インサイダーリスク管理の活動を調査する

潜在的に危険なユーザー アクティビティを調査することは、organizationのインサイダー リスクを最小限に抑えるための重要な手順です。 これらのリスクは、インサイダー リスク管理ポリシーからアラートを生成するアクティビティである可能性があります。 また、ポリシーによって検出されたコンプライアンス関連のアクティビティからのリスクになる可能性もありますが、ユーザーに対して Insider Risk Management アラートをすぐに作成することはありません。

これらの種類のアクティビティは、ユーザー アクティビティ レポートを使用するか、アラート トリアージ エージェント (プレビュー) とアラート ダッシュボードStandard使用して調査できます。

トリアージ アラート

Insider Risk Management でのアラートの調査と対処には、次の手順が含まれます。

1. アラートのダッシュボードを確認します。 Standard ダッシュボードで、アラートの状態でフィルター処理し、[要確認アラート] を見つけます。 また、ダッシュボードで スポットライト付きアラートを 使用して、優先順位付けされたアラートをすばやく表示することもできます。 [アラート トリアージ エージェント] ダッシュボード (プレビュー) で、[ 要注意 ] フィルターを選択して、優先順位が最も高いアラートを表示します。
2. 重大度が最も高いアラートから始めます。 これらの種類のアラートを見つける必要がある場合は、アラートの重大度でフィルター処理します。
3. アラートを選択して詳細情報を見つけ、アラートの詳細を確認します。 アラートに関連付けられている詳細と接続を確認します。
   1. [アクティビティ エクスプローラー] タブを使用して、関連する潜在的に危険な動作のタイムラインを確認し、アラートのすべてのリスク アクティビティを特定します。
   2. データ リスク グラフを使用して、接続と、アラートのユーザーとファイルに関する詳細を確認します。
4. アラートに従って行動します。 アラートのケースを確認して作成するか、アラートを無視して解決することができます。

アラートをトリアージするには、いずれかのダッシュボードで アラートの [アラートの詳細 ] ページに移動します。 [ アラートの詳細 ] ページで、アラートに関する情報を確認できます。 アラートを確認して新しいケースを作成したり、アラートを確認して既存のケースに追加したり、アラートを無視したりできます。

このページには、アラートの現在の状態と、アラート リスクの重大度レベルも含まれます( [高]、[ 中]、または [低] と表示されます)。 アラートがトリアージされていない場合、重大度レベルは時間の経過と伴って増減する可能性があります。 誤検知の場合は、複数のアラートを選択し、[アラートの無視] を選択して一括で 無視できます。

Copilot を使用してアラートを要約する

[ Copilot で集計する] または [Copilot] アイコンを選択すると、アラートをすばやく要約し、さらに調査が必要なアラートに優先順位を付けられます。 アラートを開かずに、またはアラートの詳細を表示した後に、選択したアラートを要約できます。 Microsoft Purview でMicrosoft Copilotでアラートを要約すると、画面の右側にアラートの概要が表示された [Copilot] ウィンドウが表示されます。

アラートの概要には、アラートをトリガーしたポリシー、アラートを生成したアクティビティ、トリガー イベント、関連するユーザー、最後の稼働日 (該当する場合)、キー ユーザー属性、ユーザーの主要なリスク要因など、アラートに関するすべての重要な詳細が含まれます。 Microsoft Purview の Copilot は、すべてのアラートとスコープ内ポリシーからユーザーに関する情報を統合し、ユーザーの主なリスク要因を強調します。

概要をさらに絞り込み、アラートに関連付けられているアクティビティに追加の分析情報を提供するために、推奨されるプロンプトが自動的に表示されます。 次の推奨されるプロンプトから選択します。

• このユーザーに関連するすべてのデータ流出アクティビティを一覧表示します。
• このユーザーが関係するすべてのシーケンシャル アクティビティを一覧表示します。
• ユーザーは異常な動作に関与しましたか?
• 過去 10 日間にユーザーが実行した主要なアクションを表示します。
• ユーザーの過去 30 日間のアクティビティを要約します。

スポットライト (プレビュー)

アラート ダッシュボードのアラート スポットライト は 、 トリアージへのアラートの優先順位付けに役立ちます。 生成されたすべてのアラートには、リスク スコア、実行されたアクティビティの一覧、タグ、トリガーがあります。 アラート スポットライトでは、この情報を使用して、アラートにスポットライトが当てられているかどうかを判断します。

