Políticas de alerta no Microsoft 365
Você pode usar políticas de alerta e o dashboard de alerta no portal de conformidade do Microsoft Purview ou no portal Microsoft Defender para criar políticas de alerta e, em seguida, exibir os alertas gerados quando os usuários executam atividades que correspondem às condições de uma política de alerta. Há várias políticas de alerta padrão que ajudam você a monitorar atividades como atribuir privilégios de administrador em Exchange Online, ataques de malware, campanhas de phishing e níveis incomuns de exclusões de arquivos e compartilhamento externo.
Dica
Acesse a seção Políticas de alerta padrão neste artigo para obter uma lista e uma descrição das políticas de alerta disponíveis.
As políticas de alerta permitem categorizar os alertas disparados por uma política, aplicar a política a todos os usuários em sua organização, definir um nível de limite para quando um alerta é disparado e decidir se receberão notificações por email quando os alertas forem disparados. Há também uma página Alertas em que você pode exibir e filtrar alertas, definir um alerta status para ajudá-lo a gerenciar alertas e, em seguida, descartar alertas depois de resolver ou resolver o incidente subjacente.
Observação
As políticas de alerta estão disponíveis nas seguintes organizações:
- Microsoft 365 Enterprise.
- Office 365 Enterprise.
- Office 365 E1/F1/G1 do governo dos EUA, E3/F3/G3 ou E5/G5.
A funcionalidade avançada só está disponível nas seguintes organizações:
- E5/G5.
- E1/F1/G1 ou E3/F3/G3 e uma das seguintes assinaturas de complemento:
- Microsoft Defender para Office 365 Plano 2.
- Microsoft 365 E5 Compliance.
- Complemento E5 eDiscovery e Audit.
A funcionalidade avançada que requer E5/G5 ou uma assinatura de complemento é realçada neste artigo.
As políticas de alerta estão disponíveis em organizações do governo dos EUA (Office 365 GCC, GCC High e DoD).
Dica
Se não for um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como as capacidades adicionais do Purview podem ajudar a sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no Hub de avaliações do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.
Como funcionam as políticas de alerta
Aqui está uma visão geral rápida de como as políticas de alerta funcionam e os alertas que são disparados quando a atividade de usuário ou administrador corresponde às condições de uma política de alerta.
Um administrador em sua organização cria, configura e ativa uma política de alerta usando a página Políticas de alerta no portal de conformidade ou no portal Microsoft Defender. Você também pode criar políticas de alerta usando o cmdlet New-ProtectionAlert no PowerShell de Conformidade do & de Segurança.
Para criar políticas de alerta, você precisa receber a função Gerenciar alertas ou a função Configuração da Organização no portal de conformidade ou no portal do Defender.
Observação
Leva até 24 horas depois de criar ou atualizar uma política de alerta antes que os alertas possam ser disparados pela política. Isso ocorre porque a política precisa ser sincronizada com o mecanismo de detecção de alertas.
Um usuário executa uma atividade que corresponde às condições de uma política de alerta. No caso de ataques de malware, mensagens de email infectadas enviadas aos usuários da sua organização disparam um alerta.
O Microsoft 365 gera um alerta exibido na página Alertas no portal de conformidade ou no portal do Defender. Além disso, se notificações por email estiver habilitado para a política de alerta, a Microsoft enviará uma notificação para uma lista de destinatários. Os alertas que um administrador ou outros usuários podem ver que na página Alertas são determinados pelas funções atribuídas ao usuário. Para obter mais informações, consulte permissões RBAC necessárias para exibir alertas.
Um administrador gerencia alertas no portal de conformidade do Microsoft Purview. O gerenciamento de alertas consiste em atribuir uma status de alerta para ajudar a rastrear e gerenciar qualquer investigação.
Sobre as configurações da política
Uma política de alerta consiste em um conjunto de regras e condições que definem a atividade de usuário ou administrador que gera um alerta, uma lista de usuários que disparam o alerta se eles executam a atividade e um limite que define quantas vezes a atividade deve ocorrer antes que um alerta seja disparado. Você também categoriza a política e atribui a ela um nível de severidade. Essas duas configurações ajudam você a gerenciar políticas de alerta (e os alertas que são disparados quando as condições de política são correspondentes) porque você pode filtrar essas configurações ao gerenciar políticas e exibir alertas no portal de conformidade do Microsoft Purview. Por exemplo, você pode exibir alertas que correspondem às condições da mesma categoria ou exibir alertas com o mesmo nível de gravidade.
Para exibir e criar políticas de alerta:
portal de conformidade do Microsoft Purview:
Acesse o portal de conformidade e selecione Políticasde Alerta de >Alerta>.
Microsoft Defender portal:
Acesse o portal Microsoft Defender e, em Email & colaboração, selecione Políticas & regras>Políticas De alerta. Como alternativa, você pode ir diretamente para https://security.microsoft.com/alertpolicies.
Observação
Você precisa receber a função gerenciar alertas View-Only para exibir políticas de alerta no portal de conformidade do Microsoft Purview ou no portal do Microsoft Defender. Você precisa receber a função Gerenciar Alertas para criar e editar políticas de alerta. Para obter mais informações, confira Permissões no portal de conformidade do Microsoft Purview.
Uma política de alerta consiste nas seguintes configurações e condições.
Atividade que o alerta está acompanhando. Você cria uma política para acompanhar uma atividade ou, em alguns casos, algumas atividades relacionadas, como compartilhar um arquivo com um usuário externo compartilhando-o, atribuindo permissões de acesso ou criando um link anônimo. Quando um usuário executa a atividade definida pela política, um alerta é disparado com base nas configurações de limite de alerta.
Observação
As atividades que você pode acompanhar dependem do Office 365 Enterprise da sua organização ou Office 365 plano do governo dos EUA. Em geral, as atividades relacionadas a campanhas de malware e ataques de phishing exigem uma assinatura E5/G5 ou uma assinatura E1/F1/G1 ou E3/F3/G3 com uma assinatura de complemento do Plano 2 Defender para Office 365.
