検出グループを作成してインサイダー リスク管理の除外を微調整する (プレビュー)

  • [アーティクル]

重要

Microsoft Purview Insider Risk Management は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまなシグナルを関連付けます。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

[グローバル除外] 設定を使用して、インサイダー リスク管理ポリシーによってスコア付けされないように項目 を除外できます。 これらの種類の除外は、テナント内で作成するすべてのポリシーのすべてのトリガーとインジケーターに適用されます。 検出グループを使用すると、組み込みのグローバル除外を変更して、組織のニーズに合わせて特定することができます。

検出グループを使用して、組み込みのインサイダー リスク インジケーターを変更して、ポリシー レベルでさまざまなユーザー セットの検出を調整することもできます。 たとえば、メール アクティビティの誤検知の数を減らすには、組織の 外部の受信者に添付ファイルを添付したメールを送信 する インジケーターのバリエーションを作成して、個人ドメインに送信されたメールのみを検出できます。

検出グループを作成して使用するプロセス

検出グループをグローバル除外の一部として使用するには、この記事の説明に従って検出グループを作成し、 グローバル除外の一部として選択します。

検出グループを使用して組み込みのインジケーターを変更するには、次の手順を実行します。

  1. この記事の説明に従って、検出グループを作成します。 バリアントを作成するときに、この検出グループを選択します。
  2. バリアントを作成します
  3. 新しいポリシーまたは既存のポリシーでバリアントを使用します
  4. バリアントで指定されたアクティビティに関連するアラートを確認します

検出グループを作成する

検出グループを使用すると、組み込みのインジケーターまたはグローバル除外の範囲を絞り込んで、組織にとって重要な価値の高いアクティビティに焦点を当てるのに役立ちます。

ポリシー インジケーターの検出の種類

すべてのポリシー インジケーターには、そのインジケーターに適用できる特定の検出の種類が含まれています。 たとえば、[ SharePoint ファイルを組織外のユーザーと共有する ] インジケーターの場合、検出の種類の 1 つは ドメインです。 SharePoint ファイルを共有するときは、ファイルを共有するドメインを選択します。 すべてのインジケーターに同じ検出の種類があるわけではありません。 たとえば、 ドメインSharePoint ファイルを組織外のユーザーと共有 するインジケーターの検出の種類ですが、その場合は適用されないため、[ ファイルの作成または USB へのコピー ] インジケーターの検出の種類ではありません。

インサイダー リスク管理では、現在、次の 7 種類の検出がサポートされています。

  • ドメイン
  • ファイルのパス
  • ファイルの種類
  • キーワード
  • 機密情報の種類
  • SharePoint サイト
  • トレーニング可能な分類子

ヒント

検出グループを作成するときに、グループの種類の入門テキストで [ 適用可能なインジケーターの表示 ] リンクを選択することで、特定の検出に適用可能なすべてのインジケーターを表示できます。

次の手順では、グループの種類ごとに検出グループを作成する方法を示します。

ドメイン検出グループを作成する

  1. インサイダー リスク管理設定で、[ 検出グループ (プレビュー)] を選択します。

  2. 右側のパネルの [ 種類] で、[ドメイン] を選択 します

  3. 右側のパネルで、[ 新しいドメイン グループ] を選択します。

  4. [ 新しいドメイン グループ ] ウィンドウで、グループの名前 (または推奨される名前をそのまま使用) と説明 (省略可能) を追加します。

  5. [ ドメインの追加] フィールドに ドメインを入力し、Enter キーを押します。 同じ方法でドメインを追加し続けるか、追加するドメインの長い一覧がある場合は、[ CSV ファイルからドメインをインポートする] を選択して CSV ファイルとしてインポートできます。 追加したドメインがウィンドウの下部に表示されます。 最大 10 個のドメイン検出グループを作成でき、各グループには最大 200 個の項目を含めることができます。

    注:

