次の方法で共有

データ セキュリティ調査で結果を検索、確認、絞り込む (プレビュー)

データ セキュリティ調査 (プレビュー) で検索を使用して、セキュリティ インシデントに関連するメール、ドキュメント、インスタント メッセージング会話などの Microsoft 365 コンテンツをorganizationで検索できます。 検索を使用して、次のクラウドベースの Microsoft 365 データ ソース内のコンテンツを検索します。

データ ソース 検索されたコンテンツ タイプ 危険なコンテンツの例
Exchange Online ユーザー メールボックス内のメールと添付ファイル 電子メールで送信された資格情報またはシークレット。機密性の高いファイルは外部で共有されます。
Microsoft Copilot AI プロンプトと応答 Copilot または AI プロンプトの機密データ。
Microsoft Teams チャット メッセージ (1:1 とグループ チャット) とチャネル投稿 チャットに含まれるシークレット、Teams 会話の機密情報。
OneDrive ユーザー ファイル セキュリティで保護されたアクセス キーを持つユーザー ファイル、データベースのエクスポートなど。
SharePoint サイト内のドキュメントとファイル パスワード、顧客データ、または機密プランを含むドキュメント。

調査に関連付けられているさまざまな検索を作成して実行できます。 キーワード、ファイルの種類、インシデントなどの条件を使用して、調査に最も関連するデータを含む検索結果を返す検索クエリを作成します。 以下のことも実行できます。

  • 検索クエリを絞り込んで結果を絞り込むのに役立つ検索統計を表示します。
  • 検索結果をプレビューして、関連するデータが見つからないかどうかをすばやく確認します。
  • クエリを修正して、検索を再実行します。

調査をトリガーしたアクティビティを検討してください。 たとえば、報告されたパスワードの共有や漏洩、疑わしいファイル、外部開発チームとの連携、データ流出に関するアラート、または関与する可能性のある特定の個人またはチームに関するアラートなどです。 この情報は、最初の検索クエリの開発に役立ちます。 たとえば、管理者が、パスワードが SharePoint のプレーン テキストに格納されている可能性があると報告した場合は、まず、SharePoint と OneDrive 全体の既知のパスワード キーワードまたはファイル名、またはエンジニアリング チームが管理する特定の SharePoint サイトを検索します。

検索の結果に満足し、結果を確認および分析する準備ができたら、 調査の調査範囲 に追加します。 元のデータのコピーを調査範囲に追加すると、高度な分類、検査、ベクター検索ツールを提供することで、 AI 分析 とレビュー プロセスも容易になります。

検索ツールにアクセスする

検索ツールにアクセスするには、特定の調査内の任意のページの上部にあるナビゲーション オプションから [ 概要] を選択します。

検索ツールには、データ ソース ピッカー、クエリ ビルダー、およびファイルによる検索オプションが含まれます。 調査中はいつでも検索クエリのデータ ソースと条件を絞り込み、結果を調査スコープに追加できます。

データ ソース

Microsoft 365 では、Exchange、Teams、SharePoint の 3 つのプラットフォームにデータが格納されます。 これらのプラットフォームは、Microsoft 365 アプリケーション内のデータを整理および管理するためのバックボーンとして機能します。

重要

サイトの状態を [ロック済み] に設定し、サイトを NoAccess に設定した場合、データ セキュリティ調査 (プレビュー) は検索結果を返しません。 サイトのロック状態の管理の詳細については、「サイトの ロックとロック解除」を参照してください。 さらに、コンテンツ ストア内のドキュメントを制限する場合、データ セキュリティ調査調査担当者は、データ セキュリティ調査 (プレビュー) でアクセスするには、サイト管理者、サイト所有者、または制限付きドキュメントの所有者または最後の修飾子である必要があります。 制限付きコンテンツの詳細については、「 データ損失防止ポリシー リファレンス」を参照してください

ほとんどの Microsoft 365 アプリは、次の 1 つ以上のコンテナーにデータを格納します。

  • ユーザー: メール、1:1 Teams メッセージ、OneDrive ファイルなど、個々のユーザーに関連付けられたデータ。
  • グループ: organizationまたはorganization内のユーザーのグループが所有するデータ。 これらのグループは、多くの場合、統合グループまたは Teams と呼ばれます。

データ セキュリティ調査 (プレビュー) では、データ ソースの概念により、Microsoft 365 プラットフォーム全体でデータを識別および管理するプロセスが合理化されます。 アナリストは、ユーザーまたはグループを選択し、それらのデータ ソースに対するスコープ検索を選択します。 アナリストは、特定の場所を選択または除外することで、スコープを絞り込むことができます。

アナリストは、organization全体のソースを使用して、organization全体で検索を実行することもできます。 組織全体のソースは次のとおりです。

  • すべてのユーザーとグループ: organization内のすべてのユーザーとすべてのグループが含まれます。
  • すべてのパブリック フォルダー: Exchange パブリック フォルダー メールボックス内のすべてのコンテンツが含まれます。

