Políticas de alerta no Centro de conformidade do Microsoft 365Alert policies in the Microsoft 365 compliance center

Você pode usar as ferramentas de política de alerta e painel de alerta no Centro de conformidade do Microsoft 365 para criar políticas de alerta e exibir os alertas gerados quando os usuários executam atividades que corresponderem às condições de uma política de alerta.You can use the alert policy and alert dashboard tools in the Microsoft 365 compliance center to create alert policies and then view the alerts generated when users perform activities that match the conditions of an alert policy. Há várias políticas de alerta padrão que ajudam você a monitorar atividades como a atribuição de privilégios de administrador no Exchange Online, ataques de malware, campanhas de phishing e níveis incomuns de exclusões de arquivo e compartilhamento externo.There are several default alert policies that help you monitor activities such as assigning admin privileges in Exchange Online, malware attacks, phishing campaigns, and unusual levels of file deletions and external sharing.

As políticas de alerta permitem categorizar os alertas disparados por uma política, aplicar a política a todos os usuários em sua organização, definir um nível limite para quando um alerta for disparado e decidir se receberão notificações por email quando os alertas são disparados.Alert policies let you categorize the alerts that are triggered by a policy, apply the policy to all users in your organization, set a threshold level for when an alert is triggered, and decide whether to receive email notifications when alerts are triggered. Há também uma página Alertas no centro de conformidade onde você pode exibir e filtrar alertas, definir um status de alerta para ajudá-lo a gerenciar alertas e, em seguida, descartar alertas depois de resolver ou resolver o incidente subjacente.There's also a Alerts page in the compliance center where you can view and filter alerts, set an alert status to help you manage alerts, and then dismiss alerts after you've addressed or resolved the underlying incident.

Observação

As políticas de alerta estão disponíveis para organizações com uma assinatura Microsoft 365 Enterprise, Office 365 Enterprise ou Office 365 US Government E1/F1/G1, E3/F3/G3 ou E5/G5.Alert policies are available for organizations with a Microsoft 365 Enterprise, Office 365 Enterprise, or Office 365 US Government E1/F1/G1, E3/F3/G3, or E5/G5 subscription. A funcionalidade avançada só está disponível para organizações com uma assinatura E5/G5 ou para organizações que têm uma assinatura E1/F1/G1 ou E3/F3/G3 e um Microsoft Defender para Office 365 P2 ou um Microsoft 365 E5 Compliance ou uma assinatura de complemento de Descoberta e Auditoria e Descoberta E5.Advanced functionality is only available for organizations with an E5/G5 subscription, or for organizations that have an E1/F1/G1 or E3/F3/G3 subscription and a Microsoft Defender for Office 365 P2 or a Microsoft 365 E5 Compliance or an E5 eDiscovery and Audit add-on subscription. A funcionalidade que requer uma assinatura E5/G5 ou complemento é realçada neste tópico.The functionality that requires an E5/G5 or add-on subscription is highlighted in this topic. Observe também que as políticas de alerta estão disponíveis nos ambientes Office 365 GCC, GCC Alta e DoD us.Also note that alert policies are available in Office 365 GCC, GCC High, and DoD US government environments.

Como funcionam as políticas de alertaHow alert policies work

Aqui está uma visão geral rápida de como as políticas de alerta funcionam e os alertas que são disparados quando a atividade do usuário ou do administrador corresponde às condições de uma política de alerta.Here's a quick overview of how alert policies work and the alerts that are triggers when user or admin activity matches the conditions of an alert policy.

Visão geral de como as políticas de alerta funcionam

  1. Um administrador em sua organização cria, configura e ativas uma política de alerta usando a página Políticas de alerta no centro de conformidade.An admin in your organization creates, configures, and turns on an alert policy by using the Alert policies page in the compliance center. Você também pode criar políticas de alerta usando o cmdlet New-ProtectionAlert no Centro de Conformidade & Segurança do PowerShell.You can also create alert policies by using the New-ProtectionAlert cmdlet in Security & Compliance Center PowerShell.

    Para criar políticas de alerta, você precisa receber a função Gerenciar Alertas ou a função Configuração da Organização no centro de conformidade.To create alert policies, you have to be assigned the Manage Alerts role or the Organization Configuration role in the compliance center.

    Observação

    Leva até 24 horas após a criação ou atualização de uma política de alerta antes que os alertas possam ser disparados pela política.It takes up to 24 hours after creating or updating an alert policy before alerts can be triggered by the policy. Isso porque a política precisa ser sincronizada com o mecanismo de detecção de alerta.This is because the policy has to be synced to the alert detection engine.

  2. Um usuário executa uma atividade que corresponde às condições de uma política de alerta.A user performs an activity that matches the conditions of an alert policy. No caso de ataques de malware, as mensagens de email infectados enviadas aos usuários em sua organização disparam um alerta.In the case of malware attacks, infected email messages sent to users in your organization trigger an alert.

  3. Microsoft 365 gera um alerta exibido na página Alertas no Centro de conformidade do Microsoft 365.Microsoft 365 generates an alert that's displayed on the Alerts page in Microsoft 365 compliance center. Além disso, se as notificações por email estão habilitadas para a política de alerta, a Microsoft envia uma notificação para uma lista de destinatários.Also, if email notifications are enabled for the alert policy, Microsoft sends a notification to a list of recipients. Os alertas que um administrador ou outros usuários podem ver que na página Alertas é determinado pelas funções atribuídas ao usuário.The alerts that an admin or other users can see that on the Alerts page is determined by the roles assigned to the user. Para obter mais informações, consulte RBAC permissions required to view alerts.For more information, see RBAC permissions required to view alerts.

  4. Um administrador gerencia alertas no centro de conformidade.An admin manages alerts in the compliance center. Gerenciar alertas consiste em atribuir um status de alerta para ajudar a controlar e gerenciar qualquer investigação.Managing alerts consists of assigning an alert status to help track and manage any investigation.

Configurações de política de alertaAlert policy settings

Uma política de alerta consiste em um conjunto de regras e condições que definem a atividade do usuário ou administrador que gera um alerta, uma lista de usuários que disparam o alerta se executarem a atividade e um limite que define quantas vezes a atividade precisa ocorrer antes que um alerta seja disparado.An alert policy consists of a set of rules and conditions that define the user or admin activity that generates an alert, a list of users who trigger the alert if they perform the activity, and a threshold that defines how many times the activity has to occur before an alert is triggered. Você também categoriza a política e atribui a ela um nível de severidade.You also categorize the policy and assign it a severity level. Essas duas configurações ajudam você a gerenciar políticas de alerta (e os alertas disparados quando as condições de política são corresponderem) porque você pode filtrar essas configurações ao gerenciar políticas e exibir alertas no centro de conformidade.These two settings help you manage alert policies (and the alerts that are triggered when the policy conditions are matched) because you can filter on these settings when managing policies and viewing alerts in the compliance center. Por exemplo, você pode exibir alertas que corresponderem às condições da mesma categoria ou exibir alertas com o mesmo nível de gravidade.For example, you can view alerts that match the conditions from the same category or view alerts with the same severity level.

Para exibir e criar políticas de alerta:To view and create alert policies:

Vá para https://compliance.microsoft.com e selecione Políticas Políticas > alerta políticas > de alerta.Go to https://compliance.microsoft.com and then select Policies > Alert > Alert policies. Como alternativa, você pode ir diretamente para https://compliance.microsoft.com/alertpolicies .Alternatively, you can go directly to https://compliance.microsoft.com/alertpolicies.

No centro de conformidade, selecione Políticas e, em Alerta, selecione Políticas de alerta para exibir e criar políticas de alerta

Uma política de alerta consiste nas seguintes configurações e condições.An alert policy consists of the following settings and conditions.

  • Atividade que o alerta está rastreando.Activity the alert is tracking. Você cria uma política para rastrear uma atividade ou, em alguns casos, algumas atividades relacionadas, como compartilhar um arquivo com um usuário externo compartilhando-o, atribuindo permissões de acesso ou criando um link anônimo.You create a policy to track an activity or in some cases a few related activities, such a sharing a file with an external user by sharing it, assigning access permissions, or creating an anonymous link. Quando um usuário executa a atividade definida pela política, um alerta é disparado com base nas configurações de limite de alerta.When a user performs the activity defined by the policy, an alert is triggered based on the alert threshold settings.

