セキュリティ/コンプライアンス センターのアラート ポリシーAlert policies in the security and compliance center

Microsoft 365 セキュリティ/コンプライアンス センターのアラート ポリシーとアラート ダッシュボード ツールを使用して、アラート ポリシーを作成し、ユーザーがアラート ポリシーの条件に一致するアクティビティを実行するときに生成されるアラートを表示できます。You can use the alert policy and alert dashboard tools in the Microsoft 365 security and compliance centers to create alert policies and then view the alerts generated when users perform activities that match the conditions of an alert policy. Exchange Online での管理者特権の割り当て、マルウェア攻撃、フィッシング キャンペーン、ファイルの削除や外部共有の異常なレベルなど、アクティビティを監視するのに役立つ既定のアラート ポリシーがいくつかあります。There are several default alert policies that help you monitor activities such as assigning admin privileges in Exchange Online, malware attacks, phishing campaigns, and unusual levels of file deletions and external sharing.

アラート ポリシーを使用すると、ポリシーによってトリガーされるアラートを分類し、組織内のすべてのユーザーにポリシーを適用し、アラートがトリガーされる時間のしきい値レベルを設定し、アラートがトリガーされたときに電子メール通知を受信するかどうかを決定できます。Alert policies let you categorize the alerts that are triggered by a policy, apply the policy to all users in your organization, set a threshold level for when an alert is triggered, and decide whether to receive email notifications when alerts are triggered. セキュリティとコンプライアンス センターには [通知の表示] ページもあります。アラートの表示とフィルター処理、アラートの管理に役立つアラートの状態の設定、および基になるインシデントに対処または解決した後にアラートを閉じ込めます。There's also a View alerts page in the security and compliance center where you can view and filter alerts, set an alert status to help you manage alerts, and then dismiss alerts after you've addressed or resolved the underlying incident.

注意

アラート ポリシーは、Microsoft 365 Enterprise、Office 365 Enterprise、または Office 365 US Government E1/F1/G1、E3/F3/G3、または E5/G5 サブスクリプションを持つ組織で使用できます。Alert policies are available for organizations with a Microsoft 365 Enterprise, Office 365 Enterprise, or Office 365 US Government E1/F1/G1, E3/F3/G3, or E5/G5 subscription. 高度な機能は、E5/G5 サブスクリプションを持つ組織、または E1/F1/G1 または E3/F3/G3 サブスクリプションと Microsoft Defender for Office 365 P2 または Microsoft 365 E5 コンプライアンスまたは E5 電子情報開示および監査アドオン サブスクリプションを持つ組織でのみ使用できます。Advanced functionality is only available for organizations with an E5/G5 subscription, or for organizations that have an E1/F1/G1 or E3/F3/G3 subscription and a Microsoft Defender for Office 365 P2 or a Microsoft 365 E5 Compliance or an E5 eDiscovery and Audit add-on subscription. E5/G5 またはアドオン サブスクリプションを必要とする機能については、このトピックで強調表示されています。The functionality that requires an E5/G5 or add-on subscription is highlighted in this topic. また、アラート ポリシーは、365 GCC、GCC High、および DoD US 政府機関Office使用できます。Also note that alert policies are available in Office 365 GCC, GCC High, and DoD US government environments.

アラート ポリシーの動作How alert policies work

アラート ポリシーの動作の概要と、ユーザーまたは管理者のアクティビティがアラート ポリシーの条件と一致するときにトリガーされるアラートの概要を次に示します。Here's a quick overview of how alert policies work and the alerts that are triggers when user or admin activity matches the conditions of an alert policy.

アラート ポリシーの動作の概要

  1. 組織の管理者は、セキュリティとコンプライアンス センターの [アラート ポリシー] ページを使用して、アラート ポリシーを作成、構成、およびオンにします。An admin in your organization creates, configures, and turns on an alert policy by using the Alert policies page in the security and compliance center. また、コンプライアンス センター PowerShell の [セキュリティ] の New-ProtectionAlert コマンドレットを使用して&作成することもできます。You can also create alert policies by using the New-ProtectionAlert cmdlet in Security & Compliance Center PowerShell.

    アラート ポリシーを作成するには、セキュリティとコンプライアンス センターで [アラートの管理] 役割または [組織の構成] 役割を割り当てる必要があります。To create alert policies, you have to be assigned the Manage Alerts role or the Organization Configuration role in the security and compliance center.

    注意

    ポリシーによってアラートをトリガーするには、アラート ポリシーを作成または更新してから最大 24 時間かかります。It takes up to 24 hours after creating or updating an alert policy before alerts can be triggered by the policy. これは、ポリシーをアラート検出エンジンに同期する必要があるためです。This is because the policy has to be synced to the alert detection engine.

  2. ユーザーは、アラート ポリシーの条件に一致するアクティビティを実行します。A user performs an activity that matches the conditions of an alert policy. マルウェア攻撃の場合、組織内のユーザーに送信された感染した電子メール メッセージがアラートをトリガーします。In the case of malware attacks, infected email messages sent to users in your organization trigger an alert.

  3. Microsoft 365 は、セキュリティ コンプライアンス センターの[警告の表示] ページに表示される&生成します。Microsoft 365 generates an alert that's displayed on the View alerts page in the Security & Compliance Center. また、アラート ポリシーに対して電子メール通知が有効になっている場合、Microsoft は受信者の一覧に通知を送信します。Also, if email notifications are enabled for the alert policy, Microsoft sends a notification to a list of recipients. [アラートの表示] ページで管理者または他のユーザーが確認できるアラートは、ユーザーに割り当てられた役割によって決まります。The alerts that an admin or other users can see that on the View alerts page is determined by the roles assigned to the user. 詳細については、「アラートを表示 するために必要な RBAC アクセス許可」を参照してくださいFor more information, see RBAC permissions required to view alerts.

  4. 管理者は、セキュリティとコンプライアンス センターでアラートを管理します。An admin manages alerts in the security and compliance center. アラートの管理は、調査の追跡と管理に役立つアラート状態の割り当てで構成されます。Managing alerts consists of assigning an alert status to help track and manage any investigation.

アラート ポリシーの設定Alert policy settings

アラート ポリシーは、アラートを生成するユーザーまたは管理者アクティビティを定義する一連のルールと条件、アクティビティを実行した場合にアラートをトリガーするユーザーの一覧、およびアラートがトリガーされる前にアクティビティが発生する回数を定義するしきい値で構成されます。An alert policy consists of a set of rules and conditions that define the user or admin activity that generates an alert, a list of users who trigger the alert if they perform the activity, and a threshold that defines how many times the activity has to occur before an alert is triggered. また、ポリシーを分類し、重大度レベルを割り当てします。You also categorize the policy and assign it a severity level. これらの 2 つの設定は、ポリシーを管理し、セキュリティとコンプライアンス センターでアラートを表示するときにこれらの設定をフィルター処理することができるため、アラート ポリシー (およびポリシー条件が一致した場合にトリガーされるアラート) を管理するのに役立ちます。These two settings help you manage alert policies (and the alerts that are triggered when the policy conditions are matched) because you can filter on these settings when managing policies and viewing alerts in the security and compliance center. たとえば、同じカテゴリの条件に一致するアラートを表示したり、同じ重大度レベルのアラートを表示できます。For example, you can view alerts that match the conditions from the same category or view alerts with the same severity level.

アラート ポリシーを表示および作成するには、[アラート アラート ポリシー] に移動 https://protection.office.com して > 選択しますTo view and create alert policies, go to https://protection.office.com and then select Alerts > Alert policies.

セキュリティとコンプライアンス センターで、[アラート] を選択し、[アラート ポリシー] を選択してアラート ポリシーを表示および作成します。

アラート ポリシーは、次の設定と条件で構成されます。An alert policy consists of the following settings and conditions.

  • アラートが追跡 するアクティビティ - アクティビティを追跡するためのポリシーを作成します。場合によっては、ファイルを共有したり、アクセス許可を割り当てる、または匿名リンクを作成したりして、外部ユーザーとファイルを共有するなどのいくつかの関連アクティビティを作成します。Activity the alert is tracking - You create a policy to track an activity or in some cases a few related activities, such a sharing a file with an external user by sharing it, assigning access permissions, or creating an anonymous link. ユーザーがポリシーによって定義されたアクティビティを実行すると、アラートしきい値の設定に基づいてアラートがトリガーされます。When a user performs the activity defined by the policy, an alert is triggered based on the alert threshold settings.

