アクティビティ エクスプローラーの使用を開始する
アクティビティ エクスプローラー を使用すると、ラベル付けされたコンテンツで何が行われているかを監視できます。 アクティビティ エクスプローラーには、ラベル付けされたコンテンツのアクティビティの履歴ビューが表示されます。 アクティビティ情報は、Microsoft 365 統合監査ログから収集され、変換された後、アクティビティ エクスプローラー UI で使用できるようになります。 アクティビティ エクスプローラーでは、最大 30 日分のデータがレポートされます。
アクティビティ エクスプローラーでは、データを並べ替えて表示する複数の方法が提供されます。
フィルター
フィルターはアクティビティ エクスプローラーの構成要素であり、それぞれが収集されたデータの異なるディメンションに焦点を当てています。 使用できる個々のフィルターは約 50 種類あります。一部のフィルターは次のとおりです。
- 日付範囲
- アクティビティの種類
- 場所
- 機密ラベル
- ユーザー
- クライアント IP
- デバイス名
- 保護されています
それらすべてを表示するには、アクティビティ エクスプローラーでフィルター ウィンドウを開き、ドロップダウン リストを確認します。
注:
フィルター オプションは、最適なパフォーマンスを確保するために、最初の 500 レコードに基づいて生成されます。 これにより、フィルター ドロップダウンに一部の値が表示されない場合があります。
フィルター セット
アクティビティ エクスプローラーには、特定のアクティビティに集中する時間を節約するために、定義済みのフィルター セットが用意されています。 フィルター セットを使用すると、個々のフィルターよりも高いレベルのアクティビティをすばやく表示できます。 定義済みのフィルター セットの一部は次のとおりです。
- エンドポイント DLP アクティビティ
- 適用、変更、または削除された秘密度ラベル
- エグレス アクティビティ
- アクティビティを検出した DLP ポリシー
- ネットワーク DLP アクティビティ
- 保護されたブラウザー
個々のフィルターを組み合わせることで、独自のフィルター セットを作成して保存することもできます。
アクティビティ エクスプローラーでのSecurity Copilot (プレビュー)
プレビューでは、Microsoft Purview のMicrosoft Security Copilotがアクティビティ エクスプローラーに埋め込まれています。 アクティビティ データを効率的にドリルダウンし、調査に関連するアクティビティ、機密情報を含むファイル、ユーザー、その他の詳細を特定するのに役立ちます。
重要
提供された情報に基づいてアクションを実行する前に、正確さと完全性のためにSecurity Copilotからの応答を必ずチェックしてください。 フィードバックを提供して、応答の精度を向上させることができます。
データハンティング
Security Copilotスキルは、Microsoft Purview で使用できるすべてのデータを使用し、アクティビティ エクスプローラーで使用できるフィルターとフィルター セットを使用し、機械学習を使用して、最も重要なデータに関するアクティビティ (データハンティングとも呼ばれます) に関する分析情報を提供します。
- 過去 1 週間の上位 5 つのアクティビティを表示する
- アクティビティのフィルター処理と調査
- 特定のアクティビティで使用されるファイルを検索する
プロンプトを選択すると、Security Copilot側のカードが自動的に開き、クエリの結果が表示されます。 その後、クエリをさらに絞り込むことができます。
セットの生成をフィルター処理する自然言語
プロンプト ボックスを使用して、複雑な自然言語クエリを入力してフィルター セットを生成できます。 たとえば、次のように入力できます。
"機密情報の種類のクレジット カード番号を使用して、クラウドにコピーされたファイルを過去 30 日間フィルター処理して調査します。
Security Copilotは、クエリのフィルター セットを生成します。 その後、フィルターを確認して目的のフィルターであることを確認し、データに適用できます。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
前提条件
SKU /サブスクリプションライセンス
DLP ポリシーの使用を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認してください。
ライセンスの詳細については、「Microsoft 365、Office 365、Enterprise Mobility + Security、Windows 11 Subscriptions for Enterprises」を参照してください。
アクセス許可
アカウントは、これらのロール グループのいずれかに明示的にメンバーシップを割り当てるか、ロールを明示的に付与する必要があります。
ロールとロールのグループ
アクセス制御を微調整するために使用できるロールと役割グループがあります。 詳細については、Microsoft Purview コンプライアンス ポータルのアクセス許可に関するページを参照してください。
Microsoft Purview ロール
- Information Protection 管理者