    Observação

    As atividades que você pode acompanhar dependem do plano de governo Office 365 Enterprise ou Office 365 da sua organização.The activities that you can track depend on your organization's Office 365 Enterprise or Office 365 US Government plan. Em geral, as atividades relacionadas a campanhas de malware e ataques de phishing exigem uma assinatura E5/G5 ou uma assinatura de complemento E1/F1/G1 ou E3/F3/G3 com uma assinatura de complemento do Plano 2 do Defender para Office 365.In general, activities related to malware campaigns and phishing attacks require an E5/G5 subscription or an E1/F1/G1 or E3/F3/G3 subscription with an Defender for Office 365 Plan 2 add-on subscription.

  • Condições de atividade.Activity conditions. Para a maioria das atividades, você pode definir condições adicionais que devem ser atendidas para disparar um alerta.For most activities, you can define additional conditions that must be met to trigger an alert. As condições comuns incluem endereços IP (para que um alerta seja disparado quando o usuário executa a atividade em um computador com um endereço IP específico ou dentro de um intervalo de endereços IP), se um alerta é disparado se um usuário ou usuário específico executa essa atividade e se a atividade é executada em um nome de arquivo ou URL específico.Common conditions include IP addresses (so that an alert is triggered when the user performs the activity on a computer with a specific IP address or within an IP address range), whether an alert is triggered if a specific user or users perform that activity, and whether the activity is performed on a specific file name or URL. Você também pode configurar uma condição que dispara um alerta quando a atividade é executada por qualquer usuário em sua organização.You can also configure a condition that triggers an alert when the activity is performed by any user in your organization. As condições disponíveis dependem da atividade selecionada.The available conditions are dependent on the selected activity.

  • Quando o alerta é disparado.When the alert is triggered. Você pode configurar uma configuração que define com que frequência uma atividade pode ocorrer antes que um alerta seja disparado.You can configure a setting that defines how often an activity can occur before an alert is triggered. Isso permite configurar uma política para gerar um alerta sempre que uma atividade corresponde às condições da política, quando um determinado limite é excedido ou quando a ocorrência da atividade que o alerta está rastreando se torna incomum para sua organização.This allows you to set up a policy to generate an alert every time an activity matches the policy conditions, when a certain threshold is exceeded, or when the occurrence of the activity the alert is tracking becomes unusual for your organization.

    Configurar como os alertas são disparados, com base em quando a atividade ocorre, um limite ou atividade incomum para sua organização

    Se você selecionar a configuração com base em atividades incomuns, a Microsoft estabelecerá um valor de linha de base que define a frequência normal da atividade selecionada.If you select the setting based on unusual activity, Microsoft establishes a baseline value that defines the normal frequency for the selected activity. Leva até sete dias para estabelecer essa linha de base, durante o qual os alertas não serão gerados.It takes up to seven days to establish this baseline, during which alerts won't be generated. Depois que a linha de base é estabelecida, um alerta é disparado quando a frequência da atividade controlada pela política de alerta excede muito o valor da linha de base.After the baseline is established, an alert is triggered when the frequency of the activity tracked by the alert policy greatly exceeds the baseline value. Para atividades relacionadas à auditoria (como atividades de arquivo e pasta), você pode estabelecer uma linha de base com base em um único usuário ou com base em todos os usuários em sua organização; para atividades relacionadas a malware, você pode estabelecer uma linha de base com base em uma única família de malware, um único destinatário ou todas as mensagens em sua organização.For auditing-related activities (such as file and folder activities), you can establish a baseline based on a single user or based on all users in your organization; for malware-related activities, you can establish a baseline based on a single malware family, a single recipient, or all messages in your organization.

    Observação

    A capacidade de configurar políticas de alerta com base em um limite ou com base em atividades incomuns requer uma assinatura E5/G5 ou uma assinatura E1/F1/G1 ou E3/F3/G3 com um Microsoft Defender para Office 365 P2, Microsoft 365 E5 Compliance ou Microsoft 365 assinatura de complemento descoberta e auditoria.The ability to configure alert policies based on a threshold or based on unusual activity requires an E5/G5 subscription, or an E1/F1/G1 or E3/F3/G3 subscription with a Microsoft Defender for Office 365 P2, Microsoft 365 E5 Compliance, or Microsoft 365 eDiscovery and Audit add-on subscription. As organizações com uma assinatura E1/F1/G1 e E3/F3/G3 só podem criar políticas de alerta em que um alerta é disparado sempre que uma atividade ocorre.Organizations with an E1/F1/G1 and E3/F3/G3 subscription can only create alert policies where an alert is triggered every time that an activity occurs.

  • Categoria de alerta.Alert category. Para ajudar a controlar e gerenciar os alertas gerados por uma política, você pode atribuir uma das seguintes categorias a uma política.To help with tracking and managing the alerts generated by a policy, you can assign one of the following categories to a policy.

    • Prevenção contra perda de dadosData loss prevention

    • Governança de informaçõesInformation governance

    • Fluxo de mensagensMail flow

    • PermissõesPermissions

    • Gerenciamento de ameaçasThreat management

    • OutrosOthers

    Quando ocorre uma atividade que corresponde às condições da política de alerta, o alerta gerado é marcado com a categoria definida nesta configuração.When an activity occurs that matches the conditions of the alert policy, the alert that's generated is tagged with the category defined in this setting. Isso permite rastrear e gerenciar alertas com a mesma configuração de categoria na página Alertas no centro de conformidade porque você pode classificar e filtrar alertas com base na categoria.This allows you to track and manage alerts that have the same category setting on the Alerts page in the compliance center because you can sort and filter alerts based on category.

  • Gravidade do alerta.Alert severity. Semelhante à categoria de alerta, você atribui um atributo de severidade (Baixo, Médio, Alto ou Informacional) às políticas de alerta.Similar to the alert category, you assign a severity attribute (Low, Medium, High, or Informational) to alert policies. Assim como a categoria de alerta, quando ocorre uma atividade que corresponde às condições da política de alerta, o alerta gerado é marcado com o mesmo nível de gravidade definido para a política de alerta.Like the alert category, when an activity occurs that matches the conditions of the alert policy, the alert that's generated is tagged with the same severity level that's set for the alert policy. Novamente, isso permite rastrear e gerenciar alertas com a mesma configuração de gravidade na página Alertas.Again, this allows you to track and manage alerts that have the same severity setting on the Alerts page. Por exemplo, você pode filtrar a lista de alertas para que apenas alertas com alta gravidade sejam exibidos.For example, you can filter the list of alerts so that only alerts with a High severity are displayed.

    Dica

    Ao configurar uma política de alerta, considere atribuir uma severidade maior a atividades que podem resultar em consequências gravemente negativas, como a detecção de malware após a entrega aos usuários, a visualização de dados confidenciais ou confidenciais, o compartilhamento de dados com usuários externos ou outras atividades que podem resultar em perda de dados ou ameaças à segurança.When setting up an alert policy, consider assigning a higher severity to activities that can result in severely negative consequences, such as detection of malware after delivery to users, viewing of sensitive or classified data, sharing data with external users, or other activities that can result in data loss or security threats. Isso pode ajudá-lo a priorizar alertas e as ações que você toma para investigar e resolver as causas subjacentes.This can help you prioritize alerts and the actions you take to investigate and resolve the underlying causes.

  • Notificações por email.Email notifications. Você pode configurar a política para que as notificações de email sejam enviadas (ou não enviadas) para uma lista de usuários quando um alerta é disparado.You can set up the policy so that email notifications are sent (or not sent) to a list of users when an alert is triggered. Você também pode definir um limite de notificação diário para que, uma vez atingido o número máximo de notificações, não sejam enviadas mais notificações para o alerta durante esse dia.You can also set a daily notification limit so that once the maximum number of notifications has been reached, no more notifications are sent for the alert during that day. Além das notificações por email, você ou outros administradores podem exibir os alertas disparados por uma política na página Alertas.In addition to email notifications, you or other administrators can view the alerts that are triggered by a policy on the Alerts page. Considere a habilitação de notificações por email para políticas de alerta de uma categoria específica ou que tenham uma configuração de gravidade mais alta.Consider enabling email notifications for alert policies of a specific category or that have a higher severity setting.

