【Q&Aコーナー】秘密度ラベルの設定変更を検出する

皆さんこんにちは。国井です。
最近、E5 Compliance分野に関わるご相談を受けることが増えてきており、
その中でも秘密度ラベルに関するご相談が多くあります。
今日はその中で次のようなご質問をいただいたので回答していきたいと思います。

秘密度ラベルの設定変更を検知して管理者にメールでお知らせする方法はありますか?

Microsoft Defender for Cloud Appsなどを利用して秘密度ラベルの設定を自動化している場合、秘密度ラベルを手動で設定することは基本的にありません。そのため、もしラベル設定を変更したり、削除したりすることがあれば、それって不適切な目的で変更しているんじゃない?と考えて、このような質問をしてくださったのだと思います。

これに関しては組み込みの機能で検知 → メール送信のような仕組みはないので、メール送信する部分については自分で作りこまなければならないという面倒があります。それから、秘密度ラベルを手動で設定変更するのはデバイス上の操作になるので、MDEのオンボードを事前に行っておくことが必要になります。
それを踏まえて私がトライしてみたことを書き記しておきます。

トライその1:Advanced Huntingから調査

秘密度ラベルを操作するデバイスがMDEにオンボードしてあればデバイス上のアクティビティはMDEに送信されるので、Advanced Huntingから調査することでラベルの設定状況が確認できるのではないかと考えました。クエリはこんな感じです。

DeviceFileEvents
| where SensitivityLabel contains "ラベル名" or SensitivityLabel contains "ラベル名"
| order by Timestamp desc

ラベル名のところに自社で使用しているラベルの名前を書きだしておけば、それらのラベルに変更したものを見つけられます。
結果はこちら。見やすいように表示を整形しています。

image

結果を見ると特定のファイルがAllUsersラベルからFTEOnlyラベルに切り替わったことがわかります。だけど、最大の欠点はラベルを変更したことを示す情報がAdvanced Huntingから拾ってこれないことなのです (ラベルを削除した場合に至っては削除後の情報しかクエリで拾ってこれないので意味がない)。それじゃ今回の目的を果たせないですよね…
Advanced Huntingの場合、結果に基づいてアラートを出す機能があるだけに、、残念。

トライその2:Microsoft Purviewの監査を使う

Microsoft Purview管理センターにある[監査]を利用すると秘密度ラベルの設定変更を追跡できます。

image

これを使うと5分ぐらい待たされますが、こんな感じで私たちがまさに求めてたものが表示されます!

image

この監査設定についてはMicrosoft Learnにこんなことが書いてあります。

イベント発生後、監査レコードが使用できるようになるまでどのくらいの時間がかかりますか?

ほとんどの監査データは 60 から 90 分以内に使用できますが、対応する監査ログ エントリが検索結果に表示されるまでにイベントが発生してから最大 24 時間かかる場合があります。 この記事の 「監査ログを検索する前 に」セクションを参照して、さまざまなサービスのイベントが使用可能になるまでにかかる時間を示します。
Microsoft Purview コンプライアンス ポータルで監査ログを検索する – Microsoft Purview (compliance) | Microsoft Learn

なるほど。すぐには確認できないのね。そしてそれより問題なのはこの結果をもとにアラートを出す、メールを出すって仕組みがないことです。なんか、うまくここのデータを取り出してメールを出すってしたかったのですが…

トライその3:Activity Explorerから調査

Activity ExplorerはMicrosoft Purview管理センターの[データの分類]にある機能で、MDEにオンボードされたデバイスのアクティビティを参照できるという素晴らしい機能です。これを利用するとファイル単位で行われた操作がこんな感じで見えます。

image

アクティビティとしてLabel Changed、Label Removedを選択してフィルターすれば、まさに条件に合致するものが参照できます。しかし、Activity Explorerもまた結果をもとにアラートを出す、メールを出すって仕組みがないのです。
しかしActivity Explorerは監査機能と異なり、PowerShellのコマンドレットから同じ情報を参照できるという素晴らしい機能があります。具体的にはExport-ActivityExplorerDataコマンドレットを使うといま見ているデータがそのままCSV形式に出力されます。
こちらが結果です、、ってお見せしようとしたら私のマシンではコマンドレット実行時にトラブルが起きてしまったので、この先は改めて紹介しますが、既に実行方法をまとめている方がいらっしゃるので合わせて紹介しておきます。

これを利用して出力された結果をもとにメールを送信するような設定を行うと良いのではないかと思います。

もしPower Automateを使ったらどう?とか、良いアイデアがあれば是非お知らせください!