Alertas e políticas de alerta do Gerenciador de Conformidade do Microsoft Purview

Neste artigo: Saiba como definir alertas para determinadas atividades no Gerenciador de Conformidade, como gerenciar alertas e como criar políticas de alerta para definir condições de alerta.

Ponta

Se você não for um cliente E5, poderá experimentar todos os recursos premium do Microsoft Purview gratuitamente. Use a avaliação de soluções do Purview de 90 dias para explorar como os recursos robustos do Purview podem ajudar sua organização a gerenciar as necessidades de conformidade e segurança de dados. Comece agora no portal de conformidade do Microsoft Purview de avaliações. Saiba mais sobre como inscrever-se e os termos de avaliação.

Visão geral

O Gerenciador de Conformidade pode alertá-lo sobre as alterações assim que elas ocorrerem para que você possa se manter em dia com suas metas de conformidade. Por exemplo, você pode configurar alertas para informá-lo quando o valor da pontuação de uma ação de melhoria aumentou ou diminuiu devido a uma alteração de configuração em seu locatário ou quando uma ação de melhoria foi atribuída a um usuário para executar o trabalho de implementação ou teste. Exiba os tipos de eventos para os quais você pode criar alertas.

Para criar alertas, primeiro configure uma política de alerta para descrever as condições que disparam um alerta e a frequência das notificações. Quando detectarmos uma correspondência com suas condições de política, você receberá uma notificação por email com detalhes para que possa determinar se deseja investigar ou executar outras ações.

Todos os alertas são listados na guia Alertas no Gerenciador de Conformidade e todas as políticas de alerta são listadas na guia Políticas de Alerta. Todas as organizações têm uma política de alteração de pontuação padrão já configurada para elas.

Noções básicas sobre as páginas de políticas de alertas e alertas

Importante

Os usuários devem manter a função leitor de segurança no Azure Active Directory (AD) para acessar as páginas de políticas alertas e alertas no Gerenciador de Conformidade. Funções adicionais de Segurança e Gerenciador de Conformidade são necessárias para trabalhar com alertas e políticas de alerta. Obtenha os detalhes abaixo nas permissões de política de alerta.

Página políticas de alerta

Selecione a guia Políticas de alerta no Gerenciador de Conformidade para exibir e gerenciar suas políticas de alerta. A página Políticas de alerta contém uma tabela listando todas as políticas criadas pela sua organização. Nessa página, você pode criar novas políticas, editar políticas existentes, alterar o status de ativação e excluir políticas.

Na coluna Status, Ativo significa que a política está em vigor e disparando alertas quando as condições são atendidas. Inativo significa que a política existe, mas não está gerando alertas. A tabela de políticas também mostra a gravidade da política e a data em que a política foi modificada pela última vez.

Para exibir os detalhes de uma política individual, selecione sua linha na tabela. Será exibido um painel de submenu que mostra todos os detalhes. Selecione o botão Ação na parte inferior do painel e selecione entre as opções para editar a política, exibir seus alertas ou excluí-la. Os comandos para adicionar, editar, excluir, ativar e desabilitar também estão disponíveis próximos à parte superior da tabela, acima dos filtros.

Para começar a criar uma política de alerta, consulte Criar uma política de alerta.

Página Alertas

Selecione a guia Alertas no Gerenciador de Conformidade para exibir e gerenciar seus alertas. A página Alertas contém uma tabela listando cada alerta gerado por uma política de alerta, juntamente com sua severidade e o evento de gatilho (por exemplo, a alteração de pontuação de uma ação) e a data do alerta.

Para exibir um alerta individual, selecione sua linha na tabela. Será exibido um painel de submenu que mostra todos os detalhes na guia Visão geral do painel. A guia Log de Eventos exibe as ações executadas pelos usuários que dispararam o alerta.

O botão Ação na parte inferior do painel fornece opções para atribuir o alerta a um usuário para acompanhamento, enviar um email ao usuário cujas ações geraram o alerta ou exibir os detalhes da política que gera o alerta. Você também pode executar as mesmas ações selecionando o botão arredondado que aparece à esquerda do nome do alerta ao passar o mouse sobre sua linha e, em seguida, selecionando um dos botões próximos à parte superior da tabela, acima dos filtros.

Para começar a trabalhar com alertas, consulte Exibindo e gerenciando alertas.