Políticas de alerta padrãoDefault alert policies

A Microsoft fornece políticas de alerta internas que ajudam a identificar Exchange abuso de permissões de administrador, atividade de malware, possíveis ameaças externas e internas e riscos de governança de informações.Microsoft provides built-in alert policies that help identify Exchange admin permissions abuse, malware activity, potential external and internal threats, and information governance risks. Na página Políticas de alerta, os nomes dessas políticas internas estão em negrito e o tipo de política é definido como System.On the Alert policies page, the names of these built-in policies are in bold and the policy type is defined as System. Essas políticas são ativas por padrão.These policies are turned on by default. Você pode desativar essas políticas (ou voltar a ativar), configurar uma lista de destinatários para o que enviar notificações por email e definir um limite de notificação diário.You can turn off these policies (or back on again), set up a list of recipients to send email notifications to, and set a daily notification limit. As outras configurações dessas políticas não podem ser editadas.The other settings for these policies can't be edited.

A tabela a seguir lista e descreve as políticas de alerta padrão disponíveis e a categoria à que cada política é atribuída.The following table lists and describes the available default alert policies and the category each policy is assigned to. A categoria é usada para determinar quais alertas um usuário pode exibir na página Alertas.The category is used to determine which alerts a user can view on the Alerts page. Para obter mais informações, consulte RBAC permissions required to view alerts.For more information, see RBAC permissions required to view alerts.

A tabela também indica o plano Office 365 Enterprise e Office 365 us government necessário para cada um deles.The table also indicates the Office 365 Enterprise and Office 365 US Government plan required for each one. Algumas políticas de alerta padrão estarão disponíveis se sua organização tiver a assinatura de complemento apropriada, além de uma assinatura E1/F1/G1 ou E3/F3/G3.Some default alert policies are available if your organization has the appropriate add-on subscription in addition to an E1/F1/G1 or E3/F3/G3 subscription.

Política de alerta padrãoDefault alert policy DescriçãoDescription CategoriaCategory Enterprise assinaturaEnterprise subscription
Um clique de URL potencialmente mal-intencionado foi detectadoA potentially malicious URL click was detected Gera um alerta quando um usuário protegido por links Cofre em sua organização clica em um link mal-intencionado.Generates an alert when a user protected by Safe Links in your organization clicks a malicious link. Esse evento é acionado quando as alterações de veredito de URL são identificadas pelo Microsoft Defender para Office 365 ou quando os usuários substituem as páginas de Links do Cofre (com base na política de links de Microsoft 365 Cofre para empresas).This event is triggered when URL verdict changes are identified by Microsoft Defender for Office 365 or when users override the Safe Links pages (based on your organization's Microsoft 365 for business Safe Links policy). Esta política de alerta tem uma configuração de alta gravidade.This alert policy has a High severity setting. Para clientes do Defender Office 365 P2, E5, G5, esse alerta dispara automaticamente a investigação e a resposta automatizadas no Office 365.For Defender for Office 365 P2, E5, G5 customers, this alert automatically triggers automated investigation and response in Office 365. Para obter mais informações sobre eventos que disparam esse alerta, consulte Set up Cofre Links policies.For more information on events that trigger this alert, see Set up Safe Links policies. Gerenciamento de ameaçasThreat management E5/G5 ou Defender para Office 365 assinatura de complemento P2E5/G5 or Defender for Office 365 P2 add-on subscription
Resultado do Envio de Administrador concluídoAdmin Submission result completed Gera um alerta quando um Envio de Administrador conclui a varredura da entidade enviada.Generates an alert when an Admin Submission completes the rescan of the submitted entity. Um alerta será disparado sempre que um resultado de nova varredura for renderizado de um Envio de Administrador.An alert will be triggered every time a rescan result is rendered from an Admin Submission. Esses alertas devem lembrá-lo de revisar os resultados de enviosanteriores, enviar mensagens relatadas pelo usuário para obter a verificação de política mais recente e analisar novamente os vereditos e ajudá-lo a determinar se as políticas de filtragem em sua organização estão tendo o impacto pretendido.These alerts are meant to remind you to review the results of previous submissions, submit user reported messages to get the latest policy check and rescan verdicts, and help you determine if the filtering policies in your organization are having the intended impact. Esta política tem uma configuração de severidade informacional.This policy has a Informational severity setting. Gerenciamento de ameaçasThreat management E1/F1, E3/F3 ou E5E1/F1, E3/F3, or E5
O administrador acionou a investigação manual de emailAdmin triggered manual investigation of email Gera um alerta quando um administrador dispara a investigação manual de um email do Explorador de Ameaças.Generates an alert when an admin triggers the manual investigation of an email from Threat Explorer. Para obter mais informações, consulte Example: A security administrator triggers an investigation from Threat Explorer.For more information, see Example: A security administrator triggers an investigation from Threat Explorer. Esse alerta notifica sua organização de que a investigação foi iniciada.This alert notifies your organization that the investigation was started. O alerta fornece informações sobre quem disparou e inclui um link para a investigação.The alert provides information about who triggered it and includes a link to the investigation. Esta política tem uma configuração de severidade informacional.This policy has an Informational severity setting. Gerenciamento de ameaçasThreat management E5/G5 ou Microsoft Defender para Office 365 assinatura de complemento P2E5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
Criação de regra de encaminhamento/redirecionamentoCreation of forwarding/redirect rule Gera um alerta quando alguém em sua organização cria uma regra de caixa de entrada para sua caixa de correio que encaminha ou redireciona mensagens para outra conta de email.Generates an alert when someone in your organization creates an inbox rule for their mailbox that forwards or redirects messages to another email account. Essa política só rastreia regras de caixa de entrada criadas usando Outlook na Web (anteriormente conhecido como Outlook Web App) ou Exchange Online PowerShell.This policy only tracks inbox rules that are created using Outlook on the web (formerly known as Outlook Web App) or Exchange Online PowerShell. Esta política tem uma configuração de severidade informacional.This policy has a Informational severity setting. Para obter mais informações sobre como usar regras de caixa de entrada para encaminhar e redirecionar emails no Outlook na Web, consulte Use rules in Outlook na Web to automaticallyforward messages to another account .For more information about using inbox rules to forward and redirect email in Outlook on the web, see Use rules in Outlook on the web to automatically forward messages to another account. Gerenciamento de ameaçasThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Pesquisa de Descoberta Desdiscovery iniciada ou exportadaeDiscovery search started or exported Gera um alerta quando alguém usa a ferramenta de pesquisa de conteúdo no centro de segurança e conformidade.Generates an alert when someone uses the Content search tool in the Security and compliance center. Um alerta é acionado quando as seguintes atividades de pesquisa de conteúdo são executadas:An alert is triggered when the following content search activities are performed:

* Uma pesquisa de conteúdo é iniciada* A content search is started
* Os resultados de uma pesquisa de conteúdo são exportados* The results of a content search are exported
* Um relatório de pesquisa de conteúdo é exportado* A content search report is exported

