Insider Risk Management でポリシー インジケーターを構成する

Microsoft Purview インサイダー リスク管理のインサイダー リスク ポリシー テンプレートでは、検出して調査するリスク アクティビティの種類を定義します。 各ポリシー テンプレートは、特定のトリガーとリスク アクティビティに対応する特定のインジケーターに基づいています。 既定では、すべてのグローバル インジケーターが無効になっています。 Insider Risk Management ポリシーを構成するには、1 つ以上のインジケーターを選択する必要があります。

ポリシーはシグナルを収集し、ユーザーがインジケーターに関連するアクティビティを実行するときにアラートをトリガーします。

イベントとインジケーターの種類

Insider Risk Management では、さまざまな種類のイベントとインジケーターを使用してシグナルを収集し、アラートを作成します。

• イベントのトリガー: Insider Risk Management ポリシーでユーザーがアクティブかどうかを決定するイベント。 トリガーイベントのない Insider Risk Management ポリシーにユーザーを追加した場合、そのユーザーは潜在的なリスクとして評価されません。 たとえば、ユーザー A は、ユーザー ポリシー テンプレートを離れ、ポリシーと Microsoft 365 HR コネクタが適切に構成 されていることによって、データの盗難 から作成されたポリシーに追加されます。 ユーザー A に HR コネクタによって報告された終了日が設定されるまで、ポリシーは潜在的なリスクについてユーザー A を評価しません。 トリガー イベントのもう 1 つの例は、データ リーク ポリシーを使用するときに、ユーザーが 重大度の高い データ損失防止 (DLP) ポリシー アラート を 持っている場合です。

• グローバル設定インジケーター: Insider Risk Management のグローバル設定で有効になっているインジケーターは、ポリシーの構成に使用できるインジケーターと、Insider Risk Management によって収集されるイベント シグナルの種類の両方を定義します。 たとえば、ユーザーが個人のクラウド ストレージ サービスまたはポータブル ストレージ デバイスにデータをコピーし、これらのインジケーターをグローバル設定でのみ選択した場合、アクティビティ エクスプローラーでユーザーの潜在的に危険なアクティビティを確認できます。 Insider Risk Management ポリシーでこのユーザーを定義しない場合、ポリシーはユーザーを潜在的なリスクとして評価しないため、リスク スコアを割り当てたりアラートを生成したりしません。

• ポリシー インジケーター: Insider Risk Management ポリシーに含まれるインジケーターによって、スコープ内ユーザーのリスク スコアが決まります。 グローバル設定で定義されているインジケーターからポリシー インジケーターを有効にします。 ポリシー インジケーターは、ユーザーに対してトリガー イベントが発生した後にのみアクティブ化されます。 ポリシー インジケーターの例を次に示します。

  • ユーザーは、個人のクラウド ストレージ サービスまたはポータブル ストレージ デバイスにデータをコピーします。
  • ユーザー アカウントがMicrosoft Entra ID から削除されます。
  • ユーザーは、権限のない外部関係者と内部ファイルとフォルダーを共有します。

特定のポリシー インジケーターとシーケンスを使用して、特定のポリシー テンプレートのトリガー イベントをカスタマイズできます。 優先ユーザー テンプレートによる一般的なデータ リークまたはデータ リークのポリシー ワークフローでこれらのインジケーターまたはシーケンスを構成すると、ポリシーの柔軟性とカスタマイズが向上し、ユーザーがポリシーのスコープ内にある場合に使用できます。 また、これらのトリガー インジケーターのリスク管理アクティビティのしきい値を定義して、ポリシーのより詳細な制御を行うこともできます。

すべてのインサイダー リスク ポリシーで有効になっているインサイダー リスク ポリシー インジケーターを定義する

1. [ 設定] を選択し、[ ポリシー インジケーター] を選択します。

2. 1 つ以上のポリシー インジケーターを選択します。 [ポリシー インジケーターの設定] ページで選択したインジケーターは、ポリシー ワークフローでインサイダー リスク ポリシーを作成または編集するときに個別に構成することはできません。

   注:

   新しい手動で追加されたユーザーが [ ユーザー] ダッシュボードに表示されるまでに数時間かかる場合があります。 これらのユーザーの過去 90 日間のアクティビティは、表示に最大 24 時間かかることがあります。 手動で追加したユーザーのアクティビティを表示するには、[ ユーザー] ダッシュボード でユーザーを選択し、詳細ウィンドウで [ ユーザー アクティビティ ] タブを開きます。## 2 種類のポリシー インジケーター: 組み込みのインジケーターとカスタム インジケーター

インジケーターと従量課金制

Insider Risk Management に含まれる一部のインジケーターでは、organizationの従量課金制課金モデルを有効にする必要があります。 構成済みの課金モデルによっては、これらのインジケーターを使用するように従量課金を構成するように求める通知が表示される場合があります。

組み込みのインジケーターとカスタム インジケーター

ポリシー インジケーターは、次の 2 つのタブに編成されています。

• 組み込みインジケーター: Insider Risk Management には、ポリシーですぐに使用できるさまざまなシナリオの多くの組み込みインジケーターが含まれています。 アクティブ化するインジケーターを選択し、インサイダー リスク ポリシーを作成するときに、インジケーター レベルごとにインジケーターのしきい値をカスタマイズします。 この記事では、組み込みのインジケーターについて詳しく説明します。
• カスタム インジケーター: カスタム インジケーターを Insider Risk Indicators (プレビュー) コネクタ と共に使用して、Microsoft 以外の検出を Insider Risk Management に取り込みます。 たとえば、検出を拡張して Salesforce と Dropbox を含め、Microsoft ワークロード (SharePoint Online や Exchange Online など) に焦点を当てた Insider Risk Management ソリューションによって提供される組み込みの検出と共に使用できます。 カスタム インジケーターの作成の詳細

