Partilhar via


Saiba mais sobre como investigar alertas de prevenção de perda de dados

Este artigo apresenta-lhe o fluxo de investigação de alertas e as ferramentas que pode utilizar para investigar alertas DLP.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre assinatura e termos de avaliação.

Antes de começar

Se não estiver familiarizado com o DLP do Microsoft Purview, eis uma lista dos artigos principais com os quais deve estar familiarizado ao implementar a sua prática de prevenção de perda de dados:

  1. Unidades administrativas
  2. Saiba mais sobre Prevenção Contra Perda de Dados do Microsoft Purview: O artigo apresenta-lhe a disciplina de prevenção de perda de dados e a implementação do DLP pela Microsoft.
  3. Planear a prevenção de perda de dados (DLP): ao trabalhar neste artigo, irá:
    1. Identificar intervenientes
    2. Descrever as categorias de informações confidenciais a proteger
    3. Definir objetivos e estratégia
  4. Referência da política de Prevenção de Perda de Dados: este artigo apresenta todos os componentes de uma política DLP e como cada um influencia o comportamento de uma política.
  5. Estruturar uma política DLP: este artigo explica-lhe como criar uma instrução de intenção de política e mapeá-la para uma configuração de política específica.
  6. Criar e Implementar políticas de prevenção de perda de dados: apresenta alguns cenários de intenções de política comuns que mapeia às opções de configuração. Em seguida, orienta-o ao longo da configuração dessas opções e fornece orientações sobre a implementação de uma política.
  7. Saiba mais sobre como investigar alertas de prevenção de perda de dados: este artigo que está a ler apresenta agora o ciclo de vida dos alertas desde a criação até à remediação final e à otimização de políticas. Também apresenta as ferramentas que utiliza para investigar alertas.

O ciclo de vida de um alerta DLP

Todos os alertas e a sua interação com eles passam por estes seis passos:

Gatilho

A vida útil de um alerta de Prevenção Contra Perda de Dados do Microsoft Purview (DLP) começa quando as condições definidas na política são correspondidas. Quando ocorre uma correspondência de política, as ações definidas na política são acionadas, o que pode incluir a geração de um alerta se a política estiver configurada para o fazer.

Normalmente, as políticas DLP são configuradas para monitorizar e gerar alertas quando:

  • As informações confidenciais, como a identificação pessoal de dados ou propriedade intelectual, são exfiltradas da sua organização.
  • As informações confidenciais são partilhadas de forma inadequada com pessoas externas ou dentro da sua organização.
  • Os utilizadores dedicam-se a atividades de risco, como transferir informações confidenciais para suportes de dados amovíveis.

Notificar

Quando um alerta é gerado, é enviado para o portal do Microsoft Defender como um incidente e a gestão de alertas DLP dashboard. As políticas DLP podem ser configuradas para enviar notificações a utilizadores, administradores e outros intervenientes por e-mail.

Na fase de notificação, o Microsoft Purview:

  • Relatórios sobre correspondências de políticas DLP e substituições de utilizador.
  • Pode utilizar o Explorador de atividades para ver atividades relacionadas com DLP e filtrar para fins de geração de relatórios.

Para exportar dados de atividade para a utilização de relatórios Export-ActivityExplorerData (ExchangePowerShell) | Microsoft Doc com a API de Atividade de Gestão do O365 ou a API de Incidentes.

Observação

O portal Microsoft Defender retém incidentes durante seis meses. A gestão de alertas DLP dashboard retém alertas durante 30 dias.

Triagem

Neste passo, vai analisar um alerta e quaisquer registos associados e decidir se o alerta é um verdadeiro positivo ou um falso positivo. Se for um verdadeiro positivo, defina a prioridade do alerta com base na gravidade do problema e no respetivo impacto na sua organização e atribua um proprietário. Se for um falso positivo, pode desbloquear o utilizador e avançar para o alerta seguinte.

O portal do Defender agrupa eventos DLP em incidentes. Os incidentes são uma coleção de alertas relacionados que são agrupados com base em todos os outros sinais que o Defender está a receber. Por exemplo, quando tem uma política DLP configurada para monitorizar e alertar sobre ficheiros confidenciais em sites do SharePoint, um utilizador transfere um ficheiro de um site do SharePoint e, em seguida, carrega-o para um OneDrive pessoal e, em seguida, partilha-o com um utilizador externo, o Defender agrupa todos esses alertas num único incidente. Esta é uma funcionalidade avançada que lhe permite concentrar-se primeiro nos alertas mais importantes.

No portal do Defender, pode iniciar imediatamente a triagem de incidentes e utilizar etiquetas, comentários e outras funcionalidades para estruturar a gestão de incidentes. Deve utilizar a página Incidentes no portal Microsoft Defender para gerir os alertas DLP. Pode filtrar a fila Incidentes para ver todos os incidentes com alertas DLP do Microsoft Purview ao selecionar Filtros e selecionar Origem de Serviço: Prevenção de Perda de Dados.