Os alertas também são acionados quando as atividades de pesquisa de conteúdo anteriores são executadas em associação com um caso de Descoberta E.Alerts are also triggered when the previous content search activities are performed in association with an eDiscovery case. Esta política tem uma configuração de severidade informacional.This policy has a Informational severity setting. Para obter mais informações sobre atividades de pesquisa de conteúdo, consulte Search for eDiscovery activities in the audit log.For more information about content search activities, see Search for eDiscovery activities in the audit log.
Gerenciamento de ameaçasThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Elevação do Exchange de administradorElevation of Exchange admin privilege Gera um alerta quando alguém recebe permissões administrativas em sua Exchange Online organização.Generates an alert when someone is assigned administrative permissions in your Exchange Online organization. Por exemplo, quando um usuário é adicionado ao grupo de função Gerenciamento da Organização no Exchange Online.For example, when a user is added to the Organization Management role group in Exchange Online. Esta política tem uma configuração De baixa gravidade.This policy has a Low severity setting. PermissõesPermissions E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Mensagens de email contendo malware removido após a entregaEmail messages containing malware removed after delivery Gera um alerta quando todas as mensagens que contêm malware são entregues às caixas de correio em sua organização.Generates an alert when any messages containing malware are delivered to mailboxes in your organization. Se esse evento ocorrer, a Microsoft removerá as mensagens infectados de Exchange Online caixas de correio usando limpeza automática zero hora.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes using Zero-hour auto purge. Esta política tem uma configuração de severidade informacional e dispara automaticamente investigação eresposta automatizadas em Office 365 .This policy has an Informational severity setting and automatically triggers automated investigation and response in Office 365. Gerenciamento de ameaçasThreat management E5/G5 ou Microsoft Defender para Office 365 assinatura de complemento P2E5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
Mensagens de email contendo URLs de phishing removidas após a entregaEmail messages containing phish URLs removed after delivery Gera um alerta quando todas as mensagens que contêm phishing são entregues às caixas de correio em sua organização.Generates an alert when any messages containing phish are delivered to mailboxes in your organization. Se esse evento ocorrer, a Microsoft removerá as mensagens infectados de Exchange Online caixas de correio usando limpeza automática zero hora.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes using Zero-hour auto purge. Esta política tem uma configuração de severidade informacional e dispara automaticamente investigação eresposta automatizadas em Office 365 .This policy has an Informational severity setting and automatically triggers automated investigation and response in Office 365. Gerenciamento de ameaçasThreat management E5/G5 ou Defender para Office 365 assinatura de complemento P2E5/G5 or Defender for Office 365 P2 add-on subscription
Email relatado pelo usuário como malware ou pishingEmail reported by user as malware or phish Gera um alerta quando os usuários da sua organização relatam mensagens como emails de phishing usando o complemento Mensagem de Relatório.Generates an alert when users in your organization report messages as phishing email using the Report Message add-in. Esta política tem uma configuração De baixa gravidade.This policy has an Low severity setting. Para obter mais informações sobre esse add-in, consulte Use the Report Message add-in.For more information about this add-in, see Use the Report Message add-in. Para clientes do Defender Office 365 P2, E5, G5, esse alerta dispara automaticamente a investigação e a resposta automatizadas no Office 365.For Defender for Office 365 P2, E5, G5 customers, this alert automatically triggers automated investigation and response in Office 365. Gerenciamento de ameaçasThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Limite de envio de email excedidoEmail sending limit exceeded Gera um alerta quando alguém em sua organização envia mais emails do que é permitido pela política de spam de saída.Generates an alert when someone in your organization has sent more mail than is allowed by the outbound spam policy. Isso geralmente é uma indicação de que o usuário está enviando muitos emails ou que a conta pode estar comprometida.This is usually an indication the user is sending too much email or that the account may be compromised. Esta política tem uma configuração de gravidade média.This policy has a Medium severity setting. Se você receber um alerta gerado por essa política de alerta, é uma boa ideia verificar se a conta de usuário está comprometida.If you get an alert generated by this alert policy, it's a good idea to check whether the user account is compromised. Gerenciamento de ameaçasThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Formulário bloqueado devido a possível tentativa de phishingForm blocked due to potential phishing attempt Gera um alerta quando alguém em sua organização foi impedido de compartilhar formulários e coletar respostas usando o Microsoft Forms devido ao comportamento de tentativa de phishing repetida detectada.Generates an alert when someone in your organization has been restricted from sharing forms and collecting responses using Microsoft Forms due to detected repeated phishing attempt behavior. Esta política tem uma configuração de alta gravidade.This policy has a High severity setting. Gerenciamento de ameaçasThreat management E1, E3/F3 ou E5E1, E3/F3, or E5
Formulário sinalizado e confirmado como phishingForm flagged and confirmed as phishing Gera um alerta quando um formulário criado no Microsoft Forms de dentro da sua organização foi identificado como possível phishing por meio do Relatório de Abuso e confirmado como phishing pela Microsoft.Generates an alert when a form created in Microsoft Forms from within your organization has been identified as potential phishing through Report Abuse and confirmed as phishing by Microsoft. Esta política tem uma configuração de alta gravidade.This policy has a High severity setting. Gerenciamento de ameaçasThreat management E1, E3/F3 ou E5E1, E3/F3, or E5
As mensagens foram atrasadasMessages have been delayed Gera um alerta quando a Microsoft não pode entregar mensagens de email para sua organização local ou um servidor parceiro usando um conector.Generates an alert when Microsoft can't deliver email messages to your on-premises organization or a partner server by using a connector. Quando isso acontece, a mensagem é enluada Office 365.When this happens, the message is queued in Office 365. Esse alerta é acionado quando há 2.000 mensagens ou mais que foram enluadas por mais de uma hora.This alert is triggered when there are 2,000 messages or more that have been queued for more than an hour. Esta política tem uma configuração de alta gravidade.This policy has a High severity setting. Fluxo de mensagensMail flow E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Campanha de malware detectada após a entregaMalware campaign detected after delivery Gera um alerta quando um número incomum de mensagens que contêm malware são entregues às caixas de correio em sua organização.Generates an alert when an unusually large number of messages containing malware are delivered to mailboxes in your organization. Se esse evento ocorrer, a Microsoft removerá as mensagens infectados Exchange Online caixas de correio.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes. Esta política tem uma configuração de alta gravidade.This policy has a High severity setting. Gerenciamento de ameaçasThreat management E5/G5 ou Microsoft Defender para Office 365 assinatura de complemento P2E5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
Campanha de malware detectada e bloqueadaMalware campaign detected and blocked Gera um alerta quando alguém tenta enviar um número incomum de mensagens de email contendo um determinado tipo de malware para os usuários em sua organização.Generates an alert when someone has attempted to send an unusually large number of email messages containing a certain type of malware to users in your organization. Se esse evento ocorrer, as mensagens infectados serão bloqueadas pela Microsoft e não serão entregues às caixas de correio.If this event occurs, the infected messages are blocked by Microsoft and not delivered to mailboxes. Esta política tem uma configuração De baixa gravidade.This policy has a Low severity setting. Gerenciamento de ameaçasThreat management E5/G5 ou Defender para Office 365 assinatura de complemento P2E5/G5 or Defender for Office 365 P2 add-on subscription
Campanha de malware detectada em SharePoint e OneDriveMalware campaign detected in SharePoint and OneDrive Gera um alerta quando um volume incomum de malware ou vírus é detectado em arquivos localizados SharePoint sites ou contas OneDrive em sua organização.Generates an alert when an unusually high volume of malware or viruses is detected in files located in SharePoint sites or OneDrive accounts in your organization. Esta política tem uma configuração de alta gravidade.This policy has a High severity setting. Gerenciamento de ameaçasThreat management E5/G5 ou Defender para Office 365 assinatura de complemento P2E5/G5 or Defender for Office 365 P2 add-on subscription
Malware não desativado porque o ZAP está desabilitadoMalware not zapped because ZAP is disabled Gera um alerta quando a Microsoft detecta a entrega de uma mensagem de malware em uma caixa de correio porque Zero-Hour Limpeza Automática para mensagens phishing está desabilitada.Generates an alert when Microsoft detects delivery of a malware message to a mailbox because Zero-Hour Auto Purge for Phish messages is disabled. Esta política tem uma configuração de severidade informacional.This policy has an Informational severity setting. Gerenciamento de ameaçasThreat management E5/G5 ou Defender para Office 365 assinatura de complemento P2E5/G5 or Defender for Office 365 P2 add-on subscription
Phishing entregue porque a pasta Lixo Eletrônico do usuário está desabilitadaPhish delivered because a user's Junk Mail folder is disabled Gera um alerta quando a Microsoft detecta que a pasta Lixo Eletrônico do usuário está desabilitada, permitindo a entrega de uma mensagem de phishing de alta confiança para uma caixa de correio.Generates an alert when Microsoft detects a user’s Junk Mail folder is disabled, allowing delivery of a high confidence phishing message to a mailbox. Esta política tem uma configuração de severidade informacional.This policy has an Informational severity setting. Gerenciamento de ameaçasThreat management E5/G5 ou Defender para Office 365 assinatura de complemento P1 ou P2E5/G5 or Defender for Office 365 P1 or P2 add-on subscription
Phish entregue devido a uma substituição de ETRPhish delivered due to an ETR override Gera um alerta quando a Microsoft detecta uma regra de transporte Exchange (ETR) que permitia a entrega de uma mensagem de phishing de alta confiança a uma caixa de correio.Generates an alert when Microsoft detects an Exchange Transport Rule (ETR) that allowed delivery of a high confidence phishing message to a mailbox. Esta política tem uma configuração de severidade informacional.This policy has an Informational severity setting. Para obter mais informações sobre Exchange regras de transporte (regras de fluxo de emails), consulte Regras de fluxo de email (regras de transporte) em Exchange Online.For more information about Exchange Transport Rules (Mail flow rules), see Mail flow rules (transport rules) in Exchange Online. Gerenciamento de ameaçasThreat management E5/G5 ou Defender para Office 365 assinatura de complemento P1 ou P2E5/G5 or Defender for Office 365 P1 or P2 add-on subscription
