Introdução aos alertas de prevenção de perda de dados
As políticas de Prevenção Contra Perda de Dados do Microsoft Purview (DLP) podem ser configuradas para gerar alertas quando as condições numa política são correspondidas.
Para obter uma breve descrição geral dos alertas, veja:
Este artigo inclui os detalhes de licenciamento e permissão e outras informações cruciais de que precisa à medida que trabalha com alertas.
Os alertas DLP podem ser investigados e geridos no Microsoft Defender XDR dashboard e no portal de conformidade do Microsoft Purview. A Microsoft Defender XDR dashboard é a localização recomendada para investigar e gerir alertas DLP. A portal de conformidade do Microsoft Purview é a localização recomendada para criar e editar políticas DLP.
Dica
Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.
Tipos de alerta
Os alertas podem ser enviados sempre que uma atividade corresponde a uma regra, que pode ser ruidosa ou pode ser agregada com base no número de correspondências ou volume de itens durante um determinado período de tempo. Existem dois tipos de alertas que podem ser configurados em políticas DLP.
Os alertas de evento único são normalmente utilizados em políticas que monitorizam eventos altamente confidenciais que ocorrem num volume baixo, como um único e-mail com 10 ou mais card números de crédito ao cliente enviados fora da sua organização.
Normalmente, os alertas de eventos agregados são utilizados em políticas que monitorizam eventos que ocorrem num volume mais elevado ao longo de um período de tempo. Por exemplo, um alerta agregado pode ser acionado quando 10 e-mails individuais com um número de card de crédito ao cliente são enviados para fora da sua organização durante mais de 48 horas.
Antes de começar
Antes de começar, certifique-se de que tem os pré-requisitos necessários:
Licenciamento para opções de configuração de alertas
- Configuração de alerta de evento único: as organizações que têm uma subscrição E1, F1 ou G1 ou uma subscrição E3 ou G3 podem configurar políticas para gerar um alerta sempre que ocorre uma atividade de acionamento.
-
Configuração de alerta agregado: para configurar políticas de alerta agregadas com base num limiar, tem de ter uma das seguintes configurações:
- Uma subscrição do A5
- Uma subscrição E5 ou G5
- Uma subscrição E1, F1 ou G1 ou uma subscrição E3 ou G3 que inclua uma das seguintes funcionalidades:
- Plano 2 de proteção avançada contra ameaças do Office 365
- Conformidade do Microsoft 365 E5
- Licença de suplemento de Deteção de Dados Eletrónicos e Auditoria do Microsoft 365
Os clientes que utilizam o DLP de Ponto Final e que são elegíveis para o DLP do Teams verão os respetivos alertas de política DLP de ponto final e alertas de política DLP do Teams no dashboard de gestão de alertas DLP.
Funções e Grupos de Funções
Se quiser ver a gestão de alertas DLP dashboard ou editar as opções de configuração de alertas numa política DLP, tem de ser membro de um destes grupos de funções:
- Administrador de Conformidade
- Administrador de Dados de Conformidade
- Administrador de Segurança
- Operador de Segurança
- Leitor de Segurança
- Administrador de Proteção de Informações
- Analista de Proteção de Informações
- Investigador de Proteção de Informações
- Leitor de Proteção de Informações
Para saber mais sobre as mesmas, consulte Permissões no portal de conformidade do Microsoft Purview
Eis uma lista de grupos de funções aplicáveis. Para saber mais sobre as mesmas, consulte Permissões no portal de conformidade do Microsoft Purview.
- Proteção de Informações
- Administradores de Proteção de Informações
- Analistas de Proteção de Informações
- Investigadores de Proteção de Informações
- Leitores de Proteção de Informações
Para aceder ao dashboard de gestão de alertas DLP, precisa da função Gerir alertas e de uma destas duas funções:
- Gerenciamento de Conformidade de DLP
- Gestão de Conformidade de DLP View-Only
Para aceder à funcionalidade Pré-visualização de conteúdo e às funcionalidades de conteúdo e contexto Confidenciais correspondentes, tem de ser membro do grupo de funções Visualizador de Conteúdos Explorer Conteúdo, que tem a função visualizador de conteúdos de classificação de dados pré-atribuída.
Dica
Se o administrador precisar de acesso a alertas, mas não a informações contextuais/confidenciais, pode criar e atribuir uma função personalizada que não inclua a permissão Visualizador de Conteúdos de Classificação de Dados.
Configuração de alerta DLP
Para saber como configurar um alerta na sua política DLP, veja Criar e Implementar políticas de prevenção de perda de dados. Existem diferentes experiências de configuração de alertas consoante o seu licenciamento.
Observação
Pode demorar até 3 horas a gerar alertas depois de configurar ou modificar alertas existentes numa política DLP.
Configuração de alertas de eventos agregados
Se tiver licença para opções de configuração de alertas agregados, verá estas opções quando criar ou editar uma política DLP.