Condições de atividade. Para a maioria das atividades, você pode definir condições adicionais que devem ser atendidas para disparar um alerta. As condições comuns incluem endereços IP (para que um alerta seja disparado quando o usuário executa a atividade em um computador com um endereço IP específico ou dentro de um intervalo de endereços IP), se um alerta é disparado se um usuário ou usuário específico executar essa atividade e se a atividade é executada em um nome de arquivo ou URL específico. Você também pode configurar uma condição que dispara um alerta quando a atividade é executada por qualquer usuário em sua organização. As condições disponíveis dependem da atividade selecionada.
Você também pode definir marcas de usuário como uma condição de uma política de alerta. Isso resulta nos alertas disparados pela política para incluir o contexto do usuário afetado. Você pode usar marcas de usuário do sistema ou marcas de usuário personalizadas. Para obter mais informações, consulte Marcas de usuário em Microsoft Defender para Office 365.
Quando o alerta é disparado. Você pode configurar uma configuração que define a frequência com que uma atividade pode ocorrer antes que um alerta seja disparado. Isso permite configurar uma política para gerar um alerta sempre que uma atividade corresponder às condições da política, quando um determinado limite é excedido ou quando a ocorrência da atividade que o alerta está acompanhando se torna incomum para sua organização.
Se você selecionar a configuração com base em atividades incomuns, a Microsoft estabelecerá um valor de linha de base que define a frequência normal da atividade selecionada. Leva até sete dias para estabelecer essa linha de base, durante a qual os alertas não serão gerados. Depois que a linha de base é estabelecida, um alerta é disparado quando a frequência da atividade rastreada pela política de alerta excede consideravelmente o valor da linha de base. Para atividades relacionadas à auditoria (como atividades de arquivo e pasta), você pode estabelecer uma linha de base com base em um único usuário ou com base em todos os usuários da sua organização; para atividades relacionadas a malware, você pode estabelecer uma linha de base com base em uma única família de malware, um único destinatário ou todas as mensagens em sua organização.
Observação
A capacidade de configurar políticas de alerta com base em um limite ou com base em atividades incomuns requer uma assinatura E5/G5, ou uma assinatura E1/F1/G1 ou E3/F3/G3 com uma assinatura Microsoft Defender para Office 365 P2, Microsoft 365 E5 Compliance ou microsoft 365 eDiscovery e auditoria complemento. Organizações com uma assinatura E1/F1/G1 e E3/F3/G3 só podem criar políticas de alerta em que um alerta é disparado sempre que uma atividade ocorre.
Categoria de alerta. Para ajudar no acompanhamento e no gerenciamento dos alertas gerados por uma política, você pode atribuir uma das categorias a seguir a uma política.
- Prevenção contra perda de dados
- Governança de informações
- Fluxo de mensagens
- Permissions
- Gerenciamento de ameaças
- Outros
Quando ocorre uma atividade que corresponde às condições da política de alerta, o alerta gerado é marcado com a categoria definida nessa configuração. Isso permite que você acompanhe e gerencie alertas que têm a mesma configuração de categoria na página Alertas no portal do Microsoft Purview porque você pode classificar e filtrar alertas com base na categoria.
Gravidade do alerta. Semelhante à categoria de alerta, você atribui um atributo de severidade (Baixo, Médio, Alto ou Informativo) às políticas de alerta. Como a categoria de alerta, quando ocorre uma atividade que corresponde às condições da política de alerta, o alerta gerado é marcado com o mesmo nível de severidade definido para a política de alerta. Novamente, isso permite que você acompanhe e gerencie alertas com a mesma configuração de gravidade na página Alertas . Por exemplo, você pode filtrar a lista de alertas para que apenas alertas com alta gravidade sejam exibidos.
Dica
Ao configurar uma política de alerta, considere atribuir uma maior gravidade a atividades que podem resultar em consequências severamente negativas, como detecção de malware após a entrega aos usuários, exibição de dados confidenciais ou classificados, compartilhamento de dados com usuários externos ou outras atividades que possam resultar em perda de dados ou ameaças à segurança. Isso pode ajudá-lo a priorizar alertas e as ações que você toma para investigar e resolve as causas subjacentes.
Investigações automatizadas. Alguns alertas dispararão investigações automatizadas para identificar possíveis ameaças e riscos que precisam de correção ou mitigação. Na maioria dos casos, esses alertas são disparados pela detecção de emails ou atividades mal-intencionadas, mas, em alguns casos, os alertas são disparados por ações de administrador no portal de segurança. Para obter mais informações sobre investigações automatizadas, consulte Investigação automatizada e resposta (AIR) em Microsoft Defender para Office 365.
Email notificações. Você pode configurar a política para que notificações por email sejam enviadas (ou não enviadas) para uma lista de usuários quando um alerta é disparado. Você também pode definir um limite de notificação diária para que, depois que o número máximo de notificações for atingido, não sejam enviadas mais notificações para o alerta durante esse dia. Além de notificações por email, você ou outros administradores podem exibir os alertas disparados por uma política na página Alertas. Considere habilitar notificações por email para políticas de alerta de uma categoria específica ou que tenham uma configuração de gravidade maior.
Políticas de alerta padrão
A Microsoft fornece políticas de alerta internas que ajudam a identificar o abuso de permissões de administrador do Exchange, a atividade de malware, possíveis ameaças externas e internas e riscos de governança de informações. Na página Políticas de alerta , os nomes dessas políticas internas estão em negrito e o tipo de política é definido como Sistema. Essas políticas são ativadas por padrão. Você pode desativar essas políticas (ou voltar a ligar novamente), configurar uma lista de destinatários para enviar notificações por email e definir um limite de notificação diária. As outras configurações para essas políticas não podem ser editadas.
As tabelas a seguir listam e descrevem as políticas de alerta padrão disponíveis e a categoria à qual cada política é atribuída. A categoria é usada para determinar quais alertas um usuário pode exibir na página Alertas. Para obter mais informações, consulte permissões RBAC necessárias para exibir alertas.
As tabelas também indicam o Office 365 Enterprise e Office 365 plano do governo dos EUA necessário para cada um deles. Algumas políticas de alerta padrão estarão disponíveis se sua organização tiver a assinatura de complemento apropriada, além de uma assinatura E1/F1/G1 ou E3/F3/G3.
Observação
A atividade incomum monitorada por algumas das políticas internas baseia-se no mesmo processo que a configuração do limite de alerta descrita anteriormente. A Microsoft estabelece um valor de linha de base que define a frequência normal para a atividade "usual". Os alertas são disparados quando a frequência de atividades rastreadas pela política de alerta interna excede muito o valor da linha de base.
