Introdução aos alertas de prevenção contra perda de dados dashboard
Prevenção Contra Perda de Dados do Microsoft Purview políticas de DLP (DLP) podem adotar ações de proteção para evitar o compartilhamento não intencional de itens confidenciais. Você pode ser notificado quando uma ação é tomada em um item confidencial configurando alertas para DLP. Este artigo mostra como configurar alertas em suas políticas de DLP (prevenção contra perda de dados). Você verá como usar o dashboard de gerenciamento de alertas DLP no portal de conformidade do Microsoft Purview para exibir alertas, eventos e metadados associados para violações de política DLP.
Se você for novo em alertas DLP, examine Introdução aos alertas de prevenção contra perda de dados.
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
portal de conformidade do Microsoft Purview mostra alertas para políticas DLP impostas nas seguintes cargas de trabalho:
- Trocar email
- Sites do SharePoint
- Contas OneDrive
- Bater papo e canal de mensagens do Teams
- Dispositivos
- Instâncias
- Repositórios locais
- Power BI
Antes de começar
Antes de começar, verifique se você tem os pré-requisitos necessários:
- Licenciamento do dashboard de gerenciamento de alertas DLP
- Licenciamento para opções de configuração de alerta
- Funções necessárias
Licenciamento do dashboard de gerenciamento de alertas DLP
Antes de começar a usar políticas DLP, confirme sua assinatura do Microsoft 365 e quaisquer complementos.
Para obter informações sobre licenciamento, consulte Assinaturas do Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 para Empresas.
Os clientes que usam o DLP do Ponto de Extremidade que são qualificados para o Teams DLP veem seus alertas de política DLP do ponto de extremidade e alertas de política DLP do Teams no dashboard de gerenciamento de alertas DLP.
Licenciamento para opções de configuração de alerta
Antes de começar a usar políticas DLP, confirme sua assinatura do Microsoft 365 e quaisquer complementos.
Para obter informações sobre licenciamento, consulte Assinaturas do Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 para Empresas.
Funções e Grupos de Funções
Se você quiser exibir o dashboard de gerenciamento de alertas DLP ou editar as opções de configuração de alerta em uma política DLP, deverá ser membro de um desses grupos de funções:
- Administrador de Conformidade
- Administrador de Dados de Conformidade
- Administrador de Segurança
- Operador de Segurança
- Leitor de Segurança
- Administrador de Proteção de Informações
- Analista de Proteção de Informações
- Investigador de Proteção de Informações
- Leitor de Proteção de Informações
Para saber mais sobre eles, confira Permissões no portal de conformidade do Microsoft Purview
Aqui está uma lista de grupos de funções aplicáveis. Para saber mais sobre eles, consulte Permissões no portal de conformidade do Microsoft Purview.
- Proteção de Informações
- Administradores de Proteção de Informações
- Analistas de Proteção de Informações
- Investigadores de Proteção de Informações
- Leitores de Proteção de Informações
Para acessar o dashboard de gerenciamento de alertas DLP, você precisa da função Gerenciar alertas e uma dessas duas funções:
- Gerenciamento de Conformidade de DLP
- View-Only Gerenciamento de Conformidade DLP
Para acessar o recurso de visualização de conteúdo e os recursos de contexto e conteúdo confidenciais correspondentes, você deve ser um membro do grupo de funções Visualizador de Conteúdo Explorer conteúdo, que tem a função visualizador de conteúdo de classificação de dados pré-atribuída.
Configuração de alerta DLP
Para saber como configurar um alerta em sua política DLP, consulte Criar e Implantar políticas de prevenção contra perda de dados.
Importante
A configuração da política de retenção de log de auditoria da sua organização controla por quanto tempo um alerta permanece visível no console. Consulte Gerenciar políticas de retenção de log de auditoria para obter mais informações.
Configuração de alerta de evento agregado
Se sua organização estiver licenciada para opções de configuração de alerta agregadas, você verá essas opções ao criar ou editar uma política DLP.
Essa configuração permite configurar uma política para gerar um alerta sempre que uma atividade corresponder às condições da política ou quando um determinado limite for excedido, com base no número de atividades ou com base no volume de dados exfiltrados.
Configuração de alerta de evento único
Se sua organização estiver licenciada para opções de configuração de alerta de evento único, você verá essas opções ao criar ou editar uma política DLP. Use essa opção para criar um alerta que é gerado sempre que uma correspondência de regra DLP acontece.
Investigar um alerta DLP
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.
Para trabalhar com o dashboard de gerenciamento de alertas DLP:
- Entre no portal > do Microsoft PurviewPrevenção contra perda de dados.
- Selecione Alertas para exibir o dashboard alertas DLP.
- Use os campos Filtrar para refinar a lista de alertas.
- Escolha Personalizar colunas para listar as propriedades que você deseja ver.
- Para classificar os resultados em ordem crescente ou decrescente, clique duas vezes no cabeçalho da coluna.
- Clique duas vezes em um alerta para obter mais informações sobre ele.
- A guia Detalhes é aberta por padrão e fornece informações de alto nível sobre o alerta.
