ラボ 5 - 演習 2 - インサイダー リスク管理を構成する

あなたは、Contoso Ltd. のコンプライアンス管理者である Joni Sherman です。あなたのロールには、規制コンプライアンスの維持と、組織内の機密情報の保護が含まれます。 最近、Contoso Ltd. は、機密データを暴露する可能性がある異常な閲覧アクティビティを検知しました。 このインサイダー リスクに積極的に対処するために、Microsoft Purview インサイダー リスク管理を実装して、潜在的なインサイダー脅威を効果的に特定、分析、対応することに重点を置きます。

タスク:

  1. インサイダー リスク管理のアクセス許可を割り当てる
  2. インサイダー リスク設定を構成する
  3. インサイダー リスク ポリシーを作成する
  4. 通知テンプレートを作成する

タスク 1 – インサイダー リスク管理のアクセス許可を割り当てる

この演習では、インサイダー リスク管理のロールを Joni に割り当てて、Microsoft Purview ポータルでインサイダー リスクのタスクを実行するためのアクセス権を付与します。

  1. SC-400-cl1\admin アカウントで Client 1 VM (SC-400-CL1) に ログインします。

  2. Microsoft Edge で、 https://purview.microsoft.com に移動し、Microsoft Purview ポータルに MOD 管理者 admin@WWLxZZZZZZ.onmicrosoft.com としてログインします (ZZZZZZ はラボ ホスティング プロバイダーから支給された固有のテナント ID)。 管理者のパスワードは、ラボ ホスティング プロバイダーから支給されます。

  3. 左側のサイドバーで [設定] を選択します。

  4. [ロールとスコープ] を展開し、[ロール グループ] を選択します。

  5. [Microsoft Purview ソリューションのロール グループ] ページで、 [インサイダー リスク管理] を選択します。

  6. 右側の [インサイダー リスク管理] ポップアップ パネルから [編集] を選択します。

  7. [ロール グループのメンバーの編集] ページで、 [+ ユーザーの選択] を選択します。

  8. [ユーザーの選択] ポップアップ パネルで Joni を検索し、Joni Sherman のチェックボックスを選択します。

  9. パネルの下部にある [選択] ボタンを選択します。

  10. [ロール グループのメンバーの編集] ページで、 [次へ] を選択します。

  11. [ロール グループを確認して完了] ページで、 [保存] を選択します。

  12. ロール グループに Joni を正常に追加したら、[ロール グループが正常に更新されました] ページで [完了] を選択します。

  13. ウィンドウの右上隅の MA アイコンを選択し、[サインアウト] を選択して、MOD 管理者アカウントからサインアウトします。

インサイダー リスク管理のロールを Joni Sherman に正常に割り当て、Microsoft Purview ポータルでインサイダー リスクのタスクを実行するためのアクセス権を付与しました。

タスク 2 – インサイダー リスク設定を構成する

このタスクでは、Microsoft Purview ポータルでインサイダー リスク管理設定をカスタマイズします。 これにより、Joni Sherman は、組織内の潜在的なインサイダー リスクを効果的に管理し、機密情報のセキュリティを確保できます。

  1. Microsoft Edge で、 https://purview.microsoft.com に移動し、Microsoft Purview ポータルに JoniS@WWLxZZZZZZ.onmicrosoft.com としてログインします (ZZZZZZ はラボ ホスティング プロバイダーから支給された固有のテナント ID)。

