Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Prevenção Contra Perda de Dados do Microsoft Purview políticas (DLP) podem tomar medidas de proteção para impedir a partilha não intencional de itens confidenciais. Pode ser notificado quando é efetuada uma ação num item confidencial ao configurar alertas para DLP. Utilize a gestão de alertas DLP dashboard no portal do Microsoft Purview para ver alertas, eventos e metadados associados para violações de políticas DLP.
Se não estiver familiarizado com os alertas DLP, deve rever Introdução aos alertas de prevenção de perda de dados.
Dica
Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.
O portal do Microsoft Purview mostra alertas para políticas DLP impostas nas seguintes cargas de trabalho:
- Trocar email
- Sites do SharePoint
- Contas OneDrive
- Bater papo e canal de mensagens do Teams
- Dispositivos
- Instâncias
- Repositórios locais
- Recursos de Infraestrutura e Power BI
Antes de começar
Antes de começar, certifique-se de que tem os pré-requisitos necessários:
Para obter informações sobre o licenciamento, consulte
Funções e Grupos de Funções
Se quiser ver a gestão de alertas DLP dashboard ou editar as opções de configuração de alertas numa política DLP, tem de ser membro de um destes grupos de funções:
- Administrador de Conformidade
- Administrador de Dados de Conformidade
- Administrador de Segurança
- Operador de Segurança
- Leitor de Segurança
- Administrador de Proteção de Informações
- Analista de Proteção de Informações
- Investigador de Proteção de Informações
Para saber mais sobre as mesmas, veja Permissões no portal do Microsoft Purview
Eis uma lista de grupos de funções aplicáveis. Para saber mais sobre as mesmas, veja Permissões no portal do Microsoft Purview.
- Proteção de Informações
- Administradores de Proteção de Informações
- Analistas de Proteção de Informações
- Investigadores de Proteção de Informações
Para aceder ao dashboard de gestão de alertas DLP, precisa da função Gerir alertas e de uma destas duas funções:
- Gerenciamento de Conformidade de DLP
- Gestão de Conformidade de DLP View-Only
Para aceder à funcionalidade Pré-visualização de conteúdo e às funcionalidades de conteúdo e contexto Confidenciais correspondentes, tem de ser membro do grupo de funções Visualizador de Conteúdos Explorer Conteúdo, que tem a função visualizador de conteúdos de classificação de dados pré-atribuída.
Configuração de alerta DLP
Para saber como configurar um alerta na sua política DLP, veja Criar e Implementar políticas de prevenção de perda de dados.
Importante
A configuração da política de retenção de registos de auditoria da sua organização controla durante quanto tempo um alerta permanece visível na consola do . Veja Gerir políticas de retenção de registos de auditoria para obter mais informações.
Investigar um alerta DLP
Existem três ferramentas que pode utilizar para investigar alertas DLP no portal DLP
- Os Alertas DLP dashboard na vista padrão
- Os Alertas DLP dashboard no Agente de Triagem de Alertas (Pré-visualização)Agente de Triagem de Alertas (Pré-visualização)
- Microsoft Security Copilot.
vista de Standard
- Inicie sessão no portal > do Microsoft PurviewPrevenção de perda de dados.
- Selecione Alertas para ver o dashboard Alertas DLP.
- Utilize os campos Filtro para refinar a lista de alertas.
- Selecione Personalizar colunas para listar as propriedades que pretende ver.
- Para ordenar os resultados por ordem ascendente ou descendente, faça duplo clique no cabeçalho da coluna.
- Faça duplo clique num alerta para obter mais informações sobre o mesmo.
- O separador Detalhes é aberto por predefinição e fornece informações de alto nível sobre o alerta.
- Selecione Resumir com Copilot. Isto faz com que o Microsoft Security Copilot gere um resumo do alerta. O resumo do alerta irá conter:
- gravidade do alerta
- título do alerta
- o nome da política que foi correspondida
- o ficheiro de nome envolvido e uma ligação para o ficheiro
- status de alerta
- o endereço de e-mail do utilizador que efetuou a ação que correspondeu à política
- Selecione as reticências no resumo Security Copilot para:
- copiar o resumo para a área de transferência
- regenerar o resumo
- abra o alerta no Security Copilot experiência autónoma.