組み込みのインジケーター

Insider Risk Management には、次の組み込みインジケーターが含まれています。

Office インジケーター

これらのインジケーターには、SharePoint サイト、Microsoft Teams、電子メール メッセージングのポリシー インジケーターが含まれます。

クラウド ストレージ インジケーター

これらのインジケーターには、Google Drive、Box、Dropbox のポリシー インジケーターが含まれます。このインジケーターを使用すると、環境の特定、データの収集と盗用、可用性の中断、システムの整合性の侵害に使用される手法を検出できます。 クラウド ストレージ インジケーターから選択するには、まず、Microsoft Defender内の関連するクラウド ストレージ アプリに接続する必要があります。

これらのインジケーターを構成した後、設定で使用しないアプリのインジケーターをオフにすることができます。 たとえば、Box と Google Drive のコンテンツ ダウンロード インジケーターを選択できますが、Dropbox は選択できません。

クラウド サービス インジケーター

これらのインジケーターには、検出または危険なアクティビティを回避するために使用される手法を検出するために使用できる Amazon S3 と Azure (SQL Server とストレージ) のポリシー インジケーターが含まれます。 これらの手法には、次のものが含まれます。

• トレース ログの無効化
• ファイアウォール規則の更新または削除SQL Server
• 機密ドキュメントなどのデータを盗むために使用される手法
• 可用性の中断やシステムの整合性の侵害に使用される手法
• システムとデータに対するより高いレベルのアクセス許可を取得するために使用される手法。

クラウド サービス インジケーターから選択するには、まず、Microsoft Defenderで関連するソース サービス アプリに接続する必要があります。

ネットワーク インジケーター

これらのインジケーターには、サード パーティのネットワーク セキュリティ ソリューションからの HTTP および HTTPS ネットワーク トラフィックが含まれます。 これらの操作を通じて共有されている機密性の高いアイテムを識別できます。 これらのアクティビティを検出するには、前提条件として コレクション ポリシー を作成する必要があります。 ネットワーク データ セキュリティの詳細については、こちらをご覧ください。

Microsoft Entra ID インジケーター

これらのインジケーターには、Microsoft Entra ID 保護からのリスク検出が含まれます。 リスク検出は、ディレクトリ内のユーザー アカウントに関連する疑わしいアクティビティや異常なアクティビティを含めることができる強力なリソースです。 Microsoft Entra ID 保護リスク検出は、個々のユーザーまたはサインイン イベントにリンクできます。

ユーザー リスク検出では、潜在的な脅威アクターが資格情報を侵害してアカウントにアクセスしたり、何らかの種類の異常なユーザー アクティビティを検出したりしたときに、正当なユーザー アカウントにリスクがあるとフラグを付ける可能性があります。 サインイン リスク検出は、特定の認証要求がアカウントの承認された所有者ではない可能性を表します。

インサイダー リスク管理ポリシーに対するインジケーターの関連性を維持するために、ConfirmedCompromed または Remediated 状態のMicrosoft Entraアラートのみが評価されます。 Microsoft Entra ID 保護のリスク検出の詳細については、「Microsoft Entra ID 保護のリスク検出」を参照してください。

Microsoft Fabric インジケーター

これらのインジケーターには、環境を把握するために使用される手法 (Power BI レポートやダッシュボードの表示など) と、目的のデータを収集するために使用される手法 (Power BI レポートのダウンロードなど) を検出するために使用できる、Microsoft Power BIのポリシー インジケーターが含まれます。

生成 AI アプリインジケーター (プレビュー)

これらのインジケーターには、多数のジェネレーティブ AI アプリケーションのポリシー インジケーターが含まれます。 ポリシーでこれらのインジケーターを使用して、これらのアプリケーションに入力された対話 (プロンプトと応答) を分析し、不適切または危険な相互作用や機密情報の共有を検出するのに役立ちます。 これらのインジケーターには、次の生成 AI アプリケーションが含まれます。

• Microsoft Copilot エクスペリエンス: Microsoft Fabric、Microsoft Security Copilot、Microsoft Copilot Studio、接続済みまたはクラウド AI アプリケーションでの Copilot でのユーザー操作のサポート。

  重要

  Microsoft 365 以外の AI データにこのインジケーターを使用するには、organizationで従量課金制課金を有効にします。 Microsoft 365 以外の AI データには、Microsoft や他の接続された外部 AI アプリケーションからの他の生成 AI アプリケーションからの情報が含まれます。 このデータ型には、Microsoft Fabric の Copilot、Microsoft Security Copilot、Microsoft Copilot Studio、接続またはクラウドの AI アプリケーションが含まれます。 Microsoft 365 Copilot データの不適切または危険な操作を検出する Microsoft 365 の従量課金制の課金要件や料金はありません。

• エンタープライズ AI アプリ: Microsoft Entra コネクタとMicrosoft Purview データ マップ コネクタを使用して接続されている Copilot 以外の AI アプリケーション。

  重要

  このインジケーターを使用するには、organizationで従量課金制課金を有効にします。

• その他の AI アプリケーション: organizationのユーザーがブラウザー アクティビティから検出する AI アプリケーション。

• Azure AI Content Safetyインジケーター: プロンプト シールドや保護材料などのAzure AI Content Safetyによって提供される分類子に一致するプロンプトと応答を識別するためのコミュニケーション コンプライアンス インジケーターのサポート。

  重要

  このインジケーターを選択すると、コミュニケーション コンプライアンス ポリシーが作成されます。 コミュニケーション コンプライアンスでこのポリシーを変更する場合は、 従量課金制の課金が必要になる場合があります。

コミュニケーション コンプライアンス インジケーター

これらの指標には、感情的な暴発、いじめ、批判の失敗、チームやグループとの仕事やコミュニケーションの不備、差別、暴力的な脅威、過激な行動など、雇用のストレス要因のイベントを検出するポリシー インジケーターが含まれます。 Insider Risk Management は、Microsoft Purview コミュニケーション コンプライアンス ソリューションと連携して、異常な職場環境を示すこれらの種類のストレッサーを検出します。 雇用ストレッサー イベントは、インサイダー リスクに関連するいくつかの方法で、危険なペルソナ (イニシエーターまたは不適切な行動のターゲット) のユーザーの行動に影響を与える可能性があります。 逆効果な作業行動は、会社の資産の破壊や機密情報の漏洩など、より深刻な違反の前兆となる可能性があります。

