Office365を監視する方法

2022.04.19

現在テレワークを導入する企業が増加していますが、会社のデータを抜き取られるといったテレワークに伴うセキュリティリスクの存在が懸念されます。ここでは、Onedriveから大量のデータをダウンロードされた時にアラートする方法をご紹介します。

1.Microsoft Defender for Cloud AppsにOffice365を接続していない場合は接続していきます。
Microsoft Defender for Cloud Appsより、「調査」を展開して「アプリの追加」を開きます。「アプリを接続」をクリックしてください。

2.「office365」を選択します。

3.「office365を接続」をクリックします。

4.「AzureAD管理イベント」「AzureADサインインイベント」「AzureADアプリ」「Office365アクティビティ」にチェックを入れて「接続」をクリックします。

5.正常に接続されたら「閉じる」をクリックします。

6.ポリシーを作成します。
「制御」を展開して「ポリシー」を開きます。

7.「ポリシーの作成」を展開して「アクティビティポリシー」をクリックします。

8.ポリシーテンプレートに「単独のユーザーによる大量ダウンロード」を選択します。

9.「テンプレートを適用」をクリックします。

10.「ポリシーのフィルターを作成する」の「反復アクティビティの最低回数」を変更します。ここではテスト用に3回に設定します。

11.「次のすべてに一致するアクティビティ」の、「アクティビティの種類」「が次と等しい」「ファイルのダウンロード」の行の下3行を削除します。

12.「作成」をクリックします。

13.ポリシーの作成が完了しました。

14.OneDriveに移りアップロードしたファイルを幾つか選択してダウンロードします。

15.Microsoft Defender for Cloud Appsに移り「アラート」を開くと警告が表示されます。

16.アラートをメールで通知することもできます。
ポリシー作成画面の画面下「アラート」の「一致するイベントごとにポリシー重要度に応じたアラートを作成する」にチェックを入れます。「アラートをメールで送信」にチェックを入れ、送信するメールアドレスを入力してください。

17.アラートが鳴ると、このようなメールが送信されます。

18.メール文章内の「このアラート」をクリックします。

19.アラートの詳細が確認できるページが開きます。

20.メール文章内の「このユーザー」をクリックします。

21.ユーザーが確認できるページが開きます。

22.メール文章内の「このIPアドレス」をクリックします。

23.IPアドレスが確認できるページが開きます。