インサイダー リスク管理データを他のソリューションと共有する
重要
Microsoft Purview Insider Risk Management は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまなシグナルを関連付けます。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。
インサイダー リスク管理のデータは、次のいずれかの方法で共有できます。
- アラート情報を SIEM ソリューションにエクスポートする
- ユーザー リスクの重大度レベルを Microsoft Defender XDR と Microsoft Purview データ損失防止 (DLP) アラートと共有する
アラート情報を SIEM ソリューションにエクスポートする
Microsoft Purview Insider Risk Management アラート情報は、 Office 365 Management Activity API スキーマを使用して、セキュリティ情報とイベント管理 (SIEM) ソリューションとセキュリティ オーケストレーション自動応答 (SOAR) ソリューションにエクスポートできます。 Office 365 管理アクティビティ API を使用して、組織がインサイダー リスク情報の管理または集計に使用する可能性がある他のアプリケーションにアラート情報をエクスポートできます。 アラート情報は、Office 365 管理アクティビティ API を介して 60 分ごとにエクスポートされ、利用できます。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
組織で Microsoft Sentinel を使用している場合は、すぐに使用できるインサイダー リスク管理データ コネクタを使用して、内部リスクアラート情報を Sentinel にインポートすることもできます。 詳細については、Microsoft Sentinel の記事の 「Insider Risk Management 」を参照してください。
重要
Microsoft 365 やその他のシステムでインサイダー リスクアラートやケースを持つユーザーの参照整合性を維持するために、エクスポート API を使用する場合や Microsoft Purview 電子情報開示ソリューションにエクスポートする場合、エクスポートされたアラートに対してユーザー名の匿名化は保持されません。 エクスポートされたアラートには、この場合の各アラートのユーザー名が表示されます。 アラートまたはケースから CSV ファイルにエクスポートする場合、匿名化 は 保持されます。
API を使用してインサイダー リスク アラート情報を確認する
現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
- Microsoft 365 組織の管理者アカウントの資格情報を使用して、Microsoft Purview ポータル にサインインします。
- ページの右上隅にある [設定] ボタンを選択します。
- [Insider Risk Management]\(インサイダー リスク管理\) を選択して、インサイダー リスク管理の設定に移動します。
- [ アラートのエクスポート] を選択します。 既定では、この設定は Microsoft 365 組織で無効になっています。
- 設定を [オン] にします。
- SecurityComplianceAlerts で一般的な Office 365 監査アクティビティをフィルター処理します。
- InsiderRiskManagement カテゴリで SecurityComplianceAlerts をフィルター処理します。
アラート情報には、セキュリティとコンプライアンスの警告スキーマと Office 365 Management Activity API の共通スキーマからの情報が含まれています。
次のフィールドと値は、セキュリティとコンプライアンスのアラート スキーマに関するインサイダー リスク管理アラート用にエクスポートされます。
| Alert パラメーター | 説明 |
|---|---|
| AlertType | アラートの種類は Custom です。 |
| AlertId | アラートの GUID。 インサイダー リスク管理アラートは変更可能です。 アラートの状態が変化すると、同じ AlertID を持つ新しいログが生成されます。 この AlertID を使用して、アラートの更新を関連付けることができます。 |
| カテゴリ | アラートのカテゴリは InsiderRiskManagement です。 このカテゴリを使用すると、これらのアラートを他のセキュリティおよびコンプライアンス アラートと区別できます。 |
| 注釈 | アラートの既定のコメント。 値は 、新しいアラート (アラートの作成時にログに記録) と アラートの更新 (アラート の更新がある場合にログに記録されます) です。 AlertID を使用して、アラートの更新を関連付けます。 |
| データ | アラートのデータには、ユーザーがポリシーにトリガーされたときの一意のユーザー ID、ユーザー プリンシパル名、日付と時刻 (UTC) が含まれます。 |
| 名前 | アラートを生成したインサイダー リスク管理ポリシーのポリシー名。 |
| PolicyId | アラートをトリガーしたインサイダー リスク管理ポリシーの GUID。 |
| 重要度 | アラートの重大度。 値は High、 Medium、または Low です。 |
| ソース | アラートのソース。 値は Office 365 Security & Compliance です。 |
| 状態 | アラートの状態。 値は アクティブ (インサイダー リスクのニーズ レビュー )、 調査 (インサイダー リスクで確認) 、 解決済み (インサイダー リスクで解決) 、 却下 (インサイダー リスクで却下) です。 |
| バージョン | セキュリティとコンプライアンスの警告スキーマのバージョン。 |
次のフィールドと値は、 Office 365 Management Activity API 共通スキーマのインサイダー リスク管理アラート用にエクスポートされます。
- UserId
- Id
- RecordType
- CreationTime
- 操作
- OrganizationId
- UserType
- UserKey
Microsoft Defender XDR および DLP アラートを使用してユーザー リスクの重大度レベルを共有する
インサイダー リスク管理からユーザー リスクの重大度レベルを共有して、Microsoft Defender XDR と Microsoft Purview データ損失防止 (DLP) アラートに固有のユーザー コンテキストを提供できます。 インサイダー リスク管理は、90 日から 120 日間のユーザー アクティビティを分析し、その期間の異常な動作を探します。 このデータを Microsoft Defender XDR および DLP アラートに追加すると、アナリストがアラートの優先順位を付けるのに役立つ、これらのソリューションで使用できるデータが強化されます。
インサイダー リスク管理ユーザー リスクの重大度レベルを共有するとどうなりますか?