リスク スコアが 85 以上で、次の条件の少なくとも 3 つが満たされている場合、アラートは自動的にスポットライトを受けます。

• 次の表の 1 つの分析情報は、アラートの最高の分析情報と一致します。
• アラートには優先度の高いコンテンツが含まれているか、影響の 大きい可能性のあるユーザーとしてユーザーが検出されます。
• ユーザーは 手動でスコープに移動されます。
• アラート アクティビティには、次の表の 2 つ以上の信頼度の高い分析情報が含まれています。

アラート トリアージ エージェント ダッシュボード (プレビュー)

organizationで Insider Risk Management のアラート トリアージ エージェントを有効にすると、エージェントはアラートを確認し、[アラート トリアージ エージェント] ダッシュボードに表示します。 このダッシュボードには、Insider Risk Management アナリストが問題をすばやく調査して解決するのに役立つ、優先順位付けされたアラートとフィルターが自動的に含まれています。

ダッシュボード列をカスタマイズし、エージェントによってトリアージされたアラートを優先度、日付、アラートの状態、またはアラート スコープでフィルター処理できます。 アラート トリアージ エージェント ダッシュボード (プレビュー) を表示するには、ダッシュボード ページの上部にある [アラート トリアージ エージェント ] を選択します。

アラートを選択して、アラートのエージェントの概要と概要の詳細を表示します。 [ 詳細の表示] を選択して、アラートの詳細を表示したり、リスク要因、アクティビティ エクスプローラーなどの詳細セクションにアクセスしたりできます。

Insider Risk Management Alerts Triage Experience ビデオをチェックして、アラートが危険なアクティビティの詳細、コンテキスト、関連コンテンツを提供する方法と、調査プロセスをより効果的にする方法の概要を確認してください。

アラート ダッシュボードのStandard

Insider Risk Management アラートは、Insider Risk Management ポリシーで定義されたリスク インジケーターによって自動的に生成され、Standardアラート ダッシュボードに表示されます。 これらのアラートにより、コンプライアンス アナリストや調査担当者は現在のリスク ステータスの全体像を把握できるようになり、組織は発見された潜在的なリスクをトリアージして対処することができます。 既定では、ポリシーによって特定の数の低、中、高の重大度のアラートが生成されますが、ニーズに合わせて アラートの量を増減 できます。 さらに、ポリシー作成ツールで新しいポリシーを作成するときに、ポリシー インジケーターのアラートしきい値を構成できます。 Standard ダッシュボードを表示するには、ダッシュボード ページの上部にある [Standard] を選択します。

アラートのフィルター処理、フィルター セットのビューの保存、列のカスタマイズ、またはアラートの検索

organizationのアクティブな Insider Risk Management ポリシーの数と種類によっては、アラートの大きなキューを確認するのは困難な場合があります。 アラートを追跡するために、次のことができます。

• さまざまな属性でアラートをフィルター処理します。
• 後で再利用するようにフィルター セットのビューを保存します。
• 列の表示/非表示を切り替えます。
• アラートを検索します。
• アラート レポートを表示します。

アラートをフィルター処理する

1. [ フィルターの追加] を選択します。

2. 次の属性の 1 つ以上を選択します。

   属性	説明
   アラートを生成したアクティビティ	リスクの高い可能性があるアクティビティと、アラートにつながるアクティビティ評価期間中のポリシーの一致を表示します。 この値は、時間の経過と同時に更新される可能性があります。
   アラートの無視の理由	アラートを無視する理由。
   割り当て先	トリアージのためにアラートが割り当てられている管理者 (割り当てられている場合)。
   ポリシー	ポリシーの名前。
   リスク要因	ユーザーのアクティビティのリスクを判断するのに役立つリスク要因。 使用可能な値は、 累積流出アクティビティ、 アクティビティには優先度コンテンツ、 シーケンス アクティビティ、 アクティビティには未承認ドメイン、 優先度ユーザー グループのメンバー、 影響の大きい可能性があるユーザーなどがあります。
   重大度	ユーザーのリスク重大度レベル。 オプションは、高、中、低です。
   状態	アラートの状態。 オプションは、確認済み、非表示、レビューが必要、解決済みです。
   検出された時刻 (UTC)	アラートが作成された日時の開始日と終了日。 フィルターは、開始日の UTC 00:00 から終了日の UTC 00:00 までのアラートを検索します。
   イベントのトリガー	ユーザーをポリシーのスコープに持ち込んだイベント。 トリガーイベントは時間の経過と同時に変化する可能性があります。

