データ損失防止アラート ダッシュボードの概要
Microsoft Purview データ損失防止 (DLP) ポリシーは、機密アイテムの意図しない共有を防ぐために保護措置を講じることができます。 DLP のアラートを構成することで、機密性の高いアイテムに対してアクションが実行されたときに通知を受け取ることができます。 この記事では、データ損失防止 (DLP) ポリシーでアラートを構成する方法について説明します。 Microsoft Purview ポータルの DLP アラート管理ダッシュボードを使用して、DLP ポリシー違反のアラート、イベント、および関連するメタデータを表示する方法について説明します。
DLP アラートを初めて使用する場合は、「 データ損失防止アラートの概要」を確認する必要があります。
ヒント
Microsoft Security Copilotの使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のMicrosoft Security Copilotの詳細については、こちらをご覧ください。
Microsoft Purview ポータル には、次のワークロードに適用される DLP ポリシーのアラートが表示されます。
- Exchange メール
- SharePoint サイト
- OneDrive アカウント
- Teams チャットおよびチャネル メッセージ
- デバイス
- Instances
- オンプレミスのリポジトリ
- Fabric と Power BI
開始する前に
開始する前に、必要な前提条件があることを確認してください。
- DLP アラート管理ダッシュボードのライセンス
- アラート構成オプションのライセンス
- 必要な役割
DLP アラート管理ダッシュボードのライセンス
DLP ポリシーの使用を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認してください。
ライセンスの詳細については、「Microsoft 365、Office 365、Enterprise Mobility + Security、Windows 11 Subscriptions for Enterprises」を参照してください。
Teams DLP の対象となるエンドポイント DLP を使用するお客様は、DLP アラート管理ダッシュボードにエンドポイント DLP ポリシー アラートと Teams DLP ポリシー アラートが表示されます。
アラート構成オプションのライセンス
DLP ポリシーの使用を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認してください。
ライセンスの詳細については、「Microsoft 365、Office 365、Enterprise Mobility + Security、Windows 11 Subscriptions for Enterprises」を参照してください。
ロールとロールのグループ
DLP アラート管理ダッシュボードを表示する場合、または DLP ポリシーのアラート構成オプションを編集する場合は、次のいずれかの役割グループのメンバーである必要があります。
- コンプライアンス管理者
- コンプライアンス データ管理者
- セキュリティ管理者
- セキュリティ オペレーター
- セキュリティ閲覧者
- Information Protection 管理者
- Information Protection アナリスト
- Information Protection 調査員
- Information Protection 閲覧者
詳細については、Microsoft Purview コンプライアンス ポータルの「アクセス許可」を参照してください。
該当する役割グループの一覧を次に示します。 詳細については、Microsoft Purview コンプライアンス ポータルのアクセス許可に関するページを参照してください。
- 情報保護
- Information Protection レベル
- Information Protection アナリスト
- Information Protection 調査担当者
- Information Protection 閲覧者
DLP アラート管理ダッシュボードにアクセスするには、 アラートの管理 ロールと、次の 2 つのロールのいずれかが必要です。
- DLP コンプライアンス管理
- 表示専用の DLP コンプライアンス管理
コンテンツ プレビュー機能と一致した機密性の高いコンテンツとコンテキスト機能にアクセスするには、コンテンツ エクスプローラー コンテンツ ビューアー ロール グループのメンバーである必要があります。このロールには、データ分類コンテンツ ビューアー ロールが事前に割り当てられている必要があります。
DLP アラートの構成