さらに、特定の 秘密度情報の種類 (SID) に一致するメッセージを検出することもできます。 ユーザー リスク スコアとそのアクティビティ履歴へのメッセージに不注意または悪意を持って含まれる機密情報を含めることにより、調査担当者は、潜在的なデータ漏洩を軽減するためのアクションを迅速に実行するのに役立つ詳細情報を提供します。 ポリシーには最大 30 個の SID を選択できます。 一部のシナリオには、検出の支援が含まれる場合があります。

• 外国人採用
• 状態アクターの密猟
• シークレット数式、財務レポート、その他の独自のプロパティなどの機密情報の共有
• パスワードの共有

メカニズム

次のコミュニケーション コンプライアンス インジケーターから選択できます。

• 不適切なコンテンツの送信
• リスクの高い財務規制テキストの送信
• 不適切な画像の送信

メッセージに含まれる機密情報の種類を検出することもできます。

[コミュニケーション コンプライアンス インジケーター] セクションから [ポリシーの作成] を選択すると、次のようになります。

• コミュニケーション コンプライアンスでは、Microsoft Exchange Online、Microsoft Teams、Microsoft Viva Engage、および Microsoft 365 Copilot とMicrosoft 365 Copilot Chatのメッセージを検出する 1 つのポリシーが作成されます。 コミュニケーション コンプライアンス ポリシーは、選択したインジケーターと SID に基づいています。 各インジケーターは、コミュニケーション コンプライアンスによって使用される特定 のトレーニング可能な分類子 に関連付けられます。 詳細については、「 大きな言語モデルに基づくコンテンツ の安全性分類子」を参照してください。

  ヒント

  各インジケーターの横にある情報アイコンを選択して、インジケーターが使用するトレーニング可能な分類子を表示します。

  通信コンプライアンスでは、トレーニング可能な分類子と SID がポリシーの条件として一覧表示されます。

• コミュニケーション コンプライアンス ポリシーには、"Insider リスク インジケーター" とタイムスタンプという名前が付けられます。たとえば、"Insider リスク インジケーター 24-05-01T09.27.17Z" や "Insider risk SIT Indicator 24-05-01T09.27.17Z" などです。

• Insider Risk Management の Insider Risk Investigators ロールを持つすべてのユーザーは、コミュニケーション コンプライアンス ポリシーのレビュー担当者として自動的に追加されます。

  注:

  コミュニケーション コンプライアンス ポリシーを作成した後、レビュー担当者をポリシーに追加するには、 レビュー担当者を コミュニケーション コンプライアンス調査担当者 ロール グループに手動で追加する必要があります。

• [ポリシー インジケーター] 設定のすべてのインジケーターをオフにした場合は、コミュニケーション コンプライアンス ポリシーを一時停止します。 いずれかのインジケーターを再度オンにすると、ポリシーが再び有効になります。

• データ の盗難 または データ 漏洩 テンプレートに基づく Insider Risk Management の新しいポリシーと既存のポリシーで、コミュニケーション コンプライアンス インジケーターを使用できるようにします。

• メッセージで送信されたコンテンツがトレーニング可能な分類子のいずれかに一致する場合、コミュニケーション コンプライアンスでポリシーが一致し、[ポリシー] ページから修復できます。

• Insider Risk Management ポリシーに含まれるインジケーターは、スコープ内ユーザーのリスク スコアを決定します。 ユーザーに対してトリガー イベントが発生した後にのみアクティブ化されます。

• コミュニケーション リスク の分析情報は、Insider Risk Management の [アクティビティ エクスプローラー ] タブと [ ユーザー アクティビティ ] タブに表示されます。 アクティビティ エクスプローラーまたは [ユーザー アクティビティ] タブからポリシーの一致にドリルダウンすると、アクティビティの詳細を確認し、コミュニケーション コンプライアンス ポリシーを開くリンクにアクセスできます。 コミュニケーション コンプライアンス ポリシーでは、送信されたメッセージの内容を確認できます。

  

   > [!NOTE]
  

  コミュニケーション コンプライアンス リンクにアクセスするには、コミュニケーション コンプライアンス ロールまたはコミュニケーション コンプライアンス調査担当者ロールが必要です。

Insider Risk Management でコミュニケーション コンプライアンス インジケーターを有効にする

1. Insider Risk Management で、[設定>ポリシー インジケーター] に移動し、[コミュニケーション コンプライアンス インジケーター (プレビュー)] セクションまでスクロールします。

2. [ 特定のトレーニング可能な分類子に一致するメッセージを検出する (プレビュー)] で、[ ポリシーの作成] を選択します。

   作成するポリシーはコミュニケーション コンプライアンスにあり、コミュニケーション コンプライアンス インジケーターは [ポリシー インジケーター ] 設定で使用できるようになります。

   注:

   コミュニケーション コンプライアンス ポリシーを既に作成したが一時停止している場合は、[ ポリシーの作成 ] を選択すると、コミュニケーション コンプライアンス ポリシーが再開されます。 この場合、通信コンプライアンス ポリシーの一覧の [状態] 列に "再開" と表示されます。

3. [ポリシー インジケーター] 設定で、1 つ以上のコミュニケーション コンプライアンス インジケーターを選択します 。

   注:

   既にコミュニケーション コンプライアンス ポリシーを作成していて、別のインジケーターを選択した場合、コミュニケーション コンプライアンス ポリシーは、適切なトレーニング可能な分類子を反映するように変更されます。 すべてのインジケーターをオフにすると、コミュニケーション コンプライアンス ポリシーが一時停止します。