Permissões de política de alerta

A tabela a seguir descreve quais usuários podem criar e editar alertas e políticas de alerta com base em seu tipo de função. Além de manter uma função de Gerenciador de Conformidade, os usuários também precisam de Azure AD função da seguinte maneira:

  • Para exibir alertas e políticas de alerta: a função leitor de segurança no Azure AD
  • Para criar ou atualizar políticas de alerta: o administrador de conformidade, o administrador de dados de conformidade, o administrador de segurança ou a função de operador de segurança no Azure AD

Saiba mais sobre as funções do Azure no portal de conformidade do Microsoft Purview.

Função Pode criar e editar políticas Pode editar alertas
Administração do Gerenciador de Conformidade Sim Sim
Consultor do Gerenciador de Conformidade Sim Sim
Colaborador do Gerenciador de Conformidade Sim Sim
Leitor do Gerenciador de Conformidade Não Não
Administrador global Sim Sim

Saiba como definir permissões de usuário e atribuir funções ao Gerenciador de Conformidade.

Criar uma política de alerta

Você pode criar políticas para alertá-lo quando determinadas alterações ou eventos relacionados a ações de melhoria ocorrerem. Os tipos de evento estão listados abaixo.

Tipos de evento de alerta

  • Alteração de pontuação: um aumento ou diminuição nos pontos concedidos por uma ação de melhoria devido a alterações de configuração feitas por alguém em sua organização. Por exemplo, se sua organização criar uma política de gerenciamento de risco interno, isso poderá aumentar seus pontos para uma determinada ação em um determinado valor.
  • Alteração de atribuição: uma ação de melhoria foi atribuída a um usuário, atribuída novamente a um usuário diferente ou não atribuída a um usuário.
  • Alteração do status da implementação: um usuário alterou o status de implementação de uma ação de melhoria.
  • Alteração do status do teste: um usuário alterou o status de teste de uma ação de melhoria.
  • Alteração de evidência: um usuário carregou ou excluiu um documento de evidência na guia Documentos da ação de melhoria.

Política de alteração de pontuação padrão

O Gerenciador de Conformidade configura uma política de alerta padrão para monitorar as alterações de pontuação nas ações de melhoria. A política padrão gerará um alerta quando a pontuação de uma ação de melhoria for alterada. A maioria das configurações para a política padrão não pode ser editada, mas você pode adicionar destinatários adicionais para notificações.

Aqui estão as configurações para a política padrão:

  • Todas as partidas detectadas em um intervalo de 60 minutos serão agrupadas em um único alerta para reduzir as notificações excessivas. Por exemplo, se cinco ações de melhoria experimentarem uma alteração de pontuação dentro de uma hora, um alerta será gerado.

  • O nível de severidade desses alertas é médio.

  • O banco Administração global para sua organização é o destinatário padrão das notificações de alerta.

  • Você pode adicionar mais destinatários de alerta seguindo estas etapas:

    • Na página Políticas de alerta , localize a política de alerta padrão do Gerenciador de Conformidade.
    • Marque a caixa à esquerda de seu nome e selecione o botão Editar próximo à parte superior, acima dos filtros.
    • Selecione o botão Avançar até chegar à página Destinatários do alerta.
    • Selecione +Selecionar destinatários e marque as caixas ao lado de cada nome de usuário no painel de submenu a quem você deseja receber a notificação por email. Quando terminar, selecione Adicionar destinatário e, em seguida, selecione Avançar.
    • Na página Examinar e concluir , selecione Atualizar para salvar suas alterações.
  • A política padrão não pode ser excluída, mas você pode desabilitá-la seguindo as etapas descritas abaixo.

Etapas de criação de política

Para criar uma política para gerar alertas com base em um ou mais eventos, siga as etapas abaixo:

  1. No Gerenciador de Conformidade, vá para a página Políticas de alerta e selecione +Adicionar para iniciar o assistente de criação de política.

  2. Na página Nome e descrição , insira um nome para a política e uma descrição opcional e selecione Avançar.

  3. Na página Condições , selecione um ou mais eventos que dispararão um alerta. No cabeçalho da atividade De ação de melhoria, selecione Adicionar subcons condições e marque a caixa exibida ao passar o mouse para a esquerda de cada nome de condição. Você pode escolher uma ou mais condições para uma política: alteração de atribuição, alteração de evidência, alteração de status de implementação, alteração de pontuação, alteração de status do teste. Quando concluir, selecione Avançar.