DLP ポリシーでアラートを構成する方法については、「 データ損失防止ポリシーの作成と展開」を参照してください。
重要
organizationの監査ログ保持ポリシーの構成によって、アラートがコンソールに表示される期間が制御されます。 詳細については、「 監査ログ保持ポリシーの管理 」を参照してください。
集計イベント アラートの構成
organizationに集約アラート構成オプションのライセンスが付与されている場合は、DLP ポリシーを作成または編集するときにこれらのオプションが表示されます。
この構成を使用すると、アクティビティがポリシー条件に一致するたびに、またはアクティビティの数に基づいて、または流出データの量に基づいて、特定のしきい値を超えたときにアラートを生成するポリシーを設定できます。
単一イベント アラートの構成
organizationにシングル イベント アラート構成オプションのライセンスが付与されている場合は、DLP ポリシーを作成または編集するときにこれらのオプションが表示されます。 DLP ルールの一致が発生するたびに発生するアラートを作成するには、このオプションを使用します。
DLP アラートを調査する
現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
DLP アラート管理ダッシュボードを操作するには:
- Microsoft Purview ポータルにサインインします>データ損失防止。
- [ アラート] を選択して、 DLP アラート ダッシュボードを 表示します。
- [フィルター] フィールドを使用して、アラートの一覧を絞り込みます。
- [ 列のカスタマイズ ] を選択して、表示するプロパティを一覧表示します。
- 結果を昇順または降順で並べ替えるには、列ヘッダーをダブルクリックします。
- アラートの詳細については、アラートをダブルクリックします。
- 既定で [ 詳細 ] タブが開き、アラートに関する概要情報が表示されます。
- [ Copilot で集計] を選択します。 これにより、Security Copilotによってアラートの概要が生成されます。 アラートの概要には、次のものが含まれます。
- アラートの重大度
- アラート タイトル
- 一致したポリシーの名前
- 関連する名前ファイルとファイルへのリンク
- アラートの状態
- ポリシーに一致するアクションを実行したユーザーの電子メール アドレス
-
Security Copilotの概要で省略記号を選択すると、次のようになります。
- 概要をクリップボードにコピーする
- 概要を再生成する
- Security Copilotスタンドアロン エクスペリエンスでアラートを開きます。
- [ 詳細の表示] を選択して、[ 概要 ] タブを開きます。[ 概要 ] タブには、次の情報の概要が表示されます。
- どうされました
- ポリシー一致の原因となったアクションを実行したユーザー
- ポリシーの一致に関する追加情報
- [ イベント ] タブには、アラートに関連付けられているすべてのイベントが一覧表示されます。 一覧で任意のイベントを選択して、イベントに関する詳細情報を取得します。 イベントごとに、[ アクション] ドロップダウンを選択して、アラートに対して実行できるアクションの一覧 (アラートが真の一致または誤検知を識別したかどうかを確認するなど) を選択します。
- [ユーザー アクティビティの概要] タブでは、インサイダー リスク管理設定で共有をオンにする必要があります。[ユーザー アクティビティの概要] タブには、ユーザーが関与したすべての流出アクティビティ (過去 120 日まで) が表示されます。 [ユーザー アクティビティの概要] タブを表示するには、ユーザーがインサイダー リスク管理ポリシーのスコープ内にある必要があります。
- アラートを調査したら、[ 概要 ] タブに戻り、 アラート のトリアージと処理の管理、コメントの追加、アラートの所有権の割り当てを行うことができます。 (ワークフロー管理の履歴を表示するには)。)
- アラートに対して必要なアクションを実行したら、アラートの状態を [解決済み] に設定します。
その他の一致条件
Microsoft Purview では、DLP イベントで一致した条件を表示して、フラグ付き DLP ポリシーの正確な原因を明らかにすることをサポートしています。 この情報は、次の情報に表示されます。
- DLP アラート コンソール
- アクティビティ エクスプローラー
- Microsoft Defender for Business ポータル
[ イベント ] タブで [ 詳細 ] を開き、[ その他の一致条件] を表示します。
前提条件
- x64 (ビルド 1809 以降) またはWindows 11 Windows 10実行している必要があります。