Microsoft Defender XDR で
[DLP インシデント] ページ: インサイダー リスクの重大度フィールドは、インサイダー リスク管理のリスク レベルが高または中のユーザーに対して、Microsoft Defender DLP インシデント ページの [影響を受ける資産] セクションに追加されます。 ユーザーが 低 リスク レベルの場合、[インシデント] ページには何も追加されません。 これにより、アナリストが最もリスクの高いユーザー アクティビティに集中できるように、気晴らしが最小限に抑えられます。
[ 影響を受ける資産 ] セクションでリスク レベルを選択すると、そのユーザーのインサイダー リスク アクティビティの概要とアクティビティ タイムラインを表示できます。 最大 120 日間の分析は、アナリストがユーザーのアクティビティの全体的なリスクを判断するのに役立ちます。
[DLP ポリシーの一致] ページで DLP イベントを選択すると、[DLP ポリシーの一致] セクションに [影響を受けたエンティティ ] セクションが表示され、ポリシーに一致するすべてのユーザーが表示されます。
[ユーザー] ページ: インサイダー リスクの重大度 フィールドは、インサイダー リスク管理で 高、 中、または 低 のリスク レベルを持つユーザーの [ユーザー] ページに追加されます。 このデータは、アクティブなインサイダー リスク管理アラートを持つすべてのユーザーが利用できます。
[ユーザー] ページの右側に、そのユーザーのインサイダー リスク アクティビティの概要とアクティビティ タイムラインが表示されます。
DLP アラート
DLP アラートに関連付けられているインサイダー リスク管理ポリシーの場合、高、中、低、または None の値を持つ Insider リスク重大度列が DLP アラート キューに追加されます。 ポリシーに一致するアクティビティを持つ複数のユーザーがある場合は、インサイダー リスク レベルが最も高いユーザーが表示されます。
None の値は、次のいずれかを意味します。
ユーザーはインサイダー リスク管理ポリシーの一部ではありません。
ユーザーはインサイダー リスク管理ポリシーの一部ですが、ポリシーのスコープに自分自身を取り込むための危険なアクティビティを行っていません (流出データはありません)。
DLP アラート キューのインサイダー リスク レベルを選択すると、[ ユーザー アクティビティの概要 ] タブにアクセスできます。このタブには、過去 90 日から 120 日間のそのユーザーのすべての流出アクティビティのタイムラインが表示されます。 DLP アラート キューと同様に、[ ユーザー アクティビティの概要 ] タブには、インサイダー リスク レベルが最も高いユーザーが表示されます。 ユーザーが過去 90 日から 120 日間に行ったことに関するこの深いコンテキストは、そのユーザーが提示するリスクの広いビューを提供します。
流出インジケーターからのデータのみがユーザー アクティビティの概要に表示されます。 HR、閲覧などの他の機密インジケーターからのデータは、DLP アラートと共有されません。
[アクターの詳細] セクションが [DLP アラートの詳細] ページに追加されます。 このページを使用すると、特定の DLP アラートに関連 するすべての ユーザーを表示できます。 DLP アラートに関係する各ユーザーについて、過去 90 日から 120 日間のすべての流出アクティビティを表示できます。
DLP アラートで [ Copilot for Security から概要を取得 する] ボタンを選択した場合、Microsoft Copilot for Security によって提供されるアラートの概要には、ユーザーがインサイダー リスク管理ポリシーのスコープ内にある場合、DLP の概要情報に加えてインサイダー リスク管理の重大度レベルが含まれます。
ヒント
Copilot for Security を使用して DLP アラートを調査することもできます。 インサイダー リスク管理 の [データ共有 ] 設定が有効になっている場合は、DLP/Insider リスク管理の調査を組み合わせて行うことができます。 たとえば、まず Copilot に DLP アラートの要約を依頼してから、アラートにフラグが設定されたユーザーに関連付けられているインサイダー リスク レベルを表示するように Copilot に依頼します。 または、ユーザーがリスクの高いユーザーと見なされる理由を確認することもできます。 この場合のユーザー リスク情報は、インサイダー リスク管理から取得されます。 Copilot for Security は、内部リスク管理と DLP をシームレスに統合し、調査を支援します。 DLP/Insider リスク管理の調査を組み合わせたスタンドアロン バージョンの Copilot の使用について詳しく説明します。
前提条件
インサイダー リスク管理のユーザー リスク レベルを Microsoft Defender XDR および DLP アラートと共有するには、ユーザーは次の手順を実行します。
- インサイダー リスク管理ポリシーの一部である必要があります。
- ユーザーをポリシーのスコープに取り込む流出アクティビティを実行している必要があります。
- DLP アラートのアクセス許可が必要です。 [データ共有] 設定を有効にすると、DLP アラートのアクセス許可を持つユーザーは、DLP アラートの調査と Microsoft Defender XDR ユーザー ページのインサイダー リスク管理コンテキストにアクセスできます。 インサイダー リスク管理のアクセス許可を持つユーザーは、このデータにアクセスすることもできます。
ヒント
Microsoft Purview や Microsoft Defender で DLP アラートにアクセスできる場合は、それらのソリューションと共有されているインサイダー リスク管理からユーザー コンテキストを表示できます。
Microsoft Defender XDR および DLP アラートとデータを共有する
1 つの設定を有効にすることで、Microsoft Defender XDR と DLP アラートの両方でインサイダー リスク管理ユーザー リスクの重大度レベルを共有できます。
- インサイダー リスク管理設定で、[ データ共有 ] 設定を選択します。
- [ Microsoft Defender XDR とのデータの共有 (プレビュー)] セクションで、設定をオンにします。
注:
この設定をオンにしない場合、[DLP アラートの インサイダー リスクの重大度 ] 列に表示される値は "ユーザー データは使用できません" です。
関連項目
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示