Insider Risk Management のデータ リスク グラフ

Insider Risk Management のデータ リスク グラフは、資産とアクティビティのデータを 1 つのビューに結合する視覚的な調査エクスペリエンスを提供します。 Microsoft Sentinel統合を利用して、過去 30 日間の潜在的なインサイダーによるアラート関連のアクティビティを要約し、アナリストが非表示のコンテキスト接続を明らかにすることでアラートをトリアージするのに役立ちます。

Microsoft Sentinel統合の詳細については、「Microsoft Purview でのMicrosoft Sentinelについて学習する」を参照してください。

データ リスク グラフでサポートされているアクティビティ

データ リスク グラフでは、現在、次の流出アクティビティがサポートされています。

• SharePoint または OneDrive で作成された匿名リンク
• SharePoint または OneDrive 経由で使用される匿名リンク
• SharePoint または OneDrive で作成された会社のリンク
• SharePoint と OneDrive からのファイルのダウンロード
• SharePoint と OneDrive で名前が変更されたファイル

流出検出インジケーターの詳細については、「 Insider Risk Management でポリシー インジケーターを構成する」を参照してください。

開始する前に

Insider Risk Management でデータ リスク グラフを使用する前に、次の手順を実行します。

• organizationのMicrosoft Sentinelの従量課金制について説明します。
• data lake と Microsoft Sentinel グラフMicrosoft Sentinel前提条件を構成する
• Microsoft Sentinel data Lake と Microsoft Sentinel グラフへのオンボード時に行われた変更を確認する
• サポートされているデータ流出アクティビティに対して、少なくとも 1 つの Insider Risk Management ポリシー を構成します。

データ リスク グラフを構成する

前提条件を完了し、データ レイクとグラフがorganizationに加える変更Microsoft Sentinel理解したら、Insider Risk Management でデータ リスク グラフを構成するには、次の手順を実行します。

1. グローバル管理者またはセキュリティ管理者ロールが割り当てられているアカウントで Microsoft Purview ポータルに移動します。

2. [Insider Risk Management ソリューション] カードを選択し、左側のナビゲーションで [推奨されるアクション] を選択します。

3. [ 包括的な保護 ] セクションで、[ データ レイクとデータ リスク グラフの設定] を選択します。

   データ レイクを設定するための適切なアクセス許可がない場合は、organizationのグローバル管理者または課金管理者に連絡するように通知が表示されます。

4. [ セットアップ ] タブの [ データ レイク & リスク グラフを設定する] で、次の設定を構成します。

   1. サブスクリプション: 使用するAzure サブスクリプションを入力します。 選択したサブスクリプションは有効でアクセス可能であり、サブスクリプション所有者である必要があります。
   2. リソース グループ: 使用するリソース グループを入力します。 選択したリソース グループは有効で、アクセス可能である必要があります。

   重要

   特定のAzure サブスクリプションとリソース グループに対してデータ レイクをプロビジョニングした後、別のサブスクリプションまたはリソース グループに移行することはできません。

5. [セットアップ] を選択します。

セットアップ プロセスが開始され、オンボードが完了するまでに最大 60 分かかる場合があります。 プロセスの実行中にセットアップ パネルを閉じます。 オンボード プロセスが完了すると、[Data Lake のセットアップ] & リスク グラフに [完了] と表示されます。 データ リスク グラフには、Microsoft Sentinel データ レイクが作成またはオンボードされた後に発生するイベントが表示されます。

調査のためのデータとデータ リスク グラフの可用性の初期処理には、24 時間から 48 時間かかることがあります。

データ リスク グラフを使用する

Insider Risk Management のデータ リスク グラフは、影響を受けたデータ、ユーザー、およびアクティビティ間の相関関係を一意に視覚化します。 これは、軽減策と次の手順をガイドするための重要なコンテキストを提供します。 たとえば、機密性の高いドキュメントに関連するアラートを検出すると、データ リスク グラフを使用すると、どのユーザーがダウンロードしたか、または危険な IP アドレスからアクセスしたかを把握できます。 この可視性を使用すると、追加のユーザーやアラートに関連する新しいコンテンツなど、データ セキュリティ インシデントに対する新しいノードを明らかにできます。

アラートのデータ リスク グラフを表示するには、 Insider Risk Management Graph 閲覧者 ロールが割り当てられている必要があります。 このロールは、いくつかの Insider Risk Management 組み込みロール グループに既定で含まれています。 詳細については、「 Insider Risk Management でのアクセス許可の割り当て」を参照してください。

Insider Risk Management でデータ リスク グラフを使用するには、次の手順を実行します。

1. Insider Risk Management Graph Reader ロールが割り当てられているアカウントを使用して、Microsoft Purview ポータルに移動します。
2. [Insider Risk Management ソリューション] カードを選択し、左側のナビゲーションで [アラート] を選択します。
3. 確認するアラートを選択し、[ データ リスク グラフ ] タブを選択します。
4. 該当する時間をフィルター処理し、トリアージ中の各接続の詳細については、個々のデータ リスク グラフ ノードを選択します。
5. ユーザーまたは資産の [+] アイコンを選択して、グラフ内のリレーションシップを展開します。

データ リスク グラフには、複数のノードが含まれています。 ノードを選択すると、ノードに関する詳細が表示されます。

• ユーザーの詳細: アラートに関連付けられているユーザーに関する情報を表示します。 この情報には、ユーザー プリンシパル名 (UPN)、ラベル、場所、役職など、各ユーザーのorganization情報が含まれます。
• データの詳細: ファイルとサイトに関する情報を表示します。 この情報には、オブジェクトの場所、型、ラベルなどが含まれます。

過去 30 日間のアクティビティに基づいて、ユーザーのデータ リスク グラフ情報を表示できます。 この固定期間は拡張できません。