Políticas de alerta de governança de informações
Observação
As políticas de alerta nesta seção estão no processo de ser preteridas com base nos comentários do cliente como falsos positivos. Para manter a funcionalidade dessas políticas de alerta, você pode criar políticas de alerta personalizadas com as mesmas configurações.
| Nome | Descrição | Severity | Investigação automatizada | Assinatura |
|---|---|---|---|---|
| Volume incomum de compartilhamento de arquivos externos | Gera um alerta quando um número extraordinariamente grande de arquivos no SharePoint ou no OneDrive é compartilhado com usuários fora da sua organização. | Médio | Não | Assinatura de complemento E5/G5 ou Defender para Office 365 Plano 2. |
Políticas de alerta de fluxo de email
| Nome | Descrição | Severity | Investigação automatizada | Assinatura necessária |
|---|---|---|---|---|
| Alertas de mensagens atrasadas | Gera um alerta quando a Microsoft não pode entregar mensagens de email para sua organização local ou um servidor parceiro usando um conector. Quando isso acontece, a mensagem é enfileirada em Office 365. Esse alerta é disparado quando há 2.000 mensagens ou mais que foram enfileiradas por mais de uma hora. | Alto | Não | E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Tempestade de respostas detectada | Esse alerta é disparado quando uma tempestade de resposta é detectada e pelo menos uma resposta para o thread de email foi bloqueada. Para obter mais informações, consulte o relatório de proteção contra tempestades De resposta a todos. | Alto | Não | E1/F1/G1, E3/F3/G3 ou E5/G5 |
Políticas de alerta de permissões
| Nome | Descrição | Severity | Investigação automatizada | Assinatura necessária |
|---|---|---|---|---|
| Elevação do privilégio de administrador do Exchange | Gera um alerta quando alguém recebe permissões administrativas em sua organização Exchange Online. Por exemplo, quando um usuário é adicionado ao grupo de funções gerenciamento de organização em Exchange Online. | Baixo | Não | E1/F1/G1, E3/F3/G3 ou E5/G5 |
Políticas de alerta de gerenciamento de ameaças
| Nome | Descrição | Severity | Investigação automatizada | Assinatura necessária |
|---|---|---|---|---|
| Um clique de URL potencialmente mal-intencionado foi detectado | Gera um alerta quando um usuário protegido por Links Seguros em sua organização clica em um link mal-intencionado. Esse alerta é gerado quando um usuário clica em um link e esse evento dispara uma identificação de alteração de veredicto de URL por Microsoft Defender para Office 365. Ele também verifica os cliques nas últimas 48 horas a partir do momento em que o veredicto de URL mal-intencionado é identificado e gera alertas para os cliques que aconteceram no período de 48 horas para esse link mal-intencionado. Esse alerta dispara automaticamente a investigação e a resposta automatizadas no Defender para Office 365 Plano 2. Para obter mais informações sobre eventos que disparam esse alerta, consulte Configurar políticas de Links Seguros. | Alto | Sim | Assinatura de complemento E5/G5 ou Defender para Office 365 Plano 2. |
| Uma entrada da Lista de Blocos de Permissão de Locatário foi encontrada mal-intencionada | Gera um alerta quando a Microsoft determina que o envio de administrador correspondente a uma entrada de permissão na Lista de Permissões/Blocos do Locatário é considerado mal-intencionado. Esse evento é disparado assim que o envio é analisado pela Microsoft. A entrada de permissão continuará a existir por sua duração estipulada. Para obter mais informações sobre eventos que disparam esse alerta, consulte Gerenciar a lista Permitir/Bloquear locatários. |
Informativo | Não | E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Um usuário clicou em uma URL potencialmente mal-intencionada | Gera um alerta quando um usuário protegido por Links Seguros em sua organização clica em um link mal-intencionado. Esse evento é disparado quando o usuário clica em uma URL (que é identificada como validação mal-intencionada ou pendente) e substitui a página de aviso links seguros (com base na política microsoft 365 para links seguros da sua organização) para continuar na página/conteúdo hospedado na URL. Esse alerta dispara automaticamente a investigação e a resposta automatizadas no Defender para Office 365 Plano 2. Para obter mais informações sobre eventos que disparam esse alerta, consulte Configurar políticas de Links Seguros. | Alto | Sim | Assinatura de complemento E5/G5 ou Defender para Office 365 Plano 2. |
| Administração resultado de envio concluído | Gera um alerta quando um envio de Administração conclui o repositório da entidade enviada. Um alerta será disparado sempre que um resultado de rescan for renderizado de um envio de Administração. Esses alertas destinam-se a lembrá-lo de examinar os resultados de envios anteriores, enviar mensagens relatadas pelo usuário para obter a política mais recente marcar e rescan veredictos e ajudá-lo a determinar se as políticas de filtragem em sua organização estão tendo o impacto pretendido. |
Informativo | Não | E1/F1, E3/F3 ou E5 |
| Administração a investigação manual disparada de email | Gera um alerta quando um administrador dispara a investigação manual de um email do Threat Explorer. Para obter mais informações, consulte Exemplo: um administrador de segurança dispara uma investigação do Threat Explorer. Esse alerta notifica sua organização de que a investigação foi iniciada. O alerta fornece informações sobre quem o acionou e inclui um link para a investigação. |
Informativo | Sim | Microsoft 365 Business Premium, Defender para Office 365 Complemento do Plano 1, E5/G5 ou Defender para Office 365 Complemento do Plano 2. |
| Administração investigação de comprometimento de usuário disparada | Gera um alerta quando um administrador dispara a investigação manual de comprometimento do usuário de um remetente de email ou destinatário do Threat Explorer. Para obter mais informações, consulte Exemplo: um administrador de segurança dispara uma investigação do Threat Explorer, que mostra o gatilho manual relacionado de uma investigação em um email. Esse alerta notifica sua organização de que a investigação de comprometimento do usuário foi iniciada. O alerta fornece informações sobre quem o acionou e inclui um link para a investigação. |
Médio | Sim | Microsoft 365 Business Premium, Defender para Office 365 Complemento do Plano 1, E5/G5 ou Defender para Office 365 Complemento do Plano 2. |
