次の方法で共有

Insider Risk Management ユーザー ダッシュボードを使用してワークフローを管理する

重要

Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 Insider Risk Management を使用すると、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

[ユーザー] ダッシュボードは、Insider Risk Management ワークフローの重要なツールです。 調査担当者やアナリストがリスク アクティビティをより完全に理解するのに役立ちます。 このダッシュボードには、Insider Risk Management ポリシーの作成と Insider Risk Management ケースの管理の間の管理ニーズを満たすビューと管理機能が用意されています。

ユーザーが Insider Risk Management ポリシーに追加されると、バックグラウンド プロセスによって インジケーターをトリガーするためのユーザー アクティビティが自動的に評価されます。 プロセスによってトリガーインジケーターが識別されると、リスク スコアがユーザー アクティビティに割り当てられます。 これらのアクティビティの一部はインサイダー リスク アラートになりますが、一部のアクティビティは最小リスク スコア レベルを満たせず、インサイダー リスク アラートは作成されません。 [ユーザー] ダッシュボードを使用すると、これらの種類のインジケーターとリスク スコアを持つユーザーと、アクティブなインサイダー リスク アラートを持つユーザーを表示できます。

次のシナリオでユーザー ダッシュボードにユーザーが表示される方法の詳細を確認します。

  • アクティブなインサイダー リスク ポリシー アラートを持つユーザー
  • トリガー イベントを持つユーザー
  • 影響の大きい可能性があるユーザーまたは優先度の高いユーザー グループ内のユーザー
  • ポリシーに一時的に追加されたユーザー

ヒント

Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。

アクティブなインサイダー リスク ポリシー アラートを持つユーザー

[ユーザー] ダッシュボードには、アクティブなインサイダー リスク ポリシー アラートを持つすべてのユーザーが自動的に表示されます。 アラートを持つこれらのユーザーには、トリガー インジケーターと、インサイダー リスク アラートを作成するための要件を満たすアクティビティ リスク スコアの両方があります。 これらのユーザーのアクティビティを表示するには、[ ユーザー] ダッシュボード でユーザーを選択し、[ ユーザー アクティビティ ] タブに移動します。

トリガー イベントを持つユーザー

[ユーザー] ダッシュボードには、トリガー イベントを持つすべてのユーザーが自動的に表示されますが、インサイダー リスク アラートを作成するアクティビティ リスク スコアはありません。 たとえば、報告された辞任日を持つユーザーは、このアクティビティはトリガーイベントですが、リスク スコアを持つアクティビティではないので表示されます。 これらのユーザーのアクティビティを表示するには、[ ユーザー] ダッシュボード でユーザーを選択し、[ ユーザー アクティビティ ] タブに移動します。

ポリシーに一時的に追加されたユーザー

[ユーザー] ダッシュボードには、Insider Risk Management ワークフローの外部で異常なイベントが発生した後に Insider Risk Management ポリシーに追加したユーザーが表示されます。 必要なコネクタを構成していない場合でも、(ポリシー ダッシュボードから) ユーザーを一時的に追加することは、ポリシーをテストするための Insider Risk Management ポリシーのユーザー アクティビティのスコア付けを開始する方法でもあります。

ポリシーにユーザーを手動で追加すると、ソリューションによって過去 90 日間のユーザー アクティビティがスコア付けされ、[ユーザー アクティビティ] タイムラインに追加されます。 たとえば、現在、ユーザーにインサイダー リスク ポリシーのリスク スコアが割り当てられず、ユーザーにデータ リーク アクティビティがorganizationの法務部門に報告されているとします。 法務部門では、ユーザーの新しい短期的な検出要件を構成することをお勧めします。 指定された期間 (アクティブ化期間) に、ユーザーを データ リーク ポリシーに一時的に割り当てることができます。 トリガー イベントの要件は免除されるため、一時的に追加されたすべての ユーザーが [ユーザー] ダッシュボード に表示されます。

注:

新しい手動で追加されたユーザーが [ ユーザー] ダッシュボードに表示されるまでに数時間かかる場合があります。 これらのユーザーの過去 90 日間のアクティビティは、表示に最大 24 時間かかることがあります。 手動で追加したユーザーのアクティビティを表示するには、[ ユーザー] ダッシュボード でユーザーを選択し、詳細ウィンドウの [ ユーザー アクティビティ ] タブを開きます。

ユーザーは [ ユーザー] ダッシュボード から自動的に削除され、[ アクティブ化] ウィンドウ で定義されている時間が次の場合に期限切れになるとスコアリングが停止します。

  • ユーザーには、追加のトリガー イベントやインサイダー リスク ポリシー アラートがありません。
  • 手動で定義された アクティブ化ウィンドウ の期間が、グローバル ポリシーの アクティブ化期間 期間よりも長くなります。