  4. Na página Resultados , escolha o que acontece quando uma correspondência de política é detectada:

    • Selecione um nível de severidade para o alerta quando uma correspondência for detectada: baixa, média ou alta.
    • Selecione com que frequência você deseja ser notificado por email quando uma correspondência é detectada. Você pode optar por ser notificado com cada correspondência ou escolher um limite de um determinado número de correspondências acima de três.
    • Se você optar por ser notificado após três ou mais partidas, designará o número de minutos dentro dos quais esse limite deve ser atingido (por exemplo, 4 corresponde dentro de 90 minutos).

    Quando terminar, clique em Avançar.

  5. Na página Destinatário do alerta , selecione usuários adicionais em sua organização para receber um email quando as condições da política forem atendidas. O usuário que cria a política é o destinatário padrão. Selecione +Selecionar destinatários e marque as caixas ao lado de cada nome de usuário no painel de submenu a quem você deseja receber a notificação por email. Quando terminar, selecione Adicionar destinatários e, em seguida, selecione Avançar.

  6. Examine todas as seleções e faça alterações em cada seção selecionando e, em seguida, selecione Avançar. Ao concluir a revisão, selecione Criar política.

  7. Quando sua política for criada, selecione Concluído. Você chegará à página Políticas de alerta com o painel de submenu para a política que você acabou de criar já aberta.

Sua política estará ativa depois que você a criar, o que significa que ela começará a detectar correspondeções e gerar alertas. Consulte a seção Gerenciamento de políticas abaixo para saber como inativar ou excluir políticas.

Pode levar até 24 horas após a criação ou atualização de uma política antes que os alertas sejam gerados por essa política. Consulte Exibir detalhes do alerta abaixo para saber mais sobre como disparar eventos e agregação de alertas.

Gerenciando políticas

A página Políticas de alerta contém uma listagem de tabela de todas as suas políticas. Consulte a página Políticas de alerta para entender melhor esta página. Qualquer usuário em sua organização pode exibir políticas, mas determinadas ações são restritas a determinadas funções; consulte Permissões de política de alerta.

Exibir detalhes da política

Selecione uma política em sua linha na página Políticas de alerta para abrir um painel de submenu mostrando os detalhes da política, incluindo suas condições de correspondência, se e quando as notificações de alerta são enviadas e para quem e nível de severidade.

O botão Ações na parte inferior do painel oferece opções para editar a política, excluir a política ou exibir alertas.

Exibir alertas de uma política

No painel de submenu da política, selecione Ações e, em seguida, Exibir alertas. Você será levado diretamente para a página Alertas com uma exibição filtrada de todos os alertas gerados por essa política. Saiba como trabalhar com alertas.

Editar uma política

Você pode editar qualquer aspecto de uma política, exceto seu nome. Se você quiser alterar seu nome, precisará criar uma nova política com um novo nome.

Para editar uma política, selecione o botão arredondado que aparece à esquerda de seu nome quando você passa o mouse sobre sua linha na página Políticas de alerta e seleciona o botão Editar próximo à parte superior, acima dos filtros.

Você será levado para o assistente de criação de política, no qual poderá fazer e salvar alterações em sua política. Você também pode selecionar a política para abrir o painel de detalhes e, no botão Ações, selecione Editar política. Depois de trabalhar novamente no assistente, examine suas seleções e, na etapa final, selecione Atualizar para salvar suas alterações.

Pode levar até 24 horas para que os alertas sejam gerados pela política atualizada.

Ativar ou inativar uma política

As políticas são ativadas por padrão assim que são criadas. Quando ativa, uma política criará um alerta (mostrado na página Alertas ) quando as condições forem atendidas e enviará um email de notificação aos destinatários designados.

Para alterar uma política para um estado inativo , o que significa que ela não gerará alertas, selecione o botão arredondado que aparece à esquerda do nome da política quando você passa o mouse sobre sua linha. Em seguida, selecione o comando Desabilitar acima da tabela. O status da política agora será inativo. Para reativar a política, siga o mesmo processo e selecione o botão Ativar acima dos filtros.

Excluir uma política

Para excluir uma política, você pode selecionar o botão ao lado de seu nome na página Políticas de alerta e selecionar Excluir próximo à parte superior da página. Você também pode selecionar a política para exibir seu painel de detalhes e, no botão Ações, selecione Excluir política.

A exclusão é permanente. Depois de excluir uma política, ela não gerará mais alertas ou notificações por email. Saiba mais sobre alertas conectados a políticas excluídas.

Exibindo e gerenciando alertas

A página Alertas mostra uma tabela com todos os alertas gerados por todas as suas políticas. Os alertas são gerados quase imediatamente depois que ocorre um evento que corresponde às condições da política. O nome do alerta é o mesmo nome da política que gerou o alerta.

