管理者から報告されるユーザーリスク

この検出は手動で行います。これは、管理者がユーザーのリスクレベルを手動で低、中、高に変更した場合に発生します。管理者は、Admin Consoleのユーザーのプロファイルページで、またはユーザーリスクAPIを使用して行うことができます。

検出リスクレベル：高、中、低

この手動での変更は通常、外部調査の一環として行われます。EDR/XDR/MDMツールがユーザーのデバイスに不正アクセスのフラグを立てたとき、またはノートパソコンの紛失や盗難の報告を受け取ったときは、リスクレベルを変更できます。

ポリシーの構成

エンティティリスクポリシーで、次の個別のルールを作成します。

ルール1（管理者が高を設定）

• 検出（Detection）：管理者から報告されるユーザーリスク
• エンティティリスクレベル（Entity risk level）：高
• このアクションを実行（Take this action）：Universal Logoutを実行するか、Workflowを実行して、SOCチームに調査を開始するように通知します

ルール2（管理者がAPIを介して中を設定）

• 検出（Detection）：管理者から報告されるユーザーリスク
• エンティティリスクレベル（Entity risk level）：中
• このアクションを実行（Take this action）：Workflowを実行して、SOCチームに調査を開始するように通知します

修復戦略

1. 即時アクション：構成済みのポリシーが即時に有効になります。調査が完了している際にユーザーを高リスクグループに追加します。

2. 調査：リスクを設定した管理者が調査を担当します（例：エンドポイントセキュリティチームと連携してデバイスをクリーンアップする）。System Logで次のクエリを実行します：eventType eq "user.risk.detect" and debugContext.debugData.risk co "detectionName=Admin Reported User Risk"

3. アクセスの復元：外部インシデントが解決された後に、管理者はセッションを消去する、またはユーザーリスクAPIを使用してリスクを下げることができます。