Criar alertas de segurança e conformidade para o Microsoft Teams
Você pode usar a política de alerta para monitorar as atividades dos usuários. Os alertas são gerados quando os usuários executam atividades que correspondem às condições de uma política de alerta. Por exemplo, ataques de malware, campanhas de phishing e níveis incomuns de exclusões de arquivos e compartilhamento externo. Você pode criar e examinar o painel de alerta no portal de conformidade do Microsoft Purview.
As políticas de alerta permitem categorizar os alertas disparados por uma política, aplicar a política a todos os usuários em sua organização, definir um nível de limite para quando um alerta é disparado e decidir se receberão notificações por email quando os alertas forem disparados.
Como funcionam as políticas de alerta
O diagrama a seguir mostra o fluxo de trabalho básico de como as políticas de alerta funcionam:
Os administradores criam novas ou modificam políticas existentes no portal de conformidade do Microsoft Purview que monitoram atividades incomuns de usuários ou administradores.
Um usuário ou administrador executa ações que correspondem às condições e disparam uma política de alerta, como criar um caso de Descoberta Eletrônica ou possivelmente adicionar permissões de acesso completo a uma caixa de correio.
Um alerta é gerado e a ação de alerta de acordo é disparada, como enviar um email para todos os administradores globais. Além disso, uma entrada de alerta é criada no painel de alerta no portal de conformidade do Microsoft Purview.
Os administradores examinam alertas no painel de alertas e decidem confirmar ou ignorar o alerta.
Sobre as configurações da política
Uma política de alerta consiste em um conjunto de regras e condições que definem a atividade de usuário ou administrador que gera um alerta, uma lista de usuários que disparam o alerta se eles executam a atividade e um limite que define quantas vezes a atividade deve ocorrer antes que um alerta seja disparado. Você também categoriza a política e atribui a ela um nível de severidade.
Uma política de alerta consiste nas seguintes configurações e condições:
Atividade que o alerta está acompanhando: você cria uma política para controlar uma atividade ou, em alguns casos, algumas atividades relacionadas, como compartilhar um arquivo com um convidado compartilhando-o, atribuindo permissões de acesso ou criando um link anônimo. Quando um usuário executa a atividade definida pela política, um alerta é disparado com base nas configurações de limite de alerta.
Atividade: Para a maioria das atividades, você pode definir outras condições que devem ser atendidas para disparar um alerta.
Quando o alerta é disparado: Você pode definir uma configuração que define a frequência com que uma atividade pode ocorrer antes que um alerta seja disparado.
Categoria de alerta: Para ajudar a acompanhar e gerenciar os alertas gerados por uma política, você pode atribuir uma das seguintes categorias a uma política:
Prevenção contra perda de dados
Governança de informações
Fluxo de mensagens
Permissions
Gerenciamento de ameaças
Outros
Quando ocorre uma atividade que atenda às condições da política de alerta, o alerta gerado é marcado com a categoria especificada por esse parâmetro. A marcação permite controlar e gerenciar alertas que têm a mesma configuração de categoria na página Alertas no portal de conformidade porque você pode classificar e filtrar alertas com base na categoria.
Alerta de severidade: Similar à categoria de alerta, você atribui um atributo de gravidade (Baixo, Médio, Alto, ou Informacional) para alertar as políticas. Como a categoria de alerta, quando ocorre uma atividade que corresponde às condições da política de alerta, o alerta gerado é marcado com o mesmo nível de severidade definido para a política de alerta.
Email de notificações: Você pode configurar a política para que as notificações por email sejam enviadas (ou não enviadas) para uma lista de usuários quando um alerta for disparado.
Criar novos alertas
Para criar uma nova política de alerta no portal de conformidade do Microsoft Purview e verificar se o log de auditoria está ativado, siga estas etapas:
Entre no portal de conformidade do Microsoft Purview e selecione Políticas > de Alerta de Políticas.
Selecione + Nova política de alerta no painel superior para criar uma nova política de alerta.
No Nomeie sua alerta, categorize-o, e escolha uma severidade. página, insira o seguinte:
Name para identificar o uso dessa política de alerta.
Descrição para que outros administradores entendam a finalidade dessa política de alerta.
Gravidade para um nível de importância para eventos desses alertas.
Categoria para configurar o acesso para diferentes funções em sua organização.
Selecione Avançar.
Na página Escolha uma atividade, condições e quando disparar o alerta selecione uma atividade e condição desejadas para o alerta e, em seguida, selecione Próximo.
Na página Decide se deseja notificar as pessoas quando este alerta for disparado, você poderá especificar os destinatários da notificação e da frequência do limite diário de notificação. Selecione Avançar.
Na página Exibir suas configurações, você pode examinar as configurações de alerta e decidir ativar a política imediatamente ou posteriormente. Selecione Finalizar quando tudo estiver configurado conforme desejado.
Exibir alertas
As permissões de Controle de Acesso Baseado em Função (RBAC) atribuídas aos usuários em sua organização determinam quais alertas um usuário pode ver na página de Alertas. Aqui estão alguns exemplos:
Os membros do grupo de funções de Gerenciamento de Registros podem visualizar apenas os alertas que são gerados pelas políticas de alerta que são atribuídas à categoria de governança da informação.
Os membros do grupo de função Administrador de Conformidade não podem visualizar alertas que são gerados por políticas de alerta que são atribuídas à categoria de Gerenciamento de Ameaças.
Os membros do grupo de funções do Gerente de Descoberta Eletrônica não podem visualizar quaisquer alertas porque nenhuma das funções designadas fornece permissão para visualizar alertas de qualquer categoria de alerta.