    注意

    追跡できるアクティビティは、組織の 365 Enterprise または Office 365 US Government プランOfficeによって異なります。The activities that you can track depend on your organization's Office 365 Enterprise or Office 365 US Government plan. 一般に、マルウェア キャンペーンやフィッシング攻撃に関連するアクティビティでは、E5/G5 サブスクリプションまたは E1/F1/G1 または E3/F3/G3 サブスクリプションと Defender for Office 365 Plan 2 アドオン サブスクリプションが必要です。In general, activities related to malware campaigns and phishing attacks require an E5/G5 subscription or an E1/F1/G1 or E3/F3/G3 subscription with an Defender for Office 365 Plan 2 add-on subscription.

  • アクティビティの条件 - ほとんどのアクティビティでは、アラートをトリガーするために満たす必要がある追加の条件を定義できます。Activity conditions - For most activities, you can define additional conditions that must be met to trigger an alert. 一般的な条件には、IP アドレス (ユーザーが特定の IP アドレスまたは IP アドレス範囲内のコンピューターでアクティビティを実行するときにアラートがトリガーされる)、特定のユーザーまたはユーザーがアクティビティを実行した場合にアラートがトリガーされるかどうか、およびアクティビティが特定のファイル名または URL に対して実行されるかどうかが含まれます。Common conditions include IP addresses (so that an alert is triggered when the user performs the activity on a computer with a specific IP address or within an IP address range), whether an alert is triggered if a specific user or users perform that activity, and whether the activity is performed on a specific file name or URL. また、組織内の任意のユーザーがアクティビティを実行するときにアラートをトリガーする条件を構成することもできます。You can also configure a condition that triggers an alert when the activity is performed by any user in your organization. 使用可能な条件は、選択したアクティビティによって異なります。The available conditions are dependent on the selected activity.

  • アラートがトリガーされた場合 - アラートがトリガーされる前にアクティビティが発生する頻度を定義する設定を構成できます。When the alert is triggered - You can configure a setting that defines how often an activity can occur before an alert is triggered. これにより、アクティビティがポリシー条件に一致するたび、特定のしきい値を超えた場合、またはアラートが追跡しているアクティビティの発生が組織で異常になった場合に、アラートを生成するポリシーを設定できます。This allows you to set up a policy to generate an alert every time an activity matches the policy conditions, when a certain threshold is exceeded, or when the occurrence of the activity the alert is tracking becomes unusual for your organization.

    アクティビティが発生した場合、しきい値、または組織の異常なアクティビティに基づいて、アラートのトリガー方法を構成する

    異常なアクティビティに基づいて設定を選択すると、選択したアクティビティの通常の頻度を定義する基準値が設定されます。If you select the setting based on unusual activity, Microsoft establishes a baseline value that defines the normal frequency for the selected activity. この基準を確立するのに最大 7 日かかるので、アラートは生成されません。It takes up to seven days to establish this baseline, during which alerts won't be generated. ベースラインが確立されると、アラート ポリシーによって追跡されるアクティビティの頻度がベースライン値を大幅に超えると、アラートがトリガーされます。After the baseline is established, an alert is triggered when the frequency of the activity tracked by the alert policy greatly exceeds the baseline value. 監査関連のアクティビティ (ファイルアクティビティやフォルダー アクティビティなど) の場合は、1 人のユーザーに基づいて、または組織内のすべてのユーザーに基づいてベースラインを確立できます。マルウェア関連のアクティビティの場合は、単一のマルウェア ファミリ、単一の受信者、または組織内のすべてのメッセージに基づいてベースラインを確立できます。For auditing-related activities (such as file and folder activities), you can establish a baseline based on a single user or based on all users in your organization; for malware-related activities, you can establish a baseline based on a single malware family, a single recipient, or all messages in your organization.

    注意

    しきい値に基づいて、または異常なアクティビティに基づいてアラート ポリシーを構成するには、E5/G5 サブスクリプション、または E1/F1/G1 または E3/F3/G3 サブスクリプションで、Microsoft Defender for Office 365 P2、Microsoft 365 E5 コンプライアンス、または Microsoft 365 電子情報開示および監査アドオン サブスクリプションが必要です。The ability to configure alert policies based on a threshold or based on unusual activity requires an E5/G5 subscription, or an E1/F1/G1 or E3/F3/G3 subscription with a Microsoft Defender for Office 365 P2, Microsoft 365 E5 Compliance, or Microsoft 365 eDiscovery and Audit add-on subscription. E1/F1/G1 サブスクリプションと E3/F3/G3 サブスクリプションを持つ組織は、アクティビティが発生する度にアラートがトリガーされるアラート ポリシーのみを作成できます。Organizations with an E1/F1/G1 and E3/F3/G3 subscription can only create alert policies where an alert is triggered every time that an activity occurs.

  • アラート カテゴリ - ポリシーによって生成されたアラートの追跡と管理に役立つ場合は、次のいずれかのカテゴリをポリシーに割り当てできます。Alert category - To help with tracking and managing the alerts generated by a policy, you can assign one of the following categories to a policy.

    • データ損失防止Data loss prevention

    • 情報ガバナンスInformation governance

    • メール フローMail flow

    • アクセス許可Permissions

    • 脅威の管理Threat management

    • OthersOthers

    アラート ポリシーの条件に一致するアクティビティが発生すると、生成されるアラートには、この設定で定義されているカテゴリがタグ付けされます。When an activity occurs that matches the conditions of the alert policy, the alert that's generated is tagged with the category defined in this setting. これにより、カテゴリに基づいてアラートを並べ替え、フィルター処理することができますので、セキュリティとコンプライアンス センターの [通知の表示] ページで、同じカテゴリ設定を持つアラートを追跡および管理できます。This allows you to track and manage alerts that have the same category setting on the View alerts page in the security and compliance center because you can sort and filter alerts based on category.

  • アラートの重大度 - アラート カテゴリと同様に、アラート ポリシーに重大度属性 (、または 情報) を割り当てる。Alert severity - Similar to the alert category, you assign a severity attribute (Low, Medium, High, or Informational) to alert policies. アラート カテゴリと同様に、アラート ポリシーの条件に一致するアクティビティが発生すると、生成されるアラートには、アラート ポリシーに設定されているのと同じ重大度レベルでタグが付けされます。Like the alert category, when an activity occurs that matches the conditions of the alert policy, the alert that's generated is tagged with the same severity level that's set for the alert policy. 繰り返しますが、これにより、[アラートの表示] ページで同じ重大度設定を持つアラートを追跡および 管理 できます。Again, this allows you to track and manage alerts that have the same severity setting on the View alerts page. たとえば、アラートの一覧をフィルター処理して、重大度が高いアラートのみを表示できます。For example, you can filter the list of alerts so that only alerts with a High severity are displayed.

    ヒント

    アラート ポリシーを設定する場合は、ユーザーへの配信後のマルウェアの検出、機密または分類されたデータの表示、外部ユーザーとのデータの共有、データの損失やセキュリティ上の脅威を引き起す可能性のあるその他のアクティビティなど、重大な悪影響を及ぶ可能性のあるアクティビティに対して、重要度の高いアクティビティを割り当てる検討してください。When setting up an alert policy, consider assigning a higher severity to activities that can result in severely negative consequences, such as detection of malware after delivery to users, viewing of sensitive or classified data, sharing data with external users, or other activities that can result in data loss or security threats. これにより、アラートと、基になる原因を調査して解決するために実行するアクションに優先順位を付けるのに役立ちます。This can help you prioritize alerts and the actions you take to investigate and resolve the underlying causes.

  • 電子メール 通知 - 通知がトリガーされると、電子メール通知がユーザーのリストに送信 (または送信されない) 状態に設定できます。Email notifications - You can set up the policy so that email notifications are sent (or not sent) to a list of users when an alert is triggered. また、1 日の通知制限を設定して、通知の最大数に達すると、その日のアラートに対してそれ以上の通知が送信されません。You can also set a daily notification limit so that once the maximum number of notifications has been reached, no more notifications are sent for the alert during that day. 電子メール通知に加えて、ユーザーまたは他の管理者は、[アラートの表示] ページでポリシーによってトリガーされるアラート を表示 できます。In addition to email notifications, you or other administrators can view the alerts that are triggered by a policy on the View alerts page. 特定のカテゴリのアラート ポリシーまたは重要度の設定が高い場合は、電子メール通知を有効にしてください。Consider enabling email notifications for alert policies of a specific category or that have a higher severity setting.