クエリ ビルダー

検索の [クエリ ビルダー] オプションを使用すると、データ セキュリティ調査 (プレビュー) で検索クエリを作成するときに視覚的なフィルター処理エクスペリエンスが提供されます。 AI 分析ツールを使用して、検索によって返されるアイテム内の該当するデータをすばやく識別するため、1 つの戦略は、より多くのデータ ソースを含むように検索範囲を広げることです。 これにより、レビューに関連するコンテンツを除外する可能性が低くなります。

クエリ ビルダーを使用して、AND、OR、条件のグループ化などの追加機能を備えた複雑なクエリを作成します。 クエリ ビルダーのこれらの機能は、クエリをより効果的に構築し、サブクエリをグループ化するためのビジュアル インターフェイスを提供し、複雑なキーワード (keyword) クエリを構築および確認するための追加の領域を提供するのに役立ちます。

クエリ ビルダーの使用

検索のクエリとカスタム フィルター処理を作成するには、次のコントロールを使用します。

  • AND/OR: これらの条件付き論理演算子は、特定のフィルターとフィルター サブグループに適用されるクエリ条件を選択するのに役立ちます。 これらの演算子を使用して、クエリに 1 つのフィルターに接続されている複数のフィルターまたはサブグループを含めます。
  • フィルターを選択する: コレクションに選択した特定のデータ ソースと場所のコンテンツのフィルターを選択します。
  • フィルターの追加: クエリに複数のフィルターを追加します。 このオプションは、少なくとも 1 つのクエリ フィルターを定義した後に使用できるようになります。
  • 演算子を選択する: 選択したフィルターに応じて、互換性のある演算子から選択できます。 たとえば、[ 日付 ] フィルターを選択した場合は、[ ]、[ ]、[ ] から選択できます。 [サイズ (バイト単位)] フィルターを選択した場合は、より大きい大きいか等しいか、より小さい等しいか、次の値、等しいから選択できます。
  • : 選択したフィルターに応じて、互換性のある値を入力します。 フィルターの中には複数の値をサポートするものもあれば、1 つの特定の値をサポートするフィルターもあります。 たとえば、[日付] フィルターを選択した場合は、 日付 値を入力します。 [サイズ (バイト単位)] フィルターを選択した場合は、バイトの値を入力します。
  • サブグループの追加: フィルターを定義した後、サブグループを追加して、フィルターによって返される結果を絞り込みます。 サブグループをサブグループに追加して、多層クエリ絞り込みを行うこともできます。
  • フィルター条件を削除する: 個々のフィルターまたはサブグループを削除するには、各フィルターラインまたはサブグループの右側にある削除アイコンを選択します。
  • すべてクリア: すべてのフィルターとサブグループのクエリ全体をクリアするには、[ すべてクリア] を選択します。

シナリオの例

データ セキュリティ調査 (プレビュー) アナリストは、2025 年 1 月 1 日から 2025 年 3 月 16 日までの間に使用される機密キーワード (keyword)を含むアイテムのクエリを作成する必要があります*。 この例では、アナリストはクエリ ビルダーを使用して次のクエリを作成します。

  1. 最初のフィルターでは、アナリストが [キーワード] を選択し、Equal 演算子を選択してから、Value コントロールに機密を入力します。
  2. 次に、アナリストは [サブグループの追加][AND ] 演算子を選択し、[ 追加] フィルターを選択します
  3. アナリストは、 日付 フィルター、 Between 演算子、および Value の開始日と終了日を選択します。
  4. アナリストは[ 保存] を選択してクエリを保存し、 スコープを確認 して検索クエリを実行します。

クエリ ビルダーの例。

Microsoft Security Copilotを使用して検索クエリを作成する

検索の [Copilot を使用したクエリ] オプションを使用すると、自然言語とMicrosoft Security Copilotを使用して、クエリ ビルダーでカスタム クエリをすばやく生成できます。 このオプションを使用すると、AND、OR、条件のグループ化などの追加機能を備えた複雑なクエリを作成し、自然言語プロンプトを使用します。

この機能は、一般的なシナリオに対して定義済みのプロンプトを使用して、クエリをより簡単に構築するのにも役立ちます。 また、より正確な検索クエリのカスタム プロンプトを絞り込んで強化するのにも役立ちます。 プロンプト候補を出発点として使用して、一般的な検索シナリオまたはカスタム検索シナリオのキーワード照会言語 (KeyQL) クエリを作成および絞り込むこともできます。

Copilot で検索クエリを作成するには、次の手順を実行します。

  1. クエリのデータ ソースを選択し、[ Copilot を使用したクエリ] を選択します。
    • [検索対象の説明] フィールド 検索クエリの質問を入力します。 必要に応じて、ユーザー、データ ソース、およびその他のコンテンツの詳細を含めることができます。
    • [ プロンプトの表示 ] を選択して、次のいずれかのプロンプト候補を選択します。
      • 予算と財務という単語を含むすべてのメールを検索し、添付ファイルを含む
      • 機密と予算という単語を含む .docx の種類のファイルを検索します
  2. [ スコープの確認] を選択して、検索の見積もりと統計を表示するか、結果を調査スコープに直接追加します。 定義したクエリ パラメーターを保存し、後でクエリを実行する場合は、[ 保存] を選択します。

