エンドポイントDLPで印刷・外付けディスク利用を追跡

皆さんこんにちは。国井です。
以前にMicrosoft Defender for Endpointを利用して印刷や外付けディスクの利用を追跡していく方法を紹介しましたが、Microsoft 365 E5を利用しているのであれば、もうひとつ追跡する方法があります。
それがエンドポイントDLPを使った方法です。

■ ■ ■

DLP(Data Loss Prevention)とはコンテンツの中に機密情報が含まれているかをチェックし、機密情報があればデータの送信をブロックするなどの措置を行ってくれるソリューションです。DLP自体は古くからOffice 365のサービスとして用意されていたのですが、Microsoft 365 E5になるとWindows 10デバイスでのアクティビティを監視し、機密情報の存在を見つけてきてくれるエンドポイントDLPなるものが利用できるようになります。

DLPは条件をもとに機密情報を見つけてくれるソリューションですが、その過程でエンドポイントデバイスでのアクティビティそのものを監視してくれて、アクティビティエクスプローラーと呼ばれるMicrosoft 365コンプライアンス管理センターのユーザーインターフェイスから参照することができます。これこそが今回のブログでやりたいこと、見たいことになります。

実装方法は簡単なので、簡単に見てみましょう。

セットアップ

マイクロソフトのdocsにアクセスすれば全部書いてあるのですが、

docs.microsoft.com

Microsoft 365 エンドポイント データ損失防止を開始する - Microsoft 365 Compliance

https://docs.microsoft.com/ja-jp/microsoft-365/compliance/endpoint-dlp-getting-started?view=o365-worldwide

Microsoft 365 エンドポイントのデータ損失防止を設定して、ファイルアクティビティを監視し、それらのファイルの保護アクションをエンドポイントに実装します。

簡単にまとめておくと以下の前提条件が必要になります。

・Microsoft 365 E5 / E5 Compliance / E5 Information protection and governanceのいずれかのライセンスを保有していること
・Windows 10 1809以降であること
・Microsoft Defenderウイルス対策のバージョンが4.18.2009.7以上であること
・Windows Updateにより次の更新プログラムがインストールされていること
-Windows 10 1809 の場合 – KB4559003、KB4577069、KB4580390
-Windows 10 1903 または 1909 の場合 – KB4559004、KB4577062、KB4580386
-Windows 10 2004 の場合 – KB4568831、KB4577063
-Office 2016 を実行しているデバイスの場合 (他の Office バージョンではない) – KB4577063
・デバイスがAzure AD登録 / Azure AD参加 / ハイブリッドAzure AD参加 のいずれかの登録が行われていること
・新しいEdgeがインストールされていること

そのほか、プロキシを利用している場合には他の設定が必要になります。

ここまでの設定が完了したらMicrosoft 365コンプライアンス管理センターにアクセスして
設定 > デバイスのオンボード からオンボーディングスクリプトをダウンロードしてデバイスで実行します。(※このオンボーディングスクリプトってMDEのスクリプトと同じような気がしますが、何が違うんでしょうね？？)

それから監査対象となるコンテンツはMicrosoft 365コンプライアンス管理センターのデータ損失防止 > エンドポイントのDLP設定からカスタマイズすることも可能です。

Here we go

Microsoft 365コンプライアンス管理センターのデータ損失防止 > アクティビティエクスプローラーから結果を参照します。アクティビティエクスプローラーではフィルター設定ができるのですが、アクティビティの種類でフィルターしようとすると、こんな感じのフィルター項目があることがわかります。

フィルター項目だけ拡大してみるとこんな感じです。

フィルター項目を見れば[File printed]とあるので、印刷されたデータがすぐにわかります。
実際にフィルターをかけると該当の項目が表示されるので、クリックして詳細を見ると印刷したファイルの名前が確認できます。

外付けディスク利用を追跡

外付けディスクの利用があればフィルターから[FileCopiedToRemovableMedia]という項目で追跡できます。

上の画面では1件だけ該当の項目がありました。
詳細は日時やユーザー名などと一緒に以下のような情報を参照できます。

クラウドへのコピー

コピーをしましたよという追跡はローカル、ネットワーク共有、クラウド、RDPセッションと別々にフィルター項目が用意されています。例えばクラウドへのコピーを追跡してみましょう。クラウドへのファイルコピーはターゲットドメイン名が表示されるので、ドメイン名を見れば「あ、DeepLで翻訳したんだｗ」とか分かるわけです。

ここに画面は載せていませんが、RDPセッションの場合はコピー先がmstsc.exeとだけ表示されて、どこの仮想マシンにコピーされたかは全く分からなかったりします。

まとめ

Microsoft 365 E5のDLPを使えばMDEを使った印刷や外付けディスク利用の追跡をするよりも簡単に追跡できることが分かったと思います。
一方でキーワードで検索・追跡するなどのフィルター設定が充実していないのでCSVにエクスポートしてExcelから検索しなければならないなど、ちょっと使い勝手が悪いところもあったりします。
あとはこの情報をもとにしたアラートが設定できるといいですね。
このあたりはもう少し調べて別途お伝えできたらと思います。