既定のアラート ポリシーDefault alert policies

Microsoft は、Exchange 管理者のアクセス許可の悪用、マルウェアアクティビティ、外部および内部の潜在的な脅威、および情報ガバナンスのリスクを特定するのに役立つ組み込みのアラート ポリシーを提供します。Microsoft provides built-in alert policies that help identify Exchange admin permissions abuse, malware activity, potential external and internal threats, and information governance risks. [アラート ポリシー] ページで 、これらの組み込みポリシーの名前は太字で、ポリシーの種類は System として定義 されますOn the Alert policies page, the names of these built-in policies are in bold and the policy type is defined as System. これらのポリシーは既定で有効になっています。These policies are turned on by default. これらのポリシーをオフにするか、もう一度オンに戻したり、電子メール通知を送信する受信者の一覧を設定したり、毎日の通知制限を設定したりできます。You can turn off these policies (or back on again), set up a list of recipients to send email notifications to, and set a daily notification limit. これらのポリシーの他の設定は編集できない。The other settings for these policies can't be edited.

次の表に、使用可能な既定のアラート ポリシーと、各ポリシーが割り当てられているカテゴリを示します。The following table lists and describes the available default alert policies and the category each policy is assigned to. このカテゴリを使用して、ユーザーが [アラートの表示] ページで表示できるアラートを決定します。The category is used to determine which alerts a user can view on the View alerts page. 詳細については、「アラートを表示 するために必要な RBAC アクセス許可」を参照してくださいFor more information, see RBAC permissions required to view alerts.

この表には、365 Enterprise Office 365 US Government プランOffice 365 US Government プランを示します。The table also indicates the Office 365 Enterprise and Office 365 US Government plan required for each one. E1/F1/G1 または E3/F3/G3 サブスクリプションに加えて、組織が適切なアドオン サブスクリプションを持つ場合、一部の既定のアラート ポリシーを使用できます。Some default alert policies are available if your organization has the appropriate add-on subscription in addition to an E1/F1/G1 or E3/F3/G3 subscription.

既定のアラート ポリシーDefault alert policy 説明Description カテゴリCategory エンタープライズ サブスクリプションEnterprise subscription
悪意のある可能性がある URL のクリックが検出されましたA potentially malicious URL click was detected 組織内の安全なリンクによって保護されたユーザーが悪意のあるリンクをクリックすると、アラートが生成されます。Generates an alert when a user protected by Safe Links in your organization clicks a malicious link. このイベントは、URL の評決の変更が Microsoft Defender によって Office 365 で識別された場合、またはユーザーが安全なリンク ページを上書きする場合 (組織の Microsoft 365 for business Safe Links ポリシーに基づいて) トリガーされます。This event is triggered when URL verdict changes are identified by Microsoft Defender for Office 365 or when users override the Safe Links pages (based on your organization's Microsoft 365 for business Safe Links policy). このアラート ポリシーには、重大度 の高 い設定があります。This alert policy has a High severity setting. Defender for Office 365 P2, E5, G5 のお客様に対して、このアラートは 、365の自動調査とOfficeトリガーします。For Defender for Office 365 P2, E5, G5 customers, this alert automatically triggers automated investigation and response in Office 365. このアラートをトリガーするイベントの詳細については、「安全なリンク ポリシーを設定 する」を参照してくださいFor more information on events that trigger this alert, see Set up Safe Links policies. 脅威の管理Threat management E5/G5 または Defender for Office 365 P2 アドオン サブスクリプションE5/G5 or Defender for Office 365 P2 add-on subscription
管理者申請の結果が完了しましたAdmin Submission result completed 管理者申請が送信されたエンティティの再スキャンを完了すると、アラートを生成します。Generates an alert when an Admin Submission completes the rescan of the submitted entity. 管理者申請から再スキャン結果が表示される度に、アラートがトリガーされます。An alert will be triggered every time a rescan result is rendered from an Admin Submission. これらのアラートは、以前の申請の結果を確認し、ユーザーが報告したメッセージを送信して最新のポリシー チェックと再スキャンの評決を取得し、組織内のフィルター ポリシーが意図した影響を与えているかどうかを判断することを目的とします。These alerts are meant to remind you to review the results of previous submissions, submit user reported messages to get the latest policy check and rescan verdicts, and help you determine if the filtering policies in your organization are having the intended impact. このポリシーの重大度 が低 い設定です。This policy has a Low severity setting. 脅威の管理Threat management E1/F1、E3/F3、または E5E1/F1, E3/F3, or E5
管理者が電子メールの手動調査をトリガーしましたAdmin triggered manual investigation of email 管理者が脅威エクスプローラーからの電子メールの手動調査をトリガーすると、アラートを生成します。Generates an alert when an admin triggers the manual investigation of an email from Threat Explorer. 詳細については、「例: セキュリティ管理者が脅威エクスプローラーからの調査をトリガーする」 ( を参照してください https://docs.microsoft.com/microsoft-365/security/office-365-security/automated-investigation-response-office#example-a-security-administrator-triggers-an-investigation-from-threat-explorer) 。For more information, see [Example: A security administrator triggers an investigation from Threat Explorer] (https://docs.microsoft.com/microsoft-365/security/office-365-security/automated-investigation-response-office#example-a-security-administrator-triggers-an-investigation-from-threat-explorer). このアラートは、調査が開始されたと組織に通知します。This alert notifies your organization that the investigation was started. アラートは、トリガーしたユーザーに関する情報を提供し、調査へのリンクを含む。The alert provides information about who triggered it and includes a link to the investigation. このポリシーには、[ 情報の重大度] 設定があります。This policy has an Informational severity setting. 脅威の管理Threat management E5/G5 または Microsoft Defender for Office 365 P2 アドオン サブスクリプションE5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
転送/リダイレクト ルールの作成Creation of forwarding/redirect rule 組織内のユーザーが、別の電子メール アカウントにメッセージを転送またはリダイレクトするメールボックスの受信トレイ ルールを作成すると、アラートを生成します。Generates an alert when someone in your organization creates an inbox rule for their mailbox that forwards or redirects messages to another email account. このポリシーは、Outlook on the web (旧称 Outlook Web App) または Exchange Online PowerShell を使用して作成された受信トレイ ルールのみを追跡します。This policy only tracks inbox rules that are created using Outlook on the web (formerly known as Outlook Web App) or Exchange Online PowerShell. このポリシーの重大度 が低 い設定です。This policy has a Low severity setting. 受信トレイ ルールを使用して Outlook on the web でメールを転送およびリダイレクトする方法の詳細については、「Outlook on the web のルールを使用してメッセージを別のアカウントに自動的に転送する」を 参照してくださいFor more information about using inbox rules to forward and redirect email in Outlook on the web, see Use rules in Outlook on the web to automatically forward messages to another account. 脅威の管理Threat management E1/F1/G1、E3/F3/G3、または E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
電子情報開示検索の開始またはエクスポートeDiscovery search started or exported セキュリティとコンプライアンス センターでコンテンツ検索ツールを使用すると、アラートが生成されます。Generates an alert when someone uses the Content search tool in the Security and compliance center. 次のコンテンツ検索アクティビティが実行されると、アラートがトリガーされます。An alert is triggered when the following content search activities are performed:

* コンテンツ検索が開始される* A content search is started
* コンテンツ検索の結果がエクスポートされる* The results of a content search are exported
* コンテンツ検索レポートがエクスポートされる* A content search report is exported

