重要
Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 Insider Risk Management を使用すると、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。
Microsoft Purview インサイダー リスク管理のレポートを使用して、インサイダー リスク プログラムの状況を理解します。 レポートは、潜在的なリスク領域に関する分析情報を特定するのに役立つ、Microsoft サービス全体の対象となるリスク アクティビティから生成されたアラート、ケース、ユーザー アクティビティ、分析など、インサイダー リスクに関連するすべての領域について、より深い分析情報と概要情報を提供します。
次のレポートを使用するには、Microsoft Purview ポータルで Insider Risk Management>Reports に移動します。
- アラート (プレビュー): 生成されたアラートの 傾向 、時間の経過に伴うアラートに対するアクション、およびポリシー別のアラートを表示します。
- 分析: organizationで検出された匿名化されたユーザー アクティビティの概要を表示します。
- ケース (プレビュー): 作成されたケースの 傾向 、時間の経過に伴うケースに対するアクション、およびポリシーとリージョン別のケースの状態を表示します。
- ユーザー アクティビティ: ポリシーまたはアラートにユーザーが含まれているかどうかに関係なく、最近のユーザー アクティビティを確認します。
- 従量課金制 (プレビュー): 従量課金 制の使用状況レポートを確認して、コスト削減の機会を特定し、ポリシー構成を微調整します。
レポートを操作する
Insider Risk Management レポートを開始して表示するには、該当するロールまたはロール グループのメンバーである必要があります。 アラートとケースのレポートを表示するためのアクセス許可の要件と、分析用のレポートを表示するために必要なアクセス許可が異なります。 organizationが管理単位を使用している場合、これらのレポートに対してアクセスが異なる場合があります。 詳細については、以下を参照してください:
グラフのカスタマイズ
レポート領域ごとに、定義済みのレポート フィルター コントロールと日付セレクターを使用すると、分析情報を特定の条件または日付範囲にすばやく絞り込むのに役立ちます。 各領域のページ上部にあるフィルターを選択して、領域内のすべてのレポートをすばやくフィルター設定の範囲に絞り込みます。 レポートの日付については、特定の月を選択するか、[ 過去 3 か月 ] を選択してレポート領域のすべてのデータを表示します。
また、各レポート領域に既定で表示するレポートを選択して選択することもできます。 各領域に表示されるレポートをカスタマイズするには、[ ビューのカスタマイズ] を選択します。 [ ビューのカスタマイズ ] ポップアップ ウィンドウでは、表示するレポートと、各領域で非表示にするレポートを選択できます。
グラフの詳細
レポートの結果を調べるには、[レポートの 詳細の表示 ] を選択します。 詳細ビューでは、情報をフィルター処理し、日付またはポリシーによってビューを変更できます。 レポート内のデータをエクスポートするには、[ エクスポート ] を選択して、レポート グラフの画像またはレポート値を含む .csv ファイルをダウンロードします。
アラート レポート (プレビュー)
潜在的に危険なユーザー アクティビティを調査することは、organizationのインサイダー リスクを最小限に抑えるための重要な手順です。 これらのリスクは、インサイダー リスク管理ポリシーからアラートを生成するアクティビティである可能性があります。 アラート レポートは、アラート ボリューム、アラートの管理の進行状況、一般的なアラート ソース、トリアージに費やされた時間に関する分析情報を提供します。 すべてのアラート、確認済みアラート、および無視されたアラートで、すべてのアラート レポートをすばやくフィルター処理できます。
| レポートの種類 | レポート | 説明 |
|---|---|---|
| 概要 | 生成されたアラート | 指定した日付範囲で生成された低、中、高の重大度のアラートの数を示します。 |
| アクションを実行したアラート | 指定した日付範囲でケースに対して確認されたアラートまたは無視されたアラートの数を表示します。 | |
| 却下の理由 | 示します。。。 | |
| 人口 統計 | アラートを含む上位の国/地域 | ユーザーが参加している国または地域に基づいて生成されたアラートの数を示します。 [指定されていません] は、国または地域がMicrosoft Entra IDで指定されていないことを意味します。 |
| 部署によって生成されたアラート | ユーザーが所属している部署に基づいて生成されたアラートの数を示します。 [指定されていません] は、部署がMicrosoft Entra IDで指定されていないことを意味します。 | |
| Insights | 上位トリガー イベントによるアラート | 指定した日付範囲で検出された上位トリガー イベントに基づくアラートの数を示します。 |
| アラートを生成した上位アクティビティ別のアラート | 指定した日付範囲で検出された上位のアクティビティに基づくアラートの数を示します。 | |