   選択した属性がフィルター バーに追加されます。

3. フィルター バーで属性を選択し、フィルターの対象となる値を選択します。 たとえば、[検出時刻 (UTC)] 属性を選択し、[開始日] フィールドと [終了日] フィールドで日付を入力または選択し、[適用] を選択します。

   ヒント

   任意の時点からやり直すには、フィルター バーで [ すべてリセット ] を選択します。

後で再利用するようにフィルター セットのビューを保存する

1. 前の手順で説明したようにフィルターを適用したら、[保存] を選択 し、フィルター セットの名前を入力して、[保存] を選択 します。

   フィルター セットは、カードとして追加されます。 これには、フィルター セットの条件を満たすアラートの数を示す数値が含まれます。

   注:

   最大 5 つのフィルター セットを保存できます。 フィルター セットを削除するには、カードの右上隅にある省略記号 (3 つのドット) を選択し、[削除] を選択します。

2. 保存したフィルター セットを再適用するには、フィルター セットのカードを選択します。

列を表示または非表示にする

1. ページの右側にある [ 列のカスタマイズ] を選択します。
2. 表示または非表示にする列のチェック ボックスをオンまたはオフにします。

列の設定は、セッション間およびブラウザー間で保存されます。

アラートを検索する

[検索] コントロールを使用して、ユーザー プリンシパル名 (UPN)、割り当てられた管理者名、またはアラート ID を検索します。

アラート レポートを表示する

Insider Risk Management>Reports>Alerts に移動して、生成されたアラート、リージョン別のアラート、イベントのトリガーによるアラートなどのレポートを表示します。

[アラートの詳細] ページの [ヘッダー/概要] セクション

[アラートの詳細] ページのこのセクションは、Standard ダッシュボードからアラートを選択する場合にのみ使用でき、ユーザーとアラートに関する一般的な情報が含まれています。 ユーザーのアラートに含まれる検出されたリスク管理アクティビティに関する詳細情報を確認しながら、コンテキストにこの情報を使用できます。

• このアラートを生成したアクティビティ: アラートの生成につながったアクティビティ評価期間中の上位の潜在的に危険なアクティビティとポリシーの一致を表示します。
• トリガー イベント: ポリシーがユーザーのアクティビティへのリスク スコアの割り当てを開始するよう促した最新のトリガー イベントを表示します。 危険なユーザーによるデータ 漏洩に対する通信コンプライアンスとの統合を構成する場合、または危険なユーザー ポリシーによるセキュリティ ポリシー違反を構成する場合、これらのアラートのトリガー イベントのスコープはコミュニケーション コンプライアンス アクティビティになります。
• ユーザーの詳細: アラートに割り当てられたユーザーに関する一般情報を表示します。 匿名化が有効になっている場合、ユーザー名、メール アドレス、エイリアス、組織のフィールドは匿名化されます。
• ユーザー アラート履歴: 過去 30 日間のユーザーのアラートのリストを表示します。 ユーザーの完全なアラート履歴を表示するためのリンクが含まれています。

優先度の高いコンテンツを含むアクティビティのみを対象とするポリシーから生成されたアラートには、このセクションの「優先度の高いコンテンツを含むアクティビティのみがこのアラートに対してスコア付けされました」という通知が含まれます。

[エージェントの概要] タブ

[ アラートの詳細 ] ページのこのセクションは、[アラート トリアージ エージェント] ダッシュボード (プレビュー) からアラートを選択する場合にのみ使用できます。 エージェントの概要情報には、アラートの分類に関する詳細と、トリアージ プロセスで使用される関連するリスクに関する詳細が含まれます。

[すべてのリスク要因] タブ

[ アラートの詳細 ] ページのこのタブは、両方のダッシュボード ビューのアラートで使用できます。 ユーザーのアラート アクティビティのリスク要因の概要が開きます。 リスク要因は、レビュー中のユーザーのリスク管理アクティビティのリスクを判断するのに役立ちます。 リスク要因には、次の概要が含まれます。

