データ損失防止アラートの概要
Microsoft Purview データ損失防止 (DLP) ポリシーは、ポリシーの条件が一致したときにアラートを生成するように構成できます。
アラートの概要については、次を参照してください。
この記事には、ライセンスとアクセス許可の詳細、およびアラートを操作するときに必要なその他の重要な情報が含まれています。
DLP アラートは、Microsoft Defender XDR ダッシュボードとMicrosoft Purview コンプライアンス ポータルで調査および管理できます。 Microsoft Defender XDR ダッシュボードは、DLP アラートの調査と管理に推奨される場所です。 MICROSOFT PURVIEW コンプライアンス ポータルは、DLP ポリシーを作成および編集するための推奨される場所です。
ヒント
Microsoft Security Copilotの使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のMicrosoft Security Copilotの詳細については、こちらをご覧ください。
アラートの種類
アラートは、アクティビティがルールに一致するたびに送信できます。これはノイズが多い場合や、一致する数または一定の期間のアイテムの量に基づいて集計できます。 DLP ポリシーで構成できるアラートには 2 種類あります。
単一イベント アラートは、通常、10 個以上の顧客クレジットカード番号がorganization外に送信される単一の電子メールなど、少量で発生する機密性の高いイベントを監視するポリシーで使用されます。
集計イベント アラート は、通常、一定期間にわたって大量に発生するイベントを監視するポリシーで使用されます。 たとえば、1 つの顧客クレジット カード番号を持つ 10 件の個々の電子メールが 48 時間にわたって組織外に送信されると、集計アラートをトリガーできます。
開始する前に
開始する前に、必要な前提条件があることを確認してください。
アラート構成オプションのライセンス
- 単一イベント アラート構成: E1、F1、G1 サブスクリプション、または E3 または G3 サブスクリプションを持つ組織は、トリガーアクティビティが発生するたびにアラートを生成するようにポリシーを構成できます。
-
集計アラート構成: しきい値に基づいて集計アラート ポリシーを構成するには、次のいずれかの構成が必要です。
- A5 サブスクリプション
- E5 または G5 サブスクリプション
- E1、F1、または G1 サブスクリプション、または次のいずれかの機能を含む E3 または G3 サブスクリプション。
- Office 365 Advanced Threat Protection プラン 2
- Microsoft 365 E5 Compliance
- Microsoft 365 電子情報開示および監査アドオン ライセンス
エンドポイント DLP を使用し、Teams DLP の対象となるお客様には、DLP アラート管理ダッシュボードにエンドポイント DLP ポリシー アラートと Teams DLP ポリシー アラートが表示されます。
ロールとロールのグループ
DLP アラート管理ダッシュボードを表示する場合、または DLP ポリシーのアラート構成オプションを編集する場合は、次のいずれかの役割グループのメンバーである必要があります。
- コンプライアンス管理者
- コンプライアンス データ管理者
- セキュリティ管理者
- セキュリティ オペレーター
- セキュリティ閲覧者
- Information Protection 管理者
- Information Protection アナリスト
- Information Protection 調査員
- Information Protection 閲覧者
詳細については、Microsoft Purview コンプライアンス ポータルの「アクセス許可」を参照してください。
該当する役割グループの一覧を次に示します。 詳細については、Microsoft Purview コンプライアンス ポータルのアクセス許可に関するページを参照してください。
- 情報保護
- Information Protection レベル
- Information Protection アナリスト
- Information Protection 調査担当者
- Information Protection 閲覧者
DLP アラート管理ダッシュボードにアクセスするには、 アラートの管理 ロールと、次の 2 つのロールのいずれかが必要です。
- DLP コンプライアンス管理
- 表示専用の DLP コンプライアンス管理
コンテンツ プレビュー機能と一致した機密性の高いコンテンツとコンテキスト機能にアクセスするには、コンテンツ エクスプローラー コンテンツ ビューアー ロール グループのメンバーである必要があります。このロールには、データ分類コンテンツ ビューアー ロールが事前に割り当てられている必要があります。
ヒント
管理者がコンテキスト/機密情報ではなくアラートにアクセスする必要がある場合は、データ分類コンテンツ ビューアーのアクセス許可を含まないカスタム ロールを作成して割り当てることができます。
DLP アラートの構成
DLP ポリシーでアラートを構成する方法については、「 データ損失防止ポリシーの作成と展開」を参照してください。 ライセンスに応じて、さまざまなアラート構成エクスペリエンスがあります。
注:
DLP ポリシーで既存のアラートを構成または変更した後、アラートを生成するまでに最大 3 時間かかる場合があります。
集計イベント アラートの構成
集約されたアラート構成オプションのライセンスが付与されている場合は、DLP ポリシーを作成または編集するときに、これらのオプションが表示されます。
この構成では、アラートを生成するポリシーを設定できます。
- アクティビティがポリシー条件に一致するたびに
- 定義されたしきい値が満たされるか、超えたとき
- 活動の数に基づく
- 流出データの量に基づく