  2. 左側のサイドバーで [設定] を選択します。

  3. [設定] ページで、左側のサイドバーから [インサイダー リスク管理] を選択します。

  4. [インサイダー リスク管理設定] ページで、使用可能な設定を確認します。

    • 分析: ポリシーを構成せずに、潜在的なインサイダー リスクを評価します。
    • データ共有: アラート情報を SIEM ソリューションにエクスポートするか、Defender および DLP アラートを使用してユーザーのリスク レベルを共有します。
    • 検出グループ: インジケーターを調整し、誤検知を減らすための検出グループを作成します。
    • グローバル除外: ポリシーによってスコア付けされないグローバル除外を指定します。
    • インライン アラートのカスタマイズ: ポリシーのしきい値をすばやく調整するか、アラート ダッシュボードで直接ポリシーからアクティビティを削除します。
    • インテリジェント検出: 異常なダウンロードのスコアを向上させ、アラートを制御し、Defender アラートをフィルター処理し、リスク スコアリングのドメインを指定します。
    • Microsoft Teams (プレビュー): インサイダー リスク管理のケースに関して Microsoft Teams でコラボレーションできるようにします。
    • 通知: 選択したロール グループにアラートのメール通知を自動的に送信します。
    • ポリシー インジケーター: インサイダー リスク管理ポリシーの特定のインジケーターを選択します。これらはすべて既定で無効になっています。
    • ポリシー期間: イベントに基づいて、ポリシーの一致によってトリガーされるレビュー期間を定義します。
    • Power Automate フロー (プレビュー): Power Automate フローを使用して、ケースとユーザーのタスクを自動化します。
    • 優先物的資産 (プレビュー): 優先場所へのアクセスを特定し、ユーザー イベントと関連付けます。
    • 優先ユーザー グループ: より詳細な検査とより機密性の高いリスク スコアリングを行うために、高リスクユーザーを定義します。
    • プライバシー: ポリシーに一致するユーザー名または匿名化されたバージョンを表示することを選択します。

  5. [インサイダー リスク管理設定] ページの左側のパネルで [通知] を選択します。

  6. 検出されたアクティビティのアラートを受信するユーザーを確認します。

  7. [インサイダー リスク管理の設定] ページの左パネルで [プライバシー] を選択します。

  8. [プライバシー] パネルで [匿名化されたユーザー名を表示しない] を選択し、[保存] を選択します。

  9. [インサイダー リスク管理の設定] ページの左パネルで [ポリシー インジケーター] を選択します。

  10. [ポリシー インジケーター 設定パネルで、[危険な閲覧インジケーター (プレビュー)] を展開し、[すべて選択] のチェック ボックスをオンにします。

  11. [ポリシー インジケーター] パネルの下部までスクロールし、[保存] を選択します。

  12. [インサイダー リスク管理の設定] ページの左パネルで、[優先ユーザー グループ] を選択します。

  13. [+ 優先ユーザー グループの作成] を選択して、[新しい優先ユーザー グループ] 構成を開きます。

  14. [優先度ユーザー グループの名前と説明] ページで、次を入力します。

    • 名前: Finance team
    • 説明: Team members that manage financial operations, budgeting, and reporting.

  15. [次へ] を選択します。

  16. [メンバーの選択] ページで、 [+ メンバーの選択] を選択します。

  17. [メンバーの選択] ポップアップ パネルで、次を選択します。

    • Lynne Robbins
    • Debra Berger
    • Megan Bowen

  18. ポップアップ パネルの下部にある [追加] を選択して、メンバーを 3 人追加します。

  19. [メンバーの選択] ページに戻って、[次へ] を選択します。

  20. [この優先度グループのユーザーが関係するデータを表示できるユーザーの選択] で、[+ ユーザーとロール グループの選択] を選択します。

  21. [ユーザーとロール グループの選択] ポップアップ パネルで、[インサイダー リスク管理] のチェック ボックスを選択して、Microsoft Purview でインサイダー リスク管理のロールを持つすべてのメンバーを追加し、[追加] を選択します。

  22. [この優先グループのユーザーが関係するデータを表示できるユーザーの選択] に戻って、[次へ] を選択します。

  23. [レビュー] ページで、 [送信] を選択します。

  24. 優先グループが正常に作成されたら、[優先ユーザー グループが作成されました] ページで [完了] を選択します。

インサイダー リスク管理設定が正常にカスタマイズされました。 これで、Joni Sherman は、インサイダー リスクを事前に特定して軽減し、Microsoft Purview ポータルで貴重なデータを保護するために必要なツールと機能を使えるようになりました。

タスク 3: インサイダー リスク ポリシーを作成する

このタスクでは、Microsoft Purview で機密データ保護という名前のポリシーを構成して、組織内の機密情報を公開する可能性がある危険な閲覧アクティビティを監視しそのアクティビティから保護します。

  1. [インサイダー リスク管理の設定] ページで Joni のアカウントを使用して、引き続き Microsoft Purview にログインする必要があります。

  2. 左側のサイドバーから [ソリューション] を選択してインサイダー リスク管理に移動し、[インサイダー リスク管理] を選択します。

  3. [インサイダー リスク管理] ページで、左側のサイドバーから [推奨事項] を選択します。 最初のポリシーを作成する前に、少し時間をかけてこのページを確認します。

  4. 推奨事項を確認したら、左側のサイドバーから [ポリシー] を選択し、[+ ポリシーの作成] を選択します。

  5. [ポリシー テンプレートの選択] ページで [危険なブラウザー使用状況 (プレビュー)] を選択し、[次へ] を選択します。

  6. [ポリシーに名前をつける] ページで、以下を入力します。

    • 名前: Sensitive Data Protection
    • 説明: Monitor and protect against risky browsing activities.