• 累積流出アクティビティ: 累積流出アクティビティに関連付けられているイベント。
• 正常性レコードへのアクセス: 正常性レコードへのアクセスに関連するイベントに対して危険なアクティビティが発生する可能性があります。
• 優先度コンテンツ: 優先度コンテンツに関連付けられている危険なアクティビティの可能性があります。
• 危険なブラウザーの使用: 不適切な可能性のある Web サイトへの閲覧に関連するイベントに対して危険なアクティビティが発生する可能性があります。
• アクティビティのシーケンス: リスク シーケンスに関連付けられている潜在的に危険なアクティビティが検出されました。
• 上位の流出アクティビティ: アラートのイベント数が最も多い流出アクティビティ。
• 未承認ドメイン: 未承認ドメインに関連付けられているイベントに対してリスクの高いアクティビティが発生する可能性があります。
• このユーザーの異常なアクティビティ: 通常とは異なっており、一般的なアクティビティから逸脱しているため、リスクの可能性があると見なされるユーザーの特定のアクティビティ。

これらのフィルターでは、これらのリスク要因を含むアラートのみが表示されますが、アラートを生成したアクティビティは、これらのカテゴリのいずれにも該当しない可能性があります。 たとえば、ユーザーが USB デバイスにファイルをコピーしたという理由だけで、シーケンス アクティビティを含むアラートが生成される場合があります。

検出されたコンテンツ

[ すべてのリスク要因 ] タブのこのセクションには、アラートのリスク アクティビティに関連付けられたコンテンツが含まれており、アクティビティ イベントを主要な領域別に要約します。 アクティビティ リンクを選択すると、アクティビティ エクスプローラーが開き、アクティビティの詳細が表示されます。

[アクティビティ エクスプローラー] タブ

[ アクティビティ エクスプローラー ] タブは、両方のダッシュボード ビューのアラートに使用できます。 リスク調査担当者とアナリストに、アラートに関する詳細情報を提供する包括的な分析ツールを提供します。 アクティビティ エクスプローラーを使用すると、レビュー担当者は、検出された潜在的に危険なアクティビティのタイムラインをすばやく確認し、アラートに関連付けられているすべてのリスク アクティビティを特定してフィルター処理できます。

アクティビティ エクスプローラーを使用する

アクティビティ エクスプローラーでアクティビティを確認する場合、調査担当者とアナリストは特定のアクティビティを選択して、アクティビティの詳細ウィンドウを開くことができます。 このウィンドウには、アラートのトリアージ プロセス中に調査担当者とアナリストが使用できるアクティビティに関する詳細情報が表示されます。 詳細情報は、アラートのコンテキストを提供し、アラートをトリガーしたリスク アクティビティの完全な範囲を特定するのに役立つ場合があります。

アクティビティ タイムラインからアクティビティのイベントを選択すると、エクスプローラーに表示されるアクティビティの数が、タイムラインにリストされているアクティビティ イベントの数と一致しない場合があります。 この違いが発生する理由の例を次に示します。

• 累積流出検出: 累積流出検出はイベント ログを分析しますが、重複除去と同様のアクティビティを含むモデルを適用して累積流出リスクを計算します。 さらに、既存のポリシーまたは設定を変更すると、アクティビティ エクスプローラーに表示される危険な可能性のあるアクティビティの数に違いが表示される場合があります。 たとえば、ポリシーの作成後に許可または未承認のドメインを変更したり、新しいファイルの種類の除外を追加したりして、危険なアクティビティの一致が発生する可能性がある場合、累積流出検出アクティビティは、ポリシーまたは設定が変更される前の結果とは異なります。 累積的な流出検出アクティビティの合計は、計算時のポリシーと設定の構成に基づいており、ポリシーと設定の変更前のアクティビティは含まれません。
• 外部受信者へのメール: 外部の受信者に送信される電子メールに対して危険な可能性があるアクティビティには、送信されたメールの数に基づいてリスク スコアが割り当てられます。これは、アクティビティ イベント ログと一致しない可能性があります。

