インサイダー リスク管理データを他のソリューションと共有する
重要
Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。
インサイダー リスク管理のデータは、次のいずれかの方法で共有できます。
- アラート情報を SIEM ソリューションにエクスポートする
- ユーザー リスクの重大度レベルをMicrosoft Defender XDRおよび Microsoft Purview データ損失防止 (DLP) アラートと共有する
アラート情報を SIEM ソリューションにエクスポートする
Microsoft Purview インサイダー リスク管理アラート情報は、Office 365 Management Activity API スキーマを使用して、セキュリティ情報とイベント管理 (SIEM) ソリューションとセキュリティ オーケストレーション自動応答 (SOAR) ソリューションにエクスポートできます。 Office 365管理アクティビティ API を使用して、organizationがインサイダー リスク情報の管理または集計に使用する可能性がある他のアプリケーションにアラート情報をエクスポートできます。 アラート情報はエクスポートされ、Office 365管理アクティビティ API を介して 60 分ごとに使用できます。
ヒント
Microsoft Security Copilotの使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のMicrosoft Security Copilotの詳細については、こちらをご覧ください。
organizationがMicrosoft Sentinelを使用している場合は、すぐに使用できるインサイダー リスク管理データ コネクタを使用して、インサイダー リスク アラート情報をSentinelにインポートすることもできます。 詳細については、Microsoft Sentinel記事の「Insider Risk Management」を参照してください。
重要
Microsoft 365 やその他のシステムでインサイダー リスク アラートやケースを持つユーザーの参照整合性を維持するために、エクスポート API を使用する場合や、Microsoft Purview eDiscovery ソリューションへのエクスポート時に、エクスポートされたアラートに対してユーザー名の匿名化は保持されません。 エクスポートされたアラートには、この場合の各アラートのユーザー名が表示されます。 アラートまたはケースから CSV ファイルにエクスポートする場合、匿名化 は 保持されます。
API を使用してインサイダー リスク アラート情報を確認する
現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
- Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
- ページの右上隅にある [設定] を選択します。
- [Insider Risk Management]\(インサイダー リスク管理\) を選択して、インサイダー リスク管理の設定に移動します。
- [ アラートのエクスポート] を選択します。 既定では、この設定は Microsoft 365 organizationで無効になっています。
- 設定を [オン] にします。
- SecurityComplianceAlerts で一般的なOffice 365監査アクティビティをフィルター処理します。
- InsiderRiskManagement カテゴリで SecurityComplianceAlerts をフィルター処理します。
アラート情報には、セキュリティとコンプライアンスの警告スキーマとOffice 365管理アクティビティ API の共通スキーマからの情報が含まれています。
次のフィールドと値は、セキュリティとコンプライアンスのアラート スキーマに関するインサイダー リスク管理アラート用にエクスポートされます。
Alert パラメーター | 説明 |
---|---|
AlertType | アラートの種類は Custom です。 |
AlertId | アラートの GUID。 インサイダー リスク管理アラートは変更可能です。 アラートの状態が変化すると、同じ AlertID を持つ新しいログが生成されます。 この AlertID を使用して、アラートの更新を関連付けることができます。 |
カテゴリ | アラートのカテゴリは InsiderRiskManagement です。 このカテゴリを使用すると、これらのアラートを他のセキュリティおよびコンプライアンス アラートと区別できます。 |
注釈 | アラートの既定のコメント。 値は 、新しいアラート (アラートの作成時にログに記録) と アラートの更新 (アラート の更新がある場合にログに記録されます) です。 AlertID を使用して、アラートの更新を関連付けます。 |
データ | アラートのデータには、ユーザーがポリシーにトリガーされたときの一意のユーザー ID、ユーザー プリンシパル名、日付と時刻 (UTC) が含まれます。 |
名前 | アラートを生成したインサイダー リスク管理ポリシーのポリシー名。 |
PolicyId | アラートをトリガーしたインサイダー リスク管理ポリシーの GUID。 |
重要度 | アラートの重大度。 値は High、 Medium、または Low です。 |
ソース | アラートのソース。 値は、セキュリティ & コンプライアンスOffice 365です。 |