Esta configuração permite-lhe configurar uma política para gerar um alerta:
- sempre que uma atividade corresponde às condições da política
- quando o limiar definido é atingido ou excedido
- com base no número de atividades
- com base no volume de dados exfiltrados
Para evitar uma inundação de e-mails de notificação, todas as correspondências que ocorrem num período de tempo de um minuto para a mesma regra DLP e na mesma localização são agrupadas no mesmo alerta. A funcionalidade de janela de tempo de agregação de um minuto está disponível em:
- Uma subscrição E5 ou G5
- Uma subscrição E1, F1 ou G1 ou uma subscrição E3 ou G3 que inclua uma das seguintes funcionalidades:
- Plano 2 de proteção avançada contra ameaças do Office 365
- Conformidade do Microsoft 365 E5
- Licença de suplemento de Deteção de Dados Eletrónicos e Auditoria do Microsoft 365
Para organizações que têm uma subscrição E1, F1 ou G1 ou uma subscrição E3 ou G3, o período de tempo de agregação é de 15 minutos.
Configuração de alerta de evento único
Se tiver licença para opções de configuração de alertas de evento único, verá estas opções quando criar ou editar uma política DLP. Utilize esta opção para criar um alerta que é gerado sempre que ocorre uma correspondência de regra DLP.
Tipos de eventos
Eis alguns dos eventos associados a um alerta. Na dashboard Alerta, pode escolher um evento específico para ver os detalhes.
Detalhes do evento
Nome da propriedade | Descrição | Tipos de eventos |
---|---|---|
ID | ID exclusivo associado ao evento | todos os eventos |
Local | carga de trabalho onde o evento foi detetado | todos os eventos |
tempo de atividade | tempo da atividade do utilizador que corresponde aos critérios da política DLP |
Entidades afetadas
Nome da propriedade | Descrição | Tipos de eventos |
---|---|---|
usuário | utilizador que tomou a ação que causou a correspondência de política | todos os eventos |
nome do anfitrião | nome do anfitrião do computador onde ocorreu a correspondência da política DLP | eventos do dispositivo |
Endereço IP | Endereço IP do computador onde ocorreu a correspondência da política DLP | eventos do dispositivo |
sha1 | Hash SHA-1 do ficheiro | eventos do dispositivo |
sha256 | Hash SHA-256 do ficheiro | eventos do dispositivo |
ID do dispositivo MDATP | ID MDATP do dispositivo de ponto final | |
tamanho do arquivo | tamanho do ficheiro | Eventos do SharePoint, OneDrive e dispositivo |
caminho do arquivo | o caminho absoluto do item envolvido com a correspondência de política DLP | Eventos do SharePoint, OneDrive e dispositivos |
destinatários de e-mail | se um e-mail foi o item confidencial que correspondeu à política DLP, este campo inclui os destinatários desse e-mail | Eventos do Exchange |
assunto do e-mail | assunto do e-mail que correspondia à política DLP | Eventos do Exchange |
anexos de e-mail | nomes dos anexos no e-mail que correspondem à política DLP | Eventos do Exchange |
proprietário do site | nome do proprietário do site | Eventos do SharePoint e do OneDrive |
URL do site | cheio do URL do site do SharePoint ou do OneDrive onde ocorreu a correspondência da política DLP | Eventos do SharePoint e do OneDrive |
ficheiro criado | tempo de criação do ficheiro que correspondia à política DLP | Eventos do SharePoint e do OneDrive |
última modificação do ficheiro | a última vez que o ficheiro que correspondeu à política DLP foi alterado | Eventos do SharePoint e do OneDrive |
tamanho do arquivo | tamanho do ficheiro que corresponde à política DLP | Eventos do SharePoint e do OneDrive |
proprietário do ficheiro | proprietário do ficheiro que correspondeu à política DLP | Eventos do SharePoint e do OneDrive |
Detalhes da política
Nome da propriedade | Descrição | Tipos de eventos |
---|---|---|
Política DLP correspondida | nome da política DLP correspondente | todos os eventos |
regra correspondida | nome da regra de política DLP correspondente | todos os eventos |
tipos de informações confidenciais (SIT) detetados | SITs que foram detetados como parte da correspondência da política DLP | todos os eventos |
ações tomadas | ações que foram tomadas que causaram a correspondência da política DLP | todos os eventos |
ação de violação | ação no dispositivo de ponto final que levantou o alerta DLP | eventos do dispositivo |
política de substituição do utilizador | o utilizador substituiu a política através de uma sugestão de política | todos os eventos |
utilizar justificação de substituição | o texto do motivo fornecido pelo utilizador para a substituição | todos os eventos |
Importante
A configuração da política de retenção de registos de auditoria da sua organização controla durante quanto tempo um alerta permanece visível na consola do . Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.
Confira também
- Alertas em políticas DLP: descreve alertas no contexto de uma política DLP.
- Introdução aos alertas de prevenção de perda de dados: abrange os detalhes necessários de liscensing, permissões e pré-requisitos para alertas DLP e detalhes de referência de alertas.
- Criar e implementar políticas de prevenção de perda de dados: inclui orientações sobre a configuração de alertas no contexto da criação de uma política DLP.
- Saiba mais sobre como investigar alertas de prevenção de perda de dados: aborda os vários métodos para investigar alertas DLP.
- Investigar incidentes de perda de dados com Microsoft Defender XDR: Como investigar alertas DLP no portal do Microsoft Defender.