リスク スコアリングから除外されたイベントを含むシーケンス

シーケンスには、設定の構成に基づいてリスク スコアリングから除外される 1 つ以上のイベントが含まれている場合があります。 たとえば、organizationではグローバル除外設定を使用して、.png ファイルは通常危険ではないため、.png ファイルをリスク スコアリングから除外できます。 ただし、.png ファイルを使用して、悪意のあるアクティビティを難読化することができます。 このため、リスク スコアリングから除外されるイベントが難読化アクティビティのためにシーケンスの一部である場合、そのイベントはシーケンスのコンテキストで興味深い可能性があるため、シーケンスに含まれます。

アクティビティ エクスプローラーには、除外されたイベントに関する次の情報が順番に表示されます。

• シーケンスに、すべてのイベントが除外されるステップが含まれている場合、分析情報にはアクティビティの名前と日付だけが含まれます。 [ 除外されたイベントの表示 ] リンクを選択して、アクティビティ エクスプローラーで除外されたイベントをフィルター処理します。 すべてのイベントが除外されている場合、ユーザー アクティビティ散布図アイコンのリスク スコアは 0 です。
• シーケンスに一部のイベントが除外される分析情報がある場合、除外されていないイベントのイベント情報が表示されますが、イベント数には除外されたイベントは含まれません。 [ 除外されたイベントの表示 ] リンクを選択して、アクティビティ エクスプローラーで除外されたイベントをフィルター処理します。
• 分析情報の シーケンス リンク を選択した場合は、スコアリングから除外されたすべてのイベントを含め、アクティビティの詳細ウィンドウでイベントのシーケンスをドリルダウンできます。 スコアリングから除外されたイベントは、除外としてマーク されます。

アクティビティ エクスプローラーでアラートをフィルター処理する

アクティビティ エクスプローラーで列情報のアラートをフィルター処理するには、[フィルター] を選択 します。 アラートの詳細ウィンドウに一覧表示されている 1 つ以上の属性でアラートをフィルター処理できます。 アクティビティ エクスプローラーはカスタマイズ可能な列もサポートしており、調査担当者やアナリストがダッシュボードで最も重要な情報に集中できるようにします。

アクティビティ スコープ、リスク要因、レビューの状態 フィルターを使用して、次の領域のアクティビティと分析情報を表示および並べ替えます。

• アクティビティ スコープ: ユーザーのスコア付けされたすべてのアクティビティをフィルター処理します。

  • このユーザーのすべてのスコア付けされたアクティビティ
  • このアラートのスコア付けされたアクティビティのみ

• リスク要因: リスク スコアを割り当てるすべてのポリシーに適用されるリスク要因アクティビティのフィルター。これには、スコープ内ユーザーのすべてのポリシーのすべてのアクティビティが含まれます。

  • 異常なアクティビティ
  • 優先度の高いコンテンツを含むイベントを含みます
  • 許可されていないドメインのイベントを含みます
  • シーケンス アクティビティ
  • 累積流出アクティビティ数
  • 健康記録へのアクセス アクティビティ
  • 危険なブラウザーの使用

• レビューの状態: アクティビティ レビューの状態をフィルター処理します。

  • すべて
  • まだ確認されていません (無視または解決されたアラートの一部であったアクティビティを除外します)

[ユーザー アクティビティ] タブ

[ ユーザー アクティビティ ] タブは、両方のダッシュボード ビューのアラートに使用できます。 これは、内部リスク分析とインサイダー リスク管理ソリューションのアラートとケースの調査のための最も強力なツールの 1 つです。 このタブは、すべてのアラートの履歴タイムライン、アラートの詳細、ユーザーの現在のリスク スコア、一連のリスク イベントなど、ユーザーのすべてのアクティビティをすばやく確認できるように構成されています。

1. ケース アクション: ケース アクション ツール バーには、ケースを解決するためのオプションが用意されています。 ケースを表示する場合は、ケースの解決、ユーザーへの電子メール通知の送信、またはデータまたはユーザーの調査のためにケースをエスカレートできます。

2. リスク アクティビティの年表: 対応するアラート バブルで使用可能なすべての詳細を含め、ケースに関連付けられているすべてのリスク アラートの完全な年表。

3. フィルターと並べ替え (プレビュー):

