Introdução aos alertas de prevenção de perda de dados

As políticas de Prevenção Contra Perda de Dados do Microsoft Purview (DLP) podem ser configuradas para gerar alertas quando as condições numa política são correspondidas.

Para obter uma breve descrição geral dos alertas, veja:

Este artigo inclui os detalhes de licenciamento e permissão e outras informações cruciais de que precisa à medida que trabalha com alertas.

Os alertas DLP podem ser investigados e geridos no Microsoft Defender XDR dashboard e no portal de conformidade do Microsoft Purview. A Microsoft Defender XDR dashboard é a localização recomendada para investigar e gerir alertas DLP. A portal de conformidade do Microsoft Purview é a localização recomendada para criar e editar políticas DLP.

Dica

Comece a utilizar o Microsoft Copilot para a Segurança para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Copilot para Segurança no Microsoft Purview.

Tipos de alerta

Os alertas podem ser enviados sempre que uma atividade corresponde a uma regra, que pode ser ruidosa ou pode ser agregada com base no número de correspondências ou volume de itens durante um determinado período de tempo. Existem dois tipos de alertas que podem ser configurados em políticas DLP.

Os alertas de evento único são normalmente utilizados em políticas que monitorizam eventos altamente confidenciais que ocorrem num volume baixo, como um único e-mail com 10 ou mais card números de crédito ao cliente enviados fora da sua organização.

Normalmente, os alertas de eventos agregados são utilizados em políticas que monitorizam eventos que ocorrem num volume mais elevado ao longo de um período de tempo. Por exemplo, um alerta agregado pode ser acionado quando 10 e-mails individuais com um número de card de crédito ao cliente são enviados para fora da sua organização durante mais de 48 horas.

Antes de começar

Antes de começar, certifique-se de que tem os pré-requisitos necessários:

Licenciamento para opções de configuração de alertas

  • Configuração de alerta de evento único: as organizações que têm uma subscrição E1, F1 ou G1 ou uma subscrição E3 ou G3 podem configurar políticas para gerar um alerta sempre que ocorre uma atividade de acionamento.
  • Configuração de alerta agregado: para configurar políticas de alerta agregadas com base num limiar, tem de ter uma das seguintes configurações:
    • Uma subscrição do A5
    • Uma subscrição E5 ou G5
    • Uma subscrição E1, F1 ou G1 ou uma subscrição E3 ou G3 que inclua uma das seguintes funcionalidades:
      • Plano 2 de proteção avançada contra ameaças do Office 365
      • Conformidade do Microsoft 365 E5
      • Licença de suplemento de Deteção de Dados Eletrónicos e Auditoria do Microsoft 365

Os clientes que utilizam o DLP de Ponto Final e que são elegíveis para o DLP do Teams verão os respetivos alertas de política DLP de ponto final e alertas de política DLP do Teams no dashboard de gestão de alertas DLP.

Funções e Grupos de Funções

Se quiser ver a gestão de alertas DLP dashboard ou editar as opções de configuração de alertas numa política DLP, tem de ser membro de um destes grupos de funções:

  • Administrador de Conformidade
  • Administrador de Dados de Conformidade
  • Administrador de Segurança
  • Operador de Segurança
  • Leitor de Segurança
  • Administrador de Proteção de Informações
  • Analista de Proteção de Informações
  • Investigador de Proteção de Informações
  • Leitor de Proteção de Informações

Para saber mais sobre as mesmas, consulte Permissões no portal de conformidade do Microsoft Purview

Eis uma lista de grupos de funções aplicáveis. Para saber mais sobre as mesmas, consulte Permissões no portal de conformidade do Microsoft Purview.

  • Proteção de Informações
  • Administradores de Proteção de Informações
  • Analistas de Proteção de Informações
  • Investigadores de Proteção de Informações
  • Leitores de Proteção de Informações

Para aceder ao dashboard de gestão de alertas DLP, precisa da função Gerir alertas e de uma destas duas funções:

  • Gerenciamento de Conformidade de DLP
  • Gestão de Conformidade de DLP View-Only

Para aceder à funcionalidade Pré-visualização de conteúdo e às funcionalidades de conteúdo e contexto Confidenciais correspondentes, tem de ser membro do grupo de funções Visualizador de Conteúdos Explorer Conteúdo, que tem a função visualizador de conteúdos de classificação de dados pré-atribuída.

Dica

Se o administrador precisar de acesso a alertas, mas não a informações contextuais/confidenciais, pode criar e atribuir uma função personalizada que não inclua a permissão Visualizador de Conteúdos de Classificação de Dados.

Configuração de alerta DLP

Para saber como configurar um alerta na sua política DLP, veja Criar e Implementar políticas de prevenção de perda de dados. Existem diferentes experiências de configuração de alertas consoante o seu licenciamento.

Observação

Pode demorar até 3 horas a gerar alertas depois de configurar ou modificar alertas existentes numa política DLP.