4. [保存] を選択します。

5. インジケーターを使用するには、 新しいインサイダー リスク ポリシーを作成 するか、 既存のポリシーを編集します。 インジケーターは、ポリシー ワークフローの [インジケーター ] ページに表示されます。 インサイダー リスク管理ポリシーの他のインジケーターと同様に、インジケーターのしきい値を調整できます。

   注:

   現時点では、インジケーターのしきい値設定のリアルタイム分析は、コミュニケーション コンプライアンス インジケーターでは使用できません。

データ損失防止アラート インジケーター

これらのインジケーターには、 データ損失防止 (DLP) ポリシーと統合されるポリシー インジケーターが含まれます。 Insider Risk Management ポリシーのインジケーターとして DLP ポリシーを選択すると、接続された DLP ポリシーにユーザーが既存のアラートを持っているかどうかを自動的に検出できます。 DLP ポリシーを使用すると、機密情報を保護し、不適切なユーザーや組織とのデータの過剰共有のリスクを軽減できます。

ユーザーに対して Insider Risk Management アラートが生成されると、Microsoft Purview ポータルで DLP ソリューションに移動することなく、ユーザーがorganizationの DLP ポリシーに関連付けられているリスクの高いアラートがあるかどうかを迅速に判断できます。 Insider Risk Management アクティビティと関連する DLP アラートは、統合ビューで Insider Risk Management 内で確認および評価できます。

DLP アラート インジケーターを構成する

手順 1: DLP アラートをインジケーターとして有効にするには、次の手順を実行します。

1. [Insider Risk Management の設定] で、[ ポリシー インジケーター ] を選択し、[ 組み込みインジケーター ] タブを選択します。

2. データ損失防止 (DLP) インジケーターに移動します

3. [ DLP ポリシーの追加] を選択します

4. Insider Risk Management でアラートを表示する DLP ポリシーを選択します。

5. [追加] を選択します。

6. [ 選択した DLP ポリシーからのアラートの生成 ] チェック ボックスをオンにします。

7. [保存] を選択します。

手順 2: DLP アラート インジケーターを特定の Insider Risk Management ポリシーに割り当てるには、次の手順を実行します。

1. 次のいずれかのテンプレートを使用してカスタム ポリシーを作成します。

   • 離職するユーザーによるデータ盗難
   • データ漏えい
   • 優先ユーザーによるデータ漏洩
   • 危険なユーザーによるデータ 漏洩
   • 危険な AI の使用

2. [インジケーター] ページに到達するまで、該当するポリシー を 構成します。

3. [インジケーター] ページ で 、[ データ損失防止 (DLP) インジケーター] に移動します。

4. [ 選択した DLP ポリシーからのアラートの生成 ] チェック ボックスをオンにします。

5. ポリシー構成ワークフローを完了し、新しいポリシーを保存します。

デバイス インジケーター

これらのポリシー インジケーターには、ネットワーク経由またはデバイスでファイルを共有するなどのアクティビティが含まれます。 インジケーターには、実行可能ファイル (.exe) とダイナミック リンク ライブラリ (.dll) ファイル アクティビティを除く、すべてのファイルの種類に関連するアクティビティが含まれます。 [デバイス インジケーター] を選択すると、Windows 10ビルド 1809 以上のデバイスと macOS (3 つの最新リリース バージョン) デバイスのアクティビティが処理されます。 Windows デバイスと macOS デバイスの両方で、 最初にデバイスをオンボードする必要があります。 デバイス インジケーターには、Microsoft Edge と Google Chrome で表示、コピー、共有、または印刷された実行できないファイルの流出信号を検出して処理するorganizationに役立つブラウザー信号検出も含まれます。 インサイダー リスクとの統合のために Windows デバイスを構成する方法の詳細については、この記事の「 デバイス インジケーターを有効にして Windows デバイスをオンボードする 」を参照してください。 インサイダー リスクとの統合のために macOS デバイスを構成する方法の詳細については、この記事の「 デバイス インジケーターを有効にし、macOS デバイスをオンボードする 」を参照してください。 ブラウザー信号検出の詳細については、「 Insider Risk Management ブラウザーシグナル検出の詳細と構成」を参照してください。

Microsoft Defender for Endpointインジケーター (プレビュー)

これらのインジケーターはMicrosoft Defender for Endpointから取得され、承認されていないソフトウェアまたは悪意のあるソフトウェアのインストールまたはセキュリティ制御のバイパスに関連します。 Insider Risk Management でアラートを受信するには、アクティブな Defender for Endpoint ライセンスとインサイダー リスク統合が有効になっている必要があります。 Defender for Endpoint for Insider Risk Management 統合の構成の詳細については、「Microsoft Defender for Endpointでの高度な機能の構成」を参照してください。

正常性レコードのアクセス インジケーター

これらのポリシー インジケーターは、患者の医療記録へのアクセスをカバーします。 たとえば、電子カルテ (EMR) システム ログ内の患者カルテへのアクセスを試行した場合は、Insider Risk Management 医療ポリシーと共有できます。 Insider Risk Management でこれらの種類のアラートを受信するには、医療固有のデータ コネクタと HR データ コネクタ が構成されている必要があります。

物理アクセス インジケーター

これらのポリシー インジケーターは、機密性の高い資産への物理的なアクセスをカバーします。 たとえば、物理的な不正アクセス システム ログ内の制限された領域へのアクセスを試行した場合は、Insider Risk Management ポリシーと共有できます。 Insider Risk Management でこれらの種類のアラートを受信するには、Insider Risk Management で有効になっている優先順位の物理資産と、 物理不正アクセス データ コネクタが 構成されている必要があります。 物理アクセスの構成の詳細については、この記事の 「優先物理アクセス」セクション を参照してください。

