データ セキュリティ態勢管理推奨事項を使用してアクションを実行する - (クラシック)

データ セキュリティ態勢管理 (DSPM) は、処理されたデータ、organization内の保護されていない機密資産の現在の状態、保護されていない機密資産を危険にさらすユーザー アクティビティから直接推奨事項を生成します。 特定の推奨事項を使用すると、データのセキュリティ リスクを軽減するために、アクションを実行し、データ損失防止 (DLP) ポリシーと Insider Risk Management ポリシーをすばやく作成できます。 DSPM推奨事項は、既存の Insider Risk Management と DLP ポリシーのカバレッジ ギャップを特定するのにも役立ちます。

推奨事項の使用

推奨事項を表示および確認するには、データ セキュリティ態勢管理 (クラシック)>Overview または データ セキュリティ態勢管理 (クラシック)>Recommendations に移動します。

• [ 概要 ] ページでは、上位 2 つのデータ セキュリティに関する推奨事項を確認するか、[ すべての推奨事項を表示 ] を選択して、すべての推奨事項の完全な一覧を表示できます。
• [ 推奨事項 ] ページでは、すべての推奨事項の完全な一覧を直接確認できます。

推奨事項は、過去 30 日間のユーザー アクティビティと保護されていない機密資産の状態から得られます。 処理が続行すると、推奨事項の一覧が自動的に更新され、30 日より前の推奨事項が削除されます。

各推奨事項では、危険なアクティビティまたは保護されていない機密資産の状態の簡単な説明を提供し、進行中および将来のデータ セキュリティ リスクを軽減するために構成するための推奨ポリシーが含まれています。 推奨事項には、アクティビティの数、関連する保護の種類、関連するユーザーの数のメトリックが表示されます。

[ 推奨事項の表示] を選択してアクションを実行し、推奨事項に関連するデータ セキュリティ リスクを軽減するのに役立つ新しいポリシーを作成します。

推奨事項からのポリシーの作成

[特定の 推奨事項の推奨事項の表示 ] を選択した後、データ損失防止 (DLP) または Insider Risk Management に 1 つ以上のポリシーを作成して、推奨事項に関連するデータ セキュリティ リスクを軽減できます。

たとえば、ユーザーが機密ファイルをネットワーク共有にコピーできないようにする推奨事項がある場合は、機密データを含む危険なアクティビティを特定のユーザーがいつ実行するかを検出する Insider Risk Management ポリシーと、同じユーザーが他のユーザーとデータを共有できないようにする DLP ポリシーの両方を作成することをお勧めします。

推奨事項からポリシーを作成するには、次の手順を実行します。

1. Microsoft Purview ポータルに移動し、アクセス許可が割り当てられているユーザー アカウントの資格情報DSPMサインインします。
2. データ セキュリティ態勢管理 (クラシック) ソリューション カードを選択し、左側のナビゲーションで [推奨事項] を選択します。
3. 推奨事項を選択し、[ 推奨事項の表示] を選択します。
4. 推奨事項のポップアップ ウィンドウで、1 種類のポリシーまたは複数のポリシーを作成するオプションを選択します。 既定では、複数のポリシーが推奨事項に適用される場合、複数のポリシーを作成するオプションが既定で選択されます。
5. 各ポリシーの種類には、ポリシー オプションを構成するための専用セクションがあります。
6. [ Insider Risk Management ポリシー ] セクションのオプションでは、次のポリシー オプションを構成します。
   1. ポリシー名: 一意のポリシー名を入力するか、推奨されるポリシー名を受け入れます。
   2. ユーザー スコープ: [すべてのユーザーとグループを含める ] (最適なカバレッジを得るために推奨) を選択するか、 特定のユーザーとグループを選択します。 特定のユーザーまたはグループを含める場合は、ピッカー フィールドにユーザー名とグループ名を入力します。
   3. 入力した設定: ポリシーの設定は、推奨事項に関連付けられているアクティビティの種類と保護されていないデータ資産分析情報に自動的にスコープ設定されます。 これらの設定には、特定のポリシー テンプレート、トリガー イベント、インジケーターが含まれます。 推奨される設定を変更する必要がある場合は、[ カスタマイズ>Insider リスク ポリシー ] を選択して、Insider Risk Management ポリシー ワークフローでポリシーを作成します。
7. [ データ損失防止ポリシー ] セクションのオプションでは、次のポリシー オプションを構成します。
   1. [ポリシー名]: 一意のポリシー名を入力します。
   2. モード: [シミュレーション ] または [オン] を選択します。
   3. 入力した設定: ポリシーの設定は、推奨事項に関連付けられているアクティビティの種類と保護されていないデータ資産分析情報に自動的にスコープ設定されます。 これらの設定には、特定の機密情報の種類、適用アクション、トリガー イベント、およびデータの場所が含まれます。 推奨される設定を変更する必要がある場合は、[ カスタマイズ>DLP ポリシー ] を選択して、DLP ポリシー ワークフローにポリシーを作成します。
8. 推奨されるポリシー オプションがニーズを満たしている場合は、[ ポリシーの作成] を選択します。 この手順では、該当するソリューションに 1 つ以上のポリシーを作成します。

各ポリシーを作成するには数分かかります。 新しいポリシーは、該当するソリューション の [ポリシー ] タブに表示されます。 ポリシーがアクティブになると、トリガー イベントが発生し、ユーザー アクティビティがスコア付けされるまでに少なくとも 24 時間かかる場合があります。その後、最初のアラートが生成されます。 管理者の通知が有効になっている場合は、このアラートが発生したときに電子メールが届きます。

アラートをトリアージし、さらに調査するためにケースに確認したり、通常の動作として無視したりできます。 いくつかのアラートを確認したら、生成されるアラートの数、検出されるアクティビティなどを制御するようにポリシーを微調整します。 ポリシーの更新に役立つ、この種類のアクティビティに関する追加の推奨事項が生成される場合があります。

他のソリューションでのポリシーの更新

推奨事項から作成したポリシーを更新するには、各ソリューションのポリシー管理ツールを使用します。 ソリューションのツールを使用すると、推奨事項に含まれるクイック ポリシー設定以外のポリシーを完全にカスタマイズできます。

• Insider Risk Management ポリシーを管理する
• DLP ポリシーを管理する

既存のポリシーの構成の確認

organizationに Insider Risk Management または DLP ポリシーが既に構成されている場合、DSPMの推奨事項は、現在のポリシー構成のギャップを特定して修正するのに役立ちます。 推奨事項でポリシー作成オプションを直接使用する代わりに、推奨事項に関連付けられている分析情報を使用して、既存の Insider Risk Management または DLP ポリシーを更新または絞り込むことができます。