次の手順を使用して、Microsoft Purview インサイダー リスク管理で Microsoft Purview トリアージ エージェントをロールアウトします。
開始する前に
Insider Risk Management で Microsoft Purview トリアージ エージェントを初めて使用する場合は、この記事をお読みください。
SKU /サブスクリプションライセンス
Insider Risk Management のトリアージ エージェントには 、シートごとの標準ライセンス モデルと従量課金制課金モデルの両方が必要です。 組織には次のライセンスが必要です。
- Microsoft Purview インサイダー リスク管理: インサイダー リスク管理トリアージ エージェントを使用するため。
Microsoft Purview トリアージ エージェントは、タスクの実行時にセキュリティ コンピューティング ユニット (SCU) を使用します。 トリアージ エージェントを機能させるには、SCU がプロビジョニングされている必要があります。 使用される SCU の数は、処理されるアラートの数と種類によって異なります。 SCU の詳細については、「セキュリティ コンピューティング ユニット (SCU)」を参照してください。 使用状況監視ツールで SCU の消費量を追跡できます。 Microsoft Security Copilot へのオンボードの詳細については、「Microsoft Security Copilot の使用を開始する」を参照してください。
E5 でのSecurity Copilotライセンスの詳細については、「Microsoft 365 E5のSecurity Copilotについて」を参照してください。
ライセンスの詳細については、次を参照してください。
アクセス許可と役割
さまざまな機能を実行するには、さまざまなアクセス許可とロールが必要です。 詳細については、「Microsoft Purview ポータルのアクセス許可」および「Microsoft Purview ポータルの役割と役割グループ」を参照してください。
重要
エージェントは、エージェント構成を保存した最後のユーザーのセキュリティ コンテキストで実行されます。 この認証は 90 日間有効です。 90 日が経過すると、構成が再度手動で保存されるまでエージェントは実行を停止します。
Insider Risk Management でトリアージ エージェントを有効にするためのアクセス許可
Insider Risk Management エージェントでトリアージ エージェントを有効および管理するために使用するアカウントには、次のすべてのロールが必要です。
インサイダー リスク管理分析またはインサイダー リスク管理調査 (役割グループ: データ セキュリティ管理、インサイダー リスク管理、インサイダー リスク管理アナリスト、インサイダー リスク管理調査担当者)
Purview コンテンツ アナリスト (役割グループ: Purview エージェント管理)
Security Copilot 共同作成者 (Security Copilot で管理)
Insider Risk Management でトリアージ エージェントをカスタマイズおよび構成するためのアクセス許可
インサイダー リスク管理エージェントのカスタマイズと構成に使用するアカウントには、次のすべての役割が必要です。
Purview エージェント分析 (役割グループ: データ セキュリティ管理、インサイダー リスク管理、インサイダー リスク管理アナリスト、インサイダー リスク管理調査担当者)
Security Copilot 共同作成者 (Security Copilot で管理)
トリアージされたインサイダー リスク管理アラートを表示するためのアクセス許可
インサイダー リスク管理トリアージ エージェントのアラート アクティビティを表示するには、使用するアカウントが以下に含まれている必要があります。
Purview エージェント分析 (役割グループ: データ セキュリティ管理、インサイダー リスク管理、インサイダー リスク管理アナリスト、インサイダー リスク管理調査担当者)
省略可能 - Security Copilot 共同作成者 (Security Copilot で管理)
展開と構成のロードマップ
Microsoft Purview エージェントの実装には、いくつかのフェーズが含まれます。
インフラストラクチャの前提条件
Microsoft Purview トリアージ エージェントは、Microsoft Security Copilot で実行されます。
- テナントは Microsoft Security Copilot にオンボードする必要があります。 オンボード方法の詳細については、「Microsoft Security Copilot の使用を開始する」を参照してください。
- Security Copilot で Microsoft 365 データ共有を有効にする必要があります。 詳細については、「Microsoft 365 サービスからのデータへのアクセス」を参照してください。
- Microsoft Security Copilot で Microsoft Purview プラグインを有効にする必要があります。 詳細については、「Microsoft Security Copilot で Microsoft Purview ソースを有効にする」を参照してください。
エージェントの有効化
この手順は、Microsoft Purview エージェントをまだ有効にしていない組織、またはエージェントを削除して再度有効にしたい組織を対象としています。 エージェントを有効にすると、Microsoft Purview で使用できるようになります。 テナント内の各エージェントのインスタンスは 1 つだけです。 この手順は、Purview DLP トリアージ エージェントとインサイダー リスク管理トリアージ エージェントの両方で機能します。
- 必要なアクセス許可を持つアカウントで Microsoft Purview ポータルにサインインします。
- 左側のナビゲーション ウィンドウで、[エージェント] を選択します。
- [エージェントを探す] を選択します。
- 有効にするエージェントを選択し、[追加] を選択します。 これにより、エージェントを有効にする要件を示すページが開きます。
-
[セットアップ] を選択すると、[エージェントの展開] グローバル構成ページが開きます。 次の操作を行うことができます:
- [設定されたスケジュールに基づいて自動的に実行します] を選択します。 このオプションを選択しない場合は、エージェントを 1 つずつ手動で実行する必要があります。 スケジュールは Microsoft によって設定され、組織では構成できません。 この設定は、後でエージェントを編集するときに変更できます。