Se tiver ativado a partilha de dados de gestão de riscos internos com Microsoft Defender XDR (pré-visualização), verá o nível de gravidade da política de Gestão de Riscos Internos que está associada a um utilizador na página de alertas DLP. Os níveis de gravidade da Gestão de Risco Interno são: Baixo, Médio, Alto e Nenhum. Pode utilizar estas informações para priorizar os seus esforços de investigação e remediação. Estas informações também estarão disponíveis no portal do Microsoft 365 Defender nos detalhes do incidente.

Investigar

O objetivo main da fase de investigação é que o proprietário atribuído correlacione as provas, determine a causa e o impacto total do alerta e decida sobre um plano de remediação. O proprietário atribuído é responsável por uma investigação e remediação mais aprofundadas do alerta. As principais ferramentas de investigação de alertas são o portal do Microsoft Defender e o dashboard de gestão de alertas DLP. Também pode utilizar o Explorador de atividades para investigar alertas. Também pode partilhar alertas com outros utilizadores na sua organização.

Pode tirar partido de funcionalidades DLP como:

Pode utilizar o portal Microsoft Defender e as ferramentas do Purview para fazer a triagem e investigar alertas, mas o portal do Microsoft Defender fornece mais funcionalidades para gerir alertas e incidentes, tais como:

  • Veja todos os alertas DLP agrupados em incidentes na fila de incidentes Microsoft Defender XDR.
  • Veja alertas correlacionados entre soluções inteligentes (DLP-MDPE, DLP-MDO) e intra-solução (DLP-DLP) num único incidente.
  • Procure registos de conformidade juntamente com a segurança em Investigação Avançada.
  • Ações de remediação de administrador no local no utilizador, ficheiro e dispositivo.
  • Associe etiquetas personalizadas a incidentes DLP e filtre por eles.
  • Filtre por nome da política DLP, etiqueta, Data, origem do serviço, status de incidentes e utilizador na fila de incidentes unificada.

Se estiver a partilhar dados de gestão de riscos internos com o Defender (pré-visualização), pode ver o resumo da atividade do utilizador de todas as atividades de exfiltração em que o utilizador se envolveu até aos últimos 120 dias.

Correção

O seu plano de remediação é exclusivo das políticas da sua organização, do setor, dos regulamentos geopolíticos que tem de cumprir e das práticas empresariais. A forma como a sua organização opta por responder a um alerta gira em torno da precisão do alerta (verdadeiro positivo, falso positivo, falso negativo), da gravidade do problema e do impacto na sua organização.

As ações de remediação podem incluir:

  • Apenas monitorização, não são necessárias mais ações.
  • Não são necessárias mais medidas porque as ações tomadas pela política mitigaram suficientemente o risco.
  • Risco mitigado por ações de política automatizadas, mas a educação dos utilizadores é necessária.
  • O problema não foi totalmente mitigado pela política, pelo que é necessária mais limpo e mitigação de riscos, juntamente com mais formação de utilizadores.
  • Através da Proteção Adaptável na Prevenção de Perda de Dados (pré-visualização) em que o DLP se integra com a Gestão de Riscos Internos, pode atribuir um nível de risco ao utilizador para monitorização e ações adicionais.

Com o portal do Defender, pode efetuar imediatamente ações de remediação em alertas e incidentes. Por exemplo:

  • Redefinir senha
  • Desativar conta
  • Ver a atividade do utilizador
  • Ações nas deteções de DLP
  • Remover documento
  • Aplicar etiqueta de confidencialidade
  • Anular partilha
  • Transferir e-mail
  • Busca Avançada
  • Isolar Dispositivo
  • Recolher pacote de investigação do Dispositivo
  • Executar Análise AV
  • Arquivo de quarentena
  • Desativar utilizador
  • Repor pwd
  • Eliminar e-mail
  • Mover correio para outra pasta de caixa de correio
  • Baixar o arquivo

Otimizar

Com base na precisão e eficácia da sua política, poderá ter de atualizá-la para que permaneça eficaz. Já ajustou a política durante o processo de criação e implementação de políticas, mas à medida que o seu património de dados e as suas necessidades empresariais mudam, as políticas têm de ser atualizadas para continuarem a ser eficazes. Estas alterações são melhor registadas na instrução de intenção da política e na configuração da política.

Itens que otimizar:

  • O âmbito da política.
  • As condições necessárias para uma correspondência de política.
  • As ações executadas quando ocorre uma correspondência de política.
  • Notificações enviadas a utilizadores e administradores.

Para obter mais informações sobre as necessidades empresariais de mapeamento para políticas de design e teste, veja:

Conjuntos de ferramentas

Existem várias ferramentas que pode utilizar para investigar e gerir alertas de Prevenção Contra Perda de Dados do Microsoft Purview (DLP). Existem:

A Microsoft recomenda a utilização da fila de incidentes unificada no portal do Microsoft Defender para gerir os alertas DLP. No entanto, a sua organização pode ter necessidades que podem ser satisfeitas com a gestão de alertas DLP dashboard além do portal Microsoft Defender.

Portal do Microsoft Defender

Portal de conformidade do Microsoft Purview

Se não estiver familiarizado com a utilização dos Alertas DLP dashboard, deve ler estes artigos para o ajudar a começar.

Próximas etapas