    ルート ドメインに複数レベルのサブドメインを指定するには、[ 複数レベルのサブドメインを含める ] チェック ボックスをオンにし、ドメインを追加し、Enter キーを押してドメインを一覧に追加します。 そのドメインに含まれるサブドメインはすべて含まれます。 同じプロセスを繰り返してドメインを追加し、完了したら [ ドメインの追加 ] を選択します。

    ヒント

    ワイルドカードを使用すると、ルート ドメインまたはサブドメインのバリエーションに一致させることができます。 たとえば、sales.wingtiptoys.com と support.wingtiptoys.com を指定するには、ワイルドカード エントリ '*.wingtiptoys.com' を使用して、これらのサブドメイン (および同じレベルの他のサブドメイン) と一致させます。

  6. [保存] を選択します。 [ 次のステップ ] ダイアログ ボックスが表示されます。このダイアログ ボックスには、バリアントでのこの検出グループの使用が含まれます。

Free パブリック ドメイン ドメイン グループが個人のメール ドメインへのビジネス データの流出を検出する方法

ドメイン検出グループには、個人用メール ID の作成に使用できる無料の電子メール プロバイダー (gmail.com や yahoo.com など) の一覧で構成される Free パブリック ドメイン と呼ばれる特殊なドメイン グループが含まれています。 この一覧は、[ ユーザー アクティビティ ] タブと [ アクティビティ エクスプローラー ] タブの電子メール分析情報のために、個人のメール ドメインへのビジネス データの流出を自動的に強調表示するために使用されます。 分析情報には、スコープ内ユーザーが無料のパブリック ドメインに送信した電子メールの数が一覧表示されます。 リストは、(スコープ内ユーザーの個人用メール アカウントに送信される) 自己送信メールを識別するアルゴリズムにも使用されます。 電子メール分析情報には、自分に送信されたメールの数が一覧表示されます。

個人の電子メール流出に関するインサイダー リスク管理の電子メールのハイライト

他のドメイン グループと同様に、この組み込みのドメイン グループを使用して、ポリシーの組み込みインジケーターのバリアントを作成できます。 このドメイン グループは、 組織外の受信者に添付ファイルを含む電子メールを送信 するインジケーターにのみ適用されます。 現時点では、 Free パブリック ドメイン ドメイン グループを編集または削除することはできません。 組み込みインジケーターのバリアントの作成の詳細

ファイル パス検出グループを作成する

  1. インサイダー リスク管理設定で、[ 検出グループ (プレビュー)] を選択します。
  2. 右側のパネルの [ 種類] で、[ ファイル パス] を選択します。
  3. 右側のパネルで、[ 新しいファイル パス グループ] を選択します。
  4. [ 新しいファイル パス グループ ] ウィンドウで、グループの名前 (または推奨される名前をそのまま使用) と説明 (省略可能) を追加します。
  5. [ ファイル パスの追加] を選択し、スコアリングから除外するファイル パスを選択し、[ 追加] を選択します。 最大 10 個のファイル パス検出グループを作成でき、各グループには最大 200 個の項目を含めることができます。
  6. [保存] を選択します。 [ 次のステップ ] ダイアログ ボックスが表示されます。このダイアログ ボックスには、バリアントでのこの検出グループの使用が含まれます。

ファイルの種類の検出グループを作成する

  1. インサイダー リスク管理設定で、[ 検出グループ (プレビュー)] を選択します。
  2. 右側のパネルの [ 種類] で、[ファイルの 種類] を選択します。
  3. 右側のパネルで、[ 新しいファイルの種類] グループを選択します。
  4. [ 新しいファイルの種類のグループ ] ウィンドウで、グループの名前を追加します (または、推奨される名前をそのまま使用します)、説明 (省略可能)。
  5. [ ファイルの種類の追加] フィールドにファイル拡張子を入力し、Enter キーを押します。 同じ方法でさらにファイル拡張子を追加し続けます。 追加した拡張機能がウィンドウの下部に表示されます。 最大 10 個のファイルの種類の検出グループを作成でき、各グループには最大 200 個の項目を含めることができます。
  6. [保存] を選択します。 [ 次のステップ ] ダイアログ ボックスが表示されます。このダイアログ ボックスには、バリアントでのこの検出グループの使用が含まれます。