- 必要最小限の Windows オペレーティング システム ビルドについては、2023 年 3 月 21 日のKB5023773 (OS ビルド 19042.2788、19044.2788、19045.2788) プレビュー を参照してください。
- 一致した条件データは、有効な E3 および E5 ライセンス所有者が使用できます。
- 監査を有効にします。
- 高度な分類のスキャンと保護を有効にします。
一致したイベント情報は、これらの条件でサポートされています
条件 | Exchange | Sharepoint | Teams | エンドポイント |
---|---|---|---|---|
送信者が | はい | いいえ | はい | いいえ |
送信者のドメインが次の場合 | はい | いいえ | はい | いいえ |
送信者アドレスに単語が含まれている | はい | いいえ | いいえ | いいえ |
送信者のアドレスがパターンと一致している | はい | いいえ | いいえ | いいえ |
送信者は のメンバーです。 | はい | いいえ | いいえ | いいえ |
送信者の IP アドレスが | はい | いいえ | いいえ | いいえ |
送信者がポリシー ヒントをオーバーライドしました | はい | いいえ | いいえ | いいえ |
SenderAdAttribute に単語が含まれている | はい | いいえ | いいえ | いいえ |
SenderAdAttribute 一致パターン | はい | いいえ | いいえ | いいえ |
受信者が | はい | いいえ | はい | いいえ |
受信者ドメインが | はい | いいえ | はい | いいえ |
受信者のアドレスに単語が含まれている | はい | いいえ | いいえ | いいえ |
受信者のアドレスがパターンと一致している | はい | いいえ | いいえ | いいえ |
受信者が次のメンバーの場合 | はい | いいえ | いいえ | いいえ |
RecipientAdAttribute に単語が含まれている | はい | いいえ | いいえ | いいえ |
RecipientAdAttribute 一致パターン | はい | いいえ | いいえ | いいえ |
ドキュメントがパスワードで保護されている | はい | いいえ | いいえ | いいえ |
ドキュメントをスキャンできませんでした | はい | いいえ | いいえ | いいえ |
ドキュメントのスキャンが完了しませんでした | はい | いいえ | いいえ | いいえ |
ドキュメント名に単語が含まれている | はい | はい | いいえ | いいえ |
ドキュメント名がパターンと一致する | はい | いいえ | いいえ | いいえ |
文書のプロパティが | はい | はい | いいえ | いいえ |
ドキュメントサイズオーバー | はい | はい | いいえ | いいえ |
ドキュメント コンテンツに単語が含まれている | はい | いいえ | いいえ | いいえ |
ドキュメント コンテンツがパターンと一致する | はい | いいえ | いいえ | いいえ |
ドキュメントの種類は | いいえ | いいえ | いいえ | はい |
ドキュメントの拡張子は | はい | はい | いいえ | はい |
コンテンツは M365 から共有されます | はい | はい | はい | いいえ |
コンテンツの受信元 | はい | いいえ | いいえ | いいえ |
コンテンツ文字セットに単語が含まれている | はい | いいえ | いいえ | いいえ |
件名に単語が含まれている | はい | いいえ | いいえ | いいえ |
件名がパターンと一致している | はい | いいえ | いいえ | いいえ |
件名または本文に単語が含まれている | はい | いいえ | いいえ | いいえ |
件名または本文がパターンに一致する | はい | いいえ | いいえ | いいえ |
ヘッダーに単語が含まれている | はい | いいえ | いいえ | いいえ |
ヘッダーがパターンと一致している | はい | いいえ | いいえ | いいえ |
メッセージ サイズオーバー | はい | いいえ | いいえ | いいえ |
メッセージの種類は | はい | いいえ | いいえ | いいえ |
メッセージの重要度は | はい | いいえ | いいえ | いいえ |
DLP アラート内から電子メールをダウンロードするときの制限事項
一般に、DLP アラート管理ダッシュボードを使用する場合は、アラート内から特定の電子メールをダウンロードできます。 ただし、次のいずれかのシナリオで削除されたメールはダウンロードできません。
Sender | Recipient | Email状態 |
---|---|---|
内部 | 外部 | 送信者によって削除された |
外部 | 内部 | 受信者によって削除された |
内部 | 内部 | 両方のパーティによって削除された |