Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As políticas de Prevenção Contra Perda de Dados do Microsoft Purview (DLP) podem ser configuradas para gerar alertas quando as condições numa regra são correspondidas. Os alertas são configurados nas regras de política DLP.
Para obter uma breve descrição geral dos alertas, veja:
Este artigo inclui os detalhes de licenciamento e permissão e outras informações cruciais de que precisa à medida que trabalha com alertas.
Os alertas DLP podem ser investigados e geridos no Microsoft Defender XDR dashboard e no portal do Microsoft Purview. A Microsoft Defender XDR dashboard é a localização recomendada para investigar e gerir alertas DLP. O portal do Microsoft Purview é a localização recomendada para criar e editar políticas DLP.
Dica
Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.
Tipos de alerta
Os alertas podem ser enviados sempre que uma atividade corresponde a uma regra ou podem ser agregados para reduzir o ruído. Existem dois tipos de alertas que podem ser configurados em políticas DLP.
Alertas de evento único Os alertas de evento único são normalmente utilizados em políticas que monitorizam eventos altamente confidenciais que ocorrem num volume baixo, como um único e-mail com 10 ou mais card números de crédito ao cliente enviados fora da sua organização. Por predefinição, quando os eventos de uma única regra ocorrem numa janela de um minuto entre si, são agregados para a licença E5 e 15 minutos para a licença E3. Na pré-visualização, os alertas de evento único podem ser agregados por regra por utilizador. Isto chama-se agregação de alertas baseados em regras e utilizadores.
Normalmente, os alertas de eventos agregados são utilizados em políticas que monitorizam eventos que ocorrem num volume mais elevado ao longo de um período de tempo. Por exemplo, um alerta agregado pode ser acionado quando 10 e-mails individuais com um número de card de crédito ao cliente são enviados para fora da sua organização durante mais de 48 horas.
Antes de começar
Antes de começar, certifique-se de que tem estes pré-requisitos:
Licenciamento para opções de configuração de alertas
- Configuração de alerta de evento único: todas as organizações com uma subscrição DLP (E1, E3, E5, F1, G1, E3, G3, E5, G5) podem configurar políticas para gerar um alerta sempre que ocorre uma atividade de acionamento.
-
Configuração de alerta agregado: para configurar políticas de alerta agregadas com base num limiar, tem de ter uma das seguintes configurações:
- Uma subscrição do A5
- Uma subscrição E5 ou G5
- Uma subscrição E1, F1 ou G1 ou uma subscrição E3 ou G3 que inclua uma das seguintes funcionalidades:
- Plano 2 de proteção avançada contra ameaças do Office 365
- Suíte do Microsoft Purview (anteriormente conhecido como Microsoft 365 E5 Compliance)
- Licença de suplemento de Deteção de Dados Eletrónicos e Auditoria do Microsoft 365
Os clientes que utilizam o DLP de ponto final e que são elegíveis para o DLP do Teams verão os alertas de política DLP do ponto final e os alertas de política DLP do Teams no dashboard de gestão de alertas DLP.
Funções e Grupos de Funções
Se quiser ver a gestão de alertas DLP dashboard ou editar as opções de configuração de alertas numa política DLP, tem de ser membro de um destes grupos de funções:
- Administrador de Conformidade
- Administrador de Dados de Conformidade
- Administrador de Segurança
- Operador de Segurança
- Leitor de Segurança
- Administrador de Proteção de Informações
- Analista de Proteção de Informações
- Investigador de Proteção de Informações
Para saber mais sobre as mesmas, veja Permissões no portal do Microsoft Purview
Eis uma lista de grupos de funções aplicáveis. Para saber mais sobre as mesmas, veja Permissões no portal do Microsoft Purview.
- Proteção de Informações
- Administradores de Proteção de Informações
- Analistas de Proteção de Informações
- Investigadores de Proteção de Informações
Para aceder ao dashboard de gestão de alertas DLP, precisa da função Gerir alertas e de uma destas duas funções:
- Gerenciamento de Conformidade de DLP
- Gestão de Conformidade de DLP View-Only
Para aceder à funcionalidade Pré-visualização de conteúdo e às funcionalidades de conteúdo e contexto Confidenciais correspondentes, tem de ser membro do grupo de funções Visualizador de Conteúdos Explorer Conteúdo, que tem a função visualizador de conteúdos de classificação de dados pré-atribuída.