Configuração de alertas de eventos agregados

Se tiver licença para opções de configuração de alertas agregados, verá estas opções quando criar ou editar uma política DLP.

Captura de ecrã a mostrar opções para relatórios de incidentes para utilizadores elegíveis para opções de configuração de alertas agregados.

Esta configuração permite-lhe configurar uma política para gerar um alerta:

  • sempre que uma atividade corresponde às condições da política
  • quando o limiar definido é atingido ou excedido
  • com base no número de atividades
  • com base no volume de dados exfiltrados

Para evitar uma inundação de e-mails de notificação, todas as correspondências que ocorrem num período de tempo de um minuto para a mesma regra DLP e na mesma localização são agrupadas no mesmo alerta. A funcionalidade de janela de tempo de agregação de um minuto está disponível em:

  • Uma subscrição E5 ou G5
  • Uma subscrição E1, F1 ou G1 ou uma subscrição E3 ou G3 que inclua uma das seguintes funcionalidades:
    • Plano 2 de proteção avançada contra ameaças do Office 365
    • Conformidade do Microsoft 365 E5
    • Licença de suplemento de Deteção de Dados Eletrónicos e Auditoria do Microsoft 365

Para organizações que têm uma subscrição E1, F1 ou G1 ou uma subscrição E3 ou G3, o período de tempo de agregação é de 15 minutos.

Configuração de alerta de evento único

Se tiver licença para opções de configuração de alertas de evento único, verá estas opções quando criar ou editar uma política DLP. Utilize esta opção para criar um alerta que é gerado sempre que ocorre uma correspondência de regra DLP.

Captura de ecrã a mostrar opções para relatórios de incidentes para utilizadores elegíveis para opções de configuração de alertas de evento único.

Tipos de eventos

Eis alguns dos eventos associados a um alerta. Na dashboard Alerta, pode escolher um evento específico para ver os detalhes.

Detalhes do evento

Nome da propriedade Descrição Tipos de eventos
ID ID exclusivo associado ao evento todos os eventos
Local carga de trabalho onde o evento foi detetado todos os eventos
tempo de atividade tempo da atividade do utilizador que corresponde aos critérios da política DLP

Entidades afetadas

Nome da propriedade Descrição Tipos de eventos
usuário utilizador que tomou a ação que causou a correspondência de política todos os eventos
nome do anfitrião nome do anfitrião do computador onde ocorreu a correspondência da política DLP eventos do dispositivo
Endereço IP Endereço IP do computador onde ocorreu a correspondência da política DLP eventos do dispositivo
sha1 Hash SHA-1 do ficheiro eventos do dispositivo
sha256 Hash SHA-256 do ficheiro eventos do dispositivo
ID do dispositivo MDATP ID MDATP do dispositivo de ponto final
tamanho do arquivo tamanho do ficheiro Eventos do SharePoint, OneDrive e dispositivo
caminho do arquivo o caminho absoluto do item envolvido com a correspondência de política DLP Eventos do SharePoint, OneDrive e dispositivos
destinatários de e-mail se um e-mail foi o item confidencial que correspondeu à política DLP, este campo inclui os destinatários desse e-mail Eventos do Exchange
assunto do e-mail assunto do e-mail que correspondia à política DLP Eventos do Exchange
anexos de e-mail nomes dos anexos no e-mail que correspondem à política DLP Eventos do Exchange
proprietário do site nome do proprietário do site Eventos do SharePoint e do OneDrive
URL do site cheio do URL do site do SharePoint ou do OneDrive onde ocorreu a correspondência da política DLP Eventos do SharePoint e do OneDrive
ficheiro criado tempo de criação do ficheiro que correspondia à política DLP Eventos do SharePoint e do OneDrive
última modificação do ficheiro a última vez que o ficheiro que correspondeu à política DLP foi alterado Eventos do SharePoint e do OneDrive
tamanho do arquivo tamanho do ficheiro que corresponde à política DLP Eventos do SharePoint e do OneDrive
proprietário do ficheiro proprietário do ficheiro que correspondeu à política DLP Eventos do SharePoint e do OneDrive

Detalhes da política

Nome da propriedade Descrição Tipos de eventos
Política DLP correspondida nome da política DLP correspondente todos os eventos
regra correspondida nome da regra de política DLP correspondente todos os eventos
tipos de informações confidenciais (SIT) detetados SITs que foram detetados como parte da correspondência da política DLP todos os eventos
ações tomadas ações que foram tomadas que causaram a correspondência da política DLP todos os eventos
ação de violação ação no dispositivo de ponto final que levantou o alerta DLP eventos do dispositivo
política de substituição do utilizador o utilizador substituiu a política através de uma sugestão de política todos os eventos
utilizar justificação de substituição o texto do motivo fornecido pelo utilizador para a substituição todos os eventos

Importante

A configuração da política de retenção de registos de auditoria da sua organização controla durante quanto tempo um alerta permanece visível na consola do . Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.

Confira também