| 生産性 | 割り当てごとのアラートの状態 | 特定の管理者に割り当てられたアラートの数を、アラートの状態別に分類して表示します。 |
| 平均日数アラートはニーズ レビューにあります | 指定した日付範囲の [ 要確認 ] 状態にアラートが残った平均日数を示します。 |
分析レポート
organizationの最初の分析スキャンが完了すると、Insider Risk Management Admins ロール グループのメンバーは自動的に電子メール通知を受け取ります。 ユーザーがリスクの高い可能性のあるアクティビティに関する最初の分析情報と推奨事項を表示できます。 organizationの分析をオフにしない限り、毎日のスキャンは続行されます。 管理者は、organizationで危険な可能性があるアクティビティの最初のインスタンスの後に、分析 (データ リーク、盗難、流出) の 3 つのスコープ内カテゴリごとに電子メール通知を受け取ります。 管理者は、毎日のスキャンに起因するフォローアップ リスク管理アクティビティ検出の電子メール通知を受け取りません。
注:
[分析] 設定を無効にしてから再度有効にした場合は、自動メール通知をリセットします。 Insider Risk Management Admins ロール グループのメンバーは、新しいスキャン分析情報の電子メール通知を受け取ります。
organizationの潜在的なリスクを表示するには、「Insider Risk Management>Reports>Analytics」を参照してください。
注:
organizationのスキャンが完了していない場合は、スキャンがまだアクティブであることを示すメッセージが表示されます。
完了した分析については、organizationで検出された潜在的なリスクと、これらのリスクに対処するための分析情報と推奨事項が表示されます。 レポートには、特定されたリスクと領域別にグループ化された特定の分析情報、特定されたリスクを持つユーザーの合計数 (ユーザー、ゲスト、システムなど、すべての種類のMicrosoft Entra アカウント)、リスクの可能性があるこれらのユーザーの割合、およびこれらのリスクを軽減するための推奨されるインサイダー リスク ポリシーが含まれます。 レポートには次のものが含まれます。
- データ リークの分析情報: organization外の情報の偶発的な過剰共有や、悪意のあるユーザーによるデータ リークを含む可能性のあるすべてのユーザー向け。
- データ盗難分析情報: 削除されたMicrosoft Entraアカウントを持つユーザーまたはユーザーを離れる場合、organization外での情報の危険な共有や、悪意のあるユーザーによるデータの盗難が含まれる可能性があります。
- 上位の流出分析情報: organizationの外部でデータを共有する可能性があるすべてのユーザーに対して。
分析情報の詳細を表示するには、[ 詳細の表示 ] を選択して、分析情報の詳細ウィンドウを表示します。 詳細ウィンドウには、完全な分析情報の結果、インサイダー リスク ポリシーの推奨事項、推奨ポリシーの作成に役立つ ポリシーの作成 が含まれています。 [ ポリシーの作成 ] を選択すると、ポリシー ワークフローに移動し、分析情報に関連する推奨ポリシー テンプレートが自動的に選択されます。 たとえば、分析分析情報が データ盗難 アクティビティの場合、ポリシー ワークフローで データ盗難 ポリシー テンプレートが事前に選択されます。
ケース レポート (プレビュー)
ケース は、ポリシーで定義されているリスク インジケーターによって生成された問題を調査して対処するのに役立ちます。 ユーザーのコンプライアンス関連の問題に対処するためにさらにアクションを実行する必要がある場合は、アラートからケースを手動で作成します。 ケース レポートは、ケースの種類、ケースの現在の状態、地域または割り当て別のケースなどを追跡するのに役立つ傾向情報を提供します。 すべてのケース、確認済みケース、および問題のないケースで、すべてのケース レポートをすばやくフィルター処理できます。
| レポートの種類 | レポート | 説明 |
|---|---|---|
| 概要 | 作成されたケース | 指定した日付範囲で作成されたケースの数を表示します。 |
| アクションを実行したケース | 指定した日付範囲のアクティビティを含むケースの数を表示します。 | |
| 人口 統計 | ケースがある上位の国/地域 | 国または地域に基づいてユーザーに対して作成されたケースの数を示します。 [指定されていません] は、国または地域がMicrosoft Entra IDで指定されていないことを意味します。 |
| ケースを含む上位の部門 | 部署に基づいてユーザーに対して作成されたケースの数を表示します。 [指定されていません] は、国または地域がMicrosoft Entra IDで指定されていないことを意味します。 | |
| 生産性 | 割り当てごとのケースの状態 | 特定の管理者に割り当てられたケースの数を、アラートの状態別に分類して表示します。 |
| アクティブな状態の平均日数 | 指定した日付範囲で ケースがアクティブ な状態にとどまった平均日数を示します。 |
従量課金制の使用状況レポート (プレビュー)
