Introdução aos Alertas de prevenção de perda de dados dashboard
Prevenção Contra Perda de Dados do Microsoft Purview políticas (DLP) podem tomar medidas de proteção para impedir a partilha não intencional de itens confidenciais. Pode ser notificado quando é efetuada uma ação num item confidencial ao configurar alertas para DLP. Este artigo mostra-lhe como configurar alertas nas suas políticas de prevenção de perda de dados (DLP). Verá como utilizar a gestão de alertas DLP dashboard no portal do Microsoft Purview para ver alertas, eventos e metadados associados para violações da política DLP.
Se não estiver familiarizado com os alertas DLP, deve rever Introdução aos alertas de prevenção de perda de dados.
Dica
Comece a utilizar o Microsoft Copilot para a Segurança para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Copilot para Segurança no Microsoft Purview.
O portal do Microsoft Purview mostra alertas para políticas DLP impostas nas seguintes cargas de trabalho:
- Trocar email
- Sites do SharePoint
- Contas OneDrive
- Bater papo e canal de mensagens do Teams
- Dispositivos
- Instâncias
- Repositórios locais
- Recursos de Infraestrutura e Power BI
Antes de começar
Antes de começar, certifique-se de que tem os pré-requisitos necessários:
- Licenciamento para a gestão de alertas DLP dashboard
- Licenciamento para opções de configuração de alertas
- Funções necessárias
Licenciamento para o dashboard de gestão de alertas DLP
Antes de começar a utilizar políticas DLP, confirme a sua subscrição do Microsoft 365 e quaisquer suplementos.
Para obter informações sobre o licenciamento, consulte Microsoft 365, Office 365, Enterprise Mobility + Security e Subscrições Windows 11 para Empresas.
Os clientes que utilizam o DLP de Ponto Final que são elegíveis para o DLP do Teams veem os alertas de política DLP do ponto final e os alertas de política DLP do Teams no dashboard de gestão de alertas DLP.
Licenciamento para opções de configuração de alertas
Antes de começar a utilizar políticas DLP, confirme a sua subscrição do Microsoft 365 e quaisquer suplementos.
Para obter informações sobre o licenciamento, consulte Microsoft 365, Office 365, Enterprise Mobility + Security e Subscrições Windows 11 para Empresas.
Funções e Grupos de Funções
Se quiser ver a gestão de alertas DLP dashboard ou editar as opções de configuração de alertas numa política DLP, tem de ser membro de um destes grupos de funções:
- Administrador de Conformidade
- Administrador de Dados de Conformidade
- Administrador de Segurança
- Operador de Segurança
- Leitor de Segurança
- Administrador de Proteção de Informações
- Analista de Proteção de Informações
- Investigador de Proteção de Informações
- Leitor de Proteção de Informações
Para saber mais sobre as mesmas, consulte Permissões no portal de conformidade do Microsoft Purview
Eis uma lista de grupos de funções aplicáveis. Para saber mais sobre as mesmas, consulte Permissões no portal de conformidade do Microsoft Purview.
- Proteção de Informações
- Administradores de Proteção de Informações
- Analistas de Proteção de Informações
- Investigadores de Proteção de Informações
- Leitores de Proteção de Informações
Para aceder ao dashboard de gestão de alertas DLP, precisa da função Gerir alertas e de uma destas duas funções:
- Gerenciamento de Conformidade de DLP
- Gestão de Conformidade de DLP View-Only
Para aceder à funcionalidade Pré-visualização de conteúdo e às funcionalidades de conteúdo e contexto Confidenciais correspondentes, tem de ser membro do grupo de funções Visualizador de Conteúdos Explorer Conteúdo, que tem a função visualizador de conteúdos de classificação de dados pré-atribuída.
Configuração de alerta DLP
Para saber como configurar um alerta na sua política DLP, veja Criar e Implementar políticas de prevenção de perda de dados.
