データ セキュリティ調査 (プレビュー) ワークフローを使用すると、セキュリティおよびデータ侵害インシデントに関連するデータをすばやく特定、調査、およびアクションを実行できます。 このワークフローは線形プロセスではありません。 これには、AI とアクティビティを使用して検索、証拠の収集、分類、調査を微調整するためのいくつかの手順に関する重要なイテレーション要件が含まれています。
データとアクセスを特定してアクションを実行するには、次のワークフローを使用します。
手順 1: インシデントを特定してエスカレートする
データ セキュリティ インシデントを特定する
データ侵害やその他のデータ セキュリティ インシデントでは、organizationに対する潜在的なリスクを特定して含める迅速な措置が必要です。 これらのインシデントをすばやく特定し、統合された対応を合理化することが重要です。 データ セキュリティ インシデントの調査は困難な場合があります。 調査のサイズが大きくなるにつれて、複数のツール間の非効率的なワークフロー、手動作業、さらに複雑さが含まれる場合があります。 影響を受けるデータの労働集約的なレビューやコストの増加に直面する可能性があります。
データ セキュリティ調査 (プレビュー) は、データ セキュリティ インシデントの調査と軽減に役立ち、解決までの時間を短縮します。 データ セキュリティ インシデントを特定した後、新しい調査を作成して、データ セキュリティ チームがインシデント関連のデータを特定し、詳細なコンテンツ分析を行い、1 つの統合ソリューション内でリスクを軽減できるようにします。
データ セキュリティ インシデントをMicrosoft Defender XDRからエスカレートする
organizationで既にMicrosoft Defender XDRを使用している場合は、データ セキュリティ調査 (プレビュー) との統合により、新しい調査をすばやくシームレスに作成できます。 調査には、Defender XDR インシデント ノードのすべてのインシデント関連データ項目が自動的に含まれます。
Insider Risk Management からデータ セキュリティ インシデントをエスカレートする
organizationで Insider Risk Management を既に使用している場合は、データ セキュリティ調査 (プレビュー) との統合により、特定された危険なユーザー アクティビティに対する新しい調査をすばやく作成できます。
データ セキュリティ態勢管理の分析情報からエスカレートする (プレビュー)
organizationで既にデータ セキュリティ態勢管理 (プレビュー) を使用している場合は、データ セキュリティ調査 (プレビュー) との統合により、潜在的なデータ流出の結果や分析情報から新しい調査をすばやく作成できます。
手順 2: 調査を作成し、影響を受けたデータを見つける
データ セキュリティ調査 (プレビュー) で調査を作成することは、迅速かつ簡単です。 シナリオに応じて、次から調査を作成できます。
- Microsoft Defender XDR インシデント: Defender XDR インシデントから調査を作成します。
- Microsoft Purview インサイダー リスク管理ケース: Insider Risk Management から調査を作成します。
- フル ドラフト モードを使用した手動: フル ドラフト モード オプション を使用して特定のデータ ソースと検索条件を構成して調査を作成します。
手順 3: 結果を検索、評価、確認する
調査を作成した後、データ ソースを確認および更新できます。 検索ツールを使用して、データ セキュリティ インシデントに関連する項目を特定します。 このレビューには、次の Microsoft 365 サービスの項目が含まれています。
| データ ソース | 検索されたコンテンツ タイプ | 危険なコンテンツの例 |
|---|---|---|
| Exchange Online | ユーザー メールボックス内のメールと添付ファイル | 電子メールで送信された資格情報またはシークレット。機密性の高いファイルは外部で共有されます。 |
| Microsoft Copilot | AI プロンプトと応答 | Copilot または AI プロンプトの機密データ。 |
| Microsoft Teams | チャット メッセージ (1:1 とグループ チャット) とチャネル投稿 | チャットに含まれるシークレット、Teams 会話の機密情報。 |
| OneDrive | ユーザー ファイル | セキュリティで保護されたアクセス キーを持つユーザー ファイル、データベースのエクスポートなど。 |
| SharePoint | サイト内のドキュメントとファイル | パスワード、顧客データ、または機密プランを含むドキュメント。 |
調査に関連付けられているさまざまな 検索 を作成して実行できます。 クエリ ビルダーで条件 (キーワード、ファイルの種類、インシデントなど) を使用して、データ セキュリティ インシデントに関連する可能性が最も高いデータで結果を返すカスタム検索クエリを作成します。
手順 4: 調査スコープにデータを追加する
検索クエリを確認して絞り込んだ後、関連するすべてのデータ項目を 調査範囲に追加します。 この手順では、特定のデータ項目をフィルター処理して確認します。 また、データ セキュリティ調査 (プレビュー) で AI ツールを使用して確認する必要のない項目も特定します。