| Criação de regra de encaminhamento/redirecionamento | Gera um alerta quando alguém em sua organização cria uma regra de caixa de entrada para sua caixa de correio que encaminha ou redireciona mensagens para outra conta de email. Essa política rastreia apenas as regras de caixa de entrada criadas usando Outlook na Web (anteriormente conhecido como Outlook Web App) ou Exchange Online PowerShell. Para obter mais informações sobre como usar regras de caixa de entrada para encaminhar e redirecionar email em Outlook na Web, consulte Usar regras em Outlook na Web para encaminhar mensagens automaticamente para outra conta. | Informativo | Não | E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Pesquisa de Descoberta eletrônica iniciada ou exportada | Gera um alerta quando alguém usa a ferramenta de pesquisa de conteúdo no portal do Microsoft Purview. Um alerta é disparado quando as seguintes atividades de pesquisa de conteúdo são executadas:
Os alertas também são disparados quando as atividades de pesquisa de conteúdo anteriores são executadas em associação a um caso de descoberta eletrônica. Para obter mais informações sobre atividades de pesquisa de conteúdo, consulte Pesquisa para atividades de descoberta eletrônica no log de auditoria. |
Informativo | Não | E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Mensagens de email contendo arquivo mal-intencionado removido após a entrega | Gera um alerta quando todas as mensagens que contêm um arquivo mal-intencionado são entregues em caixas de correio em sua organização. Se esse evento ocorrer, a Microsoft removerá as mensagens infectadas de Exchange Online caixas de correio usando limpeza automática de zero hora. Essa política dispara automaticamente a investigação e a resposta automatizadas em Office 365. Para obter mais informações sobre essa nova política, consulte Novas políticas de alerta no Defender para Office 365. | Informativo | Sim | E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Mensagens de email contendo URL mal-intencionada removida após a entrega | Gera um alerta quando todas as mensagens que contêm uma URL mal-intencionada são entregues em caixas de correio em sua organização. Se esse evento ocorrer, a Microsoft removerá as mensagens infectadas de Exchange Online caixas de correio usando limpeza automática de zero hora. Essa política dispara automaticamente a investigação e a resposta automatizadas em Office 365. Para obter mais informações sobre essa nova política, consulte Novas políticas de alerta no Defender para Office 365. | Informativo | Sim | Microsoft 365 Business Premium, Defender para Office 365 Complemento do Plano 1, E5/G5 ou Defender para Office 365 Complemento do Plano 2. |
| Mensagens de email contendo malware removido após a entrega | Observação: essa política de alerta foi substituída por mensagens Email que contêm arquivo mal-intencionado removido após a entrega. Essa política de alerta acabará desaparecendo, portanto, recomendamos desativá-la e usar Email mensagens contendo arquivos mal-intencionados removidos após a entrega. Para obter mais informações, consulte Novas políticas de alerta no Defender para Office 365. | Informativo | Sim | Assinatura de complemento E5/G5 ou Defender para Office 365 Plano 2. |
| Mensagens de email contendo URLs de phishing removidas após a entrega | Observação: essa política de alerta foi substituída por mensagens Email contendo URL mal-intencionada removidas após a entrega. Essa política de alerta acabará desaparecendo, portanto, recomendamos desativá-la e usar Email mensagens contendo URL mal-intencionada removidas após a entrega. Para obter mais informações, consulte Novas políticas de alerta no Defender para Office 365. | Informativo | Sim | Microsoft 365 Business Premium, Defender para Office 365 Complemento do Plano 1, E5/G5 ou Defender para Office 365 Complemento do Plano 2. |
| Email mensagens de uma campanha removidas após a entrega | Gera um alerta quando todas as mensagens associadas a uma Campanha são entregues em caixas de correio em sua organização. Se esse evento ocorrer, a Microsoft removerá as mensagens infectadas de Exchange Online caixas de correio usando limpeza automática de zero hora. Essa política dispara automaticamente a investigação e a resposta automatizadas em Office 365. Para obter mais informações sobre essa nova política, consulte Novas políticas de alerta no Defender para Office 365. | Informativo | Sim | Microsoft 365 Business Premium, Defender para Office 365 Complemento do Plano 1, E5/G5 ou Defender para Office 365 Complemento do Plano 2. |
| Mensagens de email removidas após a entrega | Gera um alerta quando as mensagens mal-intencionadas que não contêm uma ENTIDADE mal-intencionada (URL ou Arquivo) ou associadas a uma Campanha são entregues em caixas de correio em sua organização. Se esse evento ocorrer, a Microsoft removerá as mensagens infectadas de Exchange Online caixas de correio usando limpeza automática de zero hora. Essa política dispara automaticamente a investigação e a resposta automatizadas em Office 365. Para obter mais informações sobre essa nova política, consulte Novas políticas de alerta no Defender para Office 365. | Informativo | Sim | Microsoft 365 Business Premium, Defender para Office 365 Complemento do Plano 1, E5/G5 ou Defender para Office 365 Complemento do Plano 2. |
| Email relatado pelo usuário como lixo eletrônico | Gera um alerta quando os usuários da sua organização relatam mensagens como lixo usando o botão Relatório interno no Outlook ou o suplemento Mensagem de Relatório. Para obter mais informações sobre os suplementos, consulte Usar o suplemento Mensagem de Relatório. | Baixo | Não | E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Email relatado pelo usuário como malware ou pishing | Gera um alerta quando os usuários da sua organização relatam mensagens como phishing usando o botão Relatório interno no Outlook ou os suplementos Mensagem de Relatório ou Phishing de Relatório. Para obter mais informações sobre os suplementos, consulte Usar o suplemento Mensagem de Relatório. Para clientes do Plano 2, E5 e G5 do Defender para Office 365, esse alerta dispara automaticamente a investigação e a resposta automatizadas no Plano 2 Defender para Office 365. | Baixo | Sim | Microsoft 365 Business Premium, Defender para Office 365 Complemento do Plano 1, E5/G5 ou Defender para Office 365 Complemento do Plano 2. |
| Email relatado pelo usuário como não lixo eletrônico | Gera um alerta quando os usuários da sua organização relatam mensagens como não desativam o botão Relatório interno no Outlook ou no suplemento Mensagem de Relatório. Para obter mais informações sobre os suplementos, consulte Usar o suplemento Mensagem de Relatório. | Baixo | Não | E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Email limite de envio excedido | Gera um alerta quando alguém em sua organização envia mais emails do que é permitido pela política de spam de saída. Isso geralmente é uma indicação de que o usuário está enviando muitos emails ou que a conta pode estar comprometida. Se você receber um alerta gerado por essa política de alerta, é uma boa ideia marcar se a conta de usuário está comprometida. | Médio | Não | E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Carregamento de correspondência de dados exatos com falha | Gera um alerta quando um usuário recebe o seguinte erro ao carregar um tipo de informação confidencial baseado em correspondência exata de dados: novas informações confidenciais não foram carregadas. Tente novamente mais tarde. | Alto | Não | E5/G5. |
