Zenn
1️⃣

Purview インサイダーリスク管理(IRM)~全般設定編~

2023/05/13に公開
Microsoft 365
Microsoft
Azure AD
#
purview
#
irm
tech

はじめに

Microsoft PurviewのInsider Risk Management(以下、IRM)を検証してみたTipsを 「全般設定編(本記事)」・「HRコネクタ編」「ポリシー作成・確認」 の3本でまとめてみます。

設定自体は複雑ではないですが、立ち上げに向けた社内調整と運用初期のアラート誤検知のパラメーター微調整が大変だという印象です。

IRMとは

Microsoft Purviewの内部不正を防止するソリューションです。
あるトリガー(従業員の退職日、DLPに違反した、めっちゃファイルダウンロードしてる)が発生してから過去と未来のアクティビティをユーザーごとに監視して内部不正のリスクがあるかを調査するというものです。

例えば、SharePointで「機密情報が含まれたファイルをダウンロードした」、Google Driveに「ファイルをアップロードした」、PCで「USBにファイルをコピーした」、これらのアラートは単一のものではなく相関関係の可能性が高いです。
しかし、IRMを利用しない場合、DLPのアラートや個別のログは残りますが相関関係を調べるには人間の手が必要でした。
IRMはこれらのアクティビティの相関関係をMachine Learningで分析し、ユーザーが何をやろうとしていたのかを調査してくれます。
もちろん業務に必要な作業の可能性もあるので、IRMの分析結果を確認し必要に応じて法務部門と連携するといった運用が考えられます。

全般設定

まずはIRMでユーザーの名前をマスキングするかどうかといった全般的な設定を行います。


compliance.microsoft.com > 内部リスクの管理 > 内部リスクの設定(右上)

ポリシーを作成する前に見ておくべき設定項目です。

プライバシー

ポリシーでユーザーを監視するときに表示名や部署を表示するかしないかの設定です。

マスキングするかどうかは組織の方針によるかと思います。
マスキングした場合、ポリシーの監視対象となったユーザーの部署やマネージャーを確認できませんが、管理者からメール通知を送ることができます。

また、設定反映に時間がかかるかなと思いましたが10分もかからないうちにマスキング状態が切り替わりました。

インジケーター

内部不正につながるアクティビティをどこから収集するかの設定です。

注意点として、利用するインジケーターを全般設定であらかじめオンにしていないとポリシーに含めることはできません。
※ポリシー作成中にオンにすることも可能です。

SharePointやTeamsはもちろん、Microsoft Defender for EndpointがオンボードされたデバイスやMicrosoft Defender for Cloud Appsのアクティビティも収集できます。
https://learn.microsoft.com/ja-jp/microsoft-365/compliance/insider-risk-management-settings?view=o365-worldwide#policy-indicators

プレビューも多いですが、気になったのは 「累積流出検出」と「リスクスコアブースター」 です。

この2つのインジケーターの一部の項目では 「ピアグループ」 を利用します。
ピアグループは、Azure ADに登録された部署や組織階層の情報を取得することで、同じ部署や職種のユーザーのアクティビティを比べ 「一般的にはおかしなアクティビティだけど外部とやり取りが多い部署だからおかしくない」 といった風に判定してくれます。

Azure ADで組織情報を管理していない場合は精度が落ちるので利用非推奨となります。

ポリシー期間

ポリシーでトリガーが起動した場合、過去(過去のアクティビティ検出)未来(アクティブ化ウィンドウ) からどの期間の情報を収集するかを設定します。
基本的には設定できる最大値で問題ないかなと思います。


電子メールアクティビティの場合、過去のアクティビティ検出期間は10日間らしいです。

HRコネクタを利用して退職日をトリガーとしている場合は、設定した退職日がアクティブ化ウィンドウの日数を超えていると退職日までのアクティビティを収集します。

インテリジェントな検出

インジケーターで収集する情報でポリシーに含めないものなどを設定します。
例えば、PC起動時間のログファイルを定期的に送信している場合は 「ファイルの拡張子」 の項目でポリシーのリスク判定から除外できます。

業務目的でBoxや経費システムサービスにファイルをアップロードしている場合は、これらもポリシーのリスク判定から除外する必要があるので、「サードパーティードメインの追加」 で対象ドメインを追加します。


ワイルドカードも可

他にも特定のキーワードやSharePointのサイトは除外したり、MDEのアラートと連携する機能もあります。

インテリジェントな検出の設定項目はかなり多いので、ポリシーを作成して都度都度パラメーターを調整するのがいいと思います。

Office 365 マネージメント アクティビティ API を使用してアラートの詳細をエクスポートする

Microsoft Sentinelなどにアラートを連携するかどうかです。
連携した場合はユーザー名のマスキングは機能しないので注意が必要です。

優先度の高いユーザーグループ

役員や研究開発チームといった、より機密性が高い業務を行っているユーザーのアクティビティのアラートレベルが高くなりやすくなるというものです。

優先度の高いグループのユーザーを誰が調査できるかなどもグループ作成時に定義できます。

Microsoft Teams (プレビュー)

アラートが発生しケース(より詳細な調査)を作成するときにTeamsのチームを自動で作成する機能です。

チームの名前を入力するだけで、PurviewのInsider系の役割グループに所属するユーザーがチームに追加されます。

管理者通知

アラート発生時やIRMの分析機能の結果がでたときにPurviewの特定の役割グループに所属するユーザーにメールが送信されます。
配布グループではないのでご注意ください。

おわりに

まずはIRMを利用するにあたっての全般設定をまとめました。
次回は退職日をPurviewに反映するHRコネクタをまとめます。

Discussion