ファイルから検索

[ ファイルから ] オプションを使用すると、1 つ以上のファイルをアップロードして、特定の調査に関連するコンテンツを見つけることができます。 監査アクティビティ .csv ファイルを使用して、特定の期間内に特定のユーザーの関連するメッセージとファイルを検索します。 各ファイルの最大サイズは 10 MB に制限され、ファイルは .csv できます。 ファイルで検索する場合、クエリ ビルダーは無効になります。

データ セキュリティ調査 (プレビュー) では、ファイルで検索する場合、特定の監査アクティビティ操作の種類のみがサポートされます。 アップロードされた監査ログ ファイルに次のサポートされている操作の種類が含まれていない場合、検索では空のクエリが使用され、一致する項目は返されません。

  • FileAccessed
  • FileDownloaded
  • FileUploaded
  • MessageRead
  • MessageSent
  • SearchQueryInitiatedExchange
  • Send
  • SubscribedToMessages
  • ThreadViewed
  • TranscriptsExported

スコープ ダッシュボード

[ 検索 ] タブには、検索クエリに含まれるデータ結果の統計情報とメトリックが表示されます。 このビューは、検索クエリの結果を調査範囲に追加する準備ができているか、またはより広範または狭い結果を得るためにクエリを絞り込む必要があるかどうかを判断するのに役立ちます。

スコープ ダッシュボードの検索結果は、次のセクションに含まれています。

  • 概要: 検索ヒット数、場所、データ ソース、および部分的にインデックス付けされた項目の合計ファイル サイズが表示されます。

    • 合計一致数: 検索された場所のクエリ条件に一致するすべてのアイテムの検索ヒット数とボリュームの合計を表示します。
    • 場所: 検索されたすべての場所からヒットした場所の割合を表示します。 分子はヒットした場所を示し、分母は検索された場所の数を示します。 エラーが発生した場所は赤で表示されます。 すべての場所と関連するヒットとエラーの詳細を表示するには、[ レポートのダウンロード ] を選択して、完全な .csv レポートをダウンロードします。
    • データ ソース: 検索されたすべてのデータ ソースからヒットしたデータ ソースの割合を表示します。 分子はヒットしたデータ ソースを示し、分母は検索に含まれるデータ ソースの数を示します。 このデータ ソースは、検索デザイン フローのデータ ソースと一致しており、検索に含まれるユーザーまたはグループの数と一致する必要があります。 すべてのユーザーとすべてのグループのテナント全体のデータ ソースは、1 つのデータ ソースとしてカウントされます。
    • 部分的にインデックス付けされた項目 または "高度なインデックス付きアイテムヒット": 検索の一部として返される部分的およびインデックスのない項目の数とボリュームを表示します。 高度なインデックス付きヒット数は、部分的にインデックス付けされた項目の統計サンプルから取得されます。実際のヒット数は多く、レビュー セットへの追加と検索結果のエクスポートアクションを使用して確認できます。
    • 上位のデータ ソース: クエリに一致する検索ヒット数が最も多い上位 5 つのデータ ソースを表示します。 これらのデータ ソースの名前 (ユーザー、グループ、またはorganization全体の場所の名前) は、ヒット数と共に一覧表示されます。 これらのデータ ソースは、検索クエリの作成時にデータ ソース ワークフローで選択したデータ ソースと一致する必要があります。
    • インデックス作成の状態: インデックスが作成されていない (部分的にインデックス付きを含む) データ項目と完全にインデックス付けされたデータ項目の内訳。
    • 上位の場所の種類: 場所の種類 (メールボックスとサイト) によるヒット数。

[ ビューの再生成] を選択してクエリを再実行し、最新の結果を確認します。 [ レポートのダウンロード ] を選択して、すべての スコープ の結果を 1 つの .csv ファイルに結合します。 いずれかの傾向領域の上位 100 件の結果を表示する場合は、選択したヒット傾向の上位 100 件の結果の .csv ファイルの [レポートのダウンロード ] を選択します。

サンプル ダッシュボード

サンプルを使用すると、個々のアイテムの代表的なサブセットと、検索に返される各項目の詳細を調べることができます。 場所ごとのサンプル数と、検索で定義されているサンプルの場所の数によって、サンプル項目の数とサンプル項目の場所の表現が決まります。

サンプル ダッシュボード列の検索結果には、各項目に関する次の情報が含まれています。

  • 件名/タイトル: サンプルに含まれる項目の件名またはタイトル。
  • 日付: アイテムが作成または送信された日付。
  • 送信者/作成者: アイテムの送信者または作成者。

サンプル項目を選択すると、その項目の ソース 情報が表示されます。 アイテムで使用できる場合、このビューには選択したアイテムの豊富なビューが表示されるため、定義された検索データ ソースと条件に関連するアイテムの関連性を評価できます。

[ レポートのダウンロード ] を選択して、すべての サンプル 結果を 1 つの .csv ファイルに結合します。 [ ビュー設定] を選択して、サンプル ビュー生成に適用された設定を表示します。

  • Last updated on