検出グループを作成して Insider Risk Management の除外を微調整する (プレビュー)

[グローバル除外] 設定を使用して、Insider Risk Management ポリシーによってスコア付けされないように項目 を除外できます。 これらの種類の除外は、テナント内で作成するすべてのポリシーのすべてのトリガーとインジケーターに適用されます。 検出グループを使用すると、組み込みのグローバル除外を変更して、organizationのニーズに合わせて特定することができます。

検出グループを使用して、組み込みのインサイダー リスク インジケーターを変更して、ポリシー レベルでさまざまなユーザー セットの検出を調整することもできます。 たとえば、電子メール アクティビティの誤検知の数を減らすために、organization組み込みインジケーターの外部にある受信者に添付ファイルを含む電子メールを送信するインジケーターのバリエーションを作成して、個人ドメインに送信されたメールのみを検出できます。

検出グループを作成して使用するプロセス

検出グループをグローバル除外の一部として使用するには、この記事の説明に従って検出グループを作成し、 グローバル除外の一部として選択します。

検出グループを使用して組み込みのインジケーターを変更するには、次の手順を実行します。

1. この記事の説明に従って、検出グループを作成します。 バリアントを作成するときに、この検出グループを選択します。
2. バリアントを作成します。
3. 新しいポリシーまたは既存のポリシーでバリアントを使用します。
4. バリアントで指定されたアクティビティに関連するアラートを確認します。

検出グループを作成する

検出グループは、組み込みのインジケーターまたはグローバル除外のスコープを設定して、organizationにとって重要な価値の高いアクティビティに焦点を当てるのに役立ちます。

ポリシー インジケーターの検出の種類

すべてのポリシー インジケーターには、そのインジケーターに適用できる特定の検出の種類が含まれています。 たとえば、SharePoint ファイルを organization インジケーターの外部のユーザーと共有する場合、検出の種類の 1 つはドメインです。 SharePoint ファイルを共有するときは、ファイルを共有するドメインを選択します。 すべてのインジケーターに同じ検出の種類があるわけではありません。 たとえば、ドメインは SharePoint ファイルを organization インジケーターの外部のユーザーと共有する検出の種類ですが、その場合は適用されないため、[ファイルの作成または USB へのコピー] インジケーターの検出の種類ではありません。

Insider Risk Management では現在、次の 7 種類の検出がサポートされています。

• ドメイン
• ファイルのパス
• ファイルの種類
• キーワード
• 機密情報の種類
• SharePoint サイト
• トレーニング可能な分類子

次の手順では、グループの種類ごとに検出グループを作成する方法を示します。

ドメイン検出グループを作成する

1. [Insider Risk Management の設定] で、[ 検出グループ (プレビュー)] を選択します。

2. 右側のパネルの [ 種類] で、[ドメイン] を選択 します。

3. 右側のパネルで、[ 新しいドメイン グループ] を選択します。

4. [ 新しいドメイン グループ ] ウィンドウで、グループの名前を入力します (または、推奨される名前をそのまま使用します)、および必要に応じて説明を入力します。

5. [ ドメインの追加] フィールドに ドメインを入力し、Enter キーを押します。 同じ方法でドメインを追加し続けます。 ドメインの長い一覧を追加するには、[CSV ファイルからドメインをインポートする] を選択して 、それらを CSV ファイルとしてインポートします。 追加したドメインがウィンドウの下部に表示されます。 最大 10 個のドメイン検出グループを作成でき、各グループには最大 500 個の項目を含めることができます。

   注:

   ルート ドメインに複数レベルのサブドメインを指定するには、[ 複数レベルのサブドメインを含める ] チェック ボックスをオンにし、ドメインを追加し、Enter キーを押してドメインを一覧に追加します。 そのドメイン内に含まれるサブドメインはすべて含まれます。 同じプロセスを繰り返してドメインを追加し、完了したら [ ドメインの追加 ] を選択します。

   ヒント

   ワイルドカードを使用して、ルート ドメインまたはサブドメインのバリエーションを一致させることができます。 たとえば、 sales.wingtiptoys.com と support.wingtiptoys.comを指定するには、ワイルドカード エントリ *.wingtiptoys.com を使用して、これらのサブドメイン (および同じレベルの他のサブドメイン) と一致させます。

6. [保存] を選択します。 この検出グループのバリアントの使用を含む、プロセスの次の手順についてアドバイスする [ 次 のステップ] ダイアログ ボックスが表示されます。

Free パブリック ドメイン ドメイン グループが個人の電子メール ドメインへのビジネス データの流出を検出する方法

ドメイン検出グループには、ユーザーが個人用メール ID を作成するために使用できる無料の電子メール プロバイダー (gmail.comやyahoo.comなど) の一覧で構成される Free パブリック ドメインと呼ばれる特別なドメイン グループが含まれています。 この一覧では、[ ユーザー アクティビティ ] タブと [ アクティビティ エクスプローラー ] タブの電子メール分析情報のために、個人のメール ドメインへのビジネス データの流出が自動的に強調表示されます。 分析情報には、スコープ内ユーザーが無料のパブリック ドメインに送信した電子メールの数が一覧表示されます。 リストでは、自己送信 (スコープ内ユーザーの個人用メール アカウントに送信される) 電子メールを識別するアルゴリズムもサポートされています。 電子メール分析情報には、自分に送信されたメールの数が一覧表示されます。

他のドメイン グループと同様に、この組み込みのドメイン グループを使用して、ポリシーの組み込みインジケーターのバリアントを作成できます。 このドメイン グループは、organization以外の受信者に添付ファイルを含む電子メールを送信する場合にのみ適用されます。 組み込みインジケーターのバリアントの作成の詳細

