現在テレワークを導入する企業が増加していますが、会社のデータを抜き取られるといったテレワークに伴うセキュリティリスクの存在が懸念されます。ここでは、Onedriveから大量のデータをダウンロードされた時にアラートする方法をご紹介します。

1．Microsoft Defender for Cloud AppsにOffice365を接続していない場合は接続していきます。
Microsoft Defender for Cloud Appsより、「調査」を展開して「アプリの追加」を開きます。「アプリを接続」をクリックしてください。

2．「office365」を選択します。

3．「office365を接続」をクリックします。

4．「AzureAD管理イベント」「AzureADサインインイベント」「AzureADアプリ」「Office365アクティビティ」にチェックを入れて「接続」をクリックします。

5．正常に接続されたら「閉じる」をクリックします。

6．ポリシーを作成します。
「制御」を展開して「ポリシー」を開きます。

7．「ポリシーの作成」を展開して「アクティビティポリシー」をクリックします。

8．ポリシーテンプレートに「単独のユーザーによる大量ダウンロード」を選択します。

9．「テンプレートを適用」をクリックします。

10．「ポリシーのフィルターを作成する」の「反復アクティビティの最低回数」を変更します。ここではテスト用に3回に設定します。

11．「次のすべてに一致するアクティビティ」の、「アクティビティの種類」「が次と等しい」「ファイルのダウンロード」の行の下３行を削除します。

12．「作成」をクリックします。

13．ポリシーの作成が完了しました。

14．OneDriveに移りアップロードしたファイルを幾つか選択してダウンロードします。

15．Microsoft Defender for Cloud Appsに移り「アラート」を開くと警告が表示されます。

16．アラートをメールで通知することもできます。
ポリシー作成画面の画面下「アラート」の「一致するイベントごとにポリシー重要度に応じたアラートを作成する」にチェックを入れます。「アラートをメールで送信」にチェックを入れ、送信するメールアドレスを入力してください。

17.アラートが鳴ると、このようなメールが送信されます。

18．メール文章内の「このアラート」をクリックします。

19．アラートの詳細が確認できるページが開きます。

20．メール文章内の「このユーザー」をクリックします。

21．ユーザーが確認できるページが開きます。

22．メール文章内の「このIPアドレス」をクリックします。

23．IPアドレスが確認できるページが開きます。

その他お困りごとも動画で解説！