Phish fornecido devido a uma política de autorização de IPPhish delivered due to an IP allow policy Gera um alerta quando a Microsoft detecta uma política de permissão de IP que permitia a entrega de uma mensagem de phishing de alta confiança a uma caixa de correio.Generates an alert when Microsoft detects an IP allow policy that allowed delivery of a high confidence phishing message to a mailbox. Esta política tem uma configuração de severidade informacional.This policy has an Informational severity setting. Para obter mais informações sobre a política de autorização de IP (filtragem de conexão), consulte Configure the default connection filter policy - Office 365.For more information about the IP allow policy (connection filtering), see Configure the default connection filter policy - Office 365. Gerenciamento de ameaçasThreat management E5/G5 ou Defender para Office 365 assinatura de complemento P1 ou P2E5/G5 or Defender for Office 365 P1 or P2 add-on subscription
Phish not adados porque o ZAP está desabilitadoPhish not zapped because ZAP is disabled Gera um alerta quando a Microsoft detecta a entrega de uma mensagem de phishing de alta confiança para uma caixa de correio porque Zero-Hour Limpeza Automática para mensagens phishing está desabilitada.Generates an alert when Microsoft detects delivery of a high confidence phishing message to a mailbox because Zero-Hour Auto Purge for Phish messages is disabled. Esta política tem uma configuração de severidade informacional.This policy has an Informational severity setting. Gerenciamento de ameaçasThreat management E5/G5 ou Defender para Office 365 assinatura de complemento P2E5/G5 or Defender for Office 365 P2 add-on subscription
Phishing entregue devido a locatário ou substituição de usuário1Phish delivered due to tenant or user override1 Gera um alerta quando a Microsoft detecta uma substituição de administrador ou usuário permitindo a entrega de uma mensagem de phishing em uma caixa de correio.Generates an alert when Microsoft detects an admin or user override allowed the delivery of a phishing message to a mailbox. Exemplos de substituições incluem uma regra de caixa de entrada ou fluxo de emails que permite mensagens de um remetente ou domínio específico ou uma política anti-spam que permite mensagens de remetentes ou domínios específicos.Examples of overrides include an inbox or mail flow rule that allows messages from a specific sender or domain, or an anti-spam policy that allows messages from specific senders or domains. Esta política tem uma configuração de alta gravidade.This policy has a High severity setting. Gerenciamento de ameaçasThreat management E5/G5 ou Defender para Office 365 assinatura de complemento P2E5/G5 or Defender for Office 365 P2 add-on subscription
Atividade suspeita do encaminhamento de emailSuspicious email forwarding activity Gera um alerta quando alguém em sua organização tem email com auto-envio para uma conta externa suspeita.Generates an alert when someone in your organization has autoforwarded email to a suspicious external account. Este é um aviso antecipado para o comportamento que pode indicar que a conta está comprometida, mas não grave o suficiente para restringir o usuário.This is an early warning for behavior that may indicate the account is compromised, but not severe enough to restrict the user. Esta política tem uma configuração de alta gravidade.This policy has a High severity setting. Embora seja raro, um alerta gerado por essa política pode ser uma anomalia.Although it's rare, an alert generated by this policy may be an anomaly. É uma boa ideia verificar se a conta de usuário está comprometida.It's a good idea to check whether the user account is compromised. Gerenciamento de ameaçasThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Padrões suspeitos de envio de email detectadosSuspicious email sending patterns detected Gera um alerta quando alguém em sua organização envia emails suspeitos e corre o risco de ser impedido de enviar emails.Generates an alert when someone in your organization has sent suspicious email and is at risk of being restricted from sending email. Este é um aviso antecipado para o comportamento que pode indicar que a conta está comprometida, mas não grave o suficiente para restringir o usuário.This is an early warning for behavior that may indicate that the account is compromised, but not severe enough to restrict the user. Esta política tem uma configuração de gravidade média.This policy has a Medium severity setting. Embora seja raro, um alerta gerado por essa política pode ser uma anomalia.Although it's rare, an alert generated by this policy may be an anomaly. No entanto, é uma boa ideia verificar se a conta de usuário está comprometida.However, it's a good idea to check whether the user account is compromised. Gerenciamento de ameaçasThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Locatário restrito ao envio de emailTenant restricted from sending email Gera um alerta quando a maior parte do tráfego de email da sua organização foi detectada como suspeita e a Microsoft restringiu o envio de emails à sua organização.Generates an alert when most of the email traffic from your organization has been detected as suspicious and Microsoft has restricted your organization from sending email. Investigue qualquer conta de usuário e administrador potencialmente comprometida, novos conectores ou retransmissão abertas e contate o Suporte da Microsoft para desbloquear sua organização.Investigate any potentially compromised user and admin accounts, new connectors, or open relays, and then contact Microsoft Support to unblock your organization. Esta política tem uma configuração de alta gravidade.This policy has a High severity setting. Para obter mais informações sobre por que as organizações são bloqueadas, consulte Corrigir problemas de entrega de email para o código de erro 5.7.7xx em Exchange Online.For more information about why organizations are blocked, see Fix email delivery issues for error code 5.7.7xx in Exchange Online. Gerenciamento de ameaçasThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Atividade incomum de arquivo de usuário externoUnusual external user file activity Gera um alerta quando um número incomum de atividades é executado em arquivos SharePoint ou OneDrive por usuários fora da sua organização.Generates an alert when an unusually large number of activities are performed on files in SharePoint or OneDrive by users outside of your organization. Isso inclui atividades como acessar arquivos, baixar arquivos e excluir arquivos.This includes activities such as accessing files, downloading files, and deleting files. Esta política tem uma configuração de alta gravidade.This policy has a High severity setting. Governança de informaçõesInformation governance E5/G5, Microsoft Defender para Office 365 P2 ou Microsoft 365 E5 assinatura de complementoE5/G5, Microsoft Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
Volume incomum de compartilhamento de arquivos externosUnusual volume of external file sharing Gera um alerta quando um número incomum de arquivos em SharePoint ou OneDrive são compartilhados com usuários fora da sua organização.Generates an alert when an unusually large number of files in SharePoint or OneDrive are shared with users outside of your organization. Esta política tem uma configuração de gravidade média.This policy has a Medium severity setting. Governança de informaçõesInformation governance E5/G5, Defender para Office 365 P2 ou Microsoft 365 E5 de complementoE5/G5, Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
Volume incomum de exclusão de arquivoUnusual volume of file deletion Gera um alerta quando um número excepcionalmente grande de arquivos é excluído no SharePoint ou OneDrive em um curto período de tempo.Generates an alert when an unusually large number of files are deleted in SharePoint or OneDrive within a short time frame. Esta política tem uma configuração de gravidade média.This policy has a Medium severity setting. Governança de informaçõesInformation governance E5/G5, Defender para Office 365 P2 ou Microsoft 365 E5 de complementoE5/G5, Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
Aumento incomum de emails relatados como pishing Unusual increase in email reported as phish Gera um alerta quando há um aumento significativo no número de pessoas em sua organização usando o complemento Mensagem de Relatório no Outlook para relatar mensagens como emails de phishing.Generates an alert when there's a significant increase in the number of people in your organization using the Report Message add-in in Outlook to report messages as phishing mail. Esta política tem uma configuração de gravidade média.This policy has a Medium severity setting. Para obter mais informações sobre esse add-in, consulte Use the Report Message add-in.For more information about this add-in, see Use the Report Message add-in. Gerenciamento de ameaçasThreat management E5/G5 ou Defender para Office 365 assinatura de complemento P2E5/G5 or Defender for Office 365 P2 add-on subscription
Phishing de representação de usuário entregue na caixa de entrada/pasta1,2User impersonation phish delivered to inbox/folder1,2 Gera um alerta quando a Microsoft detecta que uma substituição de administrador ou usuário permitiu a entrega de uma mensagem de phishing de representação de usuário na caixa de entrada (ou outra pasta acessível pelo usuário) de uma caixa de correio.Generates an alert when Microsoft detects that an admin or user override has allowed the delivery of a user impersonation phishing message to the inbox (or other user-accessible folder) of a mailbox. Exemplos de substituições incluem uma regra de caixa de entrada ou fluxo de emails que permite mensagens de um remetente ou domínio específico ou uma política anti-spam que permite mensagens de remetentes ou domínios específicos.Examples of overrides include an inbox or mail flow rule that allows messages from a specific sender or domain, or an anti-spam policy that allows messages from specific senders or domains. Esta política tem uma configuração de gravidade média.This policy has a Medium severity setting. Gerenciamento de ameaçasThreat management E5/G5 ou Defender para Office 365 assinatura de complemento P2E5/G5 or Defender for Office 365 P2 add-on subscription
Usuário impedido de enviar emailsUser restricted from sending email Gera um alerta quando alguém em sua organização é impedido de enviar emails de saída.Generates an alert when someone in your organization is restricted from sending outbound mail. Isso normalmente resulta quando uma conta é comprometida e o usuário é listado na página Usuários Restritos no Centro de conformidade do Microsoft 365.This typically results when an account is compromised, and the user is listed on the Restricted Users page in the Microsoft 365 compliance center. (Para acessar esta página, acesse Gerenciamento de ameaças > Revisão > Usuários Restritos).(To access this page, go to Threat management > Review > Restricted Users). Esta política tem uma configuração de alta gravidade.This policy has a High severity setting. Para obter mais informações sobre usuários restritos, consulte Removendo um usuário, domínio ou endereço IP de uma lista de bloqueios após o envio de emails de spam.For more information about restricted users, see Removing a user, domain, or IP address from a block list after sending spam email. Gerenciamento de ameaçasThreat management E1/F1/G1, E3/F3/G3 ou E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Usuário impedido de compartilhar formulários e coletar respostasUser restricted from sharing forms and collecting responses Gera um alerta quando alguém em sua organização foi impedido de compartilhar formulários e coletar respostas usando o Microsoft Forms devido ao comportamento de tentativa de phishing repetida detectada.Generates an alert when someone in your organization has been restricted from sharing forms and collecting responses using Microsoft Forms due to detected repeated phishing attempt behavior. Esta política tem uma configuração de alta gravidade.This policy has a High severity setting. Gerenciamento de ameaçasThreat management E1, E3/F3 ou E5E1, E3/F3, or E5