有効期間が最も長い アクティブ化ウィンドウ の設定は、常に有効期間が短い アクティブ化ウィンドウ の設定をオーバーライドします。 たとえば、[Insider Risk Management] グローバル設定の [グローバル ポリシー期間] タブの [アクティブ化] ウィンドウを 15 日間構成します。これは、すべてのインサイダー リスク ポリシーに自動的に適用されます。

データ 漏洩インサイダー リスク ポリシーにユーザーを一時的に追加し、このユーザーのアクティブ化ウィンドウとして 30 日間を定義します。 一時的に追加されたユーザーに対して アクティブ化ウィンドウ の設定を 30 日に定義することで、15 日間のグローバル アクティブ化ウィンドウ 設定がオーバーライドされます。 一時的に追加されたユーザーは 、[ ユーザー] ダッシュボード に残り、30 日間ポリシーのスコープ内にあります。

一時的に追加されたユーザーに対して定義されているアクティブ化ウィンドウの設定よりもグローバルなアクティブ化ウィンドウの設定が長い逆のシナリオでは、一時的に追加されたユーザーのアクティブ化ウィンドウ設定がグローバルアクティブ化ウィンドウの設定よりも優先されます。 一時的に追加されたユーザーは [ユーザー] ダッシュボード に残り、グローバル なアクティブ化ウィンドウ 設定で定義された日数のポリシーのスコープ内にあります。

[ユーザー] ダッシュボードでユーザー情報を表示する

[ユーザー] ダッシュボードに表示される各ユーザーには、次の情報が表示されます。

  • ユーザー: ユーザーのユーザー名。 Insider Risk Management のグローバル匿名化設定が有効になっている場合、このフィールドは匿名化されます。
  • アラートの重大度レベル: ユーザーの現在の計算されたリスク レベル。 このスコアは 24 時間ごとに計算され、ユーザーに関連付けられているすべてのアクティブなアラートからのアラート リスク スコアが使用されます。 トリガー インジケーターのみを持つユーザーの場合、アラートの重大度レベルは 0 です。
  • アクティブなアラート: すべてのポリシーのアクティブなアラートの数。
  • [確認された違反]: ユーザーに対して 確認済みのポリシー違反 として解決されたケースの数。
  • ケース: ユーザーの現在のアクティブなケース。

特定のユーザーをすばやく見つけるには、[ユーザー] ダッシュボードの右上にある [検索 ] を使用します。 ユーザーを検索するときは、ユーザー プリンシパル名 (UPN) を使用する必要があります。 たとえば、organizationで 'thidayah' の UPN を持つ "Tiara Hidayah" という名前のユーザーを検索する場合は、「thidayah」と入力するか、検索で UPN の一部を入力します。

Insider Risk Management ユーザー ダッシュボード

注:

[ユーザー] ダッシュボードに表示されるユーザーの数は、アクティブなアラートと一致するポリシーの量によっては、一部のインスタンスで制限される場合があります。 [ユーザー] ダッシュボードには、システムがアラートを生成すると、アクティブなアラートを持つユーザーが表示されます。 まれに、表示されるユーザーの最大数に達します。 この制限が発生した場合、[ ユーザー] ダッシュボード は、既存のユーザー アラートがトリアージされると表示されないアクティブなアラートを持つユーザーを追加します。

ユーザーの詳細を表示する

ユーザーのリスク アクティビティの詳細を表示するには、[ユーザー] ダッシュボードでユーザーをダブルクリックしてユーザーの詳細ウィンドウを開 きます。 詳細ウィンドウで、次の情報を表示できます。

  • [ユーザー プロファイル ] タブ

    • 名前とタイトル: Microsoft Entra ID からユーザーの名前と位置のタイトル。 Insider Risk Management のグローバル匿名化設定を有効にした場合、これらのユーザー フィールドは匿名化されるか、空になります。
    • ユーザーの詳細: ユーザーが影響の大きい可能性があるユーザーであるか、ユーザーが優先度の高いユーザー グループに含まれているかを示します。
    • アラートとアクティビティの概要: アクティブなユーザー アラートとオープン ケースを表示します。
    • ユーザーの電子メール: ユーザーのアドレスEmail。
    • エイリアス: ユーザーのネットワーク エイリアス。
    • 組織または部署: ユーザーの組織または部門。
    • スコープ内: ポリシーへのユーザーのスコープ内割り当てを表示します。