Microsoft Defender for Cloud Appsインジケーター

これらのポリシー インジケーターは、Defender for Cloud Appsからの共有アラートから取得されます。 Defender for Cloud Appsの異常検出を自動的に有効にすると、結果の検出と照合がすぐに開始され、ユーザーとネットワークに接続されているマシンとデバイス全体で多数の動作異常が対象になります。 これらのアクティビティを Insider Risk Management ポリシー アラートに含める場合は、このセクションで 1 つ以上のインジケーターを選択します。 Defender for Cloud Apps分析と異常検出の詳細については、「行動分析と異常検出を取得する」を参照してください。

危険な AI 使用状況インジケーター (プレビュー)

これらのポリシー インジケーターは、Microsoft AI ツールとアプリケーションに対応しています。 これらのインジケーターには、ユーザーからの危険なプロンプト動作と、機密情報を含む AI によって生成された応答の両方が含まれます。 たとえば、ユーザーが AI ツールやアプリケーションで機密情報を共有しようとした場合、危険なアクティビティと見なされます。 同様に、機密情報を含む応答を返す AI ツールまたはアプリケーションも、危険な動作と見なされます。

危険な閲覧インジケーター (プレビュー)

これらのポリシー インジケーターは、悪意のある、または危険と見なされ、セキュリティまたはコンプライアンス インシデントにつながる可能性のあるインサイダー リスクをもたらす Web サイトに関連する閲覧アクティビティを対象とします。 危険な閲覧アクティビティとは、マルウェア、ポルノ、暴力、その他の許可されていないアクティビティに関連する Web サイトなど、危険な可能性のある Web サイトにアクセスするユーザーを指します。 これらのリスク管理アクティビティをポリシー アラートに含める場合は、このセクションで 1 つ以上のインジケーターを選択します。 ブラウザー流出シグナルの構成については、「 Insider Risk Management ブラウザーシグナル検出」を参照してください。

累積流出検出インジケーター

これらのインジケーターは、過去 30 日間のすべての流出チャネルにわたるユーザーの流出アクティビティが、organizationまたはピア グループの規範を超えたときに検出します。 たとえば、ユーザーが販売ロールを務め、organization外の顧客やパートナーと定期的に通信する場合、外部の電子メール アクティビティはorganizationの平均よりも高くなる可能性があります。 ただし、ユーザーのアクティビティは、ユーザーのチームメイトや同様の役職を持つ他のユーザーと比較して珍しいものではありません。 ユーザーの累積流出アクティビティが異常であり、organizationまたはピア グループの規範を超える場合、リスク スコアが割り当てられます。

リスク スコア ブースター

これらのインジケーターは、次の理由でアクティビティのリスク スコアを上げます。

• その日のユーザーの通常のアクティビティを上回るアクティビティ: 検出されたアクティビティがユーザーの一般的な動作から逸脱するとスコアがブーストされます。

• ユーザーが以前のケースをポリシー違反として解決しました: ポリシー違反として解決された Insider Risk Management で以前のケースがあった場合、スコアがブーストされます。

• ユーザーが優先度ユーザー グループのメンバーである: スコアは、ユーザーが優先度ユーザー グループのメンバーである場合にブーストされます。

• ユーザーが潜在的な影響の大きいユーザーとして検出される: このインジケーターを有効にすると、ユーザーは次の条件に基づいて、影響の大きい可能性のあるユーザーとして自動的にフラグが設定されます。

  • ユーザーは、organization内の他のコンテンツと比較して、より機密性の高いコンテンツと対話します。
  • organizationのMicrosoft Entra階層内のユーザーのレベル。
  • Microsoft Entra階層に基づいてユーザーにレポートするユーザーの合計数。
  • ユーザーは、昇格されたアクセス許可を持つMicrosoft Entra組み込みロールのメンバーです。

  注:

  潜在的な影響の大きいユーザー リスク スコア ブースターを有効にした場合、Microsoft Purview ポータルでMicrosoft Entraデータを共有することに同意します。 organizationが秘密度ラベルを使用していないか、Microsoft Entra ID で階層organization構成していない場合、この検出の精度が低下する可能性があります。 優先度の高いユーザー グループのメンバーと、影響の大きい可能性のあるユーザーの両方としてユーザーが検出された場合、リスク スコアは 1 回だけブーストされます。

場合によっては、organizationのインサイダー リスク ポリシーに適用されるインサイダー リスク ポリシー インジケーターを制限する必要がある場合があります。 グローバル設定のすべてのインサイダー リスク ポリシーから無効にすることで、特定の領域のポリシー インジケーターをオフにすることができます。 トリガー イベントは、優先度の高いユーザー テンプレートによるデータ リークまたはデータ リークから作成されたポリシーに対してのみ変更できます。 他のすべてのテンプレートから作成されたポリシーには、カスタマイズ可能なトリガー インジケーターやイベントはありません。

カスタム インジケーター

[カスタム インジケーター] タブを使用して、トリガーとして、またはポリシーのポリシー インジケーターとして使用するカスタム インジケーターを作成します。

1. Insider Risk Management の設定で、[ ポリシー インジケーター ] を選択し、[ カスタム インジケーター ] タブを選択します。

2. [ カスタム インジケーターの追加] を選択します。

3. インジケーター名と説明を入力します (省略可能)。

4. [ データ コネクタ ] の一覧で、前に作成した Insider Risk Indicator コネクタを選択します。

   データ コネクタを選択する場合:

   • コネクタの作成時に選択したソース列の名前が、[ マッピング ファイルのソース列 ] フィールドに表示されます。 コネクタの作成時にソース列を選択しない場合、このフィールドに [なし] が表示され、選択する必要はありません。
   • [ ソース列の値] ボックスの 一覧で、カスタム インジケーターに割り当てる値を選択します。 これらの値は、コネクタの作成時に指定したソース列に関連します。 たとえば、2 つのインジケーター (Salesforce と Dropbox) のデータを含む 1 つのコネクタを作成すると、それらの値が一覧に表示されます。

5. 列を使用してしきい値を設定する場合は、[ マッピング ファイルからのデータ ] の一覧で、しきい値設定に使用する列を選択します。それ以外の場合は、[ しきい値なしでトリガー イベントとしてのみ使用する ] オプションを選択します。