Observação

1 Removemos temporariamente essa política de alerta padrão com base nos comentários dos clientes.1 We've temporarily removed this default alert policy based on customer feedback. Estamos trabalhando para melhorá-lo e a substituiremos por uma nova versão em um futuro próximo.We're working to improve it, and will replace it with a new version in the near future. Até lá, você pode criar uma política de alerta personalizada para substituir essa funcionalidade usando as seguintes configurações:Until then, you can create a custom alert policy to replace this functionality by using the following settings:
  * Atividade é o email phishing detectado no momento da entrega  * Activity is Phish email detected at time of delivery
  * Email não é ZAP'd  * Mail is not ZAP'd
  * A direção do email é Entrada  * Mail direction is Inbound
  * O status de entrega de email é Entregue  * Mail delivery status is Delivered
  * A tecnologia de detecção é retenção de URL mal-intencionada, detonação de URL, filtro de phishing avançado, filtro de phishing geral, representação de domínio, representação de usuário e representação de marca  * Detection technology is Malicious URL retention, URL detonation, Advanced phish filter, General phish filter, Domain impersonation, User impersonation, and Brand impersonation

   Para obter mais informações sobre anti-phishing Office 365, consulte Configurar políticas anti-phishing e anti-phishing.   For more information about anti-phishing in Office 365, see Set up anti-phishing and anti-phishing policies.

2 Para recriar essa política de alerta, siga as diretrizes na nota de rodapé anterior, mas escolha Representação de usuário como a única tecnologia de Detecção.2 To recreate this alert policy, follow the guidance in the previous footnote, but choose User impersonation as the only Detection technology.

A atividade incomum monitorada por algumas das políticas internas baseia-se no mesmo processo que a configuração de limite de alerta descrita anteriormente.The unusual activity monitored by some of the built-in policies is based on the same process as the alert threshold setting that was previously described. A Microsoft estabelece um valor de linha de base que define a frequência normal para atividade "usual".Microsoft establishes a baseline value that defines the normal frequency for "usual" activity. Os alertas são disparados quando a frequência de atividades controladas pela política de alerta interna excede muito o valor da linha de base.Alerts are then triggered when the frequency of activities tracked by the built-in alert policy greatly exceeds the baseline value.

Exibindo alertasViewing alerts

Quando uma atividade executada pelos usuários em sua organização corresponde às configurações de uma política de alerta, um alerta é gerado e exibido na página Alertas no centro de conformidade.When an activity performed by users in your organization matches the settings of an alert policy, an alert is generated and displayed on the Alerts page in the compliance center. Dependendo das configurações de uma política de alerta, uma notificação de email também é enviada para uma lista de usuários especificados quando um alerta é disparado.Depending on the settings of an alert policy, an email notification is also sent to a list of specified users when an alert is triggered. Para cada alerta, o painel na página Alertas exibe o nome da política de alerta correspondente, a gravidade e a categoria do alerta (definido na política de alerta) e o número de vezes que ocorreu uma atividade que resultou no alerta sendo gerado.For each alert, the dashboard on the Alerts page displays the name of the corresponding alert policy, the severity and category for the alert (defined in the alert policy), and the number of times an activity has occurred that resulted in the alert being generated. Esse valor se baseia na configuração de limite da política de alerta.This value is based on the threshold setting of the alert policy. O painel também mostra o status de cada alerta.The dashboard also shows the status for each alert. Para obter mais informações sobre como usar a propriedade status para gerenciar alertas, consulte Managing alerts.For more information about using the status property to manage alerts, see Managing alerts.

Para exibir alertas, vá para https://compliance.microsoft.com e selecione Alertas.To view alerts, go to https://compliance.microsoft.com and then select Alerts. Como alternativa, você pode ir diretamente para https://compliance.microsoft.com/compliancealerts .Alternatively, you can go directly to https://compliance.microsoft.com/compliancealerts.

Na Centro de conformidade do Microsoft 365, selecione Alertas

Você pode usar os filtros a seguir para exibir um subconjunto de todos os alertas na página Alertas.You can use the following filters to view a subset of all the alerts on the Alerts page.

  • Status.Status. Use esse filtro para mostrar alertas atribuídos a um status específico.Use this filter to show alerts that are assigned a particular status. O status padrão é Active.The default status is Active. Você ou outros administradores podem alterar o valor de status.You or other administrators can change the status value.

  • Política.Policy. Use esse filtro para mostrar alertas que corresponderem à configuração de uma ou mais políticas de alerta.Use this filter to show alerts that match the setting of one or more alert policies. Ou você pode exibir todos os alertas para todas as políticas de alerta.Or you can display all alerts for all alert policies.

  • Intervalo de tempo.Time range. Use esse filtro para mostrar alertas que foram gerados dentro de um intervalo de data e hora específico.Use this filter to show alerts that were generated within a specific date and time range.

  • Severidade.Severity. Use esse filtro para mostrar alertas atribuídos a uma gravidade específica.Use this filter to show alerts that are assigned a specific severity.

  • Categoria.Category. Use esse filtro para mostrar alertas de uma ou mais categorias de alerta.Use this filter to show alerts from one or more alert categories.

  • Marcas.Tags. Use esse filtro para mostrar alertas de uma ou mais marcas de usuário.Use this filter to show alerts from one or more user tags. As marcas são refletidas com base em caixas de correio marcadas ou usuários que aparecem nos alertas.Tags are reflected based on tagged mailboxes or users that appear in the alerts. Consulte Marcas de usuário Office 356 ATP para saber mais.See User tags in Office 356 ATP to learn more.

  • Source.Source. Use esse filtro para mostrar alertas disparados por políticas de alerta no centro de conformidade ou alertas disparados por políticas Office 365 Cloud App Security, ou ambos.Use this filter to show alerts triggered by alert policies in the compliance center or alerts triggered by Office 365 Cloud App Security policies, or both. Para obter mais informações sobre Office 365 Cloud App Security alertas, consulte Exibindo Cloud App Security alertas.For more information about Office 365 Cloud App Security alerts, see Viewing Cloud App Security alerts.

Importante

A filtragem e a classificação por marcas de usuário estão atualmente em visualização pública.Filtering and sorting by user tags is currently in public preview. Ele pode ser substancialmente modificado antes de ser lançado comercialmente.It may be substantially modified before it's commercially released. A Microsoft não faz garantias, expressas ou implícitas, com relação às informações fornecidas sobre ele.Microsoft makes no warranties, express or implied, with respect to the information provided about it.

