次の方法で共有


データ損失防止アラートの概要

Microsoft Purview データ損失防止 (DLP) ポリシーは、ポリシーの条件が一致したときにアラートを生成するように構成できます。

アラートの概要については、次を参照してください。

この記事には、ライセンスとアクセス許可の詳細、およびアラートを操作するときに必要なその他の重要な情報が含まれています。

DLP アラートは、Microsoft Defender XDR ダッシュボードとMicrosoft Purview コンプライアンス ポータルで調査および管理できます。 Microsoft Defender XDR ダッシュボードは、DLP アラートの調査と管理に推奨される場所です。 MICROSOFT PURVIEW コンプライアンス ポータルは、DLP ポリシーを作成および編集するための推奨される場所です。

ヒント

Microsoft Security Copilotの使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のMicrosoft Security Copilotの詳細については、こちらをご覧ください。

アラートの種類

アラートは、アクティビティがルールに一致するたびに送信できます。これはノイズが多い場合や、一致する数または一定の期間のアイテムの量に基づいて集計できます。 DLP ポリシーで構成できるアラートには 2 種類あります。

単一イベント アラートは、通常、10 個以上の顧客クレジットカード番号がorganization外に送信される単一の電子メールなど、少量で発生する機密性の高いイベントを監視するポリシーで使用されます。

集計イベント アラート は、通常、一定期間にわたって大量に発生するイベントを監視するポリシーで使用されます。 たとえば、1 つの顧客クレジット カード番号を持つ 10 件の個々の電子メールが 48 時間にわたって組織外に送信されると、集計アラートをトリガーできます。

開始する前に

開始する前に、必要な前提条件があることを確認してください。

アラート構成オプションのライセンス

  • 単一イベント アラート構成: E1、F1、G1 サブスクリプション、または E3 または G3 サブスクリプションを持つ組織は、トリガーアクティビティが発生するたびにアラートを生成するようにポリシーを構成できます。
  • 集計アラート構成: しきい値に基づいて集計アラート ポリシーを構成するには、次のいずれかの構成が必要です。
    • A5 サブスクリプション
    • E5 または G5 サブスクリプション
    • E1、F1、または G1 サブスクリプション、または次のいずれかの機能を含む E3 または G3 サブスクリプション。
      • Office 365 Advanced Threat Protection プラン 2
      • Microsoft 365 E5 Compliance
      • Microsoft 365 電子情報開示および監査アドオン ライセンス

エンドポイント DLP を使用し、Teams DLP の対象となるお客様には、DLP アラート管理ダッシュボードにエンドポイント DLP ポリシー アラートと Teams DLP ポリシー アラートが表示されます。

ロールとロールのグループ

DLP アラート管理ダッシュボードを表示する場合、または DLP ポリシーのアラート構成オプションを編集する場合は、次のいずれかの役割グループのメンバーである必要があります。

  • コンプライアンス管理者
  • コンプライアンス データ管理者
  • セキュリティ管理者
  • セキュリティ オペレーター
  • セキュリティ閲覧者
  • Information Protection 管理者
  • Information Protection アナリスト
  • Information Protection 調査員
  • Information Protection 閲覧者

詳細については、Microsoft Purview コンプライアンス ポータルの「アクセス許可」を参照してください。

該当する役割グループの一覧を次に示します。 詳細については、Microsoft Purview コンプライアンス ポータルのアクセス許可に関するページを参照してください。

  • 情報保護
  • Information Protection レベル
  • Information Protection アナリスト
  • Information Protection 調査担当者
  • Information Protection 閲覧者

DLP アラート管理ダッシュボードにアクセスするには、 アラートの管理 ロールと、次の 2 つのロールのいずれかが必要です。

  • DLP コンプライアンス管理
  • 表示専用の DLP コンプライアンス管理

コンテンツ プレビュー機能と一致した機密性の高いコンテンツとコンテキスト機能にアクセスするには、コンテンツ エクスプローラー コンテンツ ビューアー ロール グループのメンバーである必要があります。このロールには、データ分類コンテンツ ビューアー ロールが事前に割り当てられている必要があります。

ヒント

管理者がコンテキスト/機密情報ではなくアラートにアクセスする必要がある場合は、データ分類コンテンツ ビューアーのアクセス許可を含まないカスタム ロールを作成して割り当てることができます。

DLP アラートの構成

DLP ポリシーでアラートを構成する方法については、「 データ損失防止ポリシーの作成と展開」を参照してください。 ライセンスに応じて、さまざまなアラート構成エクスペリエンスがあります。

注:

