ルール内の条件が一致したときにアラートを生成するように、Microsoft Purview データ損失防止 (DLP) ポリシーを構成できます。 アラートは DLP ポリシー ルールで構成されます。
アラートの概要については、次を参照してください。
この記事には、ライセンスとアクセス許可の詳細、およびアラートを操作するときに必要なその他の重要な情報が含まれています。
DLP アラートは、Microsoft Defender XDR ダッシュボードと Microsoft Purview ポータルで調査および管理できます。 Microsoft Defender XDR ダッシュボードは、DLP アラートの調査と管理に推奨される場所です。 MICROSOFT Purview ポータルは、DLP ポリシーを作成および編集するための推奨される場所です。
ヒント
Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。
アラートの種類
アラートは、アクティビティがルールに一致するたびに送信することも、集約してノイズを削減することもできます。 DLP ポリシーで構成できるアラートには 2 種類あります。
単一イベント アラート単一イベント アラートは、通常、10 個以上の顧客クレジットカード番号がorganizationの外部に送信される単一の電子メールなど、少量で発生する機密性の高いイベントを監視するポリシーで使用されます。 既定では、1 つのルールのイベントが互いに 1 分の期間で発生すると、E5 ライセンスと E3 ライセンスの場合は 15 分が集計されます。 プレビューでは、シングル イベント アラートは、ユーザーごとにルールごとに集計できます。 これは、ユーザーとルールベースのアラート集計と呼ばれます。
集計イベント アラート は、通常、一定期間にわたって大量に発生するイベントを監視するポリシーで使用されます。 たとえば、1 つの顧客クレジット カード番号を持つ 10 件の個々の電子メールが 48 時間にわたって組織外に送信されると、集計アラートをトリガーできます。
開始する前に
開始する前に、次の前提条件があることを確認してください。
アラート構成オプションのライセンス
- 単一イベント アラートの構成: DLP サブスクリプション (E1、E3、E5、F1、G1、E3、G3、E5、G5) を持つすべての組織は、トリガーアクティビティが発生するたびにアラートを生成するようにポリシーを構成できます。
-
集計アラート構成: しきい値に基づいて集計アラート ポリシーを構成するには、次のいずれかの構成が必要です。
- A5 サブスクリプション
- E5 または G5 サブスクリプション
- E1、F1、または G1 サブスクリプション、または次のいずれかの機能を含む E3 または G3 サブスクリプション。
- Office 365 Advanced Threat Protection プラン 2
- Microsoft Purview スイート (旧称Microsoft 365 E5 Compliance)
- Microsoft 365 電子情報開示および監査アドオン ライセンス
エンドポイント DLP を使用し、Teams DLP の対象となるお客様には、DLP アラート管理ダッシュボードにエンドポイント DLP ポリシー アラートと Teams DLP ポリシー アラートが表示されます。
ロールと役割グループ
DLP アラート管理ダッシュボードを表示する場合、または DLP ポリシーのアラート構成オプションを編集する場合は、次のいずれかの役割グループのメンバーである必要があります。
- コンプライアンス管理者
- コンプライアンス データ管理者
- セキュリティ管理者
- セキュリティ オペレーター
- セキュリティ閲覧者
- Information Protection 管理者
- Information Protection アナリスト
- Information Protection 調査員
- Information Protection 閲覧者
詳細については、Microsoft Purview ポータルのアクセス許可に関するページを参照してください。
該当する役割グループの一覧を次に示します。 詳細については、 Microsoft Purview ポータルの「アクセス許可」を参照してください。
- 情報保護
- Information Protection レベル
- Information Protection アナリスト
- Information Protection 調査担当者
- Information Protection 閲覧者
DLP アラート管理ダッシュボードにアクセスするには、 アラートの管理 ロールと、次の 2 つのロールのいずれかが必要です。
- DLP コンプライアンス管理
- 表示専用の DLP コンプライアンス管理
コンテンツ プレビュー機能と一致した機密性の高いコンテンツとコンテキスト機能にアクセスするには、コンテンツ エクスプローラー コンテンツ ビューアー ロール グループのメンバーである必要があります。このロールには、データ分類コンテンツ ビューアー ロールが事前に割り当てられている必要があります。