Agregação de alertaAlert aggregation

Quando vários eventos que corresponderem às condições de uma política de alerta ocorrem com um curto período de tempo, eles são adicionados a um alerta existente por um processo chamado agregação de alerta.When multiple events that match the conditions of an alert policy occur with a short period of time, they are added to an existing alert by a process called alert aggregation. Quando um evento dispara um alerta, o alerta é gerado e exibido na página Alertas e uma notificação é enviada.When an event triggers an alert, the alert is generated and displayed on the Alerts page and a notification is sent. Se o mesmo evento ocorrer dentro do intervalo de agregação, Microsoft 365 adiciona detalhes sobre o novo evento ao alerta existente em vez de disparar um novo alerta.If the same event occurs within the aggregation interval, then Microsoft 365 adds details about the new event to the existing alert instead of triggering a new alert. O objetivo da agregação de alertas é ajudar a reduzir a "fatiga" do alerta e permitir que você se concentre e tome medidas em menos alertas para o mesmo evento.The goal of alert aggregation is to help reduce alert "fatigue" and let you focus and take action on fewer alerts for the same event.

O comprimento do intervalo de agregação depende de sua assinatura Office 365 ou Microsoft 365.The length of the aggregation interval depends on your Office 365 or Microsoft 365 subscription.

AssinaturaSubscription Intervalo de agregaçãoAggregation interval
Office 365 ou Microsoft 365 E5/G5Office 365 or Microsoft 365 E5/G5 1 minuto1 minute
Microsoft Defender para Office 365 Plano 2Defender for Office 365 Plan 2 1 minuto1 minute
Complemento de Conformidade do E5 ou Complemento de Descoberta e Auditoria do E5E5 Compliance add-on or E5 Discovery and Audit add-on 1 minuto1 minute
Office 365 ou Microsoft 365 E1/F1/G1 ou E3/F3/G3Office 365 or Microsoft 365 E1/F1/G1 or E3/F3/G3 15 minutos15 minutes
Defender para Office 365 Plano 1 ou Proteção do Exchange OnlineDefender for Office 365 Plan 1 or Exchange Online Protection 15 minutos15 minutes

Quando os eventos que corresponderem à mesma política de alerta ocorrem dentro do intervalo de agregação, os detalhes sobre o evento subsequente são adicionados ao alerta original.When events that match the same alert policy occur within the aggregation interval, details about the subsequent event are added to the original alert. Para todos os eventos, as informações sobre eventos agregados são exibidas no campo de detalhes e o número de vezes que um evento ocorreu com o intervalo de agregação é exibido no campo de contagem de atividade/acerto.For all events, information about aggregated events is displayed in the details field and the number of times an event occurred with the aggregation interval is displayed in the activity/hit count field. Você pode exibir mais informações sobre todas as instâncias de eventos agregados exibindo a lista de atividades.You can view more information about all aggregated events instances by viewing the activity list.

A captura de tela a seguir mostra um alerta com quatro eventos agregados.The following screenshot shows an alert with four aggregated events. A lista de atividades contém informações sobre as quatro mensagens de email relevantes para o alerta.The activity list contains information about the four email messages relevant to the alert.

Exemplo de agregação de alerta

Lembre-se das seguintes coisas sobre a agregação de alerta:Keep the following things in mind about alert aggregation:

  • Os alertas disparados pelo clique de UMA URL potencialmente mal-intencionada foram detectados e a política de alerta padrão não é agregada.Alerts triggered by the A potentially malicious URL click was detected default alert policy are not aggregated. Isso porque os alertas disparados por essa política são exclusivos para cada usuário e mensagem de email.This is because alerts triggered by this policy are unique to each user and email message.

  • No momento, a propriedade de alerta contagem de acertos não indica o número de eventos agregados para todas as políticas de alerta.At this time, the Hit count alert property doesn't indicate the number of aggregated events for all alert policies. Para alertas disparados por essas políticas de alerta, você pode exibir os eventos agregados clicando em Exibir lista de mensagens ou Exibir atividade no alerta.For alerts triggered by these alert policies, you can view the aggregated events by clicking View message list or View activity on the alert. Estamos trabalhando para disponibilizar o número de eventos agregados listados na propriedade de alerta de contagem de acertos para todas as políticas de alerta.We're working to make the number of aggregated events listed in the Hit count alert property available for all alert policies.

Permissões do RBAC necessárias para exibir alertasRBAC permissions required to view alerts

As permissões RBAC (Controle de Acesso Baseado em Função) atribuídas aos usuários em sua organização determinam quais alertas um usuário pode ver na página Alertas.The Role Based Access Control (RBAC) permissions assigned to users in your organization determine which alerts a user can see on the Alerts page. Como isso é feito?How is this accomplished? As funções de gerenciamento atribuídas aos usuários (com base em sua associação em grupos de funções no Centro de conformidade do Microsoft 365) determinam quais categorias de alerta um usuário pode ver na página Alertas.The management roles assigned to users (based on their membership in role groups in the Microsoft 365 compliance center) determine which alert categories a user can see on the Alerts page. Aqui estão alguns exemplos:Here are some examples:

  • Os membros do grupo de função Gerenciamento de Registros podem exibir apenas os alertas gerados pelas políticas de alerta atribuídas à categoria Governança de informações.Members of the Records Management role group can view only the alerts that are generated by alert policies that are assigned the Information governance category.

  • Membros do grupo de função Administrador de Conformidade não podem exibir alertas gerados por políticas de alerta atribuídas à categoria gerenciamento de ameaças.Members of the Compliance Administrator role group can't view alerts that are generated by alert policies that are assigned the Threat management category.

  • Os membros do grupo de funções do Gerenciador de Descobertas E não podem exibir alertas porque nenhuma das funções atribuídas fornece permissão para exibir alertas de qualquer categoria de alerta.Members of the eDiscovery Manager role group can't view any alerts because none of the assigned roles provide permission to view alerts from any alert category.

Esse design (com base em permissões RBAC) permite determinar quais alertas podem ser exibidos (e gerenciados) pelos usuários em funções de trabalho específicas em sua organização.This design (based on RBAC permissions) lets you determine which alerts can be viewed (and managed) by users in specific job roles in your organization.

A tabela a seguir lista as funções necessárias para exibir alertas das seis categorias de alerta diferentes.The following table lists the roles that are required to view alerts from the six different alert categories. A primeira coluna nas tabelas lista todas as funções no Centro de conformidade do Microsoft 365.The first column in the tables lists all roles in the Microsoft 365 compliance center. Uma marca de seleção indica que um usuário atribuído a essa função pode exibir alertas da categoria de alerta correspondente listada na linha superior.A check mark indicates that a user who is assigned that role can view alerts from the corresponding alert category listed in the top row.

Para ver a qual categoria uma política de alerta padrão é atribuída, consulte a tabela em Políticas de alerta padrão.To see which category a default alert policy is assigned to, see the table in Default alert policies.

FunçãoRole Governança de informaçõesInformation governance Prevenção contra perda de dadosData loss prevention Fluxo de mensagensMail flow PermissõesPermissions Gerenciamento de ameaçasThreat management OutrosOthers
Logs de auditoriaAudit Logs
Gerenciamento de CasosCase Management
Administrador de ConformidadeCompliance Administrator Marca de seleção Marca de seleção Marca de seleção Marca de seleção
Pesquisa de ConformidadeCompliance Search
Gerenciamento de dispositivoDevice Management
Gerenciamento de disposiçãoDisposition Management
Gerenciamento de Conformidade de DLPDLP Compliance Management Marca de seleção
ExportarExport
RetençãoHold
Gerenciar AlertasManage Alerts Marca de seleção
Configuração da OrganizaçãoOrganization Configuration Marca de seleção
VisualizaçãoPreview
Gerenciamento de RegistrosRecord Management Marca de seleção
Gerenciamento de retençãoRetention Management Marca de seleção
RevisãoReview
RMS DecryptRMS Decrypt
Gerenciamento de FunçãoRole Management Marca de seleção
Pesquisar e limparSearch And Purge
Administrador de SegurançaSecurity Administrator Marca de seleção Marca de seleção Marca de seleção Marca de seleção
Leitor de segurançaSecurity Reader Marca de seleção Marca de seleção Marca de seleção Marca de seleção
Exibição de Garantia de ServiçoService Assurance View
Administrador de Revisão de SupervisãoSupervisory Review Administrator
Logs de Auditoria Somente para ExibiçãoView-Only Audit Logs
View-Only gerenciamento de dispositivosView-Only Device Management
View-Only gerenciamento de conformidade de DLPView-Only DLP Compliance Management Marca de seleção
View-Only Gerenciar AlertasView-Only Manage Alerts Marca de seleção
Destinatários Somente para ExibiçãoView-Only Recipients Marca de seleção
View-Only gerenciamento de registrosView-Only Record Management Marca de seleção
View-Only Gerenciamento de RetençãoView-Only Retention Management Marca de seleção

Dica

Para exibir as funções atribuídas a cada um dos grupos de funções padrão, execute os seguintes comandos no Centro de & Conformidade e Segurança do PowerShell:To view the roles that are assigned to each of the default role groups, run the following commands in Security & Compliance Center PowerShell:

$RoleGroups = Get-RoleGroup
$RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,"-----------------------"; Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}

Você também pode exibir as funções atribuídas a um grupo de funções no Centro de conformidade do Microsoft 365.You can also view the roles assigned to a role group in the Microsoft 365 compliance center. Vá até a página Permissões e selecione um grupo de funções.Go to the Permissions page, and select a role group. As funções atribuídas são listadas na página de sobrevoo.The assigned roles are listed on the flyout page.