Importante
A configuração da política de retenção de registos de auditoria da sua organização controla durante quanto tempo um alerta permanece visível na consola do . Veja Gerir políticas de retenção de registos de auditoria para obter mais informações.
Configuração de alertas de eventos agregados
Se a sua organização tiver licença para opções de configuração de alertas agregados, verá estas opções ao criar ou editar uma política DLP.
Esta configuração permite-lhe configurar uma política para gerar um alerta sempre que uma atividade corresponder às condições da política ou quando um determinado limiar é excedido, com base no número de atividades ou com base no volume de dados exfiltrados.
Configuração de alerta de evento único
Se a sua organização tiver licença para opções de configuração de alertas de evento único, verá estas opções quando cria ou edita uma política DLP. Utilize esta opção para criar um alerta que é gerado sempre que ocorre uma correspondência de regra DLP.
Investigar um alerta DLP
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
Para trabalhar com a gestão de alertas DLP dashboard:
- Inicie sessão no portal > do Microsoft PurviewPrevenção de perda de dados.
- Selecione Alertas para ver o dashboard Alertas DLP.
- Utilize os campos Filtro para refinar a lista de alertas.
- Selecione Personalizar colunas para listar as propriedades que pretende ver.
- Para ordenar os resultados por ordem ascendente ou descendente, faça duplo clique no cabeçalho da coluna.
- Faça duplo clique num alerta para obter mais informações sobre o mesmo.
- O separador Detalhes é aberto por predefinição e fornece informações de alto nível sobre o alerta.
- Selecione Resumir com Copilot. Isto faz com que o Copilot da Segurança gere um resumo do alerta. O resumo do alerta irá conter:
- gravidade do alerta
- título do alerta
- o nome da política que foi correspondida
- o ficheiro de nome envolvido e uma ligação para o ficheiro
- status de alerta
- o endereço de e-mail do utilizador que efetuou a ação que correspondeu à política
- Selecione as reticências no resumo do Copilot da Segurança para:
- copiar o resumo para a área de transferência
- regenerar o resumo
- abra o alerta no Copilot da Segurança experiência autónoma.
- Selecione Ver detalhes para abrir o separador Descrição geral . O separador Descrição geral fornece um resumo das seguintes informações:
- O que aconteceu
- Quem realizou as ações que causaram a correspondência da política
- Informações adicionais sobre a correspondência de política
- O separador Eventos lista todos os eventos associados ao alerta. Selecione qualquer evento na lista para obter informações detalhadas sobre o evento. Para cada evento, selecione o menu pendente Ações para obter uma lista de ações que pode efetuar no alerta, como verificar se o alerta identificou ou não uma correspondência verdadeira ou um falso positivo.
- O separador Resumo da atividade do utilizador requer que a partilha seja ativada nas definições de gestão de riscos internos Uma vez ativada, o separador Resumo da atividade do utilizador fornece todas as atividades de exfiltração em que o utilizador participou (até aos últimos 120 dias). Os utilizadores têm de estar no âmbito de uma política de gestão de riscos internos para ver o separador Resumo da atividade do utilizador .
- Depois de investigar o alerta, regresse ao separador Descrição geral , onde pode Ver detalhes para fazer a triagem e gerir a eliminação do alerta, adicionar comentários e atribuir a propriedade do alerta. (Para ver o histórico da gestão de fluxos de trabalho.)
- Depois de efetuar a ação necessária para o alerta, defina o Estado do alerta como Resolvido.
Outras condições correspondentes
O Microsoft Purview suporta a apresentação de condições correspondentes num evento DLP para revelar a causa exata de uma política DLP sinalizada. Estas informações são apresentadas em:
- Consola de Alertas DLP
- Explorador de atividades
- portal do Microsoft Defender para Empresas
No separador Eventos , abra Detalhes para ver Outras condições correspondentes.
Pré-requisitos
- Tem de estar a executar Windows 10 x64 (compilação 1809 ou posterior) ou Windows 11.
