データ損失防止の詳細
この記事では、アラート調査フローと、DLP アラートの調査に使用できるツールについて説明します。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
開始する前に
Microsoft Purview DLP を初めて使用する場合は、データ損失防止のプラクティスを実装する際に理解しておくべきコア記事の一覧を次に示します。
- 管理単位
- Microsoft Purview データ損失防止について説明します。この記事では、データ損失防止規範と Microsoft による DLP の実装について説明します。
- データ損失防止 (DLP) の計画: この記事を使用して、次の作業を行います。
- データ損失防止ポリシーリファレンス: この記事では、DLP ポリシーのすべてのコンポーネントと、それぞれがポリシーの動作にどのように影響するかを紹介します。
- DLP ポリシーを設計する: この記事では、ポリシー意図ステートメントを作成し、それを特定のポリシー構成にマッピングする方法について説明します。
- データ損失防止ポリシーの作成と展開: 構成オプションにマップする一般的なポリシー意図シナリオを示します。 その後、これらのオプションの構成について説明し、ポリシーのデプロイに関するガイダンスを提供します。
- データ損失防止アラートの調査について説明します。この記事では、作成から最終的な修復とポリシーのチューニングまでのアラートのライフサイクルについて説明します。 また、アラートの調査に使用するツールについても説明します。
DLP アラートのライフサイクル
すべてのアラートとそれらの操作は、次の 6 つの手順を実行します。
トリガー
Microsoft Purview データ損失防止 (DLP) アラートの有効期間は、ポリシーで定義されている条件が一致したときに開始されます。 ポリシーの一致が発生すると、ポリシーで定義されているアクションがトリガーされます。これには、ポリシーが 構成されている場合のアラートの生成が 含まれます。
DLP ポリシーは、通常、次の場合にアラートを監視して生成するように構成されます。
- 個人を特定するデータや知的財産などの機密情報は、organizationから流出します。
- 機密情報は、organizationの外部または内部のユーザーと不適切に共有されます。
- ユーザーは、リムーバブル メディアに機密情報をダウンロードするなど、危険なアクティビティを行います。
通知
アラートが生成されると、インシデントとしてMicrosoft Defender ポータルと DLP アラート管理ダッシュボードに送信されます。 DLP ポリシーは、ユーザー、管理者、およびその他の関係者に電子メールで通知を送信するように構成できます。
通知フェーズでは、Microsoft Purview:
- DLP ポリシーの一致とユーザーのオーバーライドに関するレポート。
- アクティビティ エクスプローラーを使用すると、DLP 関連のアクティビティを表示し、レポート生成のためにフィルター処理できます。
Export-ActivityExplorerData を使用してレポート用のアクティビティ データをエクスポートするには (ExchangePowerShell) |O365 Management Activity API または Incident API を使用した Microsoft Doc。
注:
Microsoft Defender ポータルは、インシデントを 6 か月間保持します。 DLP アラート管理ダッシュボードでは、アラートが 30 日間保持されます。
トリアージ
この手順では、アラートと関連するログを分析し、アラートが真陽性か誤検知かを判断します。 真正の場合は、問題の重大度とorganizationへの影響に基づいてアラートの優先順位を設定し、所有者を割り当てます。 誤検知の場合は、ユーザーのブロックを解除し、次のアラートに進むことができます。
Defender ポータルは、DLP イベントをインシデントにグループ化します。 インシデントは、Defender が受信している他のすべてのシグナルに基づいてグループ化された関連アラートのコレクションです。 たとえば、SharePoint サイト上の機密性の高いファイルを監視および警告するように DLP ポリシーを構成し、ユーザーが SharePoint サイトからファイルをダウンロードし、個人用 OneDrive にアップロードした後、外部ユーザーと共有する場合、Defender はそれらのすべてのアラートを 1 つのインシデントにグループ化します。 これは、最も重要なアラートに最初に集中できる強力な機能です。
