インサイダー リスク管理でインテリジェント検出を構成する

重要

Microsoft Purview Insider Risk Management は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまなシグナルを関連付けます。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

注:

[ インテリジェント検出 ] 設定に以前に含まれていたグローバル除外設定が、[ グローバル除外 (プレビュー)] 設定に含まれるようになりました。

を使用すると、Microsoft Purview Insider Risk Management の [インテリジェント検出 ] 設定を使用して、次のことができます。

• 毎日のイベントの最小数を入力して、異常なファイルダウンロードアクティビティのスコアを向上させます。
• 高、中、低のアラートの量と分布を増減します。
• インサイダー リスク管理テンプレートから作成されたポリシーで使用されるアクティビティに対する Defender for Endpoint アラートをインポートしてフィルター処理します。
• 危険な可能性のあるアクティビティのリスク スコアを高めるために、未承認のドメインを指定します。
• リスクの高いダウンロード アクティビティに関するアラートを生成するサード パーティドメインを指定します。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

ファイル アクティビティの検出

このセクションを使用して、ユーザーにとって珍しいと見なされるダウンロード アクティビティのリスク スコアを向上させるために必要な 1 日のイベントの数を指定できます。 たとえば、「25」と入力した場合、ユーザーが過去 30 日間の平均で 10 個のファイルをダウンロードしたが、ポリシーによって 1 日に 20 個のファイルがダウンロードされたことが検出された場合、その日にダウンロードしたファイルの数が 25 未満であるため、そのユーザーにとっては珍しい場合でも、そのアクティビティのスコアは向上しません。

アラート ボリューム

インサイダー リスク ポリシーによって検出される可能性のある危険なアクティビティには、特定のリスク スコアが割り当てられ、アラートの重大度 (低、中、高) が決定されます。 既定では、インサイダー リスク管理では、一定量の低、中、高の重大度のアラートが生成されますが、ニーズに合わせて特定のレベルのアラートの量を増減できます。

すべてのインサイダー リスク管理ポリシーのアラートの量を調整するには、次のいずれかの設定を選択します。

• アラートの数が少ない: 重大度の高いアラートがすべて表示され、重大度が中程度のアラートが少なくなり、重大度の低いアラートは表示されません。 この設定レベルを選択すると、真陽性が見逃される可能性があります。
• 既定のボリューム: 重大度の高いアラートと、中程度の重大度と重大度の低いアラートのバランスの取れた量が表示されます。
• その他のアラート: すべての中重大度アラートと重大度の高いアラートと最も低い重大度のアラートが表示されます。 この設定レベルでは、誤検知が増える可能性があります。

Microsoft Defender for Endpoint アラートの状態

重要

セキュリティ違反アラートをインポートするには、組織内で Microsoft Defender for Endpoint を構成し、Defender Security Center で Defender for Endpoint for Insider リスク管理統合を有効にする必要があります。 インサイダー リスク管理統合のために Microsoft Defender for Endpoint を構成する方法の詳細については、「Microsoft Defender for Endpoint で高度な機能を構成する」を参照してください。

Microsoft Defender for Endpoint は、エンタープライズ ネットワークが高度な脅威を防止、検出、調査、対応できるように設計されたエンタープライズ エンドポイント セキュリティ プラットフォームです。 組織内のセキュリティ違反の可視性を高めるために、内部リスク管理セキュリティ違反ポリシー テンプレートから作成されたポリシーで使用されるアクティビティについて Defender for Endpoint アラートをインポートしてフィルター処理できます。

関心のあるシグナルの種類に応じて、Defender for Endpoint アラートトリアージの状態に基づいて、インサイダー リスク管理にアラートをインポートすることができます。 インポートするグローバル設定で、次のアラートトリアージの状態を 1 つ以上定義できます。