以前のコンテンツ検索アクティビティが電子情報開示ケースに関連付けで実行されると、アラートもトリガーされます。Alerts are also triggered when the previous content search activities are performed in association with an eDiscovery case. このポリシーには、中 程度の重大度設定 があります。This policy has a Medium severity setting. コンテンツ検索アクティビティの詳細については、「監査ログで電子情報開示アクティビティを検索 する」を参照してくださいFor more information about content search activities, see Search for eDiscovery activities in the audit log.
脅威の管理Threat management E1/F1/G1、E3/F3/G3、または E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Exchange 管理者特権の昇格Elevation of Exchange admin privilege Exchange Online 組織で管理者のアクセス許可が割り当てられている場合にアラートを生成します。Generates an alert when someone is assigned administrative permissions in your Exchange Online organization. たとえば、ユーザーが Exchange Online の [組織の管理] 役割グループに追加された場合です。For example, when a user is added to the Organization Management role group in Exchange Online. このポリシーの重大度 が低 い設定です。This policy has a Low severity setting. アクセス許可Permissions E1/F1/G1、E3/F3/G3、または E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
配信後にマルウェアが削除された電子メール メッセージEmail messages containing malware removed after delivery マルウェアを含むメッセージが組織内のメールボックスに配信される場合にアラートを生成します。Generates an alert when any messages containing malware are delivered to mailboxes in your organization. このイベントが発生した場合、Microsoft はゼロ時間自動削除を使用して Exchange Online メールボックスから感染したメッセージ を削除しますIf this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes using Zero-hour auto purge. このポリシーには [ 情報の重大度] 設定が設定され、365 で自動的に調査と応答がOffice されますThis policy has an Informational severity setting and automatically triggers automated investigation and response in Office 365. 脅威の管理Threat management E5/G5 または Microsoft Defender for Office 365 P2 アドオン サブスクリプションE5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
配信後に削除されたフィッシング URL を含む電子メール メッセージEmail messages containing phish URLs removed after delivery フィッシングを含むメッセージが組織内のメールボックスに配信される場合にアラートを生成します。Generates an alert when any messages containing phish are delivered to mailboxes in your organization. このイベントが発生した場合、Microsoft はゼロ時間自動削除を使用して Exchange Online メールボックスから感染したメッセージ を削除しますIf this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes using Zero-hour auto purge. このポリシーには [ 情報の重大度] 設定が設定され、365 で自動的に調査と応答がOffice されますThis policy has an Informational severity setting and automatically triggers automated investigation and response in Office 365. 脅威の管理Threat management E5/G5 または Defender for Office 365 P2 アドオン サブスクリプションE5/G5 or Defender for Office 365 P2 add-on subscription
マルウェアまたはフィッシングとしてユーザーが報告した電子メールEmail reported by user as malware or phish 組織のユーザーがレポート メッセージ アドインを使用してフィッシング メールとしてメッセージを報告すると、アラートを生成します。Generates an alert when users in your organization report messages as phishing email using the Report Message add-in. このポリシーには、[ 情報の重大度] 設定があります。This policy has an Informational severity setting. このアドインの詳細については、「レポート メッセージ アドイン を使用する」を参照してくださいFor more information about this add-in, see Use the Report Message add-in. Defender for Office 365 P2, E5, G5 のお客様に対して、このアラートは 、365の自動調査とOfficeトリガーします。For Defender for Office 365 P2, E5, G5 customers, this alert automatically triggers automated investigation and response in Office 365. 脅威の管理Threat management E1/F1/G1、E3/F3/G3、または E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
電子メール送信の制限を超えましたEmail sending limit exceeded 組織内のユーザーが送信スパム ポリシーで許可されているメールよりも多くのメールを送信した場合に、アラートを生成します。Generates an alert when someone in your organization has sent more mail than is allowed by the outbound spam policy. これは通常、ユーザーがメールを送信しすぎるか、アカウントが侵害される可能性を示します。This is usually an indication the user is sending too much email or that the account may be compromised. このポリシーには、中 程度の重大度設定 があります。This policy has a Medium severity setting. このアラート ポリシーによって生成されたアラートを受け取った場合は、ユーザー アカウントが侵害されているかどうかを確認 してくださいIf you get an alert generated by this alert policy, it's a good idea to check whether the user account is compromised. 脅威の管理Threat management E1/F1/G1、E3/F3/G3、または E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
フィッシング詐欺の可能性が原因でフォームがブロックされるForm blocked due to potential phishing attempt 組織のユーザーが、繰り返しフィッシングの試み動作が検出された場合に、Microsoft Forms を使用してフォームの共有や応答の収集が制限されている場合にアラートを生成します。Generates an alert when someone in your organization has been restricted from sharing forms and collecting responses using Microsoft Forms due to detected repeated phishing attempt behavior. このポリシーには、 重大度の高い設定 があります。This policy has a High severity setting. 脅威の管理Threat management E1、E3/F3、または E5E1, E3/F3, or E5
フォームにフラグが設定され、フィッシングとして確認されるForm flagged and confirmed as phishing 組織内から Microsoft Forms で作成されたフォームが、レポートの不正使用による潜在的なフィッシングとして識別され、Microsoft によってフィッシングとして確認された場合に、アラートを生成します。Generates an alert when a form created in Microsoft Forms from within your organization has been identified as potential phishing through Report Abuse and confirmed as phishing by Microsoft. このポリシーには、 重大度の高 い設定があります。This policy has a High severity setting. 脅威の管理Threat management E1、E3/F3、または E5E1, E3/F3, or E5
メッセージが遅延しているMessages have been delayed Microsoft がコネクタを使用して、オンプレミスの組織またはパートナー サーバーに電子メール メッセージを配信できない場合に警告を生成します。Generates an alert when Microsoft can't deliver email messages to your on-premises organization or a partner server by using a connector. この場合、メッセージは 365 でキュー Officeされます。When this happens, the message is queued in Office 365. このアラートは、1 時間以上キューに入っているメッセージが 2,000 件以上ある場合にトリガーされます。This alert is triggered when there are 2,000 messages or more that have been queued for more than an hour. このポリシーには、 重大度の高 い設定があります。This policy has a High severity setting. メール フローMail flow E1/F1/G1、E3/F3/G3、または E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
配信後にマルウェア キャンペーンが検出されたMalware campaign detected after delivery マルウェアを含むメッセージの数が異常に多い場合に、組織内のメールボックスに配信される場合にアラートを生成します。Generates an alert when an unusually large number of messages containing malware are delivered to mailboxes in your organization. このイベントが発生した場合、Microsoft は Exchange Online メールボックスから感染したメッセージを削除します。If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes. このポリシーには、 重大度の高 い設定があります。This policy has a High severity setting. 脅威の管理Threat management E5/G5 または Microsoft Defender for Office 365 P2 アドオン サブスクリプションE5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
マルウェア キャンペーンの検出とブロックMalware campaign detected and blocked 特定の種類のマルウェアを含む電子メール メッセージを組織内のユーザーに異常に多数送信しようとした場合に、アラートを生成します。Generates an alert when someone has attempted to send an unusually large number of email messages containing a certain type of malware to users in your organization. このイベントが発生した場合、感染したメッセージは Microsoft によってブロックされ、メールボックスに配信されません。If this event occurs, the infected messages are blocked by Microsoft and not delivered to mailboxes. このポリシーの重大度 が低 い設定です。This policy has a Low severity setting. 脅威の管理Threat management E5/G5 または Defender for Office 365 P2 アドオン サブスクリプションE5/G5 or Defender for Office 365 P2 add-on subscription
SharePoint と OneDrive でマルウェア キャンペーンが検出されたMalware campaign detected in SharePoint and OneDrive 組織内の SharePoint サイトまたは OneDrive アカウントにあるファイルで、異常に多くのマルウェアやウイルスが検出された場合にアラートを生成します。Generates an alert when an unusually high volume of malware or viruses is detected in files located in SharePoint sites or OneDrive accounts in your organization. このポリシーには、 重大度の高 い設定があります。This policy has a High severity setting. 脅威の管理Threat management E5/G5 または Defender for Office 365 P2 アドオン サブスクリプションE5/G5 or Defender for Office 365 P2 add-on subscription
ZAP が無効になっているため、マルウェアがザップされないMalware not zapped because ZAP is disabled フィッシング メッセージの自動削除が無効になっているため、Microsoft がメールボックスへのマルウェア メッセージの配信を検出Zero-Hourアラートを生成します。Generates an alert when Microsoft detects delivery of a malware message to a mailbox because Zero-Hour Auto Purge for Phish messages is disabled. このポリシーには、[ 情報の重大度] 設定があります。This policy has an Informational severity setting. 脅威の管理Threat management E5/G5 または Defender for Office 365 P2 アドオン サブスクリプションE5/G5 or Defender for Office 365 P2 add-on subscription
ユーザーの迷惑メール フォルダーが無効になっているため配信されるフィッシングPhish delivered because a user's Junk Mail folder is disabled Microsoft がユーザーの迷惑メール フォルダーが無効になっているのを検出すると警告を生成し、高信頼のフィッシング メッセージをメールボックスに配信できます。Generates an alert when Microsoft detects a user’s Junk Mail folder is disabled, allowing delivery of a high confidence phishing message to a mailbox. このポリシーには、[ 情報の重大度] 設定があります。This policy has an Informational severity setting. 脅威の管理Threat management E5/G5 または Defender for Office 365 P1 または P2 アドオン サブスクリプションE5/G5 or Defender for Office 365 P1 or P2 add-on subscription
ETR オーバーライドが原因で配信されるフィッシングPhish delivered due to an ETR override 高信頼フィッシング メッセージをメールボックスに配信できる Exchange トランスポート ルール (ETR) が検出されると、アラートが生成されます。Generates an alert when Microsoft detects an Exchange Transport Rule (ETR) that allowed delivery of a high confidence phishing message to a mailbox. このポリシーには、[ 情報の重大度] 設定があります。This policy has an Informational severity setting. Exchange トランスポート ルール (メール フロー ルール) の詳細については、「Exchange Online のメール フロー ルール (トランスポート ルール)」を参照してくださいFor more information about Exchange Transport Rules (Mail flow rules), see Mail flow rules (transport rules) in Exchange Online. 脅威の管理Threat management E5/G5 または Defender for Office 365 P1 または P2 アドオン サブスクリプションE5/G5 or Defender for Office 365 P1 or P2 add-on subscription