   • リスク カテゴリ: 次のリスク カテゴリでアクティビティをフィルター処理します: リスク スコアが 15 のアクティビティ> (シーケンス内の場合を除く) およびシーケンス アクティビティ 。
   • アクティビティの種類: アクセス、 削除、 収集、 流出、 侵入、 難読化、 セキュリティ、 カスタム インジケーター、 防御回避、 特権エスカレーション、 コミュニケーション リスク、 ユーザー侵害リスク、 AI 使用状況の種類でアクティビティをフィルター処理します。
   • 並べ替え: 潜在的に危険なアクティビティのタイムラインを、発生日またはリスク スコア別に一覧表示します。

4. 時間フィルター: 既定では、[ユーザー アクティビティ] グラフには、危険な可能性のあるアクティビティの過去 3 か月間が表示されます。 バブル チャートで [6 か月]、[3 か月]、または [1 か月] タブを選択すると、グラフ ビューを簡単にフィルター処理できます。

5. リスク シーケンス: リスクの可能性のあるアクティビティの時系列順序は、リスク調査の重要な側面です。 これらの関連アクティビティを特定することは、organizationの全体的なリスクを評価する上で重要な部分です。 関連するアラート アクティビティは接続線で表示され、これらのアクティビティがより大きなリスク領域に関連付けられていることが強調されます。 シーケンスは、シーケンスのリスク スコアに対するシーケンス アクティビティの上に配置されたアイコンによってもこのビューで識別されます。 アイコンにカーソルを合わせると、このシーケンスに関連する危険なアクティビティの日時が表示されます。 このアクティビティビューは、調査担当者が、分離イベントまたは 1 回限りのイベントと見なされた可能性のあるリスク アクティビティの 「点を接続する」のに役立ちます。 一連のアイコンまたはバブルを選択すると、関連するすべてのリスク アクティビティの詳細が表示されます。 詳細は次のとおりです。

   • シーケンスの名前。
   • シーケンスの日付または日付範囲。
   • シーケンスのリスク スコア。 このスコアは、シーケンス内の関連するアクティビティごとにアラート リスクの重大度レベルを組み合わせたシーケンスの数値スコアです。
   • シーケンス内の各アラートに関連付けられたイベントの数。 潜在的に危険な活動に関連する各ファイルまたはメールへのリンクも利用できます。
   • アクティビティを順番に表示します。 シーケンスをバブル チャートにハイライト ラインとして表示し、アラートの詳細を展開してシーケンス内の関連するすべてのアラートを表示します。

6. リスク アラート アクティビティと詳細: 潜在的に危険なアクティビティは、ユーザー アクティビティ グラフに色付きのバブルとして視覚的に表示されます。 バブルは、リスクのさまざまなカテゴリに対して作成されます。 バブルを選択して、潜在的に危険なアクティビティの詳細を表示します。 詳細は次のとおりです。

   • リスクアクティビティの日付。
   • リスク アクティビティ カテゴリ。 たとえば、組織外に送信された添付ファイル付きのメール、または SharePoint Online からダウンロードされたファイルがあります。
   • アラートのリスクスコア。 このスコアは、アラートリスクの重大度レベルを表すスコアの数値です。
   • アラートに関連付けられているイベント数。 リスクアクティビティに関連した各ファイルまたはメールへのリンクも表示されます。

7. 累積流出アクティビティ: ユーザーのアクティビティの時間の経過に伴うアクティビティの構築方法の視覚的なグラフを表示する場合に選択します。

8. リスクアクティビティの凡例: ユーザーアクティビティチャートの下部にある 色分けされた凡例は、各アラートのリスクカテゴリをすばやく判別するのに役立ちます。

[データ リスク グラフ] タブ

[ データ リスク グラフ (プレビュー)] タブは、両方のダッシュボード ビューのアラートに使用できます。 Microsoft Sentinel との統合により、データ リスク グラフを使用すると、影響を受けた資産、ユーザー、およびアクティビティ間の接続を対話型のグラフ エクスペリエンスで表示できます。

データ リスク グラフの詳細については、「 Insider Risk Management のデータ リスク グラフ」を参照してください。

後で再利用するフィルターのビューを保存する

フィルターを作成し、フィルターの列をカスタマイズする場合は、変更のビューを保存して、後で同じ変更をすばやくフィルター処理できます。 ビューを保存するときは、フィルターと列の両方を保存します。 ビューを読み込むと、保存されたフィルターと列の両方が読み込まれます。