従量課金制の 使用状況レポートは透明性を提供し、より正確な予算計画とポリシー調整を可能にします。 レポートを使用すると、時間の経過に伴うさまざまなデータ ソース カテゴリとアクティビティ インジケーターにわたる課金処理の使用状況の詳細な内訳を調べることができます。 使用状況と傾向を表示し、アクティビティ パターンを理解します。 この情報を使用すると、コスト削減の機会を特定し、ポリシー構成を微調整できます。
このレポートは、既定で [レポート] ページで使用できます。 詳細と前提条件については、「 従量課金制課金モデル」を参照してください。
ユーザー アクティビティ レポート
ユーザー アクティビティ レポートを使用すると、一時的または明示的にこれらのアクティビティを Insider Risk Management ポリシーに割り当てずに、定義された期間中に特定のユーザーに対して危険な可能性のあるアクティビティを調べることができます。 ほとんどの Insider Risk Management シナリオでは、ポリシーでユーザーを明示的に定義します。 これらのユーザーは、アクティビティに関連付けられたポリシー アラート (トリガー イベントに応じて) とリスク スコアを持つ場合があります。 ただし、一部のシナリオでは、ポリシーで明示的に定義していないユーザーのアクティビティを調べたい場合があります。 これらのアクティビティは、ユーザーと危険な可能性のあるアクティビティに関するヒントを受け取るユーザー、または通常は Insider Risk Management ポリシーに割り当てる必要がないユーザーを対象とします。
[Insider Risk Management Settings]\(インサイダー リスク管理 の設定\) ページでインジケーターを構成した後、ソリューションは、選択したインジケーターに関連付けられている潜在的に危険なアクティビティのユーザー アクティビティを検出します。 この構成では、トリガーイベントがあるかどうか、またはアラートを作成するかどうかに関係なく、ユーザーに対して検出されたすべてのアクティビティを確認できます。 レポートはユーザーごとに作成され、カスタム 90 日間のすべてのアクティビティを含めることができます。 このソリューションでは、同じユーザーに対して複数のレポートがサポートされていません。
潜在的に危険なアクティビティを調査した後、調査担当者は個々のユーザーのアクティビティを良性として却下できます。 また、レポートへのリンクを他の調査員と共有または電子メールで送信したり、ユーザーを (一時的または明示的に) Insider Risk Management ポリシーに割り当てることを選択することもできます。 [ユーザー アクティビティ レポート] ページを表示するには、Insider Risk Management の調査担当者ロール グループにユーザーを割り当てる必要があります。
ユーザー アクティビティ レポートを作成する
ユーザー アクティビティ レポートを作成するには、次の手順を実行します。
- Insider Risk Management>Reports>User アクティビティに移動します。
- [ ユーザー アクティビティ レポートの作成] を選択します。
- 開始日の日付を選択 します。
- [終了日] の日付を選択 します。
- [ ユーザー ] フィールドで、名前またはユーザー プリンシパル名で 1 人以上のユーザーを検索します。
- [ レポートの作成] を選択します。
ユーザー アクティビティ データは、アクティビティが発生してから約 48 時間後にレポートできるようになります。 たとえば、12 月 1 日のユーザー アクティビティ データを確認するには、少なくとも 48 時間待ってからレポートを作成する必要があります (早ければ 12 月 3 日にレポートを作成できます)。
通常、新しいレポートは、レビューの準備が整うまでに最大 10 時間かかります。 レポートの準備ができたら、[ユーザー アクティビティ レポート] ページの [状態] 列に [レポートの準備完了] が表示されます。
ユーザー アクティビティ レポートを表示する
詳細レポートを表示するユーザーを選択します。
選択したユーザーのユーザー アクティビティ レポートには、[ユーザー アクティビティ] 、[アクティビティ エクスプローラー] 、[フォレンジック エビデンス] タブが含まれています。
- ユーザー アクティビティ: このグラフ ビューを使用して、潜在的に危険なアクティビティを調査し、連続して発生する潜在的に関連するアクティビティを表示します。 このタブは、すべてのアクティビティの履歴タイムライン、アクティビティの詳細、ケース内のユーザーの現在のリスク スコア、一連のリスク イベント、調査作業に役立つフィルタリング コントロールなど、ケースをすばやく確認できるように構成されています。 詳細については、「 ユーザー アクティビティ」を参照してください。
- アクティビティ エクスプローラー: このタブは、アクティビティに関する詳細情報を提供する包括的な分析ツールをリスク調査担当者に提供します。 アクティビティ エクスプローラーを使用すると、レビュー担当者は、検出された危険なアクティビティのタイムラインをすばやく確認し、アラートに関連付けられている潜在的に危険なアクティビティをすべて特定してフィルター処理できます。 詳細については、「 アクティビティ エクスプローラー」を参照してください。
- フォレンジック証拠: このタブを使用すると、リスク調査担当者は 、フォレンジック証拠検出のケースに含まれるリスク アクティビティに関連する視覚的キャプチャを確認できます。