IP 許可ポリシーが原因で配信されるフィッシングPhish delivered due to an IP allow policy 高信頼のフィッシング メッセージをメールボックスに配信できる IP 許可ポリシーが検出されると、アラートが生成されます。Generates an alert when Microsoft detects an IP allow policy that allowed delivery of a high confidence phishing message to a mailbox. このポリシーには、[ 情報の重大度] 設定があります。This policy has an Informational severity setting. IP 許可ポリシー (接続フィルター) の詳細については 、「Configure the default connection filter policy - Office 365」を参照してくださいFor more information about the IP allow policy (connection filtering), see Configure the default connection filter policy - Office 365. 脅威の管理Threat management E5/G5 または Defender for Office 365 P1 または P2 アドオン サブスクリプションE5/G5 or Defender for Office 365 P1 or P2 add-on subscription
ZAP が無効になっているため、フィッシングがザップされないPhish not zapped because ZAP is disabled Microsoft が信頼度の高いフィッシング メッセージのメールボックスへの配信を検出すると、自動フィッシング メッセージの自動削除Zero-Hourが無効になっているため、アラートを生成します。Generates an alert when Microsoft detects delivery of a high confidence phishing message to a mailbox because Zero-Hour Auto Purge for Phish messages is disabled. このポリシーには、[ 情報の重大度] 設定があります。This policy has an Informational severity setting. 脅威の管理Threat management E5/G5 または Defender for Office 365 P2 アドオン サブスクリプションE5/G5 or Defender for Office 365 P2 add-on subscription
テナントまたはユーザーオーバーライド 1 が原因で配信 されるフィッシングPhish delivered due to tenant or user override1 Microsoft が管理者またはユーザーの上書きを検出すると、メールボックスへのフィッシング メッセージの配信が許可された場合に警告を生成します。Generates an alert when Microsoft detects an admin or user override allowed the delivery of a phishing message to a mailbox. 上書きの例には、特定の送信者またはドメインからのメッセージを許可する受信トレイまたはメール フロー ルール、または特定の送信者またはドメインからのメッセージを許可するスパム対策ポリシーがあります。Examples of overrides include an inbox or mail flow rule that allows messages from a specific sender or domain, or an anti-spam policy that allows messages from specific senders or domains. このポリシーには、 重大度の高 い設定があります。This policy has a High severity setting. 脅威の管理Threat management E5/G5 または Defender for Office 365 P2 アドオン サブスクリプションE5/G5 or Defender for Office 365 P2 add-on subscription
疑わしいメール転送アクティビティSuspicious email forwarding activity 組織内のユーザーが不審な外部アカウントに電子メールを自動送信した場合にアラートを生成します。Generates an alert when someone in your organization has autoforwarded email to a suspicious external account. これは、アカウントが侵害されたが、ユーザーを制限するほど重大ではない可能性がある動作に関する早期の警告です。This is an early warning for behavior that may indicate the account is compromised, but not severe enough to restrict the user. このポリシーには、中 程度の重大度設定 があります。This policy has a Medium severity setting. まれですが、このポリシーによって生成されるアラートは異常である可能性があります。Although it's rare, an alert generated by this policy may be an anomaly. ユーザー アカウントが侵害されているかどうかを確認すると 良い考えですIt's a good idea to check whether the user account is compromised. 脅威の管理Threat management E1/F1/G1、E3/F3/G3、または E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
疑わしいメール送信パターンが検出されましたSuspicious email sending patterns detected 組織内のユーザーが不審なメールを送信し、電子メールの送信を制限される危険性がある場合にアラートを生成します。Generates an alert when someone in your organization has sent suspicious email and is at risk of being restricted from sending email. これは、アカウントが侵害されたが、ユーザーを制限するほど重大ではない可能性がある動作に関する早期の警告です。This is an early warning for behavior that may indicate that the account is compromised, but not severe enough to restrict the user. このポリシーには、中 程度の重大度設定 があります。This policy has a Medium severity setting. まれですが、このポリシーによって生成されるアラートは異常である可能性があります。Although it's rare, an alert generated by this policy may be an anomaly. ただし、ユーザー アカウントが侵害されているかどうかを確認する 方が良い方法ですHowever, it's a good idea to check whether the user account is compromised. 脅威の管理Threat management E1/F1/G1、E3/F3/G3、または E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
テナントが電子メールの送信を制限するTenant restricted from sending email 組織からの電子メール トラフィックの大部分が疑わしいと検出され、Microsoft が組織が電子メールの送信を制限した場合にアラートを生成します。Generates an alert when most of the email traffic from your organization has been detected as suspicious and Microsoft has restricted your organization from sending email. 潜在的に侵害されたユーザーアカウントと管理者アカウント、新しいコネクタ、またはオープン リレーを調査し、Microsoft サポートに問い合わせ、組織のブロックを解除します。Investigate any potentially compromised user and admin accounts, new connectors, or open relays, and then contact Microsoft Support to unblock your organization. このポリシーには、 重大度の高 い設定があります。This policy has a High severity setting. 組織がブロックされる理由の詳細については、「Fix email delivery issues for error code 5.7.7xx in Exchange Online」を参照してくださいFor more information about why organizations are blocked, see Fix email delivery issues for error code 5.7.7xx in Exchange Online. 脅威の管理Threat management E1/F1/G1、E3/F3/G3、または E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
異常な外部ユーザー ファイルのアクティビティUnusual external user file activity 組織外のユーザーが SharePoint または OneDrive のファイルに対して異常に多くのアクティビティを実行すると、アラートが生成されます。Generates an alert when an unusually large number of activities are performed on files in SharePoint or OneDrive by users outside of your organization. これには、ファイルへのアクセス、ファイルのダウンロード、ファイルの削除などのアクティビティが含まれます。This includes activities such as accessing files, downloading files, and deleting files. このポリシーには、 重大度の高 い設定があります。This policy has a High severity setting. 情報ガバナンスInformation governance E5/G5、Microsoft Defender for Office 365 P2、または Microsoft 365 E5 アドオン サブスクリプションE5/G5, Microsoft Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
外部ファイル共有の異常なボリュームUnusual volume of external file sharing SharePoint または OneDrive 内のファイルの数が異常に多い場合に、組織外のユーザーと共有するときにアラートを生成します。Generates an alert when an unusually large number of files in SharePoint or OneDrive are shared with users outside of your organization. このポリシーには、中 程度の重大度設定 があります。This policy has a Medium severity setting. 情報ガバナンスInformation governance E5/G5、Defender for Office 365 P2、または Microsoft 365 E5 アドオン サブスクリプションE5/G5, Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
ファイルの削除の異常なボリュームUnusual volume of file deletion 短時間で SharePoint または OneDrive で異常に多数のファイルが削除された場合に警告を生成します。Generates an alert when an unusually large number of files are deleted in SharePoint or OneDrive within a short time frame. このポリシーには、中 程度の重大度設定 があります。This policy has a Medium severity setting. 情報ガバナンスInformation governance E5/G5、Defender for Office 365 P2、または Microsoft 365 E5 アドオン サブスクリプションE5/G5, Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
フィッシングとして報告されるメールの異常な増加Unusual increase in email reported as phish Outlook でレポート メッセージ アドインを使用してフィッシング メールとしてメッセージを報告する組織内のユーザー数が大幅に増加すると、アラートが生成されます。Generates an alert when there's a significant increase in the number of people in your organization using the Report Message add-in in Outlook to report messages as phishing mail. このポリシーには、 重大度の高 い設定があります。This policy has a High severity setting. このアドインの詳細については、「レポート メッセージ アドイン を使用する」を参照してくださいFor more information about this add-in, see Use the Report Message add-in. 脅威の管理Threat management E5/G5 または Defender for Office 365 P2 アドオン サブスクリプションE5/G5 or Defender for Office 365 P2 add-on subscription
受信トレイ/フォルダー1、2に配信されるユーザー偽装 フィッシングUser impersonation phish delivered to inbox/folder1,2 管理者またはユーザーの上書きによってユーザー偽装フィッシング メッセージがメールボックスの受信トレイ (または他のユーザーアクセス可能なフォルダー) に配信されたと Microsoft が検出すると、警告が生成されます。Generates an alert when Microsoft detects that an admin or user override has allowed the delivery of a user impersonation phishing message to the inbox (or other user-accessible folder) of a mailbox. 上書きの例には、特定の送信者またはドメインからのメッセージを許可する受信トレイまたはメール フロー ルール、または特定の送信者またはドメインからのメッセージを許可するスパム対策ポリシーがあります。Examples of overrides include an inbox or mail flow rule that allows messages from a specific sender or domain, or an anti-spam policy that allows messages from specific senders or domains. このポリシーには、中 程度の重大度設定 があります。This policy has a Medium severity setting. 脅威の管理Threat management E5/G5 または Defender for Office 365 P2 アドオン サブスクリプションE5/G5 or Defender for Office 365 P2 add-on subscription
電子メールの送信を制限されたユーザーUser restricted from sending email 組織内のユーザーが送信メールの送信を制限されている場合にアラートを生成します。Generates an alert when someone in your organization is restricted from sending outbound mail. これは通常、アカウントが侵害され、ユーザーがセキュリティ コンプライアンス センターの [制限付きユーザー] ページ&されます。This typically results when an account is compromised, and the user is listed on the Restricted Users page in the Security & Compliance Center. (このページにアクセスするには、[脅威の管理] >[制限>を確認する] に移動します)。(To access this page, go to Threat management > Review > Restricted Users). このポリシーには、 重大度の高 い設定があります。This policy has a High severity setting. 制限付きユーザーの詳細については、「スパム メールの送信後にブロック リストからユーザー、ドメイン、または IP アドレスを削除する」 を参照してくださいFor more information about restricted users, see Removing a user, domain, or IP address from a block list after sending spam email. 脅威の管理Threat management E1/F1/G1、E3/F3/G3、または E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
フォームの共有と応答の収集を制限されたユーザーUser restricted from sharing forms and collecting responses 組織のユーザーが、繰り返しフィッシングの試み動作が検出された場合に、Microsoft Forms を使用してフォームの共有や応答の収集が制限されている場合にアラートを生成します。Generates an alert when someone in your organization has been restricted from sharing forms and collecting responses using Microsoft Forms due to detected repeated phishing attempt behavior. このポリシーには、 重大度の高 い設定があります。This policy has a High severity setting. 脅威の管理Threat management E1、E3/F3、または E5E1, E3/F3, or E5

