Explicar os recursos de relatório de prevenção de perda de dados
Depois de criar políticas de prevenção contra perda de dados, os administradores precisam verificar e monitorar o desempenho de suas políticas de DLP na produção. Essa é uma tarefa recorrente importante para uma organização garantir que ela permaneça em conformidade com as políticas e, ao mesmo tempo, minimize o impacto na produtividade do usuário.
DLP Activity Explorer e relatórios
A guia Explorador de atividades na página DLP tem vários filtros que você pode usar para exibir eventos DLP. Use essa ferramenta para revisar atividades relacionadas a conteúdo que contenha informações confidenciais ou tenha rótulos aplicados, como quais rótulos foram alterados, arquivos foram modificados e corresponderam a uma regra.
Você pode visualizar os últimos 30 dias de informações de DLP no Activity Explorer usando estes filtros pré-configurados:
- Atividades de DLP de ponto final
- Arquivos contendo tipos de informações confidenciais
- Atividades de saída
- Políticas de DLP que detetaram atividades
- Regras de política de DLP que detetaram atividades
| Para ver estas informações | Selecione esta atividade |
|---|---|
| Substituições do usuário | Desfazer regra DLP |
| Itens que correspondem a uma regra DLP | Regra DLP correspondente |
Para acessar o relatório DLP, você pode usar o PowerShell e o módulo PowerShell Security & Compliance.
Conecte-se ao módulo PowerShell de Segurança e Conformidade:
Connect-IPPSSessionUse o cmdlet Export-ActivityExplorerData para exportar atividades do Data classification > Activity Explorer no portal de conformidade do Microsoft 365 Purview. Especifique o intervalo de tempo desejado usando os parâmetros -StartTime e -EndTime. Escolha o formato de saída, como JSON ou CSV, definindo o parâmetro -OutputFormat . Eis um exemplo:
Export-ActivityExplorerData -StartTime "06/24/2023 00:00 AM" -EndTime "06/25/2023 00:00 AM" -OutputFormat JSON
Para saber mais sobre o cmdlet Export-ActivityExplorerData , consulte:
Resumo contextual
Você pode ver o texto que envolve o conteúdo correspondente, como um número de cartão de crédito em um evento DLPRuleMatch no Activity explorer. Para fazer isso, você deve primeiro habilitar a verificação e a proteção de classificação avançada.
Os eventos DLPRuleMatch são emparelhados com o evento de atividade do usuário. Eles devem estar ao lado (ou pelo menos muito próximos) um do outro no explorador de atividades. Você desejará examinar ambos porque o evento de atividade do usuário contém detalhes sobre a política correspondente e o evento DLPRuleMatch contém os detalhes sobre o texto que envolve o conteúdo correspondente.
Para o ponto de extremidade, certifique-se de que aplicou KB5016688 para dispositivos Windows 10 e KB5016691 para dispositivos Windows 11 ou superior
Para obter mais informações, consulte Introdução ao explorador de atividades
Alertas de prevenção contra perda de dados no painel do Microsoft Defender for Cloud Apps
Você também pode exibir um relatório de alertas DLP no Painel do Defender for Cloud Apps. Este relatório mostra os alertas e as correspondências de todas as suas políticas do Defender for Cloud Apps que fazem parte da categoria DLP. Você pode selecionar cada alerta ou correspondência para obter informações sobre:
- O tipo de informação sensível
- Localização das informações sensíveis
- A política que cria o alerta
- O usuário que aciona a correspondência de política
- As ações que foram tomadas para proteger o arquivo correspondente
Use o relatório de alertas DLP do Defender for Cloud Apps para exibir uma visão geral dos alertas de política do Defender for Cloud Apps. Como as políticas criadas no lado do Defender for Cloud Apps têm opções e escopos diferentes em comparação com as políticas do Defender for Cloud Apps criadas no portal de conformidade do Microsoft Purview, é prudente estar ciente dos alertas em ambos os painéis.