管理者から報告されるユーザーリスク

この検出は手動で行います。これは、管理者がユーザーのリスクレベルを手動で低、中、高に変更した場合に発生します。管理者は、Admin Consoleのユーザーのプロファイルページで、またはユーザーリスクAPIを使用して行うことができます。

検出リスクレベル：高、中、低

この手動での変更は通常、外部調査の一環として行われます。EDR/XDR/MDMツールがユーザーのデバイスに不正アクセスのフラグを立てたとき、またはノートパソコンの紛失や盗難の報告を受け取ったときは、リスクレベルを変更できます。

ポリシーの構成

エンティティリスクポリシーで、次の個別のルールを作成します。

ルール1（管理者が高を設定）

• ［Detection（検出）］：管理者から報告されるユーザーリスク
• ［Entity risk level（エンティティリスクレベル）］：高
• ［Take this action（このアクションを実行）］：Universal Logoutを実行するか、Workflowを実行して、SOCチームに調査を開始するように通知します

ルール2（管理者がAPIを介して中を設定）

• ［Detection（検出）］：管理者から報告されるユーザーリスク
• ［Entity risk level（エンティティリスクレベル）］：中
• ［Take this action（このアクションを実行）］：Workflowを実行して、SOCチームに調査を開始するように通知します

修復戦略

1. 即時アクション：構成済みのポリシーが即時に有効になります。調査が完了している際にユーザーを高リスクグループに追加します。

2. 調査：リスクを設定した管理者が調査を担当します（例：エンドポイントセキュリティチームと連携してデバイスをクリーンアップする）。

3. アクセスの復元：外部インシデントが解決された後に、管理者はセッションを消去する、またはユーザーリスクAPIを使用してリスクを下げることができます。