケースから電子情報開示 (Premium) ケースにエスカレートすると、法務チームが適切なアクションを実行し、コンテンツの保持を管理するのに役立ちます。 電子情報開示 (Premium) ケースの詳細については、「Microsoft Purview eDiscoveryの概要 (Premium)」を参照してください。

ケースをユーザー調査にエスカレートする

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
  2. Insider Risk Management ソリューションに移動します。
  3. 左側のナビゲーションで [ ケース ] を選択します。
  4. ケースを選択し、ケース アクション ツール バーで 調査のために [エスカレート ] を選択します。
  5. [ 調査のエスカレート ] ダイアログ ボックスで、新しいユーザー調査の名前を入力します。 必要に応じて、ケースに関するメモを入力し、[ エスカレート] を選択します。
  6. 通知フィールドを確認し、必要に応じて更新します。 入力された値は、テンプレートの値をオーバーライドします。
  7. [ 確認] を選択して、ユーザー調査ケースを作成します。

インサイダー リスク管理ケースが新しいユーザー調査ケースにエスカレートされた後、Microsoft Purview ポータルの 電子情報開示>Advanced 領域で新しいケースを確認できます。

ケースの Power Automate フローを使用して自動タスクを実行する

推奨される Power Automate フローを使用すると、リスク調査担当者とアナリストは、次のアクションをすばやく実行できます。

  • インサイダー リスク ケースのユーザーに関する情報を人事または企業に要求します。
  • ユーザーがインサイダー リスク アラートを持っている場合は、マネージャーに通知します。
  • ServiceNow でインサイダー リスク管理ケースのレコードを作成します。
  • インサイダー リスク ポリシーに追加されたときにユーザーに通知します。

インサイダー リスク管理ケースの Power Automate フローを実行、管理、または作成するには、次の手順を実行します。

  1. ケース アクション ツール バーの [ 自動化] を選択します。
  2. 実行する Power Automate フローを選択し、[ フローの実行] を選択します。
  3. フローが完了したら、[完了] を選択 します

インサイダー リスク管理のための Power Automate フローの詳細については、「 インサイダー リスク管理設定の概要」を参照してください。

ケースのMicrosoft Teams チームを表示または作成する

設定でインサイダー リスク管理Microsoft Teams統合が有効になっている場合、アラートが確認され、ケースが作成されるたびに、Microsoft Teams チームが自動的に作成されます。 リスク調査担当者とアナリストは、ケース アクション ツール バーで [チームMicrosoft Teams表示] を選択することで、Microsoft Teamsをすばやく開き、ケースの チーム に直接移動できます。

Microsoft Team 統合を有効にする前に開いたケースの場合、リスク調査担当者とアナリストは、ケース アクション ツール バーの [Microsoft Teams チームの作成] を選択することで、ケースの新しい Microsoft Teams チームを作成 できます。

ケースが解決されると、関連付けられている Microsoft Team が自動的にアーカイブされます (非表示になり、読み取り専用になります)。

インサイダー リスク管理のMicrosoft Teamsの詳細については、「 インサイダー リスク管理設定の概要」を参照してください。

ケースを解決する

リスク アナリストや調査担当者がレビューと調査を完了した後、ケースを解決して、現在ケースに含まれているすべてのアラートに対処できます。 ケースを解決すると、解決分類が追加され、ケースの状態が Closed に変更され、解決アクションの理由が ケース ノート ダッシュボードのケース ノート キューに自動的に追加されます。 ケースは次のいずれかの方法で解決されます。

  • 問題なし: ポリシー一致アラートが低リスク、非深刻、または誤検知として評価されるケースの分類。
  • ポリシー違反の確認: ポリシー一致アラートが危険、深刻、または悪意の結果として評価されるケースの分類。

ケースを解決する

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
  2. Insider Risk Management ソリューションに移動します。
  3. 左側のナビゲーションで [ ケース ] を選択します。
  4. ケースを選択し、ケース アクション ツール バーの [ケースの解決 ] を選択します。
  5. [ ケースの解決 ] ダイアログ ボックスで、[ 解決する ] ドロップダウン コントロールを選択して、ケースの解決分類を選択します。 オプションは 、[問題なし] または [ 確認済みのポリシー違反] です
  6. [ ケースの解決 ] ダイアログ ボックスで、[ アクション の実行] テキスト フィールドに解決分類の理由を入力します。
  7. [ 解決] を 選択してケースを閉じます。