Gerenciando alertasManaging alerts

Depois que os alertas foram gerados e exibidos na página Alertas no centro de conformidade, você pode triagem, investigar e resolvê-los.After alerts have been generated and displayed on the Alerts page in the compliance center, you can triage, investigate, and resolve them. Aqui estão algumas tarefas que você pode executar para gerenciar alertas.Here are some tasks you can perform to manage alerts.

  • Atribua um status aos alertas.Assign a status to alerts. Você pode atribuir um dos seguintes status a alertas: Ativo (o valor padrão), Investigando, Resolvido ou Ignorado.You can assign one of the following statuses to alerts: Active (the default value), Investigating, Resolved, or Dismissed. Em seguida, você pode filtrar essa configuração para exibir alertas com a mesma configuração de status.Then, you can filter on this setting to display alerts with the same status setting. Essa configuração de status pode ajudar a acompanhar o processo de gerenciamento de alertas.This status setting can help track the process of managing alerts.

  • Exibir detalhes do alerta.View alert details. Você pode selecionar um alerta para exibir uma página de sobremenu com detalhes sobre o alerta.You can select an alert to display a flyout page with details about the alert. As informações detalhadas dependem da política de alerta correspondente, mas normalmente inclui o seguinte:The detailed information depends on the corresponding alert policy, but it typically includes the following:

    • O nome da operação real que disparou o alerta, como um cmdlet ou uma operação de log de auditoria.The name of the actual operation that triggered the alert, such as a cmdlet or an audit log operation.

    • Uma descrição da atividade que disparou o alerta.A description of the activity that triggered the alert.

    • O usuário (ou lista de usuários) que disparou o alerta.The user (or list of users) who triggered the alert. Isso é incluído apenas para políticas de alerta configuradas para rastrear um único usuário ou uma única atividade.This is included only for alert policies that are set up to track a single user or a single activity.

    • O número de vezes que a atividade controlada pelo alerta foi executada.The number of times the activity tracked by the alert was performed. Esse número pode não corresponder ao número real de alertas relacionados listados na página Alertas porque mais alertas podem ter sido disparados.This number may not match that actual number of related alerts listed on the Alerts page because more alerts may have been triggered.

    • Um link para uma lista de atividades que inclui um item para cada atividade executada que disparou o alerta.A link to an activity list that includes an item for each activity that was performed that triggered the alert. Cada entrada nesta lista identifica quando a atividade ocorreu, o nome da operação real (como "FileDeleted"), o usuário que realizou a atividade, o objeto (como um arquivo, um caso de Descoberta Eletrônica ou uma caixa de correio) em que a atividade foi executada e o endereço IP do computador do usuário.Each entry in this list identifies when the activity occurred, the name of the actual operation (such as "FileDeleted"), the user who performed the activity, the object (such as a file, an eDiscovery case, or a mailbox) that the activity was performed on, and the IP address of the user's computer. Para alertas relacionados a malware, isso é links para uma lista de mensagens.For malware-related alerts, this links to a message list.

    • O nome (e o link) da política de alerta correspondente.The name (and link) of the corresponding alert policy.

  • Suprimir notificações por email.Suppress email notifications. Você pode desativar (ou suprimir) notificações de email da página de sobrevoo para um alerta.You can turn off (or suppress) email notifications from the flyout page for an alert. Quando você suprimir notificações por email, a Microsoft não enviará notificações quando atividades ou eventos que corresponderem às condições da política de alerta ocorrerem.When you suppress email notifications, Microsoft won't send notifications when activities or events that match the conditions of the alert policy occur. Mas os alertas serão disparados quando as atividades executadas pelos usuários corresponderem às condições da política de alerta.But alerts will be triggered when activities performed by users match the conditions of the alert policy. Você também pode desativar notificações por email editando a política de alerta.You can also turn off email notifications by editing the alert policy.

  • Resolver alertas.Resolve alerts. Você pode marcar um alerta conforme resolvido na página de sobrevoo para um alerta (que define o status do alerta como Resolvido).You can mark an alert as resolved on the flyout page for an alert (which sets the status of the alert to Resolved). A menos que você altere o filtro, os alertas resolvidos não serão exibidos na página Alertas.Unless you change the filter, resolved alerts aren't displayed on the Alerts page.

Exibindo Cloud App Security alertasViewing Cloud App Security alerts

Os alertas disparados por Office 365 Cloud App Security políticas agora são exibidos na página Alertas no centro de conformidade.Alerts that are triggered by Office 365 Cloud App Security policies are now displayed on the Alerts page in the compliance center. Isso inclui alertas disparados por políticas de atividade e alertas disparados por políticas de detecção de anomalias no Office 365 Cloud App Security.This includes alerts that are triggered by activity policies and alerts that are triggered by anomaly detection policies in Office 365 Cloud App Security. Isso significa que você pode exibir todos os alertas no centro de conformidade.This means you can view all alerts in the compliance center. Office 365 Cloud App Security está disponível apenas para organizações com uma assinatura Office 365 Enterprise E5 ou Office 365 US Government G5.Office 365 Cloud App Security is only available for organizations with an Office 365 Enterprise E5 or Office 365 US Government G5 subscription. Para obter mais informações, consulte Overview of Cloud App Security.For more information, see Overview of Cloud App Security.

As organizações que Microsoft Cloud App Security como parte de uma assinatura do Enterprise Mobility + Security E5 ou como um serviço autônomo também podem exibir alertas Cloud App Security relacionados a aplicativos e serviços Microsoft 365 no Centro de conformidade do Microsoft 365.Organizations that have Microsoft Cloud App Security as part of an Enterprise Mobility + Security E5 subscription or as a standalone service can also view Cloud App Security alerts that are related to Microsoft 365 apps and services in the Microsoft 365 compliance center.

Para exibir apenas Cloud App Security alertas no centro de conformidade, use o filtro Source e selecione Cloud App Security.To display only Cloud App Security alerts in the compliance center, use the Source filter and select Cloud App Security.

Use o filtro Source para exibir somente Cloud App Security alertas

Semelhante a um alerta disparado por uma política de alerta no centro de conformidade, você pode selecionar um alerta Cloud App Security para exibir uma página de sobremenu com detalhes sobre o alerta.Similar to an alert triggered by an alert policy in the compliance center, you can select a Cloud App Security alert to display a flyout page with details about the alert. O alerta inclui um link para exibir os detalhes e gerenciar o alerta no portal Cloud App Security e um link para a política de Cloud App Security correspondente que disparou o alerta.The alert includes a link to view the details and manage the alert in the Cloud App Security portal and a link to the corresponding Cloud App Security policy that triggered the alert. Consulte Monitor alerts in Cloud App Security.See Monitor alerts in Cloud App Security.

Os detalhes do alerta contêm links para o Cloud App Security portal

Importante

Alterar o status de um Cloud App Security no centro de conformidade não atualizará o status da resolução para o mesmo alerta no portal Cloud App Security.Changing the status of a Cloud App Security alert in the compliance center won't update the resolution status for the same alert in the Cloud App Security portal. Por exemplo, se você marcar o status do alerta como Resolvido no centro de conformidade, o status do alerta no portal Cloud App Security não será alterado.For example, if you mark the status of the alert as Resolved in the compliance center, the status of the alert in the Cloud App Security portal is unchanged. Para resolver ou descartar um alerta Cloud App Security, gerencie o alerta no portal Cloud App Security.To resolve or dismiss a Cloud App Security alert, manage the alert in the Cloud App Security portal.