- [アラート期間の選択]: エージェントがトリアージのためにどのくらい過去までアラートをさかのぼって確認するかを指定します。 アナリストは、エージェントを編集するときにこの期間を短縮できますが、長くすることはできません。 詳細については、「アラート期間の選択」を参照してください。
- [展開] を選択します。 エージェントが正常に展開されると、"<ソリューション><にアラート トリアージ エージェントが展開されました">というメッセージが表示されます。
エージェントのセットアップ
エージェントが有効になったら、エージェントに特定のトリガーを設定する必要があります。 トリガーは、エージェントがどのアラートをトリアージするかを決定するために使用されます。 これは、ソリューションの [エージェント] ページで行うか、初回実行エクスペリエンスでは [アラート] ページで設定できます。 この手順では、初回実行エクスペリエンスの [アラート] ページから設定します。 この手順では、Microsoft Purview ポータルの [エージェントを探す] ページが前回の手順で開いたままになっていることを前提としています。
重要
最新のエージェント構成が常に使用されます。
- [<ソリューション> に移動] を選択します。<> これにより、ソリューションの [アラート] ページが開きます。
- 初回実行エクスペリエンスであるため、[カスタマイズ] ボタンがあるダイアログ ボックスが表示されます。このボタンを選択すると、[アラート トリアージ エージェントのカスタマイズ] ポップアップが開きます。
- ここで、[アラート期間の選択] の既定のグローバル設定をそのまま使用するか、エージェントの展開時に構成したよりも短い値に変更するかを選択します。
- エージェントのカスタム指示を入力します。 エージェントは自然言語入力を解釈し、それを使用して、最も重要なアラートの種類をより適切に特定します。 これにより、最も関連性の高いアラートを特定して迅速に対応できます。
- [ポリシーの選択] を選択して、エージェントによってアラートがトリアージされるポリシーを選択します。 プレビューでは、すべてのポリシーが既定で選択され、ここで変更できます。
- [レビュー] を選択します。
- [エージェントの開始] を選択します。 エージェントがスコープ内アラートのトリアージを完了し、この初期セットアップから手動実行を有効にするには、最大 2 時間かかります。
エージェントの一時停止
- 必要なアクセス許可を持つアカウントで Microsoft Purview ポータルにサインインします。
- 左側のナビゲーション ウィンドウで、[エージェント] を選択します。
- [エージェントを探す] を選択します。
- 一時停止するエージェントの [エージェントの表示] を選択します。 エージェントの概要ページが開きます。
- エージェントの概要ページの右上隅にある [エージェントの編集] ボタンの "横"にある省略記号 (3 つのドット) を選択します。
- [エージェントの非アクティブ化] を選択します。 エージェントを一時停止すると、エージェントによるアラートのトリアージが停止します。 エージェントは削除されず、[アラート期間の選択] の参照時点もリセットされません。
エージェントの削除
- 必要なアクセス許可を持つアカウントで Microsoft Purview ポータルにサインインします。
- 左側のナビゲーション ウィンドウで、[エージェント] を選択します。
- [エージェントを探す] を選択します。
- 一時停止するエージェントの [エージェントの表示] を選択します。 エージェントの概要ページが開きます。
- エージェントの概要ページの右上隅にある [エージェントの編集] ボタンの "横"にある省略記号 (3 つのドット) を選択します。
- [エージェントの削除] を選択します。 エージェントを削除すると、Microsoft Purview から削除されます。 もう一度使用する場合は、「エージェントの有効化」と「エージェントの セットアップ」の手順をもう一度実行する必要があります。 エージェントを削除すると、[アラート期間の選択] の参照時点がリセットされます。
エージェントの編集
- 必要なアクセス許可を持つアカウントで Microsoft Purview ポータルにサインインします。
- 左側のナビゲーション ウィンドウで、[エージェント] を選択します。
- [エージェントを探す] を選択します。
- 編集する エージェントの [エージェントの表示] を選択します。 エージェントの概要ページが開きます。
- [エージェントの編集] を選択します。 [エージェントの編集] ページが開きます。
- [トリガー] を選択します。
- ここで、エージェントの実行タイミングを変更できます。[1 つのアラートに対して 1 つずつエージェントを手動で実行する] または [設定されたスケジュールに基づいてエージェントを自動的に実行する] を選択できます。
- [編集] を選択して、[アラート期間の選択] の値と、エージェントがアラートをトリアージするポリシーを変更します。
- [1 つのアラートに対して 1 つずつエージェントを手動で実行する] を選択した場合は、ソリューションの [アラート] ページで 1 つのアラートを選択できます。 トグルを [アラート トリアージ エージェント ] に設定し、[ エージェントの実行] を選択します。
- 必要であれば、[意図] を変更することもできます。
SCU の使用状況の監視
- 必要なアクセス許可を持つアカウントで Microsoft Purview ポータルにサインインします。
- 左側のナビゲーション ウィンドウで、[エージェント] を選択します。
- [エージェントを探す] を選択します。
- 編集する エージェントの [エージェントの表示] を選択します。 エージェントの概要ページが開きます。
- [エージェントの編集] を選択します。 [エージェントの編集] ページが開きます。
- [使用状況の監視] を選択します。
- 使用状況監視ツールで SCU の消費量を追跡できます。
[アラート] ページの概要
- 必要なアクセス許可を持つアカウントで Microsoft Purview ポータルにサインインします。
- トリアージされたアラートを表示するソリューションを開きます。
- ソリューションの [アラート] ページを開きます。
- ページの右上の領域には、アラート ページのStandard ビューとアラート ページのトリアージ エージェント ビューを選択できる新しいトグルがあります。 切り替えを [トリアージ エージェント] ビューに設定します。 このビューには、エージェントによってトリアージされたアラートが表示されます。 このアラートはエージェントによって次の 4 つのカテゴリにグループ化されます。
- All
- 注意が必要
- 緊急性が低い
- 未分類
次の手順
トリアージされたアラートの確認については、ソリューション固有の記事を参照してください。