ヒント
管理者がコンテキスト/機密情報ではなくアラートにアクセスする必要がある場合は、データ分類コンテンツ ビューアーのアクセス許可を含まないカスタム ロールを作成して割り当てることができます。
DLP アラートの構成
DLP ポリシーでアラートを構成する方法については、「 データ損失防止ポリシーの作成と展開」を参照してください。 ライセンスに応じて、さまざまなアラート構成エクスペリエンスがあります。
注:
DLP ポリシーで既存のアラートを構成または変更した後、アラートを生成するまでに最大 3 時間かかる場合があります。
アラート メール、インシデント レポート メール、およびユーザー通知は、ドキュメント 1 つにつき 1 回だけ送信されます。 [コンテンツ] が [共有] 条件のドキュメントが 2 回共有されている場合、通知は 1 つだけです。
集計イベント アラートの構成
集約されたアラート構成オプションのライセンスが付与されている場合は、DLP ポリシーを作成または編集するときに、これらのオプションが表示されます。
この構成では、アラートを生成するポリシーを設定できます。
- アクティビティがルール内の条件と一致するたびに、ルールまたはユーザーおよびルールベースの集計に基づく既定の集計。
- 定義されたしきい値が一致する数、または流出データのボリュームまたは ボリュームに基づいて超えた場合
- 指定された時間枠内で定義した条件を満たすアクティビティの場合
単一イベント アラートの構成
シングル イベント アラート構成オプションのライセンスがある場合は、DLP ポリシーを作成または編集するときに、これらのオプションが表示されます。 DLP ルールの一致が発生するたびに発生するアラートを作成するには、このオプションを使用します。
ユーザーとルールベースのアラートの集計 (プレビュー)
テナント レベルで DLP 設定でユーザー ベースのアラートの集計を有効にすると、ユーザーに基づいて 1 つのイベント アラートが集計されます。 ルール一致イベントは、構成可能な時間枠 (15、30、45、60 分) 内に発生する必要があります。 アラートは、ユーザーごとにルール一致イベントごとに生成されます。
アラート集計オプションを比較する
| DLP が必要です... | 時間枠 | 集計の種類 | 備考 |
|---|---|---|---|
| ...クレジットカード情報を含む電子メールが任意の数のユーザーによって送信されたときに、単一のアラートを生成します。 | これらのウィンドウ は 管理者によって構成できません -E5: 60 秒 -E3: 15 分 |
- ユーザー ベースのアラートの集計は、テナント レベルで [オフ] に設定されます - ルール レベルで構成され、時間枠内で一致が発生した場合に使用できる単一のイベント アラートの集計。 -複数のユーザーの DLP ルールの一致を 1 つのアラートに集約します。 |
- 1 つのルールに対して複数のユーザーに適用されます。 |
| ...クレジットカード情報を含む電子メールが送信されたときに、各電子メール送信者に対して 1 つのアラートを生成します。 | この時間枠は、管理者がテナント レベルで構成できます - 15 ~ 60 分 |
- ユーザー ベースのアラートの集計は、テナント レベルで [オン] に設定されます。
- ルール レベルで構成された 1 つのイベント アラートの集計. -1 人のユーザーによる DLP ルールの一致を 1 つのアラートに集約します。 |
- ルールごとに 1 人のユーザーの場合。
- アラート ボリュームの増加が予想されます。 - アラートが集計時間枠内で閉じられ、同じユーザーとルールに対して新しい一致が発生した場合、新しいルールの一致が同じアラートに集計されます。 |
| ...60 分以内に 100 を超える機密ファイルに複数のユーザーがアクセスしたときにアラートを生成します。 | - ルール レベルで構成され、60 から 999 分。 | - しきい値ベースの集計 - 一致の数に基づいて DLP ルールの一致を集計します。 - ユーザー ベースのアラート集計は適用されません。 |
- ルールのピボット - 1 つのルールに対して複数のユーザーに対してこれを使用します。 - [すべてのユーザー ] オプションでのみ機能します。 |
| ...60 分以内に複数のユーザーによって 25 MB を超えるデータが流出した場合にアラートを生成します。 | ルール レベルで構成され、60 から 999 分。 | -data. のボリュームに基づくしきい値ベースの集計- ユーザー ベースのアラート集計は適用されません。 |
- ルールのピボット - 1 つのルールに対して複数のユーザーに対してこれを使用します。 - [すべてのユーザー ] オプションでのみ機能します。 |
イベントの種類
アラートに関連付けられているイベントの一部を次に示します。 アラート ダッシュボードでは、特定のイベントを選択して詳細を表示できます。
