個人アカウントで利用しているアプリ等で〇〇MB以上のアップロードがあった場合に検知して管理者へ知らせる方法です。
ここでは会社支給のPCで個人アカウントのSlackにファイルをアップロードします。その通信を検知して管理者にメールが届くという想定でMicrosoft Defender for Cloud Appsで設定をする手順をお伝えします。
前提条件としてここでは下記設定は終わっているものとします。
・Defender for Endpointへのオンボード
・Defender for cloudAppsとDefender for Endpointとの統合

1．Microsoft Defender for Cloud Appsの管理ポータルを開いて「制御」を展開し、「テンプレート」をクリックします。

2．「次のすべてに一致するアプリ」の「フィルターの選択」を展開して「アプリタグ」を選択します。

3．「アプリタグの選択」を展開して「承認されていない」を選択します。

4．「フィルター」からどの項目の制限をかけるか選択できます。
ここでは「アップロードされたデータ」を選択して、「2MB」でアラートが鳴るように設定します。

5．「アラートをメールで送信」にチェックを入れて、メールアドレスを入力します。
「作成」をクリックしてください。

6．「検出」を展開して「検出されたアプリ」をクリックします。

7．検出されたアプリの中から制限をかけたいものの禁止マークをクリックすることで、「承認されていない」としてタグ付けされます。ここではSlackの禁止マークをクリックします。

8．Slackに移って、2MB以上の動画をアップロードします。

9．数分経つと「アップロードボリュームの大きい新しいアプリ」のアラートが表示されます。

10.「Slack」をクリックすると詳細が表示されます。

11．このようなメールも送信されます。
「インシデントレポート」をクリックします。

12．先ほどのアラートの詳細画面が表示されます。

その他お困りごとも動画で解説！