   注:

   数値データ型はしきい値を設定する必要があるため、[マッピング ファイルからのデータ] ボックスの一覧には数値データ型を持つフィールドのみが表示されます。 データ型は、コネクタを設定するときに指定します。

6. [ インジケーターの追加] を選択します。 インジケーターが [カスタム インジケーター ] リストに追加されます。

これで、作成または編集したデータの盗難またはデータ 漏洩ポリシーでカスタム インジケーターを使用できるようになりました。

• カスタム インジケーターをトリガーとして使用する場合は、ポリシーの作成時または編集時に [トリガー] ページでカスタム トリガー を選択します。
• ポリシー インジケーターとしてカスタム インジケーターを使用する場合は、ポリシーの作成時または編集時に [ インジケーター ] ページでカスタム インジケーターを選択します。

カスタム インジケーターをポリシーに追加すると、カスタム インジケーターに基づいて生成されたトリガーと分析情報が、[アラート] ダッシュボード、アクティビティ エクスプローラー、および [ユーザー タイムライン] に表示されます。

組み込みインジケーターのバリアントを作成する

検出グループを作成し、それらを組み込みのインジケーターのバリエーションと共に使用して、さまざまなユーザー セットの検出を調整できます。 たとえば、電子メール アクティビティの誤検知の数を減らすために、organization組み込みインジケーターの外部にある受信者に添付ファイルを含む電子メールを送信するインジケーターのバリエーションを作成して、個人ドメインに送信されたメールのみを検出できます。 バリアントは、組み込みインジケーターのすべてのプロパティを継承します。 バリアントは、除外または包含を使用して変更できます。

1. [Insider Risk Management の設定] で、[ ポリシー インジケーター] を選択します。

2. [ 新しいインジケーターバリアント (プレビュー)] を選択します。 この手順では、画面の右側にある [新しいインジケーターバリアント (プレビュー)] ペインを開きます。

3. [ 基本インジケーター ] の一覧で、バリアントを作成するインジケーターを選択します。

   注:

   組み込みインジケーターごとに最大 3 つのバリアントを作成できます。 特定の組み込みインジケーターに対して 3 つのバリアントを既に作成している場合は、組み込みインジケーターが一覧に淡色表示されます。 組み込みのインジケーター (Microsoft Defender for Endpoint インジケーターなど) の中には、バリアントがサポートされていないものもあります。

4. バリアントの名前を追加します (または、推奨される名前をそのまま使用します)。 バリアント名は 110 文字を超えることはできません。

5. バリアントの説明を追加します (省略可能)。 説明がポリシーに表示され、他のインジケーターまたはインジケーターバリアントとの区別に役立ちます。 バリアントの説明は、256 文字以下にすることはできません。

6. [ 検出グループ] で、次のいずれかのオプションを選択します。

   • 選択したグループ内のアイテムに関連するアクティビティを無視します。 いくつかの除外を除くすべてをキャプチャする場合は、このオプション を選択します。 たとえば、このオプションを使用して、特定のドメインに送信されたメールを除くすべての送信メールをキャプチャできます。

   • 選択したグループ内のアイテムに関連するアクティビティのみを検出します。 キャプチャする包含を指定する場合 は、 このオプションを選択します。 たとえば、特定のドメインに送信されたメールのみをキャプチャする場合は、このオプションを選択します。

   注:

   検出グループをまだ作成していない場合は、[検出グループ] セクションでオプションを選択することはできません。

7. [ 1 つ以上の検出グループの選択 ] ボックスの一覧で、バリアントに適用する検出グループを選択します。 検出グループは、適切なグループを見つけるのに役立つ適切な検出の種類の見出しの下に一覧表示されます。 1 つのバリアントの場合、1 つの種類の検出グループを最大 5 つ追加できます。 たとえば、ドメインの最大 5 つのグループ、ファイルの種類の 5 つのグループなどを追加できます。  

   注:

   バリアントに適用できる検出グループのみが一覧に表示されます。 たとえば、ファイルの種類の検出グループは、organizationインジケーターの外部のユーザーと共有 SharePoint フォルダーには表示されません。これは該当しないためです。

8. [保存] を選択します。

9. [ 次の手順 ] ダイアログ ボックスで、新しいバリアントを特定のポリシーに適用する場合は、[ ポリシー] ページリンクを 選択します。

ポリシーでバリアントを使用する

1. ポリシー ワークフローの [インジケーター ] ページに移動します。

2. 1 つ以上のバリアントを含む組み込みのインジケーターを見つけます。 バリアント チェック ボックスの小さな青いボックスは、バリアントを持つ組み込みのインジケーターをマークします。 インジケーター記述子テキストの末尾に一覧が表示され、選択したバリアントの数が表示されます。 一覧を開いてバリアントを表示します。

   注:

   バリアント リストで 1 つ以上のチェック ボックスをオンにすると、組み込みインジケーターの最初のレベルのチェック ボックスが青色のチェック ボックスになります。 バリアント リストのボックスを選択しない場合、最初のレベルのチェック ボックスは空白になります。

3. [次へ] を選択します。

4. [ しきい値のカスタマイズ ] ページでは、バリアントのしきい値を個別にカスタマイズできます。

バリアントによって提供される分析情報を調査する

ポリシーにバリアントを追加すると、ダッシュボードによってアラートが生成されます。 調査担当者は、[ アクティビティ エクスプローラー ] タブと [ ユーザー アクティビティ ] タブで詳細を表示できます。

バリアントを編集する

1. インジケーターの説明テキストの末尾にある青いテキストを選択します。 たとえば、次のスクリーンショットの例に示すように、[ +2 バリアント] を選択します。

   