- Consulte 21 de março de 2023 — KB5023773 (Compilações 19042.2788, 19044.2788 e 19045.2788) Pré-visualização para compilações mínimas do Sistema Operativo Windows necessárias.
- Os dados de condições correspondentes estão disponíveis para titulares de licenças E3 e E5 válidos.
- Ative a Auditoria.
- Ativar a Análise e proteção de classificação avançadas.
As informações dos eventos correspondentes são suportadas para estas condições
Condition | Exchange | Sharepoint | Teams | Ponto de extremidade |
---|---|---|---|---|
O remetente é | Sim | Não | Sim | Não |
O domínio do remetente é | Sim | Não | Sim | Não |
O endereço do remetente contém palavras | Sim | Não | Não | Não |
O endereço do remetente corresponde aos padrões | Sim | Não | Não | Não |
O remetente é membro do | Sim | Não | Não | Não |
O endereço IP do remetente é | Sim | Não | Não | Não |
O remetente substituiu a sugestão de política | Sim | Não | Não | Não |
SenderAdAttribute Contém palavras | Sim | Não | Não | Não |
SenderAdAttribute Corresponde aos padrões | Sim | Não | Não | Não |
O destinatário é | Sim | Não | Sim | Não |
O domínio do destinatário é | Sim | Não | Sim | Não |
O endereço do destinatário contém palavras | Sim | Não | Não | Não |
O endereço do destinatário corresponde aos padrões | Sim | Não | Não | Não |
O destinatário é um membro do | Sim | Não | Não | Não |
RecipientAdAttribute Contém palavras | Sim | Não | Não | Não |
RecipientAdAttribute Corresponde aos padrões | Sim | Não | Não | Não |
O documento está protegido por palavra-passe | Sim | Não | Não | Não |
Não foi possível digitalizar o documento | Sim | Não | Não | Não |
O documento não concluiu a análise | Sim | Não | Não | Não |
O nome do documento contém palavras | Sim | Sim | Não | Não |
O nome do documento corresponde aos padrões | Sim | Não | Não | Não |
A propriedade do documento é | Sim | Sim | Não | Não |
Tamanho do documento superior | Sim | Sim | Não | Não |
O conteúdo do documento contém palavras | Sim | Não | Não | Não |
O conteúdo do documento corresponde aos padrões | Sim | Não | Não | Não |
O tipo de documento é | Não | Não | Não | Sim |
A extensão do documento é | Sim | Sim | Não | Sim |
O conteúdo é partilhado a partir do M365 | Sim | Sim | Sim | Não |
O conteúdo é recebido de | Sim | Não | Não | Não |
Conjunto de carateres de conteúdo contém palavras | Sim | Não | Não | Não |
Assunto contém palavras | Sim | Não | Não | Não |
O assunto corresponde aos padrões | Sim | Não | Não | Não |
Assunto ou corpo contém palavras | Sim | Não | Não | Não |
O assunto ou o corpo correspondem aos padrões | Sim | Não | Não | Não |
O cabeçalho contém palavras | Sim | Não | Não | Não |
O cabeçalho corresponde aos padrões | Sim | Não | Não | Não |
Tamanho da mensagem superior | Sim | Não | Não | Não |
O tipo de mensagem é | Sim | Não | Não | Não |
A importância da mensagem é | Sim | Não | Não | Não |
Limitação ao transferir e-mails a partir de um alerta DLP
Em geral, ao utilizar o dashboard de gestão de alertas DLP, pode transferir e-mails específicos a partir de um alerta. No entanto, os e-mails que foram eliminados em qualquer um dos seguintes cenários não podem ser transferidos.
Remetente | Destinatário | Estado do Email |
---|---|---|
Interno | Externo | Eliminado pelo remetente |
Externo | Interno | Eliminado pelo destinatário |
Interno | Interno | Eliminado por ambas as partes |