- Selecione Ver detalhes para abrir o separador Descrição geral . O separador Descrição geral fornece um resumo das seguintes informações:
- O que aconteceu
- Quem realizou as ações que causaram a correspondência da política
- Informações adicionais sobre a correspondência de política
- O separador Eventos lista todos os eventos associados ao alerta. Selecione qualquer evento na lista para obter informações detalhadas sobre o evento. Para cada evento, selecione o menu pendente Ações para obter uma lista de ações que pode efetuar no alerta, como verificar se o alerta identificou ou não uma correspondência verdadeira ou um falso positivo.
- O separador Resumo da atividade do utilizador requer que a partilha seja ativada nas definições de gestão de riscos internos Uma vez ativada, o separador Resumo da atividade do utilizador fornece todas as atividades de exfiltração em que o utilizador participou (até aos últimos 120 dias). Os utilizadores têm de estar no âmbito de uma política de gestão de riscos internos para ver o separador Resumo da atividade do utilizador .
- Depois de investigar o alerta, regresse ao separador Descrição geral , onde pode Ver detalhes para fazer a triagem e gerir a eliminação do alerta, adicionar comentários e atribuir a propriedade do alerta. (Para ver o histórico da gestão de fluxos de trabalho.)
- Depois de efetuar a ação necessária para o alerta, defina o Estado do alerta como Resolvido.
Agente de Triagem de Alertas (Pré-visualização)
Na pré-visualização, Microsoft Security Copilot no Purview suporta agentes Security Copilot (pré-visualização). Este agente ajuda a reduzir o tempo necessário para fazer a triagem de alertas ao raciocinar sobre eles e identificar os que representam o maior risco para a sua organização.
- Inicie sessão no portal > do Microsoft PurviewPrevenção de perda de dados com as permissões adequadas. Veja Permissões e Funções ou Permissões e Funções consoante a carga de trabalho com que está a trabalhar.
- Selecione Alertas para ver o dashboard Alertas DLP.
- Defina o botão de alternar da vista de página Alertas para Agente de Triagem de Alertas (Pré-visualização).
- Selecione a categoria (Tudo, Precisa de atenção, Menos urgente ou Não categorizado) para ver os alertas relevantes para a sua tarefa.
- Selecione o alerta triagem para ver o resumo do Agente, uma Descrição Geral e Eventos associados ao alerta.
Observação
Se um alerta contiver vários recursos, o agente irá resumir os 10 melhores pedidos que contribuíram para o resumo das conclusões e a decisão sobre a categoria à qual atribuir o alerta.
- Depois de rever o resumo, pode selecionar Gerir alerta para atribuí-lo a um analista, alterar o status ou o alerta ou adicionar mais comentários.
Co-piloto de segurança
Security Copilot é uma plataforma de IA baseada na cloud que pode ajudar os profissionais de segurança e conformidade a proteger os dados da sua organização. Pode utilizá-lo para resumir alertas do Microsoft Purview, fazer a triagem de alertas e desagregar os seus dados do Microsoft Puview. Está disponível no dashboard de Alertas DLP e no Gerenciamento da Postura de Segurança de Dados.
Criar uma ligação partilhável para um evento de alerta
Os utilizadores com as permissões adequadas podem ver alertas de Prevenção Contra Perda de Dados do Microsoft Purview (DLP) na consola de Alertas DLP. No entanto, à medida que os alertas são triagemdos e investigados, poderá querer partilhar eventos de alerta com utilizadores que não têm acesso ao DLP e à consola de alertas. Em pré-visualização, pode criar uma ligação partilhável para um evento de alerta:
- No Portal do Purview, navegue para Prevenção de Perda de Dados e, em seguida, selecione Alertas.
- Selecione um alerta e, em seguida, selecione Ver detalhes.
- No ecrã Detalhes do alerta, selecione o separador Eventos imediatamente abaixo do título do alerta para ver os eventos contidos neste alerta.
- Selecione o evento que pretende partilhar e, em seguida, clique no botão Ações na parte inferior do ecrã para ver o menu Ações .
- Selecione Copiar ligação do evento e, em seguida, selecione Copiar para copiar a ligação partilhável para o evento.
- Agora, pode colar a ligação a partir da sua área de transferência para partilhar a ligação através de chat, e-mail ou outros meios.