DLP ポリシーで既存のアラートを構成または変更した後、アラートを生成するまでに最大 3 時間かかる場合があります。

集計イベント アラートの構成

集約されたアラート構成オプションのライセンスが付与されている場合は、DLP ポリシーを作成または編集するときに、これらのオプションが表示されます。

集約されたアラート構成オプションの対象となるユーザーのインシデント レポートのオプションを示すスクリーンショット。

この構成では、アラートを生成するポリシーを設定できます。

  • アクティビティがポリシー条件に一致するたびに
  • 定義されたしきい値が満たされるか、超えたとき
  • 活動の数に基づく
  • 流出データの量に基づく

通知メールが大量に送信されるのを防ぐために、同じ DLP ルールと同じ場所にある 1 分間の時間枠内で発生するすべての一致が、同じアラートにグループ化されます。 1 分間の集計時間枠機能は、次の場合に使用できます。

  • E5 または G5 サブスクリプション
  • E1、F1、または G1 サブスクリプション、または次のいずれかの機能を含む E3 または G3 サブスクリプション。
    • Office 365 Advanced Threat Protection プラン 2
    • Microsoft 365 E5 Compliance
    • Microsoft 365 電子情報開示および監査アドオン ライセンス

E1、F1、または G1 サブスクリプションまたは E3 または G3 サブスクリプションを持つ組織の場合、集計期間は 15 分です。

単一イベント アラートの構成

シングル イベント アラート構成オプションのライセンスがある場合は、DLP ポリシーを作成または編集するときに、これらのオプションが表示されます。 DLP ルールの一致が発生するたびに発生するアラートを作成するには、このオプションを使用します。

シングル イベント アラート構成オプションの対象となるユーザーのインシデント レポートのオプションを示すスクリーンショット。

イベントの種類

アラートに関連付けられているイベントの一部を次に示します。 アラート ダッシュボードでは、特定のイベントを選択して詳細を表示できます。

イベントの詳細

プロパティ名 説明 イベントの種類
ID イベントに関連付けられている一意の ID すべてのイベント
場所 イベントが検出されたワークロード すべてのイベント
アクティビティの時間 DLP ポリシーの条件に一致したユーザー アクティビティの時間

影響を受けるエンティティ

プロパティ名 説明 イベントの種類
ユーザー ポリシーの一致の原因となったアクションを実行したユーザー すべてのイベント
hostname DLP ポリシーが一致したコンピューターのホスト名 デバイス イベント
IP アドレス DLP ポリシーが一致したコンピューターの IP アドレス デバイス イベント
sha1 ファイルの SHA-1 ハッシュ デバイス イベント
sha256 ファイルの SHA-256 ハッシュ デバイス イベント
MDATP デバイス ID エンドポイント デバイス MDATP ID
ファイル サイズ ファイルのサイズ SharePoint、OneDrive、およびデバイス イベント
ファイル パス DLP ポリシーの一致に関連する項目の絶対パス SharePoint、OneDrive、デバイスのイベント
メール受信者 電子メールが DLP ポリシーに一致する機密性の高いアイテムである場合、このフィールドにはそのメールの受信者が含まれます Exchange イベント
メールの件名 DLP ポリシーに一致した電子メールの件名 Exchange イベント
電子メールの添付ファイル DLP ポリシーに一致した電子メール内の添付ファイルの名前 Exchange イベント
サイト所有者 サイト所有者の名前 SharePoint イベントと OneDrive イベント
サイト URL DLP ポリシーの一致が発生した SharePoint または OneDrive サイトの URL でいっぱい SharePoint イベントと OneDrive イベント
ファイルが作成されました DLP ポリシーに一致したファイルの作成時刻 SharePoint イベントと OneDrive イベント
ファイルの最終変更 DLP ポリシーに一致するファイルが最後に変更された時刻 SharePoint イベントと OneDrive イベント
ファイル サイズ DLP ポリシーに一致したファイルのサイズ SharePoint イベントと OneDrive イベント
ファイル所有者 DLP ポリシーに一致したファイルの所有者 SharePoint イベントと OneDrive イベント

ポリシーの詳細

プロパティ名 説明 イベントの種類
DLP ポリシーの一致 一致する DLP ポリシーの名前 すべてのイベント
一致したルール 一致する DLP ポリシー 規則の名前 すべてのイベント
機密情報の種類 (SIT) が検出されました DLP ポリシーの一致の一部として検出された SID すべてのイベント
実行された処理 DLP ポリシーの一致の原因となったアクション すべてのイベント
違反アクション DLP アラートを発生させたエンドポイント デバイスのアクション デバイス イベント
ユーザー のオーバーロード ポリシー ユーザーがポリシー ヒントを使用してポリシーをオーバーライドしました すべてのイベント
オーバーライドの正当な理由を使用する オーバーライドのためにユーザーによって提供される理由のテキスト すべてのイベント

重要

organizationの監査ログ保持ポリシー構成は、コンソールにアラートが表示されたままの期間を制御します。 詳細については、「監査ログ保持ポリシーを管理する」を参照してください。

関連項目