注意

1 お 客様からのフィードバックに基づいて、この既定のアラート ポリシーを一時的に削除しました。1 We've temporarily removed this default alert policy based on customer feedback. 改善に取り組み、近い将来、新しいバージョンに置き換えます。We're working to improve it, and will replace it with a new version in the near future. それまでは、次の設定を使用して、この機能を置き換えるカスタム アラート ポリシーを作成できます。Until then, you can create a custom alert policy to replace this functionality by using the following settings:
  * アクティビティは配信時に検出されたフィッシング メールです  * Activity is Phish email detected at time of delivery
  * メールは ZAP'd ではありません  * Mail is not ZAP'd
  * メールの方向は受信  * Mail direction is Inbound
  * メール配信の状態は [配信済み] です。  * Mail delivery status is Delivered
  * 検出テクノロジは、悪意のある URL の保持、URL の削除、高度なフィッシング フィルター、一般的なフィッシング フィルター、ドメイン偽装、ユーザー偽装、ブランド偽装です。  * Detection technology is Malicious URL retention, URL detonation, Advanced phish filter, General phish filter, Domain impersonation, User impersonation, and Brand impersonation

   Office 365 でのフィッシング対策の詳細については、「フィッシング対策ポリシーとフィッシング対策ポリシーを設定する」 を参照してください   For more information about anti-phishing in Office 365, see Set up anti-phishing and anti-phishing policies.

2 このアラート ポリシーを再作成するには、前の脚注のガイダンスに従いますが、唯一の検出テクノロジとして [ユーザー偽装] を選択します。2 To recreate this alert policy, follow the guidance in the previous footnote, but choose User impersonation as the only Detection technology.

一部の組み込みポリシーによって監視される異常なアクティビティは、前に説明したアラートしきい値設定と同じプロセスに基づいて行います。The unusual activity monitored by some of the built-in policies is based on the same process as the alert threshold setting that was previously described. Microsoft は、"通常" アクティビティの通常の頻度を定義する基準値を確立します。Microsoft establishes a baseline value that defines the normal frequency for "usual" activity. その後、組み込みのアラート ポリシーによって追跡されるアクティビティの頻度が基準値を大幅に超えると、アラートがトリガーされます。Alerts are then triggered when the frequency of activities tracked by the built-in alert policy greatly exceeds the baseline value.

アラートの表示Viewing alerts

組織内のユーザーが実行したアクティビティがアラート ポリシーの設定と一致すると、警告が生成され、セキュリティとコンプライアンスセンターの [通知の表示] ページに表示されます。When an activity performed by users in your organization matches the settings of an alert policy, an alert is generated and displayed on the View alerts page in the security and compliance center. アラート ポリシーの設定に応じて、アラートがトリガーされると、指定したユーザーの一覧にも電子メール通知が送信されます。Depending on the settings of an alert policy, an email notification is also sent to a list of specified users when an alert is triggered. アラートごとに、[アラートの表示]ページのダッシュボードに、対応するアラート ポリシーの名前、アラートの重大度とカテゴリ (アラート ポリシーで定義)、およびアラートが生成されたアクティビティが発生した回数が表示されます。For each alert, the dashboard on the View alerts page displays the name of the corresponding alert policy, the severity and category for the alert (defined in the alert policy), and the number of times an activity has occurred that resulted in the alert being generated. この値は、アラート ポリシーのしきい値設定に基づいて設定されます。This value is based on the threshold setting of the alert policy. ダッシュボードには、各アラートの状態も表示されます。The dashboard also shows the status for each alert. status プロパティを使用してアラートを管理する方法の詳細については、「警告の管理 」を参照してくださいFor more information about using the status property to manage alerts, see Managing alerts.

アラートを表示するには、[アラートビューの https://protection.office.com 通知] に移動 して[アラート > の表示] を選択しますTo view alerts, go to https://protection.office.com and then select Alerts > View alerts.

セキュリティとコンプライアンスで、[アラート] を選択し、[アラートの表示] を選択してアラートを表示します。

次のフィルターを使用して、[アラートの表示] ページですべてのアラートのサブセット を表示 できます。You can use the following filters to view a subset of all the alerts on the View alerts page.

  • 状態。Status. このフィルターを使用して、特定の状態が割り当てられているアラートを表示します。Use this filter to show alerts that are assigned a particular status. 既定の状態は [アクティブ ] ですThe default status is Active. ユーザーまたは他の管理者は、状態の値を変更できます。You or other administrators can change the status value.

  • ポリシー。Policy. このフィルターを使用して、1 つ以上のアラート ポリシーの設定に一致するアラートを表示します。Use this filter to show alerts that match the setting of one or more alert policies. または、すべてのアラート ポリシーに対してすべてのアラートを表示することもできます。Or you can display all alerts for all alert policies.

  • 時間範囲。Time range. このフィルターを使用して、特定の日付と時刻の範囲内で生成されたアラートを表示します。Use this filter to show alerts that were generated within a specific date and time range.

  • 重大度。Severity. このフィルターを使用して、特定の重大度が割り当てられているアラートを表示します。Use this filter to show alerts that are assigned a specific severity.

  • カテゴリ。Category. このフィルターを使用して、1 つ以上のアラート カテゴリからのアラートを表示します。Use this filter to show alerts from one or more alert categories.

  • タグ。Tags. このフィルターを使用して、1 つ以上のユーザー タグからの通知を表示します。Use this filter to show alerts from one or more user tags. タグは、タグ付きメールボックスまたはアラートに表示されるユーザーに基づいて反映されます。Tags are reflected based on tagged mailboxes or users that appear in the alerts. 詳細 については、「User tags in Office 356 ATP」 を参照してください。See User tags in Office 356 ATP to learn more.

  • ソース。Source. このフィルターを使用して、Office 365 Cloud App Security ポリシー、または両方によってトリガーされるセキュリティとコンプライアンス センターのアラート ポリシーによってトリガーされるアラートを表示します。Use this filter to show alerts triggered by alert policies in the security and compliance center or alerts triggered by Office 365 Cloud App Security policies, or both. 365 Cloud App Security Officeの詳細については、「Viewing Cloud App Security alerts 」を参照してくださいFor more information about Office 365 Cloud App Security alerts, see Viewing Cloud App Security alerts.

重要

ユーザー タグによるフィルター処理と並べ替えは、現在パブリック プレビューに表示されています。Filtering and sorting by user tags is currently in public preview. 商用リリース前に大幅に変更される場合があります。It may be substantially modified before it's commercially released. Microsoft は、明示または黙示を問わず、その情報に関して一切の保証を行いません。Microsoft makes no warranties, express or implied, with respect to the information provided about it.