• 不明
• 新規
• 処理中
• Resolved

Defender for Endpoint からのアラートは毎日インポートされます。 選択したトリアージの状態によっては、Defender for Endpoint のトリアージ状態の変更と同じアラートに対して複数のユーザー アクティビティが表示される場合があります。

たとえば、この設定で [ 新規]、[ 進行中]、[ 解決済み ] を選択した場合、Microsoft Defender for Endpoint アラートが生成され、状態が [新規] の場合、内部リスク管理のユーザーに対して初期アラート アクティビティがインポートされます。 Defender for Endpoint トリアージの状態が [進行中] に変わると、このアラートの 2 つ目のアクティビティがインポートされます。 最後の Defender for Endpoint トリアージの状態が [解決済 み] に設定されると、このアラートの 3 番目のアクティビティがインポートされます。 この機能を使用すると、調査担当者は Defender for Endpoint アラートの進行に従い、調査に必要な可視性のレベルを選択できます。

ドメイン

非許可ドメインとサードパーティ ドメインを指定して、検出を強化できます。

• 未承認ドメイン: 未承認ドメインを指定すると、そのドメインで行われるリスク管理アクティビティのリスク スコアが高くなります。 たとえば、コンテンツを他のユーザーと共有するアクティビティ (gmail.com アドレスを持つユーザーに電子メールを送信するなど) や、ユーザーが許可されていないドメインからデバイスにコンテンツをダウンロードするアクティビティを指定できます。 最大 500 個の未承認ドメインを追加できます。
• サード パーティドメイン: 組織がビジネス目的 (クラウド ストレージなど) にサード パーティ ドメインを使用している場合は、[ サード パーティのドメイン ] セクションに含めて、デバイス インジケーターに関連するリスクの高いアクティビティのアラートを受け取ります 。ブラウザーを使用してサード パーティのサイトからコンテンツをダウンロードします。 最大 500 個のサードパーティ ドメインを追加できます。

ヒント

また、 インサイダー リスク管理ポリシーによるスコア付けから除外するドメインを指定することもできます。

未承認ドメインを追加する

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 組織の管理者アカウントの資格情報を使用して、Microsoft Purview ポータル にサインインします。

2. ページの右上隅にある [設定] ボタンを選択し、[ Insider Risk Management ] を選択してインサイダー リスク管理の設定に移動します。

3. [ Insider risk settings]\(インサイダー リスク設定\) で、[ インテリジェント検出] を選択します。

4. [ 未適用ドメイン ] セクションまで下にスクロールし、[ ドメインの追加] を選択します。

5. ドメインを入力します。

   ヒント

   一度に 1 つずつドメインを入力しない場合は、前のページの [CSV ファイルからドメインをインポートする] を選択して 、それらを CSV ファイルとしてインポート できます。

6. 入力したドメイン内のすべてのサブドメインを含める場合は、[ 複数レベルのサブドメインを含める ] チェック ボックスをオンにします。

   [!注: ワイルドカードを使用すると、ルート ドメインまたはサブドメインのバリエーションに一致させることができます。 たとえば、sales.wingtiptoys.com と support.wingtiptoys.com を指定するには、ワイルドカード エントリ "*.wingtiptoys.com" を使用して、これらのサブドメイン (および同じレベルの他のサブドメイン) と一致させます。 ルート ドメインに複数レベルのサブドメインを指定するには、[ 複数レベルのサブドメインを含める ] チェック ボックスをオンにする必要があります。

7. Enter キーを押します。 追加するドメインごとにこのプロセスを繰り返します。

8. [ドメインを追加] を選択します。

コンプライアンス ポータル

1. Microsoft 365 組織の管理者アカウントの資格情報を使用して コンプライアンス ポータル にサインインします。

2. Insider リスク管理ソリューションに移動します。

3. グローバル設定で、[ インテリジェント検出] に移動します。

4. [ 未適用ドメイン ] セクションまで下にスクロールし、[ ドメインの追加] を選択します。

5. ドメインを入力します。

   ヒント

   一度に 1 つずつドメインを入力しない場合は、前のページの [CSV ファイルからドメインをインポートする] を選択して 、それらを CSV ファイルとしてインポート できます。