- Selecione Exibir detalhes para abrir a guia Visão geral fornece um resumo das seguintes informações:
- O que aconteceu
- Quem executou as ações que causaram a correspondência de política
- Informações adicionais sobre a correspondência de política
- A guia Eventos lista todos os eventos associados ao alerta. Selecione qualquer evento na lista para obter informações detalhadas sobre o evento. Para cada evento, escolha a lista suspensa Ações para uma lista de ações que você pode assumir no alerta, como verificar se o alerta identificou ou não uma correspondência verdadeira ou um falso positivo. 1. A guia Resumo de atividades do usuário exige que o compartilhamento seja ativado nas configurações de gerenciamento de risco interno Depois de habilitado, a guia Resumo de atividades do usuário fornece todas as atividades de exfiltração nas quais o usuário se envolveu (até os últimos 120 dias). Os usuários devem estar no escopo de uma política de gerenciamento de risco interno para ver a guia Resumo de atividades do usuário .
- Depois de investigar o alerta, retorne à guia Visão geral em que você pode Exibir detalhes para triagem e gerenciar a disposição do alerta, adicionar comentários e atribuir a propriedade do alerta. (Para ver o histórico do gerenciamento de fluxo de trabalho.)
- Depois de tomar a ação necessária para o alerta, defina o Status do alerta como Resolvido.
Outras condições correspondentes
O Microsoft Purview dá suporte à exibição de condições correspondentes em um evento DLP para revelar a causa exata de uma política DLP sinalizada. Essas informações aparecem em:
- Console de Alertas DLP
- Explorador de atividades
- portal Microsoft Defender para Empresas
Na guia Eventos , abra Detalhes para ver Outras condições correspondentes.
Pré-requisitos
- Deve estar executando Windows 10 x64 (build 1809 ou posterior) ou Windows 11.
- Confira 21 de março de 2023 — KB5023773 (builds do sistema operacional 19042.2788, 19044.2788 e 19045.2788) Versão prévia para compilações mínimas do Sistema Operacional Windows necessárias.
- Os dados de condições correspondentes estão disponíveis para detentores de licençaS E3 e E5 válidos.
- Habilitar Auditoria.
- Habilitar a verificação e a proteção de classificação avançadas.
Há suporte para informações de eventos correspondentes para essas condições
| Condition | Exchange | Sharepoint | Teams | Ponto de extremidade |
|---|---|---|---|---|
| O remetente é | Sim | Não | Sim | Não |
| O domínio do remetente é | Sim | Não | Sim | Não |
| O endereço do remetente contém palavras | Sim | Não | Não | Não |
| O endereço do remetente corresponde aos padrões | Sim | Não | Não | Não |
| O remetente é um membro do | Sim | Não | Não | Não |
| O endereço IP do remetente é | Sim | Não | Não | Não |
| O remetente substituiu a dica de política | Sim | Não | Não | Não |
| SenderAdAttribute contém palavras | Sim | Não | Não | Não |
| Padrões de correspondências senderAdAttribute | Sim | Não | Não | Não |
| O destinatário é | Sim | Não | Sim | Não |
| O domínio do destinatário é | Sim | Não | Sim | Não |
| O endereço do destinatário contém palavras | Sim | Não | Não | Não |
| O endereço do destinatário corresponde aos padrões | Sim | Não | Não | Não |
| O destinatário é um membro do | Sim | Não | Não | Não |
| RecipientAdAttribute contém palavras | Sim | Não | Não | Não |
| Padrões de correspondências do RecipientAdAttribute | Sim | Não | Não | Não |
| Documento é protegido por senha | Sim | Não | Não | Não |
| O documento não pôde ser verificado | Sim | Não | Não | Não |
| O documento não concluiu a verificação | Sim | Não | Não | Não |
| O nome do documento contém palavras | Sim | Sim | Não | Não |
| O nome do documento corresponde aos padrões | Sim | Não | Não | Não |
| A propriedade do documento é | Sim | Sim | Não | Não |
| Tamanho do documento sobre | Sim | Sim | Não | Não |
| O conteúdo do documento contém palavras | Sim | Não | Não | Não |
| O conteúdo do documento corresponde aos padrões | Sim | Não | Não | Não |
| O tipo de documento é | Não | Não | Não | Sim |
| A extensão do documento é | Sim | Sim | Não | Sim |
| O conteúdo é compartilhado do M365 | Sim | Sim | Sim | Não |
| O conteúdo é recebido de | Sim | Não | Não | Não |
| O conjunto de caracteres de conteúdo contém palavras | Sim | Não | Não | Não |
| O assunto contém palavras | Sim | Não | Não | Não |
| O assunto corresponde aos padrões | Sim | Não | Não | Não |
| Assunto ou corpo contém palavras | Sim | Não | Não | Não |
| Sujeito ou corpo corresponde a padrões | Sim | Não | Não | Não |
| Cabeçalho contém palavras | Sim | Não | Não | Não |
| O cabeçalho corresponde aos padrões | Sim | Não | Não | Não |
| Tamanho da mensagem | Sim | Não | Não | Não |
| Tipo de mensagem é | Sim | Não | Não | Não |
| A importância da mensagem é | Sim | Não | Não | Não |
Limitação ao baixar emails de dentro de um alerta DLP
Em geral, ao usar o dashboard de gerenciamento de alertas DLP, você pode baixar emails específicos de dentro de um alerta. No entanto, emails que foram excluídos em qualquer um dos cenários a seguir não podem ser baixados.
| Remetente | Destinatário | Email Status |
|---|---|---|
| Interno | Externo | Excluído por remetente |
| Externo | Interno | Excluído pelo destinatário |
| Interno | Interno | Excluído por ambas as partes |
Ferramentas adicionais de investigação de alerta
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de