株式会社ソフトクリエイト 戦略ビジネス部 の山口です。
Microsoft Defender for Cloud Apps に Office 365 を接続し、Office 365 関連の管理およびユーザーアクティビティをセキュリティセンター上で確認可能となったら、ポリシーテンプレートを利用して、アラートポリシーを作成してみましょう。
組織に合わせたポリシーを作成することで、組織内で行われたユーザーの違反操作をアラートとして通知したり、ガバナンスアクションの動作でアカウントの無効化や共有アクセス権を削除することが可能です。
Microsoft Defender for Cloud Apps でアラートポリシーを追加する。
1.Microsoft 365 管理センター →「セキュリティ」をクリックし、セキュリティセンターにアクセスします。
2.セキュリティセンターの「ポリシー」-「ポリシーのテンプレート」にアクセスします。
-1.png)
3.ポリシー名の欄にて、「個人用」でポリシーを検索します。
4.「個人用メールアドレスで共有されたファイル」横の「+」をクリックします。
-2.png)
5.対象のドメインについては、必要に応じて追加します。
-3.png)
6.「アラートをメールで送信」にチェックを入れ、アラート送信先のメールアドレス、1日あたりのアラート上限を指定します。
-4.png)
7.ガバナンスアクションについては、違反となる操作が検出された場合に、自動的に共有アクセス権を失効するといった対応を取ることが可能な仕組みですが、ユーザーへの通知や制御をどうするの?という話になるので、一旦、設定無しで作成します。
-5.png)
8.「作成」をクリックします。
9.アラートポリシーの作成が完了すると、管理者へのアラート通知やセキュリティセンターの「アラート」ページにアラートが送られるようになります。
・アラート通知
-6.png)
・セキュリティセンターへの追加
-7.png)
アラートポリシーは、色々なパターンのテンプレートが用意、追加されてているので、組織内のアクティビティの状況や想定される問題行為に応じて、組織に合わせたアラートポリシーを追加、調整する必要があります。
-8.png)