  7. [次へ] を選択します。

  8. [ユーザー、グループ、アダプティブ スコープの選択] ページで、[すべてのユーザー、グループ、アダプティブ スコープ] を選択し、[次へ] を選択します。

  9. [ユーザーとグループの除外 (省略可能) (プレビュー)] ページで、[次へ] を選択します。

  10. [コンテンツ ページに優先順位を付けるかどうかを決定する] ページで [今はコンテンツに優先順位を付けない] を選択し、[次へ] を選択します。

  11. [このポリシーのトリガー イベントの選択] ページに、前のタスクで有効にしたインジケーターが表示されます。 既定の選択のままにして、[次へ] を選択します。

  12. [イベントをトリガーするしきい値の選択] ページで、[組み込みしきい値の適用] を選択し、[次へ] を選択します。

  13. [インジケーター] ページで、[危険な閲覧インジケーター (プレビュー)] を展開し、すべてのインジケーターが選択されていることを確認します。 これにより、これらのアクティビティが検出されたときにアラートが生成されるようになります。

  14. [次へ] を選択します。

  15. [インジケーターのしきい値の種類の選択] ページで、[Microsoft が提供するしきい値を適用する] を選択し、[次へ] を選択します。

  16. [設定を確認して完了] ページで、 [送信] を選択します。

  17. インサイダー リスク ポリシーが正常に作成されたら、[ポリシーが作成されました] ページで [完了] を選択します。

    注: このページで説明したように、[アラート] タブにポリシーの一致が表示されるまでに最大 24 時間かかる場合があります。

これで、機密データ保護ポリシーが正常に作成されました。このポリシーは、機密情報を公開する可能性がある危険な閲覧アクティビティを検出し防止するのに役立ちます。 ポリシーの一致が [アラート] タブに表示されるまでに最大 24 時間かかる場合があります。

タスク 4: 通知テンプレートを作成する

このタスクでは、Microsoft Purview のインサイダー リスク管理に通知テンプレートを作成します。これにより、リスクのある閲覧アクティビティに対してケースが生成されたときにユーザーにメール メッセージを自動的に送信するため、アラームとして機能したり、コンプライアンス トレーニングの情報を提供したりできます。

  1. インサイダー リスク管理では、引き続き Joni として Microsoft Purview にログインしている必要があります。

  2. 左側のサイドバーで [通知テンプレート] を選択します。

  3. [通知テンプレート] ページで、[+ 通知テンプレートの作成] を選択します。

  4. 右側の [新しい通知テンプレートの作成] ポップアップ パネルに必要な情報を入力します。

    • テンプレート名: Risky Browsing Alert

    • 送信元: Joni Sherman

    • 件名: Risky Browsing Activity Detected

    • [メッセージ本文] :

      <!DOCTYPE html>
<html>
<body>
<h2>Alert: Risky Browsing Activity Detected</h2>
<p>We detected potentially risky browsing activity associated with your account. As part of our Insider Risk Management policy, we are required to investigate any suspicious online behavior that could compromise data security.</p>
<p>Please review your recent browsing activities, report any unusual behavior, and refer to the Contoso User Code of Conduct training at <a href='https://contoso.com'>https://contoso.com</a> for more information.</p>
<p>Thank you for your cooperation,</p>
<p><em>Human Resources</em></p>
</body>
</html>

  5. [作成] を選択します

  6. [通知テンプレート] ページに戻ると、先ほど作成したリスクのある閲覧アラートテンプレートが表示されます。

リスクのある閲覧アラート通知テンプレートが正常に作成され、リスクのある閲覧アクティビティが検出されたときに自動通知をユーザーに送信できるようになったため、セキュリティ対策が強化され、Contoso ユーザー行動規範への準拠が促進されました。