キーワード検出グループを作成する

  1. インサイダー リスク管理設定で、[ 検出グループ (プレビュー)] を選択します。
  2. 右側のパネルの [ 種類] で、[キーワード] を選択 します
  3. 右側のパネルで、[ 新しいキーワード グループ] を選択します。
  4. [ 新しいキーワード グループ ] ウィンドウで、グループの名前 (または推奨される名前をそのまま使用) と説明 (省略可能) を追加します。
  5. [ キーワードの追加] フィールドにキーワードを入力し、Enter キーを押します。 追加するキーワードごとにこのプロセスを繰り返します。 追加したキーワードは、ウィンドウの下部に表示されます。 最大 10 個のキーワード検出グループを作成でき、各グループには最大 200 個の項目を含めることができます。
  6. [保存] を選択します。 [ 次のステップ ] ダイアログ ボックスが表示されます。このダイアログ ボックスには、バリアントでのこの検出グループの使用が含まれます。

機密情報の種類の検出グループを作成する

注:

機密情報の種類の除外リストは、 優先度のコンテンツ リストよりも優先されます。

  1. インサイダー リスク管理設定で、[ 検出グループ (プレビュー)] を選択します。
  2. 右側のパネルの [ 種類] で、[機密情報の 種類] を選択します。
  3. 右側のパネルで、[ 新しい機密情報の種類] グループを選択します。
  4. [ 新しい機密情報の種類グループ ] ウィンドウで、グループの名前 (または推奨される名前をそのまま使用) と説明 (省略可能) を追加します。
  5. [ 機密情報の種類の追加] を選択し、スコア付けから除外する機密情報の種類を選択し、[ 追加] を選択します。 最大 10 個の機密情報の種類グループを作成でき、各グループには最大 200 個のアイテムを含めることができます。
  6. [保存] を選択します。 [ 次のステップ ] ダイアログ ボックスが表示されます。このダイアログ ボックスには、バリアントでのこの検出グループの使用が含まれます。

SharePoint サイト検出グループを作成する

  1. インサイダー リスク管理設定で、[ 検出グループ (プレビュー)] を選択します。
  2. 右側のパネルの [ 種類] で、[ SharePoint サイト] を選択します。
  3. 右側のパネルで、[ 新しい SharePoint サイト グループ] を選択します。
  4. [ 新しい SharePoint サイト グループ ] ウィンドウで、グループの名前 (または推奨される名前をそのまま使用) と説明 (省略可能) を追加します。
  5. [ サイトの追加] を選択し、スコアリングから除外する SharePoint サイトを選択し、[ 追加] を選択します。 最大 10 個の SharePoint サイト検出グループを作成でき、各グループには最大 200 個のアイテムを含めることができます。
  6. [保存] を選択します。 [ 次のステップ ] ダイアログ ボックスが表示されます。このダイアログ ボックスには、バリアントでのこの検出グループの使用が含まれます。

トレーニング可能な分類子検出グループを作成する

  1. インサイダー リスク管理設定で、[ 検出グループ (プレビュー)] を選択します。
  2. 右側のパネルの [ 種類] で、[ トレーニング可能な分類子] を選択します。
  3. 右側のパネルで、[ 新しいトレーニング可能な分類子グループ] を選択します。
  4. [ 新しいトレーニング可能な分類子グループ ] ウィンドウで、グループの名前 (または推奨される名前をそのまま使用) と説明 (省略可能) を追加します。
  5. [ トレーニング可能な分類子の追加] を選択し、スコア付けから除外するトレーニング可能な分類子を選択し、[ 追加] を選択します。 最大 10 個のトレーニング可能な分類子検出グループを作成でき、各グループには最大 200 個の項目を含めることができます。
  6. [保存] を選択します。 [ 次のステップ ] ダイアログ ボックスが表示されます。このダイアログ ボックスには、バリアントでのこの検出グループの使用が含まれます。

関連項目