2. [ インジケーターの表示/編集] ページで 、[ 編集] を選択します。

3. 変更を加えます。

バリアントの制限事項

• 組み込みインジケーターごとに最大 3 つのバリアントを作成できます。
• 1 つのバリアントに対して、1 つの種類の検出グループを最大 5 つ追加できます。 たとえば、ドメインの最大 5 つのグループ、ファイルの種類の 5 つのグループなどを追加できます。
• バリアントは、検出グループ プレビューのシーケンス、累積流出アクティビティ、リスク スコア ブースター、 リアルタイム分析 をサポートしていません。

グローバル除外と優先度コンテンツに対してバリアントを優先順位付けする方法

Insider Risk Management は、次の優先順位でアクティビティをスコープします。

1. グローバル除外
2. バリアント スコープの除外/包含
3. 優先度の高いコンテンツ

デバイス インジケーターを有効にし、Windows デバイスをオンボードする

Windows デバイスでリスク アクティビティの検出を有効にし、これらのアクティビティのポリシー インジケーターを含めるために、Windows デバイスは次の要件を満たす必要があり、次のオンボード手順を完了する必要があります。 デバイスのオンボード要件の詳細を確認する

手順 1: エンドポイントを準備する

Insider Risk Management で報告する予定のWindows 10デバイスが、これらの要件を満たしていることを確認します。

1. デバイスは x64 ビルド 1809 以降Windows 10実行し、2020 年 2 月 20 日からWindows 10更新プログラム (OS ビルド 17763.1075) をインストールする必要があります。
2. Windows 10 デバイスへのサインインに使用するユーザー アカウントは、アクティブなMicrosoft Entra アカウントである必要があります。 Windows 10 デバイスは、ID Microsoft Entra、ハイブリッドMicrosoft Entra、参加済み、または登録されている可能性があります。
3. エンドポイント デバイスに Microsoft Edge ブラウザーをインストールして、クラウド アップロード アクティビティのアクションを検出します。 「Chromiumに基づいて新しい Microsoft Edge をダウンロードする」を参照してください。

手順 2: デバイスのオンボード

デバイス上の Insider Risk Management アクティビティを検出するには、デバイスのチェックを有効にしてエンドポイントをオンボードする必要があります。 Microsoft Purview で両方のアクションを実行します。

まだオンボードしていないデバイスを有効にするには、適切なスクリプトをダウンロードし、この記事で説明するようにデプロイします。

既にデバイスをMicrosoft Defender for Endpointにオンボードしている場合は、管理対象デバイスの一覧に表示されます。

デバイスのオンボード

この展開シナリオを使用して、Windows デバイスでインサイダー リスク アクティビティを検出する場合にまだオンボードされていないデバイスを有効にします。

1. Microsoft 365 organizationの管理者アカウントで Microsoft Purview ポータルにサインインします。

2. ページの右上隅にある [設定] を選択します。

3. [ デバイス オンボード] で、[ デバイス] を選択します。 デバイスをオンボードするまで、一覧は空です。

4. [ デバイスのオンボードを有効にする] を選択します。

   注:

   通常、デバイスのオンボードを有効にするには約 60 秒かかりますが、Microsoft サポートに参加するまでに最大 30 分かかります。

5. [ 展開方法 ] ボックスの一覧からこれらのデバイスへの展開方法を選択し、[ パッケージのダウンロード] を選択します。

6. 「Windows マシンのオンボード ツールとメソッド」の適切な手順に従います。 このリンクをクリックすると、手順 5 で選択した導入パッケージと一致する Microsoft Defender for Endpoint の手順にアクセスできるランディング ページが表示されます。

   • グループ ポリシーを利用した Windows マシンの登録
   • Microsoft Endpoint Configuration Manager を使用した Windows 10 マシンのオンボード
   • Mobile Device Management ツールを使用した Windows マシンの登録
   • ローカル スクリプトを使用した Windows マシンの登録
   • 非永続的仮想デスクトップ インフラストラクチャ (VDI) マシンのオンボード

エンドポイント デバイスを完了してオンボードすると、デバイスの一覧に表示されます。 エンドポイント デバイスは、監査アクティビティ ログの Insider Risk Management へのレポートを開始します。

デバイスが既にMicrosoft Defender for Endpointにオンボードされている場合

既にMicrosoft Defender for Endpoint展開されていて、エンドポイント デバイスがレポートされている場合は、エンドポイント デバイスがマネージド デバイスの一覧に表示されます。 カバレッジを拡大するには、「 手順 2: デバイスのオンボード」に進み、新しいデバイスを Insider Risk Management にオンボードします。

デバイス インジケーターを有効にし、macOS デバイスをオンボードする

macOS デバイス (Catalina 10.15 以降) を Microsoft 365 にオンボードして、Intune または JAMF Pro を使用して Insider Risk Management ポリシーをサポートできます。 詳細と構成ガイダンスについては、「 MacOS デバイスを Microsoft 365 にオンボードする概要 (プレビュー)」を参照してください。

インジケーター レベルの設定

ポリシー ワークフローを使用してポリシーを作成する場合、1 日のリスク イベント数がインサイダー リスク アラートのリスク スコアにどのように影響するかを構成できます。 これらのインジケーター設定は、organizationのリスク イベントの発生回数が、これらのイベントのリスク スコアと関連するアラート重大度にどのように影響するかを制御するのに役立ちます。

たとえば、インサイダー リスク ポリシー設定で SharePoint インジケーターを有効にし、新しいインサイダー リスク データ リーク ポリシーのインジケーターを構成するときに SharePoint イベントのカスタムしきい値を選択するとします。 インサイダー リスク ポリシー ワークフローでは、SharePoint インジケーターごとに 3 つの異なる日次イベント レベルを構成し、これらのイベントに関連付けられたアラートのリスク スコアに影響を与えます。

最初の 1 日のイベント レベルでは、しきい値を 次のように設定します。

• イベントのリスク スコアへの影響が小さい場合は、1 日あたり 10 個以上のイベント
• イベントのリスク スコアに中程度の影響がある場合は、1 日あたり 20 以上のイベント
• イベントのリスク スコアへの影響が高い場合は、1 日あたり 30 以上のイベント