Dica
Se o administrador precisar de acesso a alertas, mas não a informações contextuais/confidenciais, pode criar e atribuir uma função personalizada que não inclua a permissão Visualizador de Conteúdos de Classificação de Dados.
Configuração de alerta DLP
Para saber como configurar um alerta na sua política DLP, veja Criar e Implementar políticas de prevenção de perda de dados. Existem diferentes experiências de configuração de alertas consoante o seu licenciamento.
Observação
Pode demorar até 3 horas a gerar alertas depois de configurar ou modificar alertas existentes numa política DLP.
Um e-mail de Alerta, um e-mail do Relatório de Incidentes e uma Notificação de Utilizador só serão enviados uma vez por documento. Se um documento com uma condição Conteúdo for Partilhado for partilhado duas vezes, continuará a existir apenas uma notificação.
Configuração de alertas de eventos agregados
Se tiver licença para opções de configuração de alertas agregados, verá estas opções quando criar ou editar uma política DLP.
Esta configuração permite-lhe configurar uma política para gerar um alerta:
- sempre que uma atividade corresponde às condições de uma regra para agregação predefinida com base numa regra ou de agregação baseada em regras e utilizadores.
- quando o limiar definido é atingido ou excedido com base no número de correspondências ou no volume de ou no volume de dados exfiltrados
- para atividades que cumprem os critérios que define numa janela de tempo speficied
Configuração de alerta de evento único
Se tiver licença para opções de configuração de alertas de evento único, verá estas opções quando criar ou editar uma política DLP. Utilize esta opção para criar um alerta que é gerado sempre que ocorre uma correspondência de regra DLP.
Agregação de alertas baseada em utilizadores e regras (pré-visualização)
Quando ativa a agregação de alertas baseada no utilizador na definição DLP ao nível do inquilino, os alertas de evento único são agregados com base nos utilizadores. Os eventos de correspondência da regra têm de ocorrer dentro da janela de tempo configurável (15, 30, 45 e 60 minutos). Os alertas são gerados por evento de correspondência de regra por utilizador.
Comparar opções de agregação de alertas
| Quero que o DLP... | Janela de tempo | Tipo de agregação | Observações |
|---|---|---|---|
| ... gerar um único alerta quando um e-mail que contém card informações de crédito é enviado por qualquer número de utilizadores. | Estas janelas não são configuráveis pelo administrador-E5: 60 segundos-E3 : 15 minutos |
- A agregação de alertas baseada no utilizador está definida como Desativada ao nível do inquilino. - Agregação de alertas de evento único configurada ao nível da regra e está disponível se a correspondência ocorrer dentro do período de tempo. -Agregar correspondências de regras DLP de vários utilizadores num único alerta. |
- Aplica-se a vários utilizadores para uma regra. |
| ... gerar um alerta para cada remetente de e-mail quando é enviado um e-mail com card informações de crédito. | Esta janela de tempo é configurável pelo administrador ao nível do inquilino. - 15 - 60 minutos |
- A agregação de alertas baseada no utilizador está definida como Ativada ao nível do inquilino.
- Agregação de alertas de evento único configurada ao nível da regra. -Agregar as correspondências da regra DLP por um único utilizador num único alerta. |
- Para um único utilizador por regra.
- Espera-se um aumento no volume de alertas. - Se o alerta estiver fechado dentro da janela de tempo de agregação e ocorrer uma nova correspondência para o mesmo utilizador e regra, a nova correspondência de regra será agregada no mesmo alerta. |
| ... para gerar um alerta quando mais de 100 ficheiros confidenciais são acedidos por vários utilizadores no prazo de 60 minutos. | - Configurado ao nível da regra, 60-999 minutos. | - Agregação baseada em limiares – as correspondências de regras DLP agregadas com base na contagem de correspondências. - A agregação de alertas baseada no utilizador não aplicável. |
- pivots on rules - Utilize esta opção para vários utilizadores para uma regra. - Funciona apenas para a opção Todos os utilizadores . |
| ... para gerar um alerta quando mais de 25 MB de dados são exfiltrados por vários utilizadores no prazo de 60 minutos. | Configurado ao nível da regra, 60-999 minutos. | -Agregação baseada no limiar com base no volume de dados. - agregação de alertas baseada no utilizador não aplicável. |
- pivots on rules - Utilize esta opção para vários utilizadores para uma regra. - Funciona apenas para a opção Todos os utilizadores . |
Tipos de eventos
Eis alguns dos eventos associados a um alerta. Na dashboard Alerta, pode escolher um evento específico para ver os detalhes.