Outras condições correspondentes
O Microsoft Purview suporta a apresentação de condições correspondentes num evento DLP para revelar a causa exata de uma política DLP sinalizada. Estas informações são apresentadas em:
- Consola de Alertas DLP
- Explorador de atividades
- portal do Microsoft Defender para Empresas
No separador Eventos , abra Detalhes para ver Outras condições correspondentes.
Pré-requisitos
- Tem de estar a executar Windows 10 x64 (compilação 1809 ou posterior) ou Windows 11.
- Consulte 21 de março de 2023 — KB5023773 (Compilações 19042.2788, 19044.2788 e 19045.2788) Pré-visualização para compilações mínimas do Sistema Operativo Windows necessárias.
- Os dados de condições correspondentes estão disponíveis para titulares de licenças E3 e E5 válidos.
- Ative a Auditoria.
- Ativar a Análise e proteção de classificação avançadas.
As informações dos eventos correspondentes são suportadas para estas condições
| Condition | Exchange | Sharepoint | Teams | Ponto de extremidade |
|---|---|---|---|---|
| O remetente é | Sim | Não | Sim | Não |
| O domínio do remetente é | Sim | Não | Sim | Não |
| O endereço do remetente contém palavras | Sim | Não | Não | Não |
| O endereço do remetente corresponde aos padrões | Sim | Não | Não | Não |
| O remetente é membro do | Sim | Não | Não | Não |
| O endereço IP do remetente é | Sim | Não | Não | Não |
| O remetente substituiu a sugestão de política | Sim | Não | Não | Não |
| SenderAdAttribute Contém palavras | Sim | Não | Não | Não |
| SenderAdAttribute Corresponde aos padrões | Sim | Não | Não | Não |
| O destinatário é | Sim | Não | Sim | Não |
| O domínio do destinatário é | Sim | Não | Sim | Não |
| O endereço do destinatário contém palavras | Sim | Não | Não | Não |
| O endereço do destinatário corresponde aos padrões | Sim | Não | Não | Não |
| O destinatário é um membro do | Sim | Não | Não | Não |
| RecipientAdAttribute Contém palavras | Sim | Não | Não | Não |
| RecipientAdAttribute Corresponde aos padrões | Sim | Não | Não | Não |
| O documento está protegido por palavra-passe | Sim | Não | Não | Não |
| Não foi possível digitalizar o documento | Sim | Não | Não | Não |
| O documento não concluiu a análise | Sim | Não | Não | Não |
| O nome do documento contém palavras | Sim | Sim | Não | Não |
| O nome do documento corresponde aos padrões | Sim | Não | Não | Não |
| A propriedade do documento é | Sim | Sim | Não | Não |
| Tamanho do documento superior | Sim | Sim | Não | Não |
| O conteúdo do documento contém palavras | Sim | Não | Não | Não |
| O conteúdo do documento corresponde aos padrões | Sim | Não | Não | Não |
| O tipo de documento é | Não | Não | Não | Sim |
| A extensão do documento é | Sim | Sim | Não | Sim |
| O conteúdo é partilhado a partir do M365 | Sim | Sim | Sim | Não |
| O conteúdo é recebido de | Sim | Não | Não | Não |
| Conjunto de carateres de conteúdo contém palavras | Sim | Não | Não | Não |
| Assunto contém palavras | Sim | Não | Não | Não |
| O assunto corresponde aos padrões | Sim | Não | Não | Não |
| Assunto ou corpo contém palavras | Sim | Não | Não | Não |
| O assunto ou o corpo correspondem aos padrões | Sim | Não | Não | Não |
| O cabeçalho contém palavras | Sim | Não | Não | Não |
| O cabeçalho corresponde aos padrões | Sim | Não | Não | Não |
| Tamanho da mensagem superior | Sim | Não | Não | Não |
| O tipo de mensagem é | Sim | Não | Não | Não |
| A importância da mensagem é | Sim | Não | Não | Não |
Limitação ao transferir e-mails a partir de um alerta DLP
Em geral, ao utilizar o dashboard de gestão de alertas DLP, pode transferir e-mails específicos a partir de um alerta. No entanto, os e-mails que foram eliminados em qualquer um dos seguintes cenários não podem ser transferidos.
| Remetente | Destinatário | Estado do Email |
|---|---|---|
| Interno | Externo | Eliminado pelo remetente |
| Externo | Interno | Eliminado pelo destinatário |
| Interno | Interno | Eliminado por ambas as partes |