Partilhar via


Introdução aos Alertas de prevenção de perda de dados dashboard

Prevenção Contra Perda de Dados do Microsoft Purview políticas (DLP) podem tomar medidas de proteção para impedir a partilha não intencional de itens confidenciais. Pode ser notificado quando é efetuada uma ação num item confidencial ao configurar alertas para DLP. Este artigo mostra-lhe como configurar alertas nas suas políticas de prevenção de perda de dados (DLP). Verá como utilizar a gestão de alertas DLP dashboard no portal do Microsoft Purview para ver alertas, eventos e metadados associados para violações da política DLP.

Se não estiver familiarizado com os alertas DLP, deve rever Introdução aos alertas de prevenção de perda de dados.

Dica

Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.

O portal do Microsoft Purview mostra alertas para políticas DLP impostas nas seguintes cargas de trabalho:

  • Trocar email
  • Sites do SharePoint
  • Contas OneDrive
  • Bater papo e canal de mensagens do Teams
  • Dispositivos
  • Instâncias
  • Repositórios locais
  • Recursos de Infraestrutura e Power BI

Antes de começar

Antes de começar, certifique-se de que tem os pré-requisitos necessários:

  • Licenciamento para a gestão de alertas DLP dashboard
  • Licenciamento para opções de configuração de alertas
  • Funções necessárias

Licenciamento para o dashboard de gestão de alertas DLP

Antes de começar a utilizar políticas DLP, confirme a sua subscrição do Microsoft 365 e quaisquer suplementos.

Para obter informações sobre o licenciamento, consulte Microsoft 365, Office 365, Enterprise Mobility + Security e Subscrições Windows 11 para Empresas.

Os clientes que utilizam o DLP de Ponto Final que são elegíveis para o DLP do Teams veem os alertas de política DLP do ponto final e os alertas de política DLP do Teams no dashboard de gestão de alertas DLP.

Licenciamento para opções de configuração de alertas

Antes de começar a utilizar políticas DLP, confirme a sua subscrição do Microsoft 365 e quaisquer suplementos.

Para obter informações sobre o licenciamento, consulte Microsoft 365, Office 365, Enterprise Mobility + Security e Subscrições Windows 11 para Empresas.

Funções e Grupos de Funções

Se quiser ver a gestão de alertas DLP dashboard ou editar as opções de configuração de alertas numa política DLP, tem de ser membro de um destes grupos de funções:

  • Administrador de Conformidade
  • Administrador de Dados de Conformidade
  • Administrador de Segurança
  • Operador de Segurança
  • Leitor de Segurança
  • Administrador de Proteção de Informações
  • Analista de Proteção de Informações
  • Investigador de Proteção de Informações
  • Leitor de Proteção de Informações

Para saber mais sobre as mesmas, consulte Permissões no portal de conformidade do Microsoft Purview

Eis uma lista de grupos de funções aplicáveis. Para saber mais sobre as mesmas, consulte Permissões no portal de conformidade do Microsoft Purview.

  • Proteção de Informações
  • Administradores de Proteção de Informações
  • Analistas de Proteção de Informações
  • Investigadores de Proteção de Informações
  • Leitores de Proteção de Informações

Para aceder ao dashboard de gestão de alertas DLP, precisa da função Gerir alertas e de uma destas duas funções:

  • Gerenciamento de Conformidade de DLP
  • Gestão de Conformidade de DLP View-Only

Para aceder à funcionalidade Pré-visualização de conteúdo e às funcionalidades de conteúdo e contexto Confidenciais correspondentes, tem de ser membro do grupo de funções Visualizador de Conteúdos Explorer Conteúdo, que tem a função visualizador de conteúdos de classificação de dados pré-atribuída.

Configuração de alerta DLP

Para saber como configurar um alerta na sua política DLP, veja Criar e Implementar políticas de prevenção de perda de dados.

Importante

A configuração da política de retenção de registos de auditoria da sua organização controla durante quanto tempo um alerta permanece visível na consola do . Veja Gerir políticas de retenção de registos de auditoria para obter mais informações.

Configuração de alertas de eventos agregados

Se a sua organização tiver licença para opções de configuração de alertas agregados, verá estas opções ao criar ou editar uma política DLP.

Captura de ecrã a mostrar opções para relatórios de incidentes para utilizadores elegíveis para opções de configuração de alertas agregados.

Esta configuração permite-lhe configurar uma política para gerar um alerta sempre que uma atividade corresponder às condições da política ou quando um determinado limiar é excedido, com base no número de atividades ou com base no volume de dados exfiltrados.

Configuração de alerta de evento único

Se a sua organização tiver licença para opções de configuração de alertas de evento único, verá estas opções quando cria ou edita uma política DLP. Utilize esta opção para criar um alerta que é gerado sempre que ocorre uma correspondência de regra DLP.

Captura de ecrã a mostrar opções para relatórios de incidentes para utilizadores elegíveis para opções de configuração de alertas de evento único.

Investigar um alerta DLP

Selecione a guia apropriada para o portal que você está usando. Dependendo do seu plano do Microsoft 365, o portal de conformidade do Microsoft Purview será descontinuado ou será descontinuado em breve.

Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Para trabalhar com a gestão de alertas DLP dashboard:

  1. Inicie sessão no portal > do Microsoft PurviewPrevenção de perda de dados.
  2. Selecione Alertas para ver o dashboard Alertas DLP.
  3. Utilize os campos Filtro para refinar a lista de alertas.
  4. Selecione Personalizar colunas para listar as propriedades que pretende ver.
  5. Para ordenar os resultados por ordem ascendente ou descendente, faça duplo clique no cabeçalho da coluna.
  6. Faça duplo clique num alerta para obter mais informações sobre o mesmo.
  7. O separador Detalhes é aberto por predefinição e fornece informações de alto nível sobre o alerta.
  8. Selecione Resumir com Copilot. Isto faz com que o Security Copilot gere um resumo do alerta. O resumo do alerta irá conter:
    • gravidade do alerta
    • título do alerta
    • o nome da política que foi correspondida
    • o ficheiro de nome envolvido e uma ligação para o ficheiro
    • status de alerta
    • o endereço de e-mail do utilizador que efetuou a ação que correspondeu à política
  9. Selecione as reticências no resumo Security Copilot para:
    • copiar o resumo para a área de transferência
    • regenerar o resumo
    • abra o alerta no Security Copilot experiência autónoma.
  10. Selecione Ver detalhes para abrir o separador Descrição geral . O separador Descrição geral fornece um resumo das seguintes informações:
    • O que aconteceu
    • Quem realizou as ações que causaram a correspondência da política
    • Informações adicionais sobre a correspondência de política
  11. O separador Eventos lista todos os eventos associados ao alerta. Selecione qualquer evento na lista para obter informações detalhadas sobre o evento. Para cada evento, selecione o menu pendente Ações para obter uma lista de ações que pode efetuar no alerta, como verificar se o alerta identificou ou não uma correspondência verdadeira ou um falso positivo.
    1. O separador Resumo da atividade do utilizador requer que a partilha seja ativada nas definições de gestão de riscos internos Uma vez ativada, o separador Resumo da atividade do utilizador fornece todas as atividades de exfiltração em que o utilizador participou (até aos últimos 120 dias). Os utilizadores têm de estar no âmbito de uma política de gestão de riscos internos para ver o separador Resumo da atividade do utilizador .
    2. Depois de investigar o alerta, regresse ao separador Descrição geral , onde pode Ver detalhes para fazer a triagem e gerir a eliminação do alerta, adicionar comentários e atribuir a propriedade do alerta. (Para ver o histórico da gestão de fluxos de trabalho.)
    3. Depois de efetuar a ação necessária para o alerta, defina o Estado do alerta como Resolvido.

Outras condições correspondentes

O Microsoft Purview suporta a apresentação de condições correspondentes num evento DLP para revelar a causa exata de uma política DLP sinalizada. Estas informações são apresentadas em:

No separador Eventos , abra Detalhes para ver Outras condições correspondentes.

Pré-requisitos

As informações dos eventos correspondentes são suportadas para estas condições

Condition Exchange Sharepoint Teams Ponto de extremidade
O remetente é Sim Não Sim Não
O domínio do remetente é Sim Não Sim Não
O endereço do remetente contém palavras Sim Não Não Não
O endereço do remetente corresponde aos padrões Sim Não Não Não
O remetente é membro do Sim Não Não Não
O endereço IP do remetente é Sim Não Não Não
O remetente substituiu a sugestão de política Sim Não Não Não
SenderAdAttribute Contém palavras Sim Não Não Não
SenderAdAttribute Corresponde aos padrões Sim Não Não Não
O destinatário é Sim Não Sim Não
O domínio do destinatário é Sim Não Sim Não
O endereço do destinatário contém palavras Sim Não Não Não
O endereço do destinatário corresponde aos padrões Sim Não Não Não
O destinatário é um membro do Sim Não Não Não
RecipientAdAttribute Contém palavras Sim Não Não Não
RecipientAdAttribute Corresponde aos padrões Sim Não Não Não
O documento está protegido por palavra-passe Sim Não Não Não
Não foi possível digitalizar o documento Sim Não Não Não
O documento não concluiu a análise Sim Não Não Não
O nome do documento contém palavras Sim Sim Não Não
O nome do documento corresponde aos padrões Sim Não Não Não
A propriedade do documento é Sim Sim Não Não
Tamanho do documento superior Sim Sim Não Não
O conteúdo do documento contém palavras Sim Não Não Não
O conteúdo do documento corresponde aos padrões Sim Não Não Não
O tipo de documento é Não Não Não Sim
A extensão do documento é Sim Sim Não Sim
O conteúdo é partilhado a partir do M365 Sim Sim Sim Não
O conteúdo é recebido de Sim Não Não Não
Conjunto de carateres de conteúdo contém palavras Sim Não Não Não
Assunto contém palavras Sim Não Não Não
O assunto corresponde aos padrões Sim Não Não Não
Assunto ou corpo contém palavras Sim Não Não Não
O assunto ou o corpo correspondem aos padrões Sim Não Não Não
O cabeçalho contém palavras Sim Não Não Não
O cabeçalho corresponde aos padrões Sim Não Não Não
Tamanho da mensagem superior Sim Não Não Não
O tipo de mensagem é Sim Não Não Não
A importância da mensagem é Sim Não Não Não

Limitação ao transferir e-mails a partir de um alerta DLP

Em geral, ao utilizar o dashboard de gestão de alertas DLP, pode transferir e-mails específicos a partir de um alerta. No entanto, os e-mails que foram eliminados em qualquer um dos seguintes cenários não podem ser transferidos.

Remetente Destinatário Estado do Email
Interno Externo Eliminado pelo remetente
Externo Interno Eliminado pelo destinatário
Interno Interno Eliminado por ambas as partes

Ferramentas adicionais de investigação de Alertas