アラート集約Alert aggregation

アラート ポリシーの条件に一致する複数のイベントが短時間で発生すると、アラート集約と呼ばれるプロセスによって既存のアラート に追加されますWhen multiple events that match the conditions of an alert policy occur with a short period of time, they are added to an existing alert by a process called alert aggregation. イベントがアラートをトリガーすると、アラートが生成され、[通知の表示]ページに表示され、通知が送信されます。When an event triggers an alert, the alert is generated and displayed on the View alerts page and a notification is sent. 集約間隔内に同じイベントが発生した場合、Microsoft 365 は新しいアラートをトリガーする代わりに、新しいイベントの詳細を既存のアラートに追加します。If the same event occurs within the aggregation interval, then Microsoft 365 adds details about the new event to the existing alert instead of triggering a new alert. アラート集約の目的は、アラートの "疲労" を軽減し、同じイベントに対して少ないアラートに集中してアクションを実行する方法です。The goal of alert aggregation is to help reduce alert "fatigue" and let you focus and take action on fewer alerts for the same event.

集計間隔の長さは、365 サブスクリプションまたは Microsoft 365 サブスクリプションOfficeによって異なります。The length of the aggregation interval depends on your Office 365 or Microsoft 365 subscription.

サブスクリプションSubscription 集約間隔Aggregation interval
Office 365 または Microsoft 365 E5/G5Office 365 or Microsoft 365 E5/G5 1 分1 minute
Defender for Office 365 プラン 2Defender for Office 365 Plan 2 1 分1 minute
E5 コンプライアンス アドオンまたは E5 Discovery and Audit アドオンE5 Compliance add-on or E5 Discovery and Audit add-on 1 分1 minute
Office 365 または Microsoft 365 E1/F1/G1 または E3/F3/G3Office 365 or Microsoft 365 E1/F1/G1 or E3/F3/G3 15 分15 minutes
Defender for Office 365 プラン 1 または Exchange Online ProtectionDefender for Office 365 Plan 1 or Exchange Online Protection 15 分15 minutes

集約間隔内に同じアラート ポリシーに一致するイベントが発生すると、後続のイベントに関する詳細が元のアラートに追加されます。When events that match the same alert policy occur within the aggregation interval, details about the subsequent event are added to the original alert. すべてのイベントについて、集計イベントに関する情報が詳細フィールドに表示され、集計間隔でイベントが発生した回数が [アクティビティ/ヒットカウント] フィールドに表示されます。For all events, information about aggregated events is displayed in the details field and the number of times an event occurred with the aggregation interval is displayed in the activity/hit count field. アクティビティ リストを表示すると、すべての集計イベント インスタンスの詳細を表示できます。You can view more information about all aggregated events instances by viewing the activity list.

次のスクリーンショットは、4 つの集計イベントを含むアラートを示しています。The following screenshot shows an alert with four aggregated events. アクティビティ リストには、アラートに関連する 4 つの電子メール メッセージに関する情報が含まれます。The activity list contains information about the four email messages relevant to the alert.

アラート集約の例

アラート集約については、次のことを念頭に置いておきます。Keep the following things in mind about alert aggregation:

  • A 潜在的に悪意のある URL クリックによってトリガーされたアラートが検出された既定 のアラート ポリシー は集計されません。Alerts triggered by the A potentially malicious URL click was detected default alert policy are not aggregated. これは、このポリシーによってトリガーされるアラートは、各ユーザーと電子メール メッセージに固有のためです。This is because alerts triggered by this policy are unique to each user and email message.

  • 現時点では、[ ヒット数] アラート プロパティは、すべてのアラート ポリシーの集計イベントの数を示す値を示す機能を持つ必要があります。At this time, the Hit count alert property doesn't indicate the number of aggregated events for all alert policies. これらのアラート ポリシーによってトリガーされるアラートの場合は、[メッセージ一覧の表示] または[アラートのアクティビティの表示] をクリックして、集計された イベント を表示できます。For alerts triggered by these alert policies, you can view the aggregated events by clicking View message list or View activity on the alert. [ヒット数] アラート プロパティにリストされている集計イベントの数を、すべてのアラート ポリシーで使用できる状態にしています。We're working to make the number of aggregated events listed in the Hit count alert property available for all alert policies.

アラートを表示するために必要な RBAC のアクセス許可RBAC permissions required to view alerts

組織内のユーザーに割り当てられた役割ベースのアクセス制御 (RBAC) アクセス許可によって、[アラートの表示] ページでユーザーに表示できるアラート が決 わります。The Role Based Access Control (RBAC) permissions assigned to users in your organization determine which alerts a user can see on the View alerts page. これはどのように行いますか?How is this accomplished? ユーザーに割り当てられた管理役割 (セキュリティ & コンプライアンス センターの役割グループのメンバーシップに基づいて) は、ユーザーが [通知の表示] ページで表示できるアラート カテゴリ を決定 します。The management roles assigned to users (based on their membership in role groups in the Security & Compliance Center) determine which alert categories a user can see on the View alerts page. 次に例を示します。Here are some examples:

  • レコード管理役割グループのメンバーは、[情報ガバナンス] カテゴリが割り当てられているアラート ポリシーによって生成されるアラート のみを表示 できます。Members of the Records Management role group can view only the alerts that are generated by alert policies that are assigned the Information governance category.

  • コンプライアンス管理者役割グループのメンバーは、脅威管理カテゴリが割り当てられているアラート ポリシーによって生成されるアラート を表示 できません。Members of the Compliance Administrator role group can't view alerts that are generated by alert policies that are assigned the Threat management category.

  • 電子情報開示マネージャー役割グループのメンバーは、割り当てられた役割のいずれもアラート カテゴリからのアラートを表示するアクセス許可を提供しないので、アラートを表示できません。Members of the eDiscovery Manager role group can't view any alerts because none of the assigned roles provide permission to view alerts from any alert category.

この設計 (RBAC アクセス許可に基づく) を使用すると、組織内の特定のジョブ ロールのユーザーが表示 (および管理) できるアラートを特定できます。This design (based on RBAC permissions) lets you determine which alerts can be viewed (and managed) by users in specific job roles in your organization.

次の表に、6 つの異なるアラート カテゴリからのアラートを表示するために必要な役割を示します。The following table lists the roles that are required to view alerts from the six different alert categories. 表の最初の列には、セキュリティ コンプライアンス センターのすべての役割&一覧表示されます。The first column in the tables lists all roles in the Security & Compliance Center. チェック マークは、その役割が割り当てられているユーザーが、一番上の行に一覧表示されている対応するアラート カテゴリからアラートを表示できる状態を示します。A check mark indicates that a user who is assigned that role can view alerts from the corresponding alert category listed in the top row.

既定のアラート ポリシーが割り当てられているカテゴリを確認するには、「既定のアラート ポリシー」 の表を参照してくださいTo see which category a default alert policy is assigned to, see the table in Default alert policies.

RoleRole 情報ガバナンスInformation governance データ損失防止Data loss prevention メール フローMail flow アクセス許可Permissions 脅威の管理Threat management OthersOthers
監査ログAudit Logs
ケース管理Case Management
コンプライアンス管理者Compliance Administrator チェック マーク チェック マーク チェック マーク チェック マーク
コンプライアンス検索Compliance Search
デバイスの管理Device Management
廃棄管理Disposition Management
DLP コンプライアンス管理DLP Compliance Management チェック マーク
エクスポートExport
HoldHold
通知の管理Manage Alerts チェック マーク
組織の構成Organization Configuration チェック マーク
プレビューPreview
レコード管理Record Management チェック マーク
アイテム保持の管理Retention Management チェック マーク
レビューReview
RMS の暗号化解除RMS Decrypt
役割の管理Role Management チェック マーク
検索と消去Search And Purge
セキュリティ管理者Security Administrator チェック マーク チェック マーク チェック マーク チェック マーク
セキュリティ閲覧者Security Reader チェック マーク チェック マーク チェック マーク チェック マーク
サービス アシュアランス ビューService Assurance View
監督レビュー管理者Supervisory Review Administrator
表示専用の監査ログView-Only Audit Logs
View-Onlyデバイスの管理View-Only Device Management
View-Only DLP コンプライアンス管理View-Only DLP Compliance Management チェック マーク
View-Onlyアラートの管理View-Only Manage Alerts チェック マーク
"View-Only Recipients/表示専用受信者"View-Only Recipients チェック マーク
View-Onlyレコードの管理View-Only Record Management チェック マーク
View-Only保持管理View-Only Retention Management チェック マーク

ヒント

各既定の役割グループに割り当てられている役割を表示するには、「セキュリティ とコンプライアンス センター PowerShell」で&実行します。To view the roles that are assigned to each of the default role groups, run the following commands in Security & Compliance Center PowerShell:

$RoleGroups = Get-RoleGroup
$RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,"-----------------------"; Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}

また、セキュリティ コンプライアンス センターで役割グループに割り当てられた役割&表示することもできます。You can also view the roles assigned to a role group in the Security & Compliance Center. [アクセス許可] ページに移動 し、役割グループを選択します。Go to the Permissions page, and select a role group. 割り当てられた役割は、フライアウト ページに表示されます。The assigned roles are listed on the flyout page.