手順 5(a): 項目を調査する
調査範囲にデータ項目を追加した後、調査に最も関連する項目へのデータの絞り込みと絞り込みを開始します。 項目を適用できるデータの最小量に絞り込むと、AI 処理に伴う速度の向上とコストの削減に役立ちます。
この手順では、次のアクションを実行します。
- 該当する場合は、特定の項目を選択して 軽減計画 に直接追加します。
- AI 処理から特定の項目を特定または除外します。
- AI 処理用のデータを準備します。 セマンティック検索とデータの分類を有効にするために、除外されていないすべての項目をベクター化します。
手順 5(b): AI を使用して調査する
AI 処理用のデータ項目を準備し、処理を完了したら、AI 関連ツールの使用を開始して、調査の焦点を最もインパクトのある重要な項目のみに絞り込みます。
レビューで次のツールとアクションを使用して、特定のデータ項目を特定してアクションを実行します。
- 自然言語クエリの ベクター検索 を使用して、レビューの項目を識別します。
- 自然言語クエリとキーワード を含む AI を使用した検索 (プレビュー) を使用して、レビューの検索結果を集計します。
- コンテンツ の AI ドリブン カテゴリ を定義して構成します。
- 選択した項目に組み込みの 検査領域 を使用します。
- 軽減計画に追加する項目を選択します。
重要
ストレージと AI 容量のコストに関する考慮事項は、データ セキュリティ調査 (プレビュー) の各 AI ツールの使用状況に関連しています。 詳細については、「データ セキュリティ調査の課金モデル (プレビュー)」と「データ セキュリティ調査での AI 分析の使用 (プレビュー)」を参照してください。
手順 5(c): データ リスク グラフを使用して調査する (プレビュー)
AI 処理のためにデータ項目を準備し、処理を完了したら、データ リスク グラフを使用して、資産とアクティビティのデータを 1 つのビューに結合する視覚的な調査エクスペリエンスを実現します。 このビューは、セキュリティ インシデントに関連するユーザー、サイト、およびデータ項目のノードとリレーションシップを識別するのに役立ちます。
詳細については、以下を参照してください:
Microsoft Purview でのMicrosoft Sentinelについて説明します (プレビュー)データ セキュリティ調査のデータ リスク グラフ (プレビュー)
手順 6: 軽減するためのアクションを実行する
データ セキュリティ インシデントに関連する最も関連性の高い影響を与える項目を特定したら、リスクを軽減するために特定のアクションを実行します。
- 軽減策の推奨事項を確認する: 調査対象の項目を選択し、重点領域として [軽減策 ] を選択すると、ソリューションによって 軽減策の推奨事項が作成されます。 自動 AI 処理は、関連する脅威を特定し、軽減手順を推奨します。
- 資格情報の検査を確認する: 調査対象の項目を選択し、フォーカス領域として [資格情報] を選択すると、ソリューションによって 資格情報やその他のアクセス資産の検査が識別されます。 AI 分析処理は、資格情報の詳細、種類、および特定の推奨事項を自動的に識別して生成します。
- リスク検査を確認する: 調査対象の項目を選択し、フォーカス領域として [リスク ] を選択すると、ソリューションによってセキュリティ リスク スコアと検査が自動的に作成されます。 リスク スコアは、最も影響が大きくリスクの高いデータ項目に対して軽減アクションの優先順位を付けるのに役立ちます。
- 軽減計画を使用する: 調査と推奨事項を確認した後、調査範囲から 軽減計画に特定のデータ項目を追加します。 このプランは、各データ 項目の軽減状態を管理および追跡するのに役立ちます。
ベスト プラクティス
- AI 分析を反復して賢明に使用する: 調査が 1 つの手順で完了することはめったにありません。 分類とベクター検索で AI の提案を使用して、隠された問題を明らかにします。 常に人間の目で重要な結果を検証します。 調査官の判断は、重要な意思決定の鍵です。
- 調査範囲に焦点を当て続ける: より多くのデータを検出すると、簡単に圧倒されます。 分類を使用して無関係な情報を除外し、主に危険な項目に集中します。
- organizationの適切なチームを早期にEngageします。データ セキュリティ インシデントは、多くの場合、複数の領域にまたがっています。 これらの領域には、organizationのセキュリティ、IT、コンプライアンスが含まれる場合があります。 アクションが必要な領域を特定するとすぐに、パートナー チームと共有できます。
- 統合された Microsoft サービスを使用する: データ セキュリティ調査 (プレビュー) は、より広範な Microsoft Purview および Defender エコシステムの一部です。 調査でインサイダー リスクが示唆される場合は、 Insider Risk Management ケースを開きます。 Microsoft Defender XDRアラートから開始された場合は、そのインシデントを結果で更新します。 目標は、organization内のインシデントのエンド ツー エンド ビューです。