6. 入力したドメイン内のすべてのサブドメインを含める場合は、[ 複数レベルのサブドメインを含める ] チェック ボックスをオンにします。

   [!注: ワイルドカードを使用すると、ルート ドメインまたはサブドメインのバリエーションに一致させることができます。 たとえば、sales.wingtiptoys.com と support.wingtiptoys.com を指定するには、ワイルドカード エントリ "*.wingtiptoys.com" を使用して、これらのサブドメイン (および同じレベルの他のサブドメイン) と一致させます。 ルート ドメインに複数レベルのサブドメインを指定するには、[ 複数レベルのサブドメインを含める ] チェック ボックスをオンにする必要があります。

7. Enter キーを押します。 追加するドメインごとにこのプロセスを繰り返します。

8. [ドメインを追加] を選択します。

サード パーティのドメインを追加する

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 組織の管理者アカウントの資格情報を使用して、Microsoft Purview ポータル にサインインします。

2. ページの右上隅にある [設定] ボタンを選択し、[ Insider Risk Management ] を選択してインサイダー リスク管理の設定に移動します。

3. [ Insider risk settings]\(インサイダー リスク設定\) で、[ インテリジェント検出] を選択します。

4. [ サード パーティのドメイン ] セクションまで下にスクロールし、[ ドメインの追加] を選択します。

5. ドメインを入力します。

   ヒント

   一度に 1 つずつドメインを入力しない場合は、前のページの [CSV ファイルからドメインをインポートする] を選択して 、それらを CSV ファイルとしてインポート できます。

6. 入力したドメイン内のすべてのサブドメインを含める場合は、[ 複数レベルのサブドメインを含める ] チェック ボックスをオンにします。

   [!注: ワイルドカードを使用すると、ルート ドメインまたはサブドメインのバリエーションに一致させることができます。 たとえば、sales.wingtiptoys.com と support.wingtiptoys.com を指定するには、ワイルドカード エントリ "*.wingtiptoys.com" を使用して、これらのサブドメイン (および同じレベルの他のサブドメイン) と一致させます。 ルート ドメインに複数レベルのサブドメインを指定するには、[ 複数レベルのサブドメインを含める ] チェック ボックスをオンにする必要があります。

7. Enter キーを押します。 追加するドメインごとにこのプロセスを繰り返します。

8. [ドメインを追加] を選択します。

コンプライアンス ポータル

1. Microsoft 365 組織の管理者アカウントの資格情報を使用して コンプライアンス ポータル にサインインします。

2. Insider リスク管理ソリューションに移動します。

3. グローバル設定で、[ インテリジェント検出] に移動します。

4. [ サード パーティのドメイン ] セクションまで下にスクロールし、[ ドメインの追加] を選択します。

5. ドメインを入力します。

   ヒント

   一度に 1 つずつドメインを入力しない場合は、前のページの [CSV ファイルからドメインをインポートする] を選択して 、それらを CSV ファイルとしてインポート できます。

6. 入力したドメイン内のすべてのサブドメインを含める場合は、[ 複数レベルのサブドメインを含める ] チェック ボックスをオンにします。

   [!注: ワイルドカードを使用すると、ルート ドメインまたはサブドメインのバリエーションに一致させることができます。 たとえば、sales.wingtiptoys.com と support.wingtiptoys.com を指定するには、ワイルドカード エントリ "*.wingtiptoys.com" を使用して、これらのサブドメイン (および同じレベルの他のサブドメイン) と一致させます。 ルート ドメインに複数レベルのサブドメインを指定するには、[ 複数レベルのサブドメインを含める ] チェック ボックスをオンにする必要があります。

7. Enter キーを押します。 追加するドメインごとにこのプロセスを繰り返します。

8. [ドメインを追加] を選択します。