通知メールが大量に送信されるのを防ぐために、同じ DLP ルールと同じ場所にある 1 分間の時間枠内で発生するすべての一致が、同じアラートにグループ化されます。 1 分間の集計時間枠機能は、次の場合に使用できます。
- E5 または G5 サブスクリプション
- E1、F1、または G1 サブスクリプション、または次のいずれかの機能を含む E3 または G3 サブスクリプション。
- Office 365 Advanced Threat Protection プラン 2
- Microsoft 365 E5 Compliance
- Microsoft 365 電子情報開示および監査アドオン ライセンス
E1、F1、または G1 サブスクリプションまたは E3 または G3 サブスクリプションを持つ組織の場合、集計期間は 15 分です。
単一イベント アラートの構成
シングル イベント アラート構成オプションのライセンスがある場合は、DLP ポリシーを作成または編集するときに、これらのオプションが表示されます。 DLP ルールの一致が発生するたびに発生するアラートを作成するには、このオプションを使用します。
イベントの種類
アラートに関連付けられているイベントの一部を次に示します。 アラート ダッシュボードでは、特定のイベントを選択して詳細を表示できます。
イベントの詳細
| プロパティ名 | 説明 | イベントの種類 |
|---|---|---|
| ID | イベントに関連付けられている一意の ID | すべてのイベント |
| 場所 | イベントが検出されたワークロード | すべてのイベント |
| アクティビティの時間 | DLP ポリシーの条件に一致したユーザー アクティビティの時間 |
影響を受けるエンティティ
| プロパティ名 | 説明 | イベントの種類 |
|---|---|---|
| ユーザー | ポリシーの一致の原因となったアクションを実行したユーザー | すべてのイベント |
| hostname | DLP ポリシーが一致したコンピューターのホスト名 | デバイス イベント |
| IP アドレス | DLP ポリシーが一致したコンピューターの IP アドレス | デバイス イベント |
| sha1 | ファイルの SHA-1 ハッシュ | デバイス イベント |
| sha256 | ファイルの SHA-256 ハッシュ | デバイス イベント |
| MDATP デバイス ID | エンドポイント デバイス MDATP ID | |
| ファイル サイズ | ファイルのサイズ | SharePoint、OneDrive、およびデバイス イベント |
| ファイル パス | DLP ポリシーの一致に関連する項目の絶対パス | SharePoint、OneDrive、デバイスのイベント |
| メール受信者 | 電子メールが DLP ポリシーに一致する機密性の高いアイテムである場合、このフィールドにはそのメールの受信者が含まれます | Exchange イベント |
| メールの件名 | DLP ポリシーに一致した電子メールの件名 | Exchange イベント |
| 電子メールの添付ファイル | DLP ポリシーに一致した電子メール内の添付ファイルの名前 | Exchange イベント |
| サイト所有者 | サイト所有者の名前 | SharePoint イベントと OneDrive イベント |
| サイト URL | DLP ポリシーの一致が発生した SharePoint または OneDrive サイトの URL でいっぱい | SharePoint イベントと OneDrive イベント |
| ファイルが作成されました | DLP ポリシーに一致したファイルの作成時刻 | SharePoint イベントと OneDrive イベント |
| ファイルの最終変更 | DLP ポリシーに一致するファイルが最後に変更された時刻 | SharePoint イベントと OneDrive イベント |
| ファイル サイズ | DLP ポリシーに一致したファイルのサイズ | SharePoint イベントと OneDrive イベント |
| ファイル所有者 | DLP ポリシーに一致したファイルの所有者 | SharePoint イベントと OneDrive イベント |
ポリシーの詳細
| プロパティ名 | 説明 | イベントの種類 |
|---|---|---|
| DLP ポリシーの一致 | 一致する DLP ポリシーの名前 | すべてのイベント |
| 一致したルール | 一致する DLP ポリシー 規則の名前 | すべてのイベント |
| 機密情報の種類 (SIT) が検出されました | DLP ポリシーの一致の一部として検出された SID | すべてのイベント |
| 実行された処理 | DLP ポリシーの一致の原因となったアクション | すべてのイベント |
| 違反アクション | DLP アラートを発生させたエンドポイント デバイスのアクション | デバイス イベント |
| ユーザー のオーバーロード ポリシー | ユーザーがポリシー ヒントを使用してポリシーをオーバーライドしました | すべてのイベント |
| オーバーライドの正当な理由を使用する | オーバーライドのためにユーザーによって提供される理由のテキスト | すべてのイベント |
重要
organizationの監査ログ保持ポリシー構成は、コンソールにアラートが表示されたままの期間を制御します。 詳細については、「監査ログ保持ポリシーを管理する」を参照してください。
関連項目
- DLP ポリシーのアラート: DLP ポリシーのコンテキストでのアラートについて説明します。
- データ損失防止アラートの概要: DLP アラートとアラート参照の詳細に必要なライセンス、アクセス許可、および前提条件について説明します。
- データ損失防止ポリシーを作成して展開する: DLP ポリシーを作成するコンテキストでのアラート構成に関するガイダンスが含まれています。
- データ損失防止アラートの調査について説明します。DLP アラートを調査するためのさまざまな方法について説明します。
- Microsoft Defender XDRを使用してデータ損失インシデントを調査する: ポータルで DLP アラートを調査する方法Microsoft Defender。