SIEM ソリューションのコミュニケーション コンプライアンスの使用

Microsoft Purview Communication コンプライアンスは、organizationで不適切な可能性のあるメッセージを検出、キャプチャ、対処することで、コミュニケーション リスクを最小限に抑えるのに役立つインサイダー リスク ソリューションです。 Microsoft Sentinelや Splunk などのセキュリティ情報とイベント管理 (SIEM) ソリューションは、通常、organization内の脅威を集計して追跡するために使用されます。

組織の一般的なニーズは、コミュニケーション コンプライアンス アラートとその SIEM ソリューションを統合することです。 この統合により、組織は SIEM ソリューションでコミュニケーション コンプライアンス アラートを表示し、コミュニケーション コンプライアンス ワークフローとユーザー エクスペリエンス内のアラートを修復できます。

たとえば、従業員が別の従業員に不快なメッセージを送信すると、そのメッセージは、不適切な可能性のあるコンテンツに対するコミュニケーション コンプライアンス ポリシーによって検出されます。 このようなイベントは、通信コンプライアンス ソリューションによって Microsoft 365 Audit ("統合監査ログ" とも呼ばれます) に記録され、SIEM ソリューションにインポートされます。 Microsoft 365 監査に含まれる SIEM ソリューションでトリガーされたアラートは、通信コンプライアンス アラートに関連付けられます。 調査担当者は SIEM ソリューションでこれらのアラートを通知された後、コミュニケーション コンプライアンス ダッシュボードで対応するアラートを調査して修復できます。

Microsoft 365 監査でのコミュニケーション コンプライアンス アラート

すべての通信コンプライアンス ポリシーの一致は、Microsoft 365 監査でキャプチャされます。 次の例は、選択した通信コンプライアンス ポリシーの一致アクティビティで使用できる詳細を示しています。

不適切なコンテンツ ポリシー テンプレートの一致に対する監査ログ エントリの例:

RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/7/2022 5:30:11 AM
UserIds: user1@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-07T05:30:11","Id":"44e98a7e-57fd-4f89-79b8-08d941084a35","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<HE1P190MB04600526C0524C75E5750C5AC61A9@HE1P190MB0460.EURP190.PROD.OUTLOOK.COM\>","UserId":"user1@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"53be0bf4-75ee-4315-b65d-17d63bdd53ae","SRPolicyName":"Adult images","SRRuleMatchDetails":\[\]}}
ResultIndex: 24
ResultCount: 48
Identity: 44e98a7e-57fd-4f89-79b8-08d941084a35
IsValid: True
ObjectState: Unchanged

カスタム キーワード (keyword) 一致するポリシーの Microsoft 365 監査ログ エントリの例 (カスタム機密情報の種類):

RunspaceId: 5c7bc9b0-7672-4091-a112-0635bd5f7732
RecordType: ComplianceSupervisionExchange
CreationDate: 7/6/2022 9:50:12 PM
UserIds: user2@contoso.onmicrosoft.com
Operations: SupervisionRuleMatch
AuditData: {"CreationTime":"2022-07-06T21:50:12","Id":"5c61aae5-26fc-4c8e-0791-08d940c8086f","Operation":"SupervisionRuleMatch","OrganizationId":"338397e6\-697e-4dbe-a66b-2ea3497ef15c","RecordType":68,"ResultStatus":"{\\"ItemClass\\":\\"IPM.Note\\",\\"CcsiResults\\":\\"public\\"}","UserKey":"SupervisionStoreDeliveryAgent","UserType":0,"Version":1,"Workload":"Exchange","ObjectId":"\<20210706174831.24375086.807067@sailthru.com\>","UserId":"user2@contoso.onmicrosoft.com","IsPolicyHit":true,"SRPolicyMatchDetails":{"SRPolicyId":"a97cf128-c0fc-42a1-88e3-fd3b88af9941","SRPolicyName":"Insiders","SRRuleMatchDetails":\[{"SRCategoryName":"New insiders lexicon"}\]}}
ResultIndex: 46
ResultCount: 48
Identity: 5c61aae5-26fc-4c8e-0791-08d940c8086f
IsValid: True
ObjectState: Unchanged

通信コンプライアンスとMicrosoft Sentinel統合を構成する

Microsoft Sentinelを使用して通信コンプライアンス ポリシーの一致を集計する場合、Sentinelはデータ ソースとして Microsoft 365 Audit を使用します。 通信コンプライアンス アラートをSentinelと統合するには、次の手順を実行します。

1. Microsoft Sentinelにオンボードします。 オンボード プロセスの一環として、データ ソースを構成します。

2. Microsoft Sentinel Microsoft Office 365 データ コネクタを構成し、[コネクタの構成] で [Exchange] を選択します。

3. 通信コンプライアンス アラートを取得するように検索クエリを構成します。 以下に例を示します。

   |OfficeActivity |where OfficeWorkload == "Exchange" と Operation == "SupervisionRuleMatch" |TimeGenerated による並べ替え

   特定のユーザーをフィルター処理するには、次のクエリ形式を使用します。

   |OfficeActivity |ここで、OfficeWorkload == "Exchange" と Operation == "SupervisionRuleMatch" と UserId == "User1@Contoso.com" | TimeGenerated による並べ替え

Microsoft Sentinelによって収集されたOffice 365の Microsoft 365 監査ログの詳細については、「Azure Monitor ログ リファレンス」を参照してください。

コミュニケーション コンプライアンスと Splunk 統合を構成する

通信コンプライアンス アラートを Splunk と統合するには、次の手順を実行します。

1. Microsoft Office 365用 Splunk アドオンをインストールする

2. Microsoft Office 365用 Splunk アドオンのMicrosoft Entra IDで統合アプリケーションを構成する

3. Splunk ソリューションで検索クエリを構成します。 次の検索例を使用して、すべての通信コンプライアンス アラートを特定します。

   index=* sourcetype="o365:management:activity" Workload=Exchange Operation=SupervisionRuleMatch

特定の通信コンプライアンス ポリシーの結果をフィルター処理するには、 SRPolicyMatchDetails.SRPolicyName パラメーターを 使用します。

たとえば、次の検索例では、 不適切なコンテンツという名前の通信コンプライアンス ポリシーに一致するアラートを返します。

index=* sourcetype='o365:management:activity' Workload=Exchange Operation=SupervisionRuleMatch SRPolicyMatchDetails.SRPolicyName=<Inappropriate コンテンツ>

次の表は、さまざまなポリシーの種類のサンプル検索結果を示しています。

他の SIEM ソリューションとの通信コンプライアンスを構成する

Microsoft 365 Audit から通信コンプライアンス ポリシーの一致を取得するには、PowerShell または Office 365 Management API を使用します。

PowerShell を使用する場合は、 Search-UnifiedAuditLog コマンドレットでこれらのパラメーターのいずれかを使用して、通信コンプライアンス アクティビティの監査ログ イベントをフィルター処理できます。

たとえば、 Operations パラメーターと SupervisionRuleMatch 値を使用したサンプル検索を次に示します。

Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -Operations SupervisionRuleMatch | ft CreationDate,UserIds,AuditData

RecordsType パラメーターと ComplianceSupervisionExchange 値を使用したサンプル検索を次に示します。

Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType ComplianceSuperVisionExchange | ft CreationDate,UserIds,AuditData

リソース

• コミュニケーション コンプライアンス監査
• Microsoft Purview 監査 (プレミアム)
• Office 365 管理アクティビティ API リファレンス