| Formulário bloqueado devido a uma possível tentativa de phishing | Gera um alerta quando alguém em sua organização foi restringido de compartilhar formulários e coletar respostas usando Microsoft Forms devido ao comportamento repetido de tentativa de phishing detectado. | Alto | Não | E1, E3/F3 ou E5 |
| Formulário sinalizado e confirmado como phishing | Gera um alerta quando um formulário criado em Microsoft Forms de dentro de sua organização foi identificado como phishing potencial por meio de Abuso de Relatório e confirmado como phishing pela Microsoft. | Alto | Não | E1, E3/F3 ou E5 |
| Malware não zapped porque ZAP está desabilitado | Gera um alerta quando a Microsoft detecta a entrega de uma mensagem de malware em uma caixa de correio porque Zero-Hour Limpeza Automática para mensagens de Phish está desabilitada. | Informativo | Não | Assinatura de complemento E5/G5 ou Defender para Office 365 Plano 2. |
| Mensagens contendo entidade mal-intencionada não removidas após a entrega | Gera um alerta quando qualquer mensagem que contém conteúdo mal-intencionado (arquivo, URL, campanha, nenhuma entidade), é entregue às caixas de correio em sua organização. Se esse evento ocorrer, a Microsoft tentará remover as mensagens infectadas de caixas de correio Exchange Online usando limpeza automática de zero hora, mas a mensagem não foi removida devido a uma falha. É recomendável uma investigação adicional. Essa política dispara automaticamente a investigação e a resposta automatizadas em Office 365. | Médio | Sim | Microsoft 365 Business Premium, Defender para Office 365 Complemento do Plano 1, E5/G5 ou Defender para Office 365 Complemento do Plano 2. |
| Simulação do MIP AutoLabel concluída | Gera um alerta quando umapolítica de rotulagem automática do lado do serviço no modo de simulação é concluída. | Baixo | Não | E5/G5. |
| Phish entregue devido a uma substituição do ETR¹ | Gera um alerta quando a Microsoft detecta uma regra de transporte do Exchange (também conhecida como regra de fluxo de email) que permitia a entrega de uma mensagem de phishing de alta confiança em uma caixa de correio. Para obter mais informações sobre regras de transporte do Exchange (regras de fluxo de email), consulte Regras de fluxo de email (regras de transporte) em Exchange Online. | Informativo | Não | E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Phish entregue devido a uma política de permissão de IP¹ | Gera um alerta quando a Microsoft detecta uma política de permissão de IP que permitia a entrega de uma mensagem de phishing de alta confiança em uma caixa de correio. Para obter mais informações sobre a política de permissão de IP (filtragem de conexão), consulte Configurar a política de filtro de conexão padrão – Office 365. | Informativo | Não | E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Phish não zapped porque ZAP está desabilitado¹ | Gera um alerta quando a Microsoft detecta a entrega de uma mensagem de phishing de alta confiança em uma caixa de correio porque Zero-Hour Limpeza Automática para Mensagens de Phish está desabilitada. | Informativo | Não | Assinatura de complemento E5/G5 ou Defender para Office 365 Plano 2. |
| Atividade potencial do estado-nação | O Centro de Inteligência contra Ameaças da Microsoft detectou uma tentativa de comprometer contas de seu locatário. | Alto | Não | Microsoft 365 Business Premium, Defender para Office 365 Complemento do Plano 1, E5/G5 ou Defender para Office 365 Complemento do Plano 2. |
| Simulação de política do Purview concluída | Gera um alerta para notificar os administradores quando a simulação é concluída para qualquer política do Purview que dê suporte ao modo de simulação. | Baixo | Não | E5/G5 |
| Ação de correção tomada pelo administrador em emails ou URL ou remetente | Observação: essa política de alerta foi substituída por uma ação administrativa enviada por um Administrador. Essa política de alerta acabará desaparecendo, portanto, recomendamos desativá-la e usar ações administrativas enviadas por um administrador . Esse alerta é disparado quando um administrador toma medidas de correção na entidade selecionada |
Informativo | Sim | Microsoft 365 Business Premium, Defender para Office 365 Complemento do Plano 1, E5/G5 ou Defender para Office 365 Complemento do Plano 2. |
| Removido uma entrada na Lista de Permissões/Blocos de Locatários | Gera um alerta quando uma entrada de permissão na Lista de Permissões/Blocos de Locatário é aprendida filtrando o sistema e removida. Esse evento é disparado quando a entrada de permissão para o domínio ou endereço de email, arquivo ou URL (entidade) afetado é removida. Você não precisa mais da entrada de permissão afetada. Email mensagens que contêm as entidades afetadas serão entregues à caixa de entrada se nada mais na mensagem for determinado como ruim. URLs e arquivos serão permitidos no momento do clique. Para obter mais informações sobre eventos que disparam esse alerta, consulte Gerenciar a lista Permitir/Bloquear locatários. |
Informativo | Não | E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Simulação de política de rotulagem automática de retenção concluída | Gera um alerta quando uma simulação de política de rotulagem automática de retenção é concluída. | Baixo | Não | E5/G5 |
| Upload de correspondência de dados exatos bem-sucedido | Gera um alerta depois que um usuário carrega com êxito um tipo de informação confidencial baseado em correspondência exata de dados. | Baixo | Não | E5/G5 |