ファイル パス検出グループを作成する

1. [Insider Risk Management の設定] で、[ 検出グループ (プレビュー)] を選択します。
2. 右側のパネルの [ 種類] で、[ ファイル パス] を選択します。
3. 右側のパネルで、[ 新しいファイル パス グループ] を選択します。
4. [ 新しいファイル パス グループ ] ウィンドウで、グループの名前を追加するか、推奨される名前をそのまま使用して、説明 (省略可能) を追加します。
5. [ ファイル パスの追加] を選択し、ファイル パスを選択して、[ 追加] を選択します。 最大 10 個のファイル パス検出グループを作成でき、各グループには最大 500 個の項目を含めることができます。
6. [保存] を選択します。 この検出グループのバリアントの使用を含む、プロセスの次の手順についてアドバイスする [ 次 のステップ] ダイアログ ボックスが表示されます。

ファイルの種類の検出グループを作成する

1. [Insider Risk Management の設定] で、[ 検出グループ (プレビュー)] を選択します。
2. 右側のパネルの [ 種類] で、[ファイルの 種類] を選択します。
3. 右側のパネルで、[ 新しいファイルの種類] グループを選択します。
4. [ 新しいファイルの種類のグループ ] ウィンドウで、グループの名前を追加するか、推奨される名前をそのまま使用して、説明 (省略可能) を追加します。
5. [ ファイルの種類の追加] フィールドにファイル拡張子を入力し、Enter キーを押します。 同じ方法でさらにファイル拡張子を追加し続けます。 追加した拡張機能がウィンドウの下部に表示されます。 最大 10 個のファイルの種類の検出グループを作成でき、各グループには最大 500 個の項目を含めることができます。
6. [保存] を選択します。 この検出グループのバリアントの使用を含む、プロセスの次の手順についてアドバイスする [ 次 のステップ] ダイアログ ボックスが表示されます。

キーワード検出グループを作成する

1. [Insider Risk Management の設定] で、[ 検出グループ (プレビュー)] を選択します。
2. 右側のパネルの [ 種類] で、[キーワード] を選択 します。
3. 右側のパネルで、[ 新しいキーワード グループ] を選択します。
4. [ 新しいキーワード グループ ] ウィンドウで、グループの名前を追加するか、推奨される名前を受け入れて、説明を追加します (省略可能)。
5. [キーワードの追加] フィールドにキーワード (keyword)を入力し、Enter キーを押します。 追加するキーワード (keyword)ごとに、このプロセスを繰り返します。 追加したキーワードは、ウィンドウの下部に表示されます。 最大 10 個のキーワード検出グループを作成でき、各グループには最大 500 個のアイテムを含めることができます。
6. [保存] を選択します。 この検出グループのバリアントの使用を含む、プロセスの次の手順についてアドバイスする [ 次 のステップ] ダイアログ ボックスが表示されます。

機密情報の種類の検出グループを作成する

1. [Insider Risk Management の設定] で、[ 検出グループ (プレビュー)] を選択します。
2. 右側のパネルの [ 種類] で、[機密情報の 種類] を選択します。
3. 右側のパネルで、[ 新しい機密情報の種類] グループを選択します。
4. [ 新しい機密情報の種類] グループ ウィンドウで、グループの名前を入力するか、推奨される名前をそのまま使用します。 必要に応じて、説明を追加します。
5. [ 機密情報の種類の追加] を選択し、機密情報の種類を選択して、[ 追加] を選択します。 既定の SIT 除外は選択できません。 機密情報の種類グループは最大 10 個作成でき、各グループには最大 500 個のアイテムを含めることができます。
6. [保存] を選択します。 この検出グループのバリアントの使用を含む、プロセスの次の手順についてアドバイスする [ 次 のステップ] ダイアログ ボックスが表示されます。

SharePoint サイト検出グループを作成する

1. [Insider Risk Management の設定] で、[ 検出グループ (プレビュー)] を選択します。
2. 右側のパネルの [ 種類] で、[ SharePoint サイト] を選択します。
3. 右側のパネルで、[ 新しい SharePoint サイト グループ] を選択します。
4. [ 新しい SharePoint サイト グループ ] ウィンドウで、グループの名前を入力するか、推奨される名前をそのまま使用します。 必要に応じて、説明を追加します。
5. [ サイトの追加] を選択し、SharePoint サイトを選択し、[ 追加] を選択します。 最大 10 個の SharePoint サイト検出グループを作成でき、各グループには最大 500 個のアイテムを含めることができます。
6. [保存] を選択します。 この検出グループのバリアントの使用を含む、プロセスの次の手順についてアドバイスする [ 次 のステップ] ダイアログ ボックスが表示されます。

トレーニング可能な分類子検出グループを作成する

1. [Insider Risk Management の設定] で、[ 検出グループ (プレビュー)] を選択します。
2. 右側のパネルの [ 種類] で、[ トレーニング可能な分類子] を選択します。
3. 右側のパネルで、[ 新しいトレーニング可能な分類子グループ] を選択します。
4. [ 新しいトレーニング可能な分類子グループ ] ウィンドウで、グループの名前を入力するか、推奨される名前をそのまま使用します。 必要に応じて、説明を追加します。
5. [ トレーニング可能な分類子の追加] を選択し、トレーニング可能な分類子を選択し、[ 追加] を選択します。 トレーニング可能な分類子検出グループは最大 10 個作成でき、各グループには最大 500 個の項目を含めることができます。
6. [保存] を選択します。 この検出グループのバリアントの使用を含む、プロセスの次の手順についてアドバイスする [ 次 のステップ] ダイアログ ボックスが表示されます。

関連項目

• 組み込みインジケーターのバリアントを作成します。
• 新しいポリシーまたは既存のポリシーでバリアントを使用します。
• バリアントで指定されたアクティビティに関連するアラートを調査します。