状態 | アラートの状態。 値は アクティブ (インサイダー リスクのニーズ レビュー )、 調査 (インサイダー リスクで確認) 、 解決済み (インサイダー リスクで解決) 、 却下 (インサイダー リスクで却下) です。 |
バージョン | セキュリティとコンプライアンスの警告スキーマのバージョン。 |
次のフィールドと値は、Office 365 Management Activity API の共通スキーマに関するインサイダー リスク管理アラート用にエクスポートされます。
- UserId
- Id
- RecordType
- CreationTime
- 操作
- OrganizationId
- UserType
- UserKey
アラートの重大度レベルを他の Microsoft セキュリティ ソリューションと共有する
インサイダー リスク管理からアラートの重大度レベルを共有して、次の Microsoft セキュリティ ソリューションのアラート調査エクスペリエンスに固有のユーザー コンテキストを提供できます。
Microsoft Defender XDR Microsoft Purview コミュニケーション コンプライアンス Microsoft Purview データ損失防止 (DLP)
インサイダー リスク管理は、90 日から 120 日間のユーザー アクティビティを分析し、その期間の異常な動作を探します。 このデータを他のセキュリティ ソリューションに追加すると、アナリストがアラートの優先順位を付けるのに役立つ、これらのソリューションで使用できるデータが強化されます。
ヒント
インサイダー リスク管理のアラート重大度レベルは、Adaptive Protection で定義されているインサイダー リスク レベルとは異なります。
- アラートの重大度レベル (低、中、高) は、インサイダー リスク管理ポリシーで検出されたアクティビティに基づいてユーザーに割り当てられます。 これらのレベルは、ユーザーに関連付けられているすべてのアクティブなアラートに割り当てられたアラート リスク スコアに基づいて計算されます。 これらのレベルは、インサイダー リスク アナリストや調査担当者がユーザー アクティビティに優先順位を付け、それに応じて対応するのに役立ちます。
- Adaptive Protection のインサイダー リスク レベル (昇格、中程度、またはマイナー) は、ユーザーが 1 日に実行する流出アクティビティの数や、アクティビティによって重大度の高いインサイダー リスク アラートが生成されたかどうかなど、管理者が定義した条件によって決定されるリスクの尺度です。
インサイダー リスク管理アラートの重大度レベルを共有するとどうなりますか?
Microsoft Defender XDR
[DLP インシデント] ページ: インサイダー リスクの重大度フィールドは、インサイダー リスク管理のリスク レベルが高または中のユーザーに対して、Microsoft Defender DLP インシデント ページの [影響を受ける資産] セクションに追加されます。 ユーザーが 低 リスク レベルの場合、[インシデント] ページには何も追加されません。 これにより、アナリストが最もリスクの高いユーザー アクティビティに集中できるように、気晴らしが最小限に抑えられます。
[影響を受ける資産] セクションでリスク レベルを選択すると、そのユーザーのインサイダー リスク アクティビティの概要とアクティビティのタイムラインを確認できます。 最大 120 日間の分析は、アナリストがユーザーのアクティビティの全体的なリスクを判断するのに役立ちます。
[DLP ポリシーの一致] ページで DLP イベントを選択すると、[DLP ポリシーの一致] セクションに [影響を受けたエンティティ ] セクションが表示され、ポリシーに一致するすべてのユーザーが表示されます。
[ユーザー] ページ: インサイダー リスクの重大度 フィールドは、インサイダー リスク管理で 高、 中、または 低 のリスク レベルを持つユーザーの [ユーザー] ページに追加されます。 このデータは、アクティブなインサイダー リスク管理アラートを持つすべてのユーザーが利用できます。
[ユーザー] ページの右側に、そのユーザーのインサイダー リスク アクティビティの概要とアクティビティ タイムラインが表示されます。
コミュニケーション コンプライアンス アラート
通信コンプライアンス ポリシーが一致するたびに、送信者に関連付けられているユーザー リスクの重大度を表示できます。 アラートの通信の [ ユーザー アクティビティ ] タブで、この情報を表示します。 このビューでは、 インサイダー リスク管理 とコミュニケーション コンプライアンスによってキャプチャされたリスク プロファイル、ポリシーの一致、およびユーザー アクティビティが提供されます。
重大度レベルは、 高、 中、 低、または なしとして分類されます。
[ なし] のリスク重大度レベルの場合、次のいずれかのシナリオが原因である可能性があります。
- ユーザーはインサイダー リスク ポリシーに含まれていません。
- ユーザーのアクティビティにはリスク スコアが割り当てられていません。つまり、ユーザーがポリシーのアクティブなスコープに含まれていないことを意味します。
- ユーザーはインサイダー リスク管理ポリシーに含まれていますが、危険なアクティビティには関与していません。
- organizationには、アクティブなインサイダー リスク管理ポリシーがありません。
ユーザー リスクの重大度が利用できない場合、データ共有はインサイダー リスク管理から有効になりません。