| Atividade de conector suspeito | Gera um alerta quando uma atividade suspeita é detectada em um conector de entrada em sua organização. O email está impedido de usar o conector de entrada. O administrador receberá uma notificação por email e um alerta. Este alerta fornece diretrizes sobre como investigar, reverter alterações e desbloquear um conector restrito. Para saber como responder a esse alerta, consulte Responder a um conector comprometido. | Alto | Não | E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Atividade suspeita do encaminhamento de email | Gera um alerta quando alguém em sua organização tem um email desviado automaticamente para uma conta externa suspeita. Este é um aviso antecipado para o comportamento que pode indicar que a conta está comprometida, mas não grave o suficiente para restringir o usuário. Embora seja raro, um alerta gerado por essa política pode ser uma anomalia. É uma boa ideia marcar se a conta de usuário está comprometida. | Alto | Não | E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Padrões de envio de email suspeitos detectados | Gera um alerta quando alguém em sua organização envia emails suspeitos e corre o risco de ser impedido de enviar email. Este é um aviso antecipado para o comportamento que pode indicar que a conta está comprometida, mas não grave o suficiente para restringir o usuário. Embora seja raro, um alerta gerado por essa política pode ser uma anomalia. No entanto, é uma boa ideia marcar se a conta de usuário está comprometida. | Médio | Sim | E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Padrões de envio de locatários suspeitos observados | Gera um alerta quando padrões de envio suspeitos foram observados em sua organização, o que pode levar à sua organização ser impedida de enviar emails. Investigue quaisquer contas de usuário e administrador potencialmente comprometidas, novos conectores ou retransmissões abertas para evitar que o locatário exceda os blocos de limite. Para obter mais informações sobre por que as organizações estão bloqueadas, consulte Corrigir problemas de entrega de email para o código de erro 5.7.7xx em Exchange Online. | Alto | Não | E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Mensagem do Teams relatada pelo usuário como risco de segurança | Esse alerta é disparado quando os usuários relatam uma mensagem do Teams como um risco de segurança. | Baixo | Não | Suplemento E5/G5 ou Defender para Office 365. |
| A entrada de Lista de Permissões/Blocos do Locatário está prestes a expirar | Gera um alerta quando uma entrada de permissão ou uma entrada de bloco na entrada Permitir/Bloquear Lista de Locatários está prestes a ser removida. Esse evento é disparado 7 dias antes da data de validade, que se baseia em quando a entrada foi criada ou atualizada pela última vez. Para permitir entradas e bloquear entradas, você pode estender a data de validade. Para obter mais informações sobre eventos que disparam esse alerta, consulte Gerenciar a lista Permitir/Bloquear locatários. |
Informativo | Não | E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Locatário impedido de enviar email | Gera um alerta quando a maior parte do tráfego de email de sua organização foi detectada como suspeita e a Microsoft restringiu sua organização de enviar email. Investigue quaisquer contas de usuário e administrador potencialmente comprometidas, novos conectores ou retransmissões abertas e entre em contato com Suporte da Microsoft para desbloquear sua organização. Para obter mais informações sobre por que as organizações estão bloqueadas, consulte Corrigir problemas de entrega de email para o código de erro 5.7.7xx em Exchange Online. | Alto | Não | E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Locatário impedido de enviar email não comprovado | Gera um alerta quando muitos emails estão sendo enviados de domínios não registrados (também conhecidos como domínios não comprovados ). O Office 365 permite uma quantidade razoável de e-mails de domínios não registrados, mas você deve configurar todos os domínios usados para enviar e-mails como um domínio aceito. Esse alerta indica que todos os usuários da organização não podem mais enviar email. Para obter mais informações sobre por que as organizações estão bloqueadas, consulte Corrigir problemas de entrega de email para o código de erro 5.7.7xx em Exchange Online. | Alto | Não | E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Usuário solicitado a liberar uma mensagem em quarentena | Gera um alerta quando um usuário solicita a liberação de uma mensagem em quarentena. Para solicitar a liberação de mensagens em quarentena, é necessário permitir que os destinatários solicitem que uma mensagem seja liberada da quarentena (PermissionToRequestRelease) na política de quarentena (por exemplo, do grupo de permissões predefinidas de acesso limitado ). Para obter mais informações, consulte Permitir que os destinatários solicitem que uma mensagem seja liberada da permissão de quarentena. | Informativo | Não | Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Usuário impedido de enviar email | Gera um alerta quando alguém em sua organização é impedido de enviar emails de saída. Isso normalmente resulta quando uma conta é comprometida e o usuário é listado na página Entidades restritas em https://security.microsoft.com/restrictedentities. Para obter mais informações sobre usuários restritos, consulte Remover usuários bloqueados da página Entidades restritas. | Alto | Sim | Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 ou E5/G5 |
| Usuário impedido de compartilhar formulários e coletar respostas | Gera um alerta quando alguém em sua organização foi restringido de compartilhar formulários e coletar respostas usando Microsoft Forms devido ao comportamento repetido de tentativa de phishing detectado. | Alto | Não | E1, E3/F3 ou E5 |
¹ Essa política de alerta faz parte da funcionalidade de substituição do Phish entregue devido à substituição de locatário ou usuário e phish de representação de usuário entregue às políticas de alerta de caixa de entrada/pasta que foram removidas com base nos comentários do usuário. Para obter mais informações sobre anti-phishing no Office 365, consulte Políticas anti-phishing.
Exibir alertas
Quando uma atividade executada pelos usuários em sua organização corresponde às configurações de uma política de alerta, um alerta é gerado e exibido na página Alertas no portal do Microsoft Purview ou no portal do Defender. Dependendo das configurações de uma política de alerta, uma notificação por email também é enviada para uma lista de usuários especificados quando um alerta é disparado. Para cada alerta, o dashboard na página Alertas exibe o nome da política de alerta correspondente, a gravidade e a categoria do alerta (definido na política de alerta) e o número de vezes que ocorreu uma atividade que resultou na geração do alerta. Esse valor é baseado na configuração de limite da política de alerta. O dashboard também mostra o status para cada alerta. Para obter mais informações sobre como usar a propriedade status para gerenciar alertas, consulte Gerenciando alertas.
Para exibir alertas:
Portal de conformidade do Microsoft Purview
https://compliance.microsoft.com Acesse e selecione Alertas. Como alternativa, você pode ir diretamente para https://compliance.microsoft.com/compliancealerts.
Portal do Microsoft Defender
https://security.microsoft.com Acesse e selecione Incidentes & alertas Alertas>. Como alternativa, você pode ir diretamente para https://security.microsoft.com/alerts.