  • [ユーザー アクティビティ ] タブ

    • 最近のユーザー アクティビティの履歴: 過去 90 日間のリスク アクティビティのトリガー インジケーターとインサイダー リスク インジケーターの両方が表示されます。 インサイダー リスク インジケーターに関連するすべてのリスク アクティビティもスコア付けされますが、アクティビティによってインサイダー リスク アラートが生成された場合と生成されていない可能性があります。 トリガーインジケーターの例としては、ユーザーの辞任日または最終スケジュールされた作業日が考えられます。 インサイダー リスク インジケーターは、リスクの要素があると判断されたアクティビティであり、セキュリティ インシデントにつながる可能性があり、ユーザーが含まれているポリシーで定義されます。 イベントとリスクのアクティビティは、最初に一覧表示された最新の項目と共に一覧表示されます。

Copilot を使用してユーザー アクティビティを集計する (プレビュー)

ユーザーの詳細ウィンドウ で [Copilot で集計 する] を選択して、さらに調査が必要になる可能性があるユーザーのアクティビティをすばやく要約します。 Microsoft Purview でMicrosoft Copilotを使用してユーザー リスク アクティビティを集計すると、画面の右側に Copilot ウィンドウが表示され、ユーザーの概要が表示されます。

Insider Risk Management Copilot ボタン

ユーザーの概要には、ユーザー名、タイトル、ユーザー プリンシパル名、アラートとケース履歴、上位のリスク要因などの重要な詳細が含まれます。 最も重要なリスク要因は、ユーザー ロール、アクセス許可、流出アクティビティへの関与、シーケンシャル パターン、または異常な動作に関する重要な分析情報を提供します。 このビューは、organizationに対して最も高いインサイダー リスクをもたらす可能性のあるユーザーを特定するのに役立ちます。

概要をさらに絞り込み、ユーザーに関連付けられているアクティビティに関する追加の分析情報を提供するために、推奨されるプロンプトが自動的に一覧表示されます。 次の推奨されるプロンプトから選択します。

  • このユーザーに関連するすべてのデータ流出アクティビティを一覧表示します
  • このユーザーが関係するすべてのシーケンシャル アクティビティを一覧表示します
  • ユーザーは異常な動作に関与しましたか?
  • 過去 10 日間にユーザーが実行した主要なアクションを表示します。
  • ユーザーの過去 30 日間のアクティビティを要約します

ヒント

スタンドアロン バージョンのMicrosoft Security Copilotを使用して、Insider Risk Management、Microsoft Purview データ損失防止 (DLP)、およびMicrosoft Defender XDRアラートを調査することもできます。

スコープ内のポリシーへの割り当てからユーザーを削除する

Insider Risk Management ポリシーのユーザーにリスク スコアの割り当てを停止することが必要になる場合があります。 [ユーザー] ダッシュボード[ユーザーのスコア付けの停止] アクティビティを使用して、現在スコープ内にあるすべての Insider Risk Management ポリシーからユーザーのリスク スコアの割り当てを停止します。 このアクションでは、ポリシーの全体的な割り当てからユーザーが削除されることはありません (ユーザーまたはグループをポリシー構成に追加する場合) が、現在のトリガー イベントの後にポリシーによるアクティブな処理からユーザーを削除するだけです。 ユーザーが将来別のトリガー イベントを持っている場合は、ポリシーからのリスク スコアが自動的にユーザーに割り当てられ始めます。 このユーザーの既存のアラートまたはケースは削除されません。

すべての Insider Risk Management ポリシーでスコープ内の状態からユーザーを削除する

  1. Microsoft 365 organizationの管理者アカウントで Microsoft Purview ポータルにサインインします。
  2. Insider Risk Management ソリューションに移動します。
  3. 左側のナビゲーションで [ ユーザー ] を選択します。
  4. [ ユーザー] ダッシュボードで、スコア付けアクティビティを停止するユーザーを選択します。
  5. [ ユーザーのスコアリング アクティビティの停止] を選択します

注:

スコープ内の状態からユーザーを削除する場合、数分かかる場合があります。 プロセスが完了すると、ユーザー は [ユーザー] ダッシュボードに表示されません。 削除されたユーザーにアクティブなアラートまたはケースがある場合、ユーザーは [ユーザー] ダッシュボード に残り、ユーザーの詳細はポリシーのスコープ内にないことを示します。

ユーザーの Power Automate フローを使用して自動タスクを実行する

推奨される Power Automate フローを使用すると、リスク調査担当者やアナリストは、インサイダー リスク ポリシーに追加されたときにユーザーに通知するためのアクションをすばやく実行できます。

Insider Risk Management ユーザーの Power Automate フローを実行、管理、作成するには、次の手順を実行します。

  1. ユーザー アクション ツール バーの [ 自動化 ] を選択します。
  2. 実行する Power Automate フローを選択し、[ フローの実行] を選択します。
  3. フローが完了したら、[完了] を選択 します

Insider Risk Management の Power Automate フローの詳細については、「 Insider Risk Management 設定の概要」を参照してください。

  • Last updated on