インサイダー リスク管理監査ログを使用してアクティビティを確認する
重要
Microsoft Purview Insider Risk Management は、さまざまなシグナルを関連付けて、IP の盗難、データ漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意による内部関係者のリスクを特定します。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。
インサイダー リスク管理監査ログを使用すると、インサイダー リスク管理機能に対して実行されたアクションに関する情報を常に把握できます。 このログを使用すると、1 つ以上のインサイダー リスク管理ロール グループに割り当てられたユーザーが実行したアクションを個別に確認できます。 インサイダー リスク管理監査ログは、organizationで自動的に有効になり、無効にすることはできません。
検出されたリスク アクティビティが発生するたびに、監査ログが自動的に更新され、直ちに更新されます。 監査ログには、180 日間 (約 6 か月間) の情報が保持されます。 180 日後、データはログから完全に削除されます。
特定されたリスク アクティビティ検出の領域は次のとおりです。
- ポリシー
- 場合
- アラート
- Settings
- ユーザー
- 通知テンプレート
監査ログからデータを表示およびエクスポートするには、ユーザーを Insider Risk Management または Insider Risk Management Audit ロール グループに割り当てる必要があります。 インサイダー リスク管理ロール グループの詳細については、「 インサイダー リスク管理の概要手順 1: アクセス許可の有効化」を参照してください。
注:
インサイダー リスク管理監査ログは、独立した監査システムであり、別の領域に関する情報をキャプチャするため、Microsoft 365 監査ログには関連付けられません。 Microsoft 365 監査を無効にしても、インサイダー リスク管理内でのアクティビティ監査には影響しません。
ヒント
Microsoft Security Copilotの使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のMicrosoft Security Copilotの詳細については、こちらをご覧ください。
インサイダー リスク監査ログでアクティビティを表示する
インサイダー リスク管理で検出された機能アクティビティを表示するには、[インサイダー リスク管理] タブの右上の領域にある [ Insider risk audit log]\(インサイダー リスク監査ログ \) リンクに移動して選択します。既定では、インサイダー リスク管理アクティビティに関する次の情報が表示されます。
- 活動: ユーザーがインサイダー リスク管理ソリューション内で行った特定されたリスク アクティビティの説明。
- カテゴリ: 特定されたリスク アクティビティが実行された領域または項目。 たとえば、 ポリシー 変更アクティビティが実行されたときのカテゴリとして [ポリシー] が表示されます。
- によって実行されるアクティビティ: 識別されたリスク アクティビティを実行したユーザーのユーザー名。
- 日付: 特定されたリスク アクティビティが実行された日時。 日付と時刻は、organizationのローカルの日付と時刻です。
ログに記録されたアクティビティの詳細については、アクティビティを選択してアクティビティの詳細ウィンドウを表示します。 このウィンドウには、特定されたリスク アクティビティに関する追加情報が含まれています。
列とフィルター処理
監査者が監査ログを確認しやすくするために、 インサイダー リスク監査ログでフィルター処理がサポートされています。 基本的なフィルター処理では、キュー列をビューに追加して、ファイルとメッセージに異なるピボットを提供できます。 識別されたリスク アクティビティは、 カテゴリ、日付範囲、 およびフィールド によって実行されるアクティビティで フィルター処理できます。
キューの列見出しを追加または削除するには、[列の カスタマイズ ] コントロールを使用し、列オプションから選択します。 これらの列は、 Insider リスク監査ログ でサポートされる一般的な条件にマップされ、この記事の後半に記載されています。
監査ログのエクスポート
Insider Risk Management または Insider Risk Management Audit ロール グループに割り当てられているユーザーは、Insider リスク監査ログ ページで [エクスポート] を選択することで、監査ログ アクティビティを .csv (コンマ区切り値) ファイルにエクスポートできます。 監査ログ アクティビティによっては、一部のフィールドがフィルター処理されたキューに含まれていない可能性があるため、エクスポートされたファイルではこれらのフィールドは空白として表示されます。
ファイルには、次のフィールドの監査ログ アクティビティ情報が含まれています。
- によって実行されるアクティビティ: 項目値を変更するユーザーの名前。 ここに記載されているユーザーは、インサイダー リスク管理、インサイダー リスク管理管理者、インサイダー リスク管理アナリスト、インサイダー リスク管理調査官の 1 つ以上の役割インサイダー リスク管理役割グループに割り当てられます。 各ロール グループには、インサイダー リスク機能を管理するためのさまざまなアクセス許可レベルがあります。
- 活動: アイテムに対して実行されるアクティビティの種類。 値は、表示、削除、追加、編集されたポリシー、ケース、ユーザー、アラート、および設定です。
- 追加: ユーザー、ファイルの種類、ドメインなど、特定されたリスク アクティビティ中に追加されたオブジェクト。
- アラート ボリューム: インサイダー リスク管理設定で定義されているアラート ボリュームのレベル。
- 金額: 現在、ポリシーのカスタム インジケーターの金額が選択されています。
- 資産 ID: アクティビティが実行された優先度の物理資産の資産 ID。
- カテゴリ: 変更された項目のカテゴリ。 値は、ポリシー、ケース、ユーザー、アラート、設定、および通知テンプレートです。
- 日付:organizationのローカルの日付と時刻に表示される日付と時刻。
- 説明: 操作対象のオブジェクト (ポリシーや優先度のユーザー グループなど) に対するユーザーによる説明入力。
- DLP ポリシー: インサイダー リスク管理ポリシーへのインクルードをトリガーするために選択されたMicrosoft Purview データ損失防止 (DLP) ポリシー。
- インジケーター: アクティビティが実行されたインサイダー リスク設定内のインジケーター (インジケーターの追加や削除など)。
- 通知テンプレート: 識別されたリスク アクティビティが実行された通知テンプレート。
- 日数: インサイダー リスク設定で定義されたポリシーのアクティブ化ウィンドウ。
- ファイルの数: インサイダー リスク管理設定で定義されているファイルのボリューム制限。
- ポリシー テンプレート: インジケーターが動作するポリシー テンプレートが属しています。
- 前の金額: ポリシーのカスタム インジケーターの金額を以前に選択しました。
- 優先度ユーザー グループ: 識別されたリスク アクティビティが実行された優先度ユーザー グループ。
- 削除済み: ユーザー、ファイルの種類、ドメインなど、特定されたリスク アクティビティ中に削除されたオブジェクト。
- 送信者: 識別されたリスク アクティビティが実行された通知テンプレートの [送信者] フィールド。
- ターゲット ポリシー: 特定されたリスク アクティビティが実行されたポリシー (ユーザーの追加やユーザーの削除など)。
- テンプレート メッセージ本文: 識別されたリスク アクティビティが実行された通知テンプレートのメッセージ本文。
- テンプレートの件名: 識別されたリスク アクティビティが実行された通知テンプレートのサブジェクト フィールド。
- 利用者: 特定されたリスク アクティビティが実行されたユーザー。