Você pode usar os seguintes filtros para exibir um subconjunto de todos os alertas na página Alertas :
- Status: mostrar alertas atribuídos a um determinado status. O status padrão é Ativo. Você ou outros administradores podem alterar o valor status.
- Política: mostrar alertas que correspondem à configuração de uma ou mais políticas de alerta. Ou você pode exibir todos os alertas para todas as políticas de alerta.
- Intervalo de tempo: mostrar alertas que foram gerados dentro de um intervalo de data e hora específico.
- Gravidade: mostrar alertas atribuídos a uma gravidade específica.
- Categoria: mostrar alertas de uma ou mais categorias de alerta.
- Tags:Mostrar alertas de uma ou mais marcas de usuário. As marcas são refletidas com base em caixas de correio marcadas ou usuários que aparecem nos alertas. Consulte Marcas de usuário no Defender para Office 365 para saber mais.
- Fonte: use esse filtro para mostrar alertas disparados por políticas de alerta no portal do Microsoft Purview ou alertas disparados por políticas de Microsoft Defender para Aplicativos de Nuvem ou ambos. Para obter mais informações sobre alertas do Defender para Aplicativos de Nuvem, confira a seção Exibir alertas do Defender para Aplicativos de Nuvem neste artigo.
Importante
A filtragem e a classificação por marcas de usuário estão atualmente em Visualização Pública e podem ser substancialmente modificadas antes de estarem geralmente disponíveis. A Microsoft não faz garantias, expressas ou implícitas, em relação às informações fornecidas sobre ela.
Agregação de alerta
Quando vários eventos que correspondem às condições de uma política de alerta ocorrem com um curto período de tempo, eles são adicionados a um alerta existente por um processo chamado agregação de alerta. Quando um evento dispara um alerta, o alerta é gerado e exibido na página Alertas e uma notificação é enviada. Se o mesmo evento ocorrer dentro do intervalo de agregação, o Microsoft 365 adicionará detalhes sobre o novo evento ao alerta existente em vez de disparar um novo alerta. O objetivo da agregação de alertas é ajudar a reduzir a "fadiga" do alerta e permitir que você se concentre e tome medidas em menos alertas para o mesmo evento.
O comprimento do intervalo de agregação depende da assinatura Office 365 ou do Microsoft 365.
| Assinatura | Agregação interval |
|---|---|
| Office 365 ou Microsoft 365 E5/G5 | 1 minuto |
| Microsoft Defender para Office 365 Plano 2 | 1 minuto |
| Complemento de conformidade do E5 ou complemento de Descoberta e Auditoria do E5 | 1 minuto |
| Office 365 ou Microsoft 365 E1/F1/G1 ou E3/F3/G3 | 15 minutos |
| Defender para Office 365 Plano 1 ou Proteção do Exchange Online | 15 minutos |
Quando eventos que correspondem à mesma política de alerta ocorrem dentro do intervalo de agregação, os detalhes sobre o evento subsequente são adicionados ao alerta original. Para todos os eventos, as informações sobre eventos agregados são exibidas no campo de detalhes e o número de vezes que um evento ocorreu com o intervalo de agregação é exibido no campo contagem de atividades/acertos. Você pode exibir mais informações sobre todas as instâncias de eventos agregados exibindo a lista de atividades.
A captura de tela a seguir mostra um alerta com quatro eventos agregados. A lista de atividades contém informações sobre as quatro mensagens de email relevantes para o alerta.
Lembre-se das seguintes coisas sobre a agregação de alertas:
Os alertas disparados pelo clique de URL potencialmente mal-intencionado foram detectados de que a política de alerta padrão não é agregada. Isso ocorre porque os alertas disparados por essa política são exclusivos para cada mensagem de usuário e email.
Neste momento, a propriedade alerta contagem de acertos não indica o número de eventos agregados para todas as políticas de alerta. Para alertas disparados por essas políticas de alerta, você pode exibir os eventos agregados clicando em Exibir lista de mensagens ou Exibir atividade no alerta. Estamos trabalhando para disponibilizar o número de eventos agregados listados na propriedade de alerta contagem de acertos para todas as políticas de alerta.
Permissões RBAC necessárias para exibir alertas
As permissões RBAC (role based Controle de Acesso) atribuídas aos usuários em sua organização determinam quais alertas um usuário pode ver na página Alertas. Como isso é feito? As funções de gerenciamento atribuídas aos usuários (com base em sua associação em grupos de funções no portal de conformidade ou no portal do Microsoft Defender) determinam quais categorias de alerta um usuário pode ver na página Alertas. Aqui estão alguns exemplos:
- Os membros do grupo de funções de Gerenciamento de Registros podem visualizar apenas os alertas que são gerados pelas políticas de alerta que são atribuídas à categoria de governança da informação.
- Os membros do grupo de função Administrador de Conformidade não podem visualizar alertas que são gerados por políticas de alerta que são atribuídas à categoria de Gerenciamento de Ameaças.
- Os membros do grupo de funções do Gerente de Descoberta Eletrônica não podem visualizar quaisquer alertas porque nenhuma das funções designadas fornece permissão para visualizar alertas de qualquer categoria de alerta.
Esse design (com base em permissões RBAC) permite determinar quais alertas podem ser exibidos (e gerenciados) por usuários em funções de trabalho específicas em sua organização.
A tabela a seguir lista as funções necessárias para exibir alertas das seis categorias de alerta diferentes. Uma marca marcar indica que um usuário atribuído a essa função pode exibir alertas da categoria de alerta correspondente listada na linha de título.
Para ver a qual categoria uma política de alerta padrão é atribuída, consulte as tabelas em Políticas de alerta padrão.