- Information Protection アナリスト
- Information Protection 調査員
- Information Protection 閲覧者
Microsoft Purview ロールのグループ
- 情報保護
- Information Protection レベル
- Information Protection 調査担当者
- Information Protection アナリスト
- Information Protection 閲覧者
Microsoft 365 ロール
- コンプライアンス管理者
- セキュリティ管理者
- コンプライアンス データ管理者
Microsoft 365 ロール グループ
- コンプライアンス管理者
- セキュリティ管理者
- セキュリティ閲覧者
アクティビティの種類
アクティビティ エクスプローラーは、複数のアクティビティ ソースの監査ログから情報を収集します。
秘密度ラベル アクティビティと Microsoft Office にネイティブなアプリケーションからの保持ラベル付けアクティビティ、Microsoft Information Protection クライアントとスキャナー、SharePoint、Exchange (秘密度ラベルのみ)、OneDrive の例を次に示します。
- ラベルが適用されました
- ラベルが変更されました (アップグレード、ダウングレード、または削除されました)
- 自動ラベル付けのシミュレーション
- ファイルの読み取り
アクティビティ エクスプローラーに一覧表示されているアクティビティの現在の一覧については、アクティビティ エクスプローラーに移動し、アクティティビティ フィルターを開きます。 アクティビティの一覧は、ドロップダウン リストで使用できます。
アクティビティ エクスプローラーに含まれる Microsoft Information Protection クライアントとスキャナーに固有のラベル付けアクティビティには、次のものが含まれます。
- 保護を適用しました
- 保護を変更しました
- 保護を削除しました
- 検出されたファイル
アクティビティ エクスプローラーにラベル付けアクティビティを作成する方法の詳細については、「アクティビティ エクスプローラー で使用できるイベントのラベル付け」を参照してください。
さらに、エンドポイント データ損失防止 (DLP) を使用して、アクティビティ エクスプローラーは、Exchange、SharePoint、OneDrive、Teams チャットとチャネル、オンプレミスの SharePoint フォルダーとライブラリ、オンプレミスのファイル共有、Windows 10、Windows 11、および最新の 3 つの主要な macOS バージョンのいずれかを実行しているデバイスからのイベントと一致する DLP ポリシーを収集します。 Windows 10 デバイスから収集されるイベントの例には、ファイルに対して実行される次のアクションが含まれます。
- 削除
- 創造
- クリップボードにコピーする
- 変更
- 読み取り
- 印刷
- 名前の変更
- ネットワーク共有にコピーする
- 未承認アプリによるアクセス
秘密度ラベルを持つコンテンツに対して実行されるアクションを理解すると、Microsoft Purview データ損失防止 ポリシーなど、設定したコントロールが有効かどうかを判断するのに役立ちます。 そうでない場合、または予期しない (general
にダウングレードされたhighly confidential
ラベルが付いた多数のアイテムなど) が検出された場合は、ポリシーを管理し、望ましくない動作を制限する新しいアクションを実行できます。
注:
アクティビティ エクスプローラーは現在、Exchange の保持アクティビティを監視していません。
注:
Teams DLP の判定がユーザーによって誤検知として報告された場合、アクティビティはアクティビティ エクスプローラーの一覧に DLP 情報として表示されます。 エントリにはルールとポリシーの一致の詳細は存在しませんが、合成値が表示されます。 また、誤検知レポートに対してインシデント レポートが生成されることはありません。
アクティビティの種類のイベントとアラート
次の表は、ポリシーの一致が検出されたかどうかに応じて、3 つのサンプル ポリシー構成のアクティビティ エクスプローラーでトリガーされるイベントを示しています。
ポリシーの構成 | アクティビティ エクスプローラーこのアクションの種類に対してトリガーされるイベント | DLP ルールが一致したときにトリガーされるアクティビティ エクスプローラー イベント | アクティビティ エクスプローラーアラートがトリガーされました |
---|---|---|---|
ポリシーには、アクティビティを監査せずにアクティビティを許可する 1 つのルールが含まれています。 | はい | いいえ | いいえ |
ポリシーには、ルール #1 の一致が許可されているという 2 つの規則が含まれています。ルール #2 のポリシーの一致が監査されます。 | はい (規則 #2 のみ) |
はい (規則 #2 のみ) |
はい (規則 #2 のみ) |
ポリシーには 2 つのルールが含まれています。一致は両方のルールが許可され、監査されません。 | はい | いいえ | いいえ |