インサイダー リスク管理の [ユーザー履歴] タブの [詳細の表示] セクションで、インサイダー リスク アクティビティを最大 120 日間表示できます。 現在、流出 インジケーター からのデータのみが、コミュニケーション コンプライアンスのユーザー アクティビティの概要に表示されます。
DLP アラート
DLP アラートに関連付けられているインサイダー リスク管理ポリシーの場合、高、中、低、または None の値を持つ Insider リスク重大度列が DLP アラート キューに追加されます。 ポリシーに一致するアクティビティを持つ複数のユーザーがある場合は、インサイダー リスク レベルが最も高いユーザーが表示されます。
None の値は、次のいずれかを意味します。
ユーザーはインサイダー リスク管理ポリシーの一部ではありません。
ユーザーはインサイダー リスク管理ポリシーの一部ですが、ポリシーのスコープに自分自身を取り込むための危険なアクティビティを行っていません (流出データはありません)。
DLP アラート キュー内のインサイダー リスク レベルを選択すると、[ユーザー アクティビティの概要] タブにアクセスできます。このタブには、過去 90 日から 120 日間のすべての流出アクティビティのタイムラインが表示されます。 DLP アラート キューと同様に、[ ユーザー アクティビティの概要 ] タブには、インサイダー リスク レベルが最も高いユーザーが表示されます。 ユーザーが過去 90 日から 120 日間に行ったことに関するこの深いコンテキストは、そのユーザーが提示するリスクの広いビューを提供します。
流出インジケーターからのデータのみがユーザー アクティビティの概要に表示されます。 HR、閲覧などの他の機密インジケーターからのデータは、DLP アラートと共有されません。
[アクターの詳細] セクションが [DLP アラートの詳細] ページに追加されます。 このページを使用すると、特定の DLP アラートに関連 するすべての ユーザーを表示できます。 DLP アラートに関係する各ユーザーについて、過去 90 日から 120 日間のすべての流出アクティビティを表示できます。
DLP アラートで [Security Copilotから概要を取得する] を選択した場合、Microsoft Security Copilotによって提供されるアラートの概要には、ユーザーがインサイダー リスク管理ポリシーのスコープ内にある場合、DLP の概要情報に加えてインサイダー リスク管理の重大度レベルが含まれます。
ヒント
Security Copilotを使用して DLP アラートを調査することもできます。 インサイダー リスク管理 の [データ共有 ] 設定が有効になっている場合は、DLP/Insider リスク管理の調査を組み合わせて行うことができます。 たとえば、まず Copilot に DLP アラートの要約を依頼してから、アラートにフラグが設定されたユーザーに関連付けられているインサイダー リスク レベルを表示するように Copilot に依頼します。 または、ユーザーがリスクの高いユーザーと見なされる理由を確認することもできます。 この場合のユーザー リスク情報は、インサイダー リスク管理から取得されます。 Security Copilotは、内部リスク管理と DLP をシームレスに統合して、調査を支援します。 DLP/Insider リスク管理の調査を組み合わせたスタンドアロン バージョンの Copilot の使用について詳しく説明します。
前提条件
インサイダー リスク管理のユーザー リスク レベルを他の Microsoft セキュリティ ソリューションと共有するには、ユーザーは次の手順を実行します。
- インサイダー リスク管理ポリシーの一部である必要があります。
- ユーザーをポリシーのスコープに取り込む流出アクティビティを実行している必要があります。
- (DLP と共有する場合): DLPアラートのアクセス許可が必要です。 [データ共有] 設定を有効にすると、DLP アラートのアクセス許可を持つユーザーは、DLP アラートの調査と [Microsoft Defender XDR ユーザー] ページのインサイダー リスク管理コンテキストにアクセスできます。 インサイダー リスク管理のアクセス許可を持つユーザーは、このデータにアクセスすることもできます。
- (コミュニケーション コンプライアンスと共有する場合): コミュニケーション コンプライアンス のユーザー リスクの重大度レベルとアクティビティ履歴を表示するには、 コミュニケーション コンプライアンス アナリスト または コミュニケーション コンプライアンス調査担当者 ロールを割り当てる必要があります。
ヒント
Microsoft Purview や Microsoft Defender で DLP アラートにアクセスできる場合は、それらのソリューションと共有されているインサイダー リスク管理からユーザー コンテキストを表示できます。
他の Microsoft セキュリティ ソリューションとデータを共有する
1 つの設定を有効にすることで、インサイダー リスク管理アラートの重大度レベルを他の Microsoft セキュリティ ソリューションと共有できます。
- インサイダー リスク管理設定で、[ データ共有 ] 設定を選択します。
- [ 他の Microsoft セキュリティ ソリューションとデータを共有 する] セクションで、設定をオンにします。
注:
この設定をオンにしない場合、[DLP アラート のインサイダー リスクの重大度 ] 列に表示される値は "ユーザー データは使用できません" で、通信コンプライアンスでは "Insider Risk Activity not available" と表示されます。