1. フィルターを作成し、列をカスタマイズします。

   ヒント

   任意の時点からやり直すには、[ リセット] を選択します。 カスタマイズした列を変更するには、[列の リセット] を選択します。

2. フィルターを希望の方法で選択したら、[ このビューを保存] を選択し、ビューの名前を入力して、[保存] を選択 します。

   注:

   ビュー名の最大長は 40 文字で、特殊文字は使用できません。

3. フィルターのビューを後で再利用するには、[ ビュー] を選択し、[ 推奨ビュー ] タブ (最も使用されているビューが表示されます) または [ カスタム ビュー ] タブ (最もよく使用されるフィルターが一覧の上部に表示されます) から開くビューを選択します。

この方法でビューを選択すると、既存のすべてのフィルターがリセットされ、選択したビューに置き換えられます。

アラートの状態と重大度

アラートを次のいずれかの状態にトリアージできます。

• 確認済み: 確認され、新規または既存のケースに割り当てられたアラート。
• 無視: トリアージ プロセスで良性として却下されたアラート。 アラートの却下の理由を提供し、ユーザーのアラート履歴で使用可能なメモを含めて、今後の参照または他のレビュー担当者に追加のコンテキストを提供できます。 理由は、予想されるアクティビティ、非実行イベント、ユーザーのアラート アクティビティの数の削減、またはアラート ノートに関連する理由などです。 理由の分類の選択には、このユーザーのアクティビティが予想される、アクティビティはさらに調査するのに十分な影響がある、このユーザーのアラートに含まれるアクティビティが多すぎる、が含まれます。
• レビューが必要 :トリアージ アクションがまだ実行されていない場合の新しいアラート。
• 解決済み: クローズ済みで解決済みのケースの一部であるアラート。

アラート リスク スコアは、複数のリスク アクティビティ インジケーターから自動的に計算されます。 これらの指標には、リスク アクティビティの種類、アクティビティの発生回数、アクティビティの発生頻度、ユーザーのリスク アクティビティの履歴、危険な可能性のあるアクティビティの深刻さを高める可能性があるアクティビティ リスクの追加が含まれます。 アラート リスク スコアは、各アラートのリスク重大度レベルのプログラムによる割り当てを駆動し、カスタマイズすることはできません。 アラートをトリアージせず、リスク アクティビティが引き続きアラートに蓄積される場合は、リスクの重大度レベルが高くなる可能性があります。 リスク アナリストと調査担当者は、アラート リスクの重大度を使用して、組織のリスク ポリシーと基準に従ってアラートをトリアージすることができます。

アラート リスクの重大度レベルは次のとおりです。

• 高重大度: アラートの潜在的に危険なアクティビティとインジケーターは、重大なリスクをもたらします。 関連するリスク アクティビティは、深刻で反復的であり、他の重要なリスク要因と強く相関しています。
• 中重大度: アラートの潜在的に危険なアクティビティとインジケーターは、中程度のリスクをもたらします。 関連するリスク アクティビティは、中程度で頻繁であり、他のリスク要因とある程度の相関関係があります。
• 低重大度: アラートの潜在的に危険なアクティビティとインジケーターは、軽微なリスクをもたらします。 関連するリスク アクティビティは軽微で頻度が低く、他の重要なリスク要因とは相関しません。

複数のアラートを無視する (プレビュー)

トリアージ時間を節約するために、アナリストと調査担当者は一度に複数のアラートを無視できます。 [アラートを閉じる] コマンド バー オプションを使用すると、ダッシュボードの [確認が必要] 状態のアラートを 1 つ以上選択し、これらのアラートを問題のない状態ですばやく無視できます。 一度に最大 400 個のアラートを選択して閉じることができます。

インサイダー リスク アラートを無視する

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して Microsoft Purview ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. 左側のナビゲーションで [ アラート] を選択します。
4. [ アラート] ダッシュボードで、[ 確認が必要 ] 状態のアラートを選択します。
5. [アラート] コマンド バーで、[アラートを無視] を選択します。
6. [ アラートの無視 の詳細] ウィンドウで、選択したアラートに関連付けられているユーザーとポリシーの詳細を確認します。
7. [ アラートを無視する] を選択して、アラートを問題のないものとして解決します。

アラートのレポート

アラートのレポートを表示するには、[ レポート] ページに移動します。 [ レポート] ページの各レポート ウィジェットには、過去 30 日間の情報が表示されます。