Defender ポータルでは、インシデントのトリアージをすぐに開始し、タグ、コメント、その他の機能を使用してインシデント管理を構成できます。 DLP アラートを管理するには、Microsoft Defender ポータルの [インシデント] ページを使用する必要があります。 [フィルター] を選択し、[サービス ソース: データ損失防止] を選択することで、インシデント キューをフィルター処理して、Microsoft Purview DLP アラートを含むすべてのインシデントを表示できます。
Microsoft Defender XDR (プレビュー) を使用したインサイダー リスク管理データの共有を有効にしている場合は、[DLP アラート] ページにユーザーに関連付けられている Insider Risk Management ポリシーの重大度レベルが表示されます。 Insider Risk Management の重大度レベルは、 低、 中、 高、 およびなしです。 この情報を使用して、調査と修復作業の優先順位を付けることができます。 この情報は、インシデントの詳細に関する Microsoft 365 Defender ポータルでも入手できます。
調査
調査ステージのメインの目標は、割り当てられた所有者が証拠を関連付け、アラートの原因と完全な影響を特定し、修復計画を決定することです。 割り当てられた所有者は、アラートの詳細な調査と修復を担当します。 主要なアラート調査ツールは、Microsoft Defender ポータルと DLP アラート管理ダッシュボードです。 アクティビティ エクスプローラーを使用してアラートを調査することもできます。 また、organization内の他のユーザーとアラートを共有することもできます。
次のような DLP 機能を利用できます。
- デバイス上のファイル アクティビティの証拠収集 により、ポリシーに一致したメールやドキュメントなどのファイルに簡単にアクセスできます。
- コンテンツ エクスプローラーを使用して、インシデント内のコンテンツを深く調査します。
Microsoft Defender ポータルと Purview ツールの両方を使用してアラートをトリアージおよび調査できますが、Microsoft Defender ポータルには、次のようなアラートとインシデントを管理するためのより多くの機能が用意されています。
- Microsoft Defender XDR インシデント キュー内のインシデントでグループ化されたすべての DLP アラートを表示します。
- インテリジェントなソリューション間 (DLP-MDE、DLP-MDO) とソリューション内 (DLP-DLP) の相関アラートを 1 つのインシデントで表示します。
- 高度なハンティングの下で、セキュリティと共にコンプライアンス ログを検索します。
- ユーザー、ファイル、デバイスに対するインプレース管理者の修復アクション。
- カスタム タグを DLP インシデントに関連付け、フィルター処理します。
- DLP ポリシー名、タグ、日付、サービス ソース、インシデントの状態、統合インシデント キューのユーザーでフィルター処理します。
インサイダー リスク管理データを Defender (プレビュー) と共有している場合は、ユーザーが過去 120 日間に関与したすべての流出アクティビティのユーザー アクティビティの概要を確認できます。
修復する
修復計画は、organizationのポリシー、業界、準拠する必要がある地政学的規制、およびビジネス プラクティスに固有です。 organizationがアラートへの応答を選択する方法は、アラートの正確性 (真陽性、偽陽性、偽陰性)、問題の重大度、およびorganizationへの影響を中心に展開します。
修復アクションには、次のものが含まれます。
- 監視のみ、それ以上の操作は必要ありません。
- ポリシーによって実行されるアクションによってリスクが十分に軽減されるため、それ以上のアクションは必要ありません。
- 自動化されたポリシー アクションによって軽減されるリスクですが、ユーザー教育が必要です。
- この問題はポリシーによって完全に軽減されていなかったため、さらにクリーンアップとリスク軽減と、より多くのユーザー トレーニングが必要です。
- DLP が Insider Risk Management と統合されている データ損失防止 (プレビュー) のアダプティブ保護 を使用して、さらに監視とアクションを行うためにリスク レベルをユーザーに割り当てることができます。
Defender ポータルを使用すると、アラートとインシデントに対して修復アクションをすぐに実行できます。 以下に例を示します。
- パスワードのリセット
- アカウントを無効にする