イベントの詳細
| プロパティ名 | Description | イベントの種類 |
|---|---|---|
| ID | イベントに関連付けられている一意の ID | すべてのイベント |
| 場所 | イベントが検出されたワークロード | すべてのイベント |
| アクティビティの時間 | DLP ポリシーの条件に一致したユーザー アクティビティの時間 |
影響を受けるエンティティ
| プロパティ名 | Description | イベントの種類 |
|---|---|---|
| ユーザー | ポリシーの一致の原因となったアクションを実行したユーザー | すべてのイベント |
| hostname | DLP ポリシーが一致したコンピューターのホスト名 | デバイス イベント |
| IP アドレス | DLP ポリシーが一致したコンピューターの IP アドレス | デバイス イベント |
| sha1 | ファイルの SHA-1 ハッシュ | デバイス イベント |
| sha256 | ファイルの SHA-256 ハッシュ | デバイス イベント |
| MDATP デバイス ID | エンドポイント デバイス MDATP ID | |
| ファイル サイズ | ファイルのサイズ | SharePoint、OneDrive、およびデバイス イベント |
| ファイル パス | DLP ポリシーの一致に関連する項目の絶対パス | SharePoint、OneDrive、デバイスのイベント |
| メール受信者 | 電子メールが DLP ポリシーに一致する機密性の高いアイテムである場合、このフィールドにはそのメールの受信者が含まれます | Exchange イベント |
| メールの件名 | DLP ポリシーに一致した電子メールの件名 | Exchange イベント |
| 電子メールの添付ファイル | DLP ポリシーに一致した電子メール内の添付ファイルの名前 | Exchange イベント |
| サイト所有者 | サイト所有者の名前 | SharePoint イベントと OneDrive イベント |
| サイト URL | DLP ポリシーの一致が発生した SharePoint または OneDrive サイトの URL でいっぱい | SharePoint イベントと OneDrive イベント |
| ファイルが作成されました | DLP ポリシーに一致したファイルの作成時刻 | SharePoint イベントと OneDrive イベント |
| ファイルの最終変更 | DLP ポリシーに一致するファイルが最後に変更された時刻 | SharePoint イベントと OneDrive イベント |
| ファイル サイズ | DLP ポリシーに一致したファイルのサイズ | SharePoint イベントと OneDrive イベント |
| ファイル所有者 | DLP ポリシーに一致したファイルの所有者 | SharePoint イベントと OneDrive イベント |
ポリシーの詳細
| プロパティ名 | Description | イベントの種類 |
|---|---|---|
| DLP ポリシーの一致 | 一致する DLP ポリシーの名前 | すべてのイベント |
| 一致したルール | 一致する DLP ポリシー 規則の名前 | すべてのイベント |
| 機密情報の種類 (SIT) が検出されました | DLP ポリシーの一致の一部として検出された SID | すべてのイベント |
| 実行された処理 | DLP ポリシーの一致の原因となったアクション | すべてのイベント |
| 違反アクション | DLP アラートを発生させたエンドポイント デバイスのアクション | デバイス イベント |
| ユーザー のオーバーロード ポリシー | ユーザーがポリシー ヒントを使用してポリシーをオーバーライドしました | すべてのイベント |
| オーバーライドの正当な理由を使用する | オーバーライドのためにユーザーによって提供される理由のテキスト | すべてのイベント |
重要
organizationの監査ログ保持ポリシー構成は、コンソールにアラートが表示されたままの期間を制御します。 詳細については、「監査ログ保持ポリシーを管理する」を参照してください。
関連項目
- DLP ポリシーのアラート: DLP ポリシーにおけるアラートについて説明します。
- データ損失防止アラートの概要: DLP アラートとアラート リファレンスの詳細に必要なライセンス、アクセス許可、前提条件について説明します。
- データ損失防止ポリシーの作成と展開: DLP ポリシーの作成におけるアラート構成に関するガイダンスが含まれています。
- データ損失防止アラートの調査: DLP アラートを調査するためのさまざまな方法について説明します。
- Microsoft Defender XDR によるデータ損失インシデントの調査: Microsoft Defender ポータルで DLP アラートを調査する方法。