• レビューが必要なアラートの合計数: アラートの重大度別の内訳を含む、レビューとトリアージを必要とするアラートの合計数。
• 過去 30 日間のオープン アラート: 過去 30 日間にポリシー マッチによって作成されたアラートの総数が、高、中、低のアラート重大度レベルで並べ替えられます。
• アラートを解決する平均時間: 有益なアラートの統計情報の概要:
  • 重大度の高いアラートを解決するための平均時間。時間、日、または月単位で表示されます。
  • 中程度の重大度のアラートを解決するための平均時間。時間、日、または月単位で表示されます。
  • 重大度の低いアラートを解決するための平均時間。時間、日、または月単位で表示されます。

アラートを割り当てる

管理者であり、 Insider Risk Management、 Insider Risk Management アナリスト、または Insider Risk Management の調査担当者 ロール グループのメンバーである場合は、アラートの所有権を自分または同じロールの 1 つを持つ Insider Risk Management ユーザーに割り当てることができます。 アラートを割り当てた後、同じロールのいずれかを持つユーザーに再割り当てできます。 アラートは、一度に 1 人の管理者にのみ割り当てることができます。

管理者を割り当てた後、管理者で検索できます。

アラート ダッシュボードからアラートを割り当てる

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して Microsoft Purview ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. 左側のナビゲーションで [ アラート] を選択します。
4. [ アラート] ダッシュボードで、割り当てるアラートを選択します。
5. アラート キュー上のコマンド バーで、[ 割り当て] を選択します。
6. 画面の右側にある [ 所有者の割り当て ] ウィンドウで、適切なアクセス許可を持つ管理者を検索し、その管理者のチェック ボックスをオンにします。
7. [割り当て] を選択します。

アラートの詳細ページからアラートを割り当てる

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して Microsoft Purview ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. 左側のナビゲーションで [ アラート] を選択します。
4. アラートを選択します。
5. アラートの詳細ウィンドウで、ページの右上隅にある [ 割り当て] を選択します。
6. [ 推奨される連絡先 ] の一覧で、適切な管理者を選択します。

アラートのケースを作成する

リスクの高い可能性のあるアクティビティを調査するアラートのケースを作成します。

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して Microsoft Purview ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. 左側のナビゲーションで [ アラート] を選択します。
4. アラート ダッシュボードで、確認するアラートを選択し、新しいケースを作成します。
5. [ アラートの詳細] ウィンドウで、[ アクション>アラートの作成 & ケースを作成する] を選択します。
6. [ アラートの確認とインサイダー リスク ケースの作成 ] ダイアログ ボックスで、ケースの名前を入力し、共同作成者として追加するユーザーを選択し、必要に応じてコメントを追加します。 コメントは、ケース ノートとしてケースに自動的に追加されます。
7. [ ケースの作成] を 選択して、新しいケースを作成します。

ケースを作成した後、調査担当者とアナリストはケースを管理して対処できます。 詳細については、 Insider Risk Management ケース に関する記事を参照してください。

保持とアイテムの制限

Insider Risk Management のアラートが年齢を上げ、リスクの高い可能性のあるアクティビティを最小限に抑えるための価値は、ほとんどの組織で減少します。 逆に、アクティブなケースと関連する成果物 (アラート、分析情報、アクティビティ) は常に価値を提供し、自動有効期限はありません。 このアイテム保持ポリシーには、アクティブなケースに関連付けられているすべてのユーザーに対して、今後のすべてのアラートと成果物がアクティブな状態で含まれます。

制限された現在の値を提供する古いアイテムの数を最小限に抑えるために、Insider Risk Management のアラート、ケース、およびユーザー レポートには、次の保持と制限が適用されます。

アラート ボリュームを管理するためのベスト プラクティス

潜在的に危険なインサイダー アラートを確認、調査、対応することは、組織内のインサイダー リスクを最小限に抑える上で重要な部分です。 これらのリスクの影響を最小限に抑えるために迅速に行動を起こすことで、組織の時間、費用、規制や法律の影響を節約できる可能性があります。 Insider Risk Management アラート キューを管理するためのベスト プラクティスについて説明します。

関連項目

• Insider Risk Management アラート キューを管理するためのベスト プラクティス
• インサイダー リスクのケースに対処する