これらの設定は、次を意味します。

• トリガー イベントの後に発生する SharePoint イベントが 1 ~ 9 個ある場合、リスク スコアは影響を最小限に抑え、アラートを生成しない傾向があります。
• トリガー イベントの後に発生する SharePoint イベントが 10 から 19 個ある場合、リスク スコアは本質的に低く、アラートの重大度レベルは低いレベルになる傾向があります。
• トリガー イベントの後に発生する SharePoint イベントが 20 から 29 個ある場合、リスク スコアは本質的に高くなり、アラートの重大度レベルは中程度になる傾向があります。
• トリガー イベントの後に発生する SharePoint イベントが 30 個以上ある場合、リスク スコアは本質的に高くなり、アラートの重大度レベルは高いレベルになる傾向があります。

ポリシーのしきい値のもう 1 つのオプションは、一般的な 1 日のユーザー数を超えるリスク管理アクティビティにポリシートリガー イベントを割り当てることです。 特定のしきい値設定によって定義されるのではなく、スコープ内ポリシー ユーザーに対して検出された異常なアクティビティに対して、各しきい値が動的にカスタマイズされます。 個々のインジケーターで異常なアクティビティのしきい値アクティビティがサポートされている場合は、そのインジケーターのポリシー ワークフローで [ アクティビティがユーザーの通常のアクティビティを超 えています] を選択できます。 このオプションが一覧にない場合、異常なアクティビティトリガーはインジケーターで使用できません。 アクティビティが日のユーザーの通常のアクティビティを上回っている場合は、インジケーターの一覧が表示されますが、選択できない場合は、Insider リスク設定>Policy インジケーターでこのオプションを有効にする必要があります。

リアルタイム分析の推奨事項を使用してしきい値を設定する

リアルタイム分析 (プレビュー) を使用して、ガイド付きのデータドリブンしきい値構成エクスペリエンスを取得します。 このエクスペリエンスにより、ポリシー インジケーターの適切なしきい値をすばやく選択できます。 ガイド付きエクスペリエンスは、アクティビティの発生に対するインジケーターとしきい値の選択を効率的に調整するのに役立ちます。そのため、ポリシー アラートが少なすぎる、または多すぎることがないようにします。

分析を有効にすると、次の手順が実行されます。

• [ ユーザーのアクティビティに固有のしきい値を適用する ] オプションは、ポリシー ワークフローの [インジケーター ] ページで有効になっています。 Insider Risk Management で、organizationでの過去 10 日間のユーザー アクティビティに基づいてインジケーターのしきい値に関する推奨事項を提供する場合は、このオプションを選択します。

  注:

  このオプションを使用するには、少なくとも 1 つの組み込みポリシー インジケーターを選択する必要があります。 Insider Risk Management では、 カスタム インジケーター や 組み込みインジケーターのバリエーションに推奨されるしきい値は提供されません。

• ポリシー ワークフローの [インジケーター] ページで [独自のしきい値の選択] オプションを選択した場合、しきい値設定の既定値は、組み込みの既定値ではなく、推奨されるしきい値 (organizationのアクティビティに基づく) に基づきます。 また、ゲージ、上位 5 つのインジケーターの一覧、各インジケーターの分析情報も表示されます。

  

  • A. ゲージには、過去 10 日間のアクティビティが、ポリシーに対して選択した組み込みインジケーターの少なくとも 1 つの 日あたりの最小しきい値 を超えたスコープ付きユーザーのおおよその数が表示されます。 このゲージは、ポリシーに含まれるすべてのユーザーにリスク スコアが割り当てられた場合に生成される可能性のあるアラートの数を見積もるのに役立ちます。

  • B. 上位 5 つのインジケーター の一覧は、 1 日のしきい値を超えるユーザーの数で並べ替えられます。 ポリシーで生成されるアラートが多すぎる場合は、これらのインジケーターに注目して "ノイズ" を減らします。

  • C. 各インジケーターの分析情報は、そのインジケーターのしきい値設定のセットに対して表示されます。 分析情報は、過去 10 日間のアクティビティがインジケーターの指定された 低しきい値 を超えたユーザーのおおよその数を示します。 たとえば、[ SharePoint からコンテンツをダウンロードする ] の低しきい値設定が 100 に設定されている場合、分析情報には、過去 10 日間に平均で 100 を超えるダウンロード アクティビティを実行したユーザーの数が表示されます。

しきい値の設定を手動で調整する

[ 独自のしきい値の選択] オプションを選択 し、特定のインジケーターのしきい値設定を手動で調整すると、インジケーターの分析情報がリアルタイムで更新されます。 この機能は、ポリシーをアクティブ化する前に最高レベルのアラートの有効性を実現するために、各インジケーターの適切なしきい値を構成するのに役立ちます。

時間を節約し、しきい値への手動変更の影響を理解しやすくするには、分析情報の [影響の表示 ] リンクを選択して、インジケーター グラフの 1 日のしきい値を超えたユーザー を表示します。 このグラフは、各ポリシー インジケーターの秘密度分析を提供します。

このグラフを使用して、選択したインジケーターのorganization内のユーザーのアクティビティ パターンを分析します。 たとえば、上の図では、organization外のユーザーと SharePoint ファイルを共有するためのしきい値インジケーターは 38 に設定されています。 グラフには、そのしきい値を超えたアクションを実行したユーザーの数と、それらのアクションに対する低、中、高の重大度のアラートの分布が表示されます。 バーを選択すると、各値の分析情報が表示されます。 たとえば、前の図では、50 の値のバーが選択されており、そのしきい値では、過去 10 日間に少なくとも 1 日に約 22 人のユーザーがそれぞれ少なくとも 50 のイベントを実行したことを示しています。

リアルタイム分析を使用するための前提条件

リアルタイム分析 (プレビュー) を使用するには、 インサイダー リスク分析の分析情報を有効にする必要があります。 分析を有効にした後、分析情報と推奨事項が表示されるまでに 24 時間から 48 時間かかることがあります。