- ユーザー アクティビティを表示する
- DLP 検出に対するアクション
- ドキュメントを削除する
- 秘密度ラベルを適用する
- 共有を解除する
- 電子メールをダウンロードする
- 高度な追求
- デバイスの分離
- デバイスから調査パックを収集する
- AV スキャンを実行する
- ファイルの検疫
- ユーザーを無効にする
- pwd をリセットする
- 電子メールを削除する
- メールを他のメールボックス フォルダーに移動する
- ファイルをダウンロードする
チューン
ポリシーの正確性と有効性に基づいて、ポリシーを更新して有効なままにする必要がある場合があります。 ポリシーの作成と展開プロセス中にポリシーは既に調整されていますが、データ資産とビジネス ニーズが変化するにつれて、ポリシーを更新して引き続き有効にする必要があります。 これらの変更は、 ポリシー意図ステートメント と ポリシー構成で最もよく追跡されます。
調整する項目:
- ポリシーのスコープ。
- ポリシーの一致に必要な条件。
- ポリシーの一致が発生したときに実行されるアクション。
- ユーザーと管理者に送信される通知。
ビジネス ニーズをポリシーの設計とテスト ポリシーにマッピングする方法の詳細については、次を参照してください。
ツールセット
Microsoft Purview データ損失防止 (DLP) アラートの調査と管理に使用できるツールは複数あります。 これには次のものがあります。
- Microsoft Defender ポータル
- Microsoft Purview コンプライアンス ポータル アラート ダッシュボード
- アクティビティ エクスプローラー
- コンテンツ エクスプローラー
- Purview 埋め込みエクスペリエンスのMicrosoft Security Copilot
- Purview スタンドアロン エクスペリエンスでのMicrosoft Security Copilot
Microsoft では、Microsoft Defender ポータルで統合インシデント キューを使用して DLP アラートを管理することをお勧めします。 ただし、organizationには、Microsoft Defender ポータルに加えて DLP アラート管理ダッシュボードを使用して満たすことができる必要がある場合があります。
Microsoft Defender ポータル
- DLP アラートは、他のイベントやアラートと統合され、1 つのインシデント キューに統合され、インシデントのより完全な画像が提供されます。
- 6 か月間のインシデント履歴を利用できます。
- 高度なハンティング を利用できます。
- Microsoft Defender XDRを使用してデータ損失インシデントを調査する - Microsoft Defender ポータルのクイック 起動で、インシデント & アラート>Incidents からのセキュリティ インシデントと共に DLP インシデントを管理できます。
- Microsoft Defender XDRでの最初のインシデントへの対応
- Microsoft Defender XDRを使用したインシデント対応
- Microsoft Defender XDRでのインシデントの優先順位付け
- Microsoft Defender XDRでインシデントを管理する
- Microsoft Defender XDR でインシデントを調査する
- Microsoft Defender XDRでアラートを調査する
- Microsoft Defender XDRで高度なハンティングを使用して脅威を積極的に探す
Microsoft Purview コンプライアンス ポータル
- アラート ダッシュボード、アクティビティ エクスプローラー、コンテンツ エクスプローラーはすべて、Microsoft Purview コンプライアンス ポータルで使用できます。 DLP アラートの調査Microsoft Security Copilot使用してアラートを要約できます
- アラートの状態を [調査中] に設定できます。
- organization内の他のユーザーとアラートを共有できます。
- OneDrive と SharePoint からファイルをダウンロードする (このアクションにはデータ分類コンテンツ ビューアーロール が必要です)
DLP アラート ダッシュボードを初めて使用する場合は、これらの記事を読んで作業を開始する必要があります。
- データ損失防止アラート ダッシュボードの概要
- データ損失防止アラートの共有 (プレビュー)
- データ損失防止アラートの概要
- アクティビティ エクスプローラーの使用を開始する
- コンテンツ エクスプローラーの使用を開始する