アラートの管理Managing alerts

セキュリティとコンプライアンス センターの [通知の表示] ページでアラートが生成および表示された後、アラートをトリアージ、調査、および解決できます。After alerts have been generated and displayed on the View alerts page in the security and compliance center, you can triage, investigate, and resolve them. アラートを管理するために実行できるタスクの一部を次に示します。Here are some tasks you can perform to manage alerts.

  • アラートに状態を割り当てる。Assign a status to alerts. アラートには、アクティブ (既定値)、調査、解決済み、または [却下] のいずれかの 状態を割当てできますYou can assign one of the following statuses to alerts: Active (the default value), Investigating, Resolved, or Dismissed. 次に、この設定をフィルター処理して、同じ状態設定でアラートを表示できます。Then, you can filter on this setting to display alerts with the same status setting. この状態設定は、アラートの管理プロセスを追跡するのに役立ちます。This status setting can help track the process of managing alerts.

  • アラートの詳細を表示します。View alert details. アラートを選択すると、アラートの詳細を含むフライアウト ページを表示できます。You can select an alert to display a flyout page with details about the alert. 詳細な情報は、対応するアラート ポリシーによって異なりますが、通常、アラートをトリガーした実際の操作の名前 (コマンドレットなど)、アラートをトリガーしたアクティビティの説明、アラートをトリガーしたユーザー (またはユーザーのリスト)、対応するアラート ポリシーの名前 (およびリンク先) が含まれます。The detailed information depends on the corresponding alert policy, but it typically includes the following: name of the actual operation that triggered the alert (such as a cmdlet), a description of the activity that triggered the alert, the user (or list of users) who triggered the alert, and the name (and link to) of the corresponding alert policy.

    • コマンドレットや監査ログ操作など、アラートをトリガーした実際の操作の名前。The name of the actual operation that triggered the alert, such as a cmdlet or an audit log operation.

    • アラートをトリガーしたアクティビティの説明。A description of the activity that triggered the alert.

    • アラートをトリガーしたユーザー。The user who triggered the alert. これは、1 人のユーザーまたは 1 つのアクティビティを追跡するために設定されたアラート ポリシーにのみ含まれます。This is included only for alert policies that are set up to track a single user or a single activity.

    • アラートによって追跡されたアクティビティが実行された回数。The number of times the activity tracked by the alert was performed. この数は、より多くのアラートがトリガーされた可能性があるから、[アラートの表示] ページに表示されている関連するアラートの実際の数と一致しない場合があります。This number may not match that actual number of related alerts listed on the View alerts page because more alerts may have been triggered.

    • アラートをトリガーした各アクティビティのアイテムを含むアクティビティ リストへのリンク。A link to an activity list that includes an item for each activity that was performed that triggered the alert. この一覧の各エントリは、アクティビティが発生した時点、実際の操作の名前 ("FileDeleted"など)、アクティビティを実行したユーザー、アクティビティが実行されたオブジェクト (ファイル、電子情報開示ケース、メールボックスなど)、およびユーザーのコンピューターの IP アドレスを識別します。Each entry in this list identifies when the activity occurred, the name of actual operation (such as "FileDeleted"), and the user who performed the activity, the object (such as a file, an eDiscovery case, or a mailbox) that the activity was performed on, and the IP address of the user's computer. マルウェア関連のアラートの場合、このリンクはメッセージ リストにリンクされます。For malware-related alerts, this links to a message list.

    • 対応するアラート ポリシーの名前 (およびリンク先)。The name (and link to) of the corresponding alert policy.

  • 電子メール通知を抑制します。Suppress email notifications. 通知のフライアウト ページからメール通知をオフ (または抑制) できます。You can turn off (or suppress) email notifications from the flyout page for an alert. 電子メール通知を非表示にした場合、アラート ポリシーの条件に一致するアクティビティやイベントが通知を送信しません。When you suppress email notifications, Microsoft won't send notifications when activities or events that match the conditions of the alert policy. ただし、ユーザーが実行するアクティビティがアラート ポリシーの条件と一致すると、アラートがトリガーされます。But alerts will be triggered when activities performed by users match the conditions of the alert policy. アラート ポリシーを編集して電子メール通知をオフにすることもできます。You can also turn off email notifications by editing the alert policy.

  • アラートを解決します。Resolve alerts. アラートのフライアウト ページで、アラートを解決済みとしてマークできます (アラートの状態を [解決済み] に設定します)。You can mark an alert as resolved on the flyout page for an alert (which sets the status of the alert to Resolved). フィルターを変更しない限り、[アラートの表示] ページには解決済みアラート は表示 されません。Unless you change the filter, resolved alerts aren't displayed on the View alerts page.

Cloud App Security アラートの表示Viewing Cloud App Security alerts

365 Cloud App Security Officeによってトリガーされるアラートが、セキュリティとコンプライアンス センターの[通知の表示] ページに表示されます。Alerts that are triggered by Office 365 Cloud App Security policies are now displayed on the View alerts page in the security and compliance center. これには、アクティビティ ポリシーによってトリガーされるアラートと、365 Cloud App Security の異常検出ポリシーによってトリガーされるOfficeが含まれます。This includes alerts that are triggered by activity policies and alerts that are triggered by anomaly detection policies in Office 365 Cloud App Security. つまり、セキュリティとコンプライアンス センターですべてのアラートを表示できます。This means you can view all alerts in the security and compliance center. Office 365 Cloud App Security は、Office 365 Enterprise E5 または Office 365 US Government G5 サブスクリプションを持つ組織でのみ使用できます。Office 365 Cloud App Security is only available for organizations with an Office 365 Enterprise E5 or Office 365 US Government G5 subscription. 詳細については 、「Overview of Cloud App Security」を参照してくださいFor more information, see Overview of Cloud App Security.

Microsoft Cloud App Security を Enterprise Mobility + Security E5 サブスクリプションの一部として、またはスタンドアロン サービスとして使用している組織は、セキュリティ & コンプライアンス センターで Office 365 アプリとサービスに関連するクラウド アプリ セキュリティアラートを表示することもできます。Organizations that have Microsoft Cloud App Security as part of an Enterprise Mobility + Security E5 subscription or as a standalone service can also view Cloud App Security alerts that are related to Office 365 apps and services in the Security & Compliance Center.

セキュリティとコンプライアンス センターに Cloud App Security アラートのみを表示するには、[ソース] フィルターを使用し、[クラウド アプリ セキュリティ]を選択しますTo display only Cloud App Security alerts in the security and compliance center, use the Source filter and select Cloud App Security.

ソース フィルターを使用して Cloud App Security アラートのみを表示する

セキュリティとコンプライアンス センターのアラート ポリシーによってトリガーされるアラートと同様に、Cloud App Security アラートを選択して、アラートの詳細を示すフライアウト ページを表示できます。Similar to an alert triggered by an alert policy in the security and compliance center, you can select a Cloud App Security alert to display a flyout page with details about the alert. アラートには、詳細を表示し、Cloud App Security ポータルでアラートを管理するためのリンクと、アラートをトリガーした対応する Cloud App Security ポリシーへのリンクが含まれます。The alert includes a link to view the details and manage the alert in the Cloud App Security portal and a link to the corresponding Cloud App Security policy that triggered the alert. 「Cloud App Security でアラートを監視する」を参照してくださいSee Monitor alerts in Cloud App Security.

アラートの詳細には、Cloud App Security ポータルへのリンクが含まれている

重要

セキュリティとコンプライアンス センターで Cloud App Security アラートの状態を変更しても、Cloud App Security ポータルの同じアラートの解決状態は更新されません。Changing the status of a Cloud App Security alert in the security and compliance center won't update the resolution status for the same alert in the Cloud App Security portal. たとえば、セキュリティとコンプライアンス センターでアラートの状態を解決済みとしてマークすると、Cloud App Security ポータルのアラートの状態は変更されません。For example, if you mark the status of the alert as Resolved in the security and compliance center, the status of the alert in the Cloud App Security portal is unchanged. Cloud App Security アラートを解決または却下するには、Cloud App Security ポータルでアラートを管理します。To resolve or dismiss a Cloud App Security alert, manage the alert in the Cloud App Security portal.