Detalhes do evento
| Nome da propriedade | Descrição | Tipos de eventos |
|---|---|---|
| ID | ID exclusivo associado ao evento | todos os eventos |
| Local | carga de trabalho onde o evento foi detetado | todos os eventos |
| tempo de atividade | tempo da atividade do utilizador que corresponde aos critérios da política DLP |
Entidades afetadas
| Nome da propriedade | Descrição | Tipos de eventos |
|---|---|---|
| usuário | utilizador que tomou a ação que causou a correspondência de política | todos os eventos |
| nome do anfitrião | nome do anfitrião do computador onde ocorreu a correspondência da política DLP | eventos do dispositivo |
| Endereço IP | Endereço IP do computador onde ocorreu a correspondência da política DLP | eventos do dispositivo |
| sha1 | Hash SHA-1 do ficheiro | eventos do dispositivo |
| sha256 | Hash SHA-256 do ficheiro | eventos do dispositivo |
| ID do dispositivo MDATP | ID MDATP do dispositivo de ponto final | |
| tamanho do arquivo | tamanho do ficheiro | Eventos do SharePoint, OneDrive e dispositivo |
| caminho do arquivo | o caminho absoluto do item envolvido com a correspondência de política DLP | Eventos do SharePoint, OneDrive e dispositivos |
| destinatários de e-mail | se um e-mail foi o item confidencial que correspondeu à política DLP, este campo inclui os destinatários desse e-mail | Eventos do Exchange |
| assunto do e-mail | assunto do e-mail que correspondia à política DLP | Eventos do Exchange |
| anexos de e-mail | nomes dos anexos no e-mail que correspondem à política DLP | Eventos do Exchange |
| proprietário do site | nome do proprietário do site | Eventos do SharePoint e do OneDrive |
| URL do site | cheio do URL do site do SharePoint ou do OneDrive onde ocorreu a correspondência da política DLP | Eventos do SharePoint e do OneDrive |
| ficheiro criado | tempo de criação do ficheiro que correspondia à política DLP | Eventos do SharePoint e do OneDrive |
| última modificação do ficheiro | a última vez que o ficheiro que correspondeu à política DLP foi alterado | Eventos do SharePoint e do OneDrive |
| tamanho do arquivo | tamanho do ficheiro que corresponde à política DLP | Eventos do SharePoint e do OneDrive |
| proprietário do ficheiro | proprietário do ficheiro que correspondeu à política DLP | Eventos do SharePoint e do OneDrive |
Detalhes da política
| Nome da propriedade | Descrição | Tipos de eventos |
|---|---|---|
| Política DLP correspondida | nome da política DLP correspondente | todos os eventos |
| regra correspondida | nome da regra de política DLP correspondente | todos os eventos |
| tipos de informações confidenciais (SIT) detetados | SITs que foram detetados como parte da correspondência da política DLP | todos os eventos |
| ações tomadas | ações que foram tomadas que causaram a correspondência da política DLP | todos os eventos |
| ação de violação | ação no dispositivo de ponto final que levantou o alerta DLP | eventos do dispositivo |
| política de substituição do utilizador | o utilizador substituiu a política através de uma sugestão de política | todos os eventos |
| utilizar justificação de substituição | o texto do motivo fornecido pelo utilizador para a substituição | todos os eventos |
Importante
A configuração da política de retenção de registos de auditoria da sua organização controla durante quanto tempo um alerta permanece visível na consola do . Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.
Confira também
- Alertas em políticas DLP: descreve alertas no contexto de uma política DLP.
- Introdução aos alertas de prevenção de perda de dados: abrange os detalhes necessários de liscensing, permissões e pré-requisitos para alertas DLP e detalhes de referência de alertas.
- Criar e implementar políticas de prevenção de perda de dados: inclui orientações sobre a configuração de alertas no contexto da criação de uma política DLP.
- Saiba mais sobre como investigar alertas de prevenção de perda de dados: aborda os vários métodos para investigar alertas DLP.
- Investigar incidentes de perda de dados com Microsoft Defender XDR: Como investigar alertas DLP no portal do Microsoft Defender.