Dica
Para obter informações sobre permissões no RBAC (controle de acesso baseado em função unificada) Microsoft Defender XDR, consulte Políticas de alerta no portal Microsoft Defender.
| Função | Informações Governança |
Perda de dados Prevenção |
Email Fluxo |
Permissões | Ameaça gerenciamento |
Outros |
|---|---|---|---|---|---|---|
| Administrador de Conformidade | ✔ | ✔ | ✔ | ✔ | ||
| Gerenciamento de Conformidade de DLP | ✔ | |||||
| Administrador de Proteção de Informações | ✔ | |||||
| Analista de Proteção de Informações | ✔ | |||||
| Investigador de Proteção de Informações | ✔ | |||||
| Gerenciar Alertas | ✔ | |||||
| Configuração da Organização | ✔ | |||||
| Gerenciamento de Privacidade | ||||||
| Quarentena | ||||||
| Gerenciamento de Registros | ✔ | |||||
| Gerenciamento de Retenção | ✔ | |||||
| Gerenciamento de funções | ✔ | |||||
| Administrador de Segurança | ✔ | ✔ | ✔ | ✔ | ||
| Leitor de Segurança | ✔ | ✔ | ✔ | ✔ | ||
| Higiene do Transporte | ||||||
| View-Only Gerenciamento de Conformidade DLP | ✔ | |||||
| Configuração Somente para Exibição | ||||||
| View-Only gerenciar alertas | ✔ | |||||
| Destinatários Somente para Exibição | ✔ | |||||
| gerenciamento de registros View-Only | ✔ | |||||
| Gerenciamento de retenção View-Only | ✔ |
Dica
Para exibir as funções atribuídas a cada um dos grupos de funções padrão, execute os seguintes comandos no PowerShell de Conformidade do & de Segurança:
$RoleGroups = Get-RoleGroup
$RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,("-"*25); Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}
Você também pode exibir as funções atribuídas a um grupo de funções no portal de conformidade ou no portal Microsoft Defender. Acesse a página Permissões e selecione um grupo de funções. As funções atribuídas estão listadas na página de sobrevoo.
Gerenciar alertas
Depois que os alertas forem gerados e exibidos na página Alertas no portal do Microsoft Purview, você poderá triagem, investigação e resolve-los. As mesmas permissões RBAC que dão aos usuários acesso aos alertas também lhes dão a capacidade de gerenciar alertas.
Aqui estão algumas tarefas que você pode executar para gerenciar alertas.
Atribua uma status a alertas: você pode atribuir um dos seguintes status a alertas: Ativo (o valor padrão), Investigação, Resolvido ou Descartado. Em seguida, você pode filtrar essa configuração para exibir alertas com a mesma configuração de status. Essa configuração de status pode ajudar a controlar o processo de gerenciamento de alertas.
Exibir detalhes do alerta: você pode selecionar um alerta para exibir uma página de sobrevoo com detalhes sobre o alerta. As informações detalhadas dependem da política de alerta correspondente, mas normalmente incluem as seguintes informações:
- O nome da operação real que disparou o alerta, como um cmdlet ou uma operação de log de auditoria.
- Uma descrição da atividade que disparou o alerta.
- O usuário (ou lista de usuários) que acionou o alerta. Isso é incluído apenas para políticas de alerta que são configuradas para acompanhar um único usuário ou uma única atividade.
- O número de vezes que a atividade rastreada pelo alerta foi executada. Esse número pode não corresponder ao número real de alertas relacionados listados na página Alertas porque mais alertas podem ter sido disparados.
- Um link para uma lista de atividades que inclui um item para cada atividade executada que disparou o alerta. Cada entrada nesta lista identifica quando a atividade ocorreu, o nome da operação real (como "FileDeleted"), o usuário que realizou a atividade, o objeto (como um arquivo, um caso de descoberta eletrônica ou uma caixa de correio) em que a atividade foi executada e o endereço IP do computador do usuário. Para alertas relacionados a malware, isso é vinculado a uma lista de mensagens.
- O nome (e o link) da política de alerta correspondente.
Suprimir notificações por email: você pode desativar (ou suprimir) notificações por email da página de sobrevoo para um alerta. Ao suprimir notificações por email, a Microsoft não enviará notificações quando ocorrerem atividades ou eventos que correspondam às condições da política de alerta. Mas os alertas serão disparados quando as atividades executadas pelos usuários corresponderem às condições da política de alerta. Você também pode desativar notificações por email editando a política de alerta.
Resolver alertas: você pode marcar um alerta conforme resolvido na página de sobrevoo para um alerta (que define o status do alerta como Resolvido). A menos que você altere o filtro, os alertas resolvidos não serão exibidos na página Alertas .
Exibir alertas do Defender para Aplicativos de Nuvem
Os alertas disparados pelas políticas do Defender para Aplicativos de Nuvem agora são exibidos na página Alertas no portal do Microsoft Purview. Isso inclui alertas disparados por políticas de atividade e alertas que são disparados por políticas de detecção de anomalias no Defender para Aplicativos de Nuvem. Isso significa que você pode exibir todos os alertas no portal do Microsoft Purview. O Defender para Aplicativos de Nuvem só está disponível para organizações com uma assinatura Office 365 Enterprise E5 ou Office 365 governo dos EUA G5. Para obter mais informações, confira Visão geral do Defender para Aplicativos de Nuvem.
As organizações que têm Microsoft Defender para Aplicativos de Nuvem como parte de uma assinatura Enterprise Mobility + Security E5 ou como um serviço autônomo também podem exibir alertas do Defender para Aplicativos de Nuvem relacionados a aplicativos e serviços do Microsoft 365 no portal de conformidade ou no Microsoft Defender portal.
Para exibir apenas alertas do Defender para Aplicativos de Nuvem no portal do Microsoft Purview ou no portal do Defender, use o filtro Origem e selecione Defender para Aplicativos na Nuvem.
Semelhante a um alerta disparado por uma política de alerta no portal do Microsoft Purview, você pode selecionar um alerta do Defender para Aplicativos de Nuvem para exibir uma página de sobrevoo com detalhes sobre o alerta. O alerta inclui um link para exibir os detalhes e gerenciar o alerta no portal do Defender para Aplicativos de Nuvem e um link para a política correspondente do Defender para Aplicativos de Nuvem que disparou o alerta. Consulte Monitorar alertas no Defender para Aplicativos de Nuvem.
Importante
Alterar o status de um alerta do Defender para Aplicativos de Nuvem no portal do Microsoft Purview não atualizará o status de resolução para o mesmo alerta no portal do Defender para Aplicativos na Nuvem. Por exemplo, se você marcar o status do alerta como Resolvido no portal do Microsoft Purview, o status do alerta no portal do Defender para Aplicativos de Nuvem permanecerá inalterado. Para resolve ou descartar um alerta do Defender para Aplicativos de Nuvem, gerencie o alerta no portal do Defender para Aplicativos de Nuvem.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários