データ セキュリティ調査 (プレビュー) のデータ リスク グラフは、資産とアクティビティのデータを 1 つのビューに結合する視覚的な調査エクスペリエンスを提供します。 Microsoft Sentinel統合を利用して、調査対象のファイルに対する過去 30 日間のアクティビティをまとめたものです。 これは、関心のあるコンテンツと対話した危険なユーザー アカウントを特定し、最近のインシデントに至るまでの一連のイベントを分析するのに役立ちます。 アクティビティ分析情報を使用して分析を強化することで、データ リスク グラフを使用すると、データ セキュリティ インシデントをより迅速かつ確実に解決できます。
Microsoft Sentinel統合の詳細については、「Microsoft Purview でのMicrosoft Sentinelについて学習する」を参照してください。
注:
管理単位は、データ リスク グラフではサポートされていません。 管理単位のスコープを設定している場合、データはデータ リスク グラフに表示されません。
データ リスク グラフでサポートされているアクティビティ
データ リスク グラフでは、現在、次の流出アクティビティがサポートされています。
- SharePoint または OneDrive で作成された匿名リンク
- SharePoint または OneDrive 経由で使用される匿名リンク
- SharePoint または OneDrive で作成された会社のリンク
- SharePoint と OneDrive からのファイルのダウンロード
- SharePoint と OneDrive で名前が変更されたファイル
開始する前に
データ セキュリティ調査 (プレビュー) でデータ リスク グラフを使用する前に、次の手順を実行します。
- organizationのMicrosoft Sentinelの従量課金制について説明します。
- data lake と Microsoft Sentinel グラフMicrosoft Sentinel前提条件を構成する
- Microsoft Sentinel data Lake と Microsoft Sentinel グラフへのオンボード時に行われた変更を確認する
- データ セキュリティ調査 (プレビュー) で調査を作成します。
データ リスク グラフを構成する
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。
前提条件を完了したら、次の手順を実行して、データ セキュリティ調査 (プレビュー) でデータ リスク グラフを構成します。
グローバル管理者またはセキュリティ管理者ロールが割り当てられているアカウントで Microsoft Purview ポータルに移動します。
データ セキュリティ調査 (プレビュー) ソリューション カードを選択し、左側のナビゲーションで [概要] を選択します。
[ タスクのセットアップ ] セクションで、[ データ レイクとデータ リスク グラフの設定] を選択します。
データ レイクを設定するための適切なアクセス許可がない場合は、organizationのグローバル管理者または課金管理者に連絡するように通知が表示されます。
[ セットアップ ] タブの [ Data Lake & リスク グラフ (プレビュー)] で、次の設定を構成します。
- サブスクリプション: 使用するAzure サブスクリプションを入力します。 選択したサブスクリプションは有効でアクセス可能である必要があります。 サブスクリプション所有者である必要があります。
- リソース グループ: 使用するリソース グループを入力します。 選択したリソース グループは有効で、アクセス可能である必要があります。
重要
特定のAzure サブスクリプションとリソース グループに対してデータ レイクをプロビジョニングした後、別のサブスクリプションまたはリソース グループに移行することはできません。
[セットアップ] を選択します。
重要
データ リスク グラフが最初に作成されると、最新の 7 日間のデータが含まれます。 データ リスク グラフが時間の経過と同時に更新されるにつれて、ルックバック ウィンドウは最大 30 日まで拡張されます。 データ リスク グラフが完全な 30 日間の期間に達するまでに時間がかかる場合があるため、初期セットアップ後に段階的な増加が予想されます。
セットアップ プロセスが開始され、オンボードが完了するまでに最大 60 分かかる場合があります。 プロセスの実行中にセットアップ パネルを閉じます。 オンボード プロセスが完了すると、[Data Lake & リスク グラフの設定 (プレビュー)] に [完了] と表示されます。 データ リスク グラフには、Microsoft Sentinel データ レイクが作成またはオンボードされた後に発生するイベントが表示されます。
調査のためのデータとデータ リスク グラフの可用性の初期処理には、24 時間から 48 時間かかる場合があります。
重要
常に 1 つのデータ レイクがあります。 別の Microsoft サービスを使用してデータ レイクに既にオンボードしている場合は、既存のデータ レイクが使用されます。 データ レイクにオンボードしたことがない場合は、データ セキュリティ調査 (プレビュー) でオンボードすると、Defender ポータルでデータ レイクとグラフMicrosoft Sentinel有効になります。
データ リスク グラフを使用する
データ セキュリティ調査 (プレビュー) のデータ リスク グラフは、影響を受けたデータ、ユーザー、およびアクティビティ間の相関関係を一意に視覚化します。 これは、軽減策と次の手順をガイドするための重要なコンテキストを提供します。 たとえば、機密性の高いドキュメントを明らかにすると、データ リスク グラフを使用すると、どのユーザーがダウンロードしたか、または危険な IP アドレスからアクセスしたかを把握できます。 この可視性を使用すると、追加のユーザーや調査を必要とする新しいコンテンツなど、データ セキュリティ インシデントに対する新しいノードを明らかにできます。
調査のためにデータ リスク グラフを表示するには、少なくとも 1 つの組み込みデータ セキュリティ調査 (プレビュー) ロール グループに割り当てる必要があります。
- データ セキュリティ調査管理者
- データ セキュリティ調査調査員
- データ セキュリティ調査校閲者
ロール グループの詳細については、「データ セキュリティ調査でのアクセス許可の割り当て」を参照してください。
データ セキュリティ調査 (プレビュー) でデータ リスク グラフを使用するには、次の手順を実行します。
データ セキュリティ調査 (プレビュー) ロール グループに割り当てられたアカウントを含む Microsoft Purview ポータルに移動します。
データ セキュリティ調査 (プレビュー) ソリューション カードを選択し、左側のナビゲーションで [ケース] を選択します。
調査を選択して確認し、次のいずれかのオプションを選択します。
- [概要] で、[調査スコープ] カードで [スコープの管理] を選択します。
- [ 分析 ] タブを選択して、 調査スコープに含まれる項目を一覧表示します。
スコープに含まれる項目 (最大 100 個) を選択し、[ 分析情報の探索] を選択します。
注:
データ レイクとグラフのデータ セキュリティ調査 (プレビュー) を構成しない限り、探索分析情報Microsoft Sentinel使用できません。
該当する時間をフィルター処理し、トリアージ中の各接続の詳細については、個々のデータ リスク グラフ ノードを選択します。
ユーザーまたは資産の [+] アイコンを選択して、グラフ内のリレーションシップを展開します。
データ リスク グラフには、複数のノードが含まれています。 ノードを選択すると、ノードに関する詳細が表示されます。
- ユーザーの詳細: 調査に関連付けられているユーザーに関する情報を表示します。 この情報には、ユーザー プリンシパル名 (UPN)、ラベル、場所、役職など、各ユーザーのorganization情報が含まれます。
- リレーションシップ: ノード間の接続の開始と終了に関する情報を表示します。 この情報には、接続の開始日と最後の日付、リレーションシップの種類などが含まれます。
- IP アドレス: 各 IP アドレス ノードに関する情報を表示します。
- データの詳細: ファイルとサイトに関する情報を表示します。 この情報には、オブジェクトの場所、型、ラベルなどが含まれます。
過去 30 日間のアクティビティに基づいて、ユーザーのデータ リスク グラフ情報を表示できます。 この期間は固定であり、延長することはできません。