Um alerta só pode ser gerado de uma política ativa. Depois que um alerta é gerado, ele permanece listado na página Alertas , independentemente de a política estar ativa ou inativa.

Filtrar a exibição de alertas

Você pode filtrar a exibição de alertas selecionando o comando Filtro acima da tabela na página Alertas . No painel Filtrar submenu, selecione entre estas opções de filtro:

  • Tipo de evento
  • Severity
  • Status
  • Usuário atribuído a
  • Data de detecção
  • Nome da política

Depois de fazer suas seleções, selecione Aplicar. O painel de submenu será fechado e a página Alertas atualizada mostrará a exibição filtrada. Seus filtros são exibidos na parte superior da tabela, embora nem todas as colunas de filtro possam aparecer na tabela.

Exibir detalhes do alerta

Para exibir todos os detalhes sobre o alerta, incluindo os eventos que o dispararam, selecione sua linha na tabela. Um painel de submenu mostrará os detalhes do alerta na guia Visão geral do painel.

A guia Log de Eventos do painel de submenu lista as atividades que geraram o alerta, como uma alteração de pontuação ou uma alteração de atribuição, juntamente com o nome do usuário associado a cada ação e a data detectada.

Eventos de alerta

A coluna Eventos na página Alertas indica as condições de uma política detectada; em outras palavras, a atividade que gerou o alerta. A guia Log de Eventos no painel de detalhes do alerta lista cada instância de um evento, o usuário associado e a data detectada. Os valores de evento são listados abaixo:

  • Alteração de pontuação: mostra o número de aumento ou diminuição em pontos
  • Alteração de atribuição: uma ação de melhoria foi atribuída a um usuário, atribuída novamente a um usuário diferente ou não atribuída a um usuário
  • Alteração do status da implementação: um usuário alterou o status de implementação de uma ação de melhoria
  • Alteração do status do teste: um usuário alterou o status de teste de uma ação de melhoria.
  • Alteração de evidência: um usuário carregou ou excluiu um documento de evidência na guia Documentos da ação de melhoria
  • Vários eventos: várias instâncias do mesmo tipo de evento foram detectadas; por exemplo, uma única ação de melhoria que foi reatribuida várias vezes
  • Várias condições: várias condições em uma única política foram detectadas

Agregação de alerta para vários eventos em um minuto

Quando vários eventos que correspondem às condições de uma política de alerta ocorrem com um minuto, eles são adicionados a um alerta existente por um processo chamado agregação de alerta.

Por exemplo, quando ocorre um evento que corresponde a uma política, um alerta é gerado e exibido na página Alertas e uma notificação é enviada. Se outro evento que corresponde à mesma política ocorrer dentro de um minuto do primeiro evento, o Gerenciador de Conformidade adicionará detalhes sobre o evento adicional na guia Log de Eventos do alerta existente em vez de disparar um novo alerta. O objetivo da agregação de alertas é ajudar a reduzir a "fadiga" do alerta e permitir que você se concentre e tome medidas em menos alertas.

Executar uma ação em alertas

Quando uma de suas políticas gera um alerta, você pode exibir os eventos que causaram o alerta e determinar se você precisa verificar ou investigar ainda mais os eventos.

Para executar uma ação em um alerta, selecione sua linha na página Alertas para abrir o painel de submenu com seus detalhes, selecione o botão Ações e escolha entre as opções listadas abaixo. Você também pode executar ações selecionando o botão arredondado que aparece à esquerda do nome do alerta ao passar o mouse sobre sua linha e selecionando um dos botões de ação próximo à parte superior da página, acima dos filtros.

Atribuir alerta: talvez você queira atribuir o alerta a um usuário para investigar ou verificar os eventos que causaram o alerta. Quando você escolhe essa opção, um painel é aberto, em que você pode selecionar um usuário em sua organização e atribuir o alerta a ele. Você pode filtrar o modo de exibição de alertas selecionando Filtros na página Alertas e inserindo o nome do usuário no campo Atribuído a.

Email alerta: talvez você queira enviar um email para o usuário associado à atividade do alerta para confirmar que ele tomou a ação. Quando você escolhe essa opção, ele abre um modelo de email com informações básicas sobre o alerta, que você pode personalizar com mais instruções e enviar ao usuário.

Exibir detalhes da política: talvez você queira examinar as configurações da política que disparou o alerta. Observe que, ao selecionar essa opção, você será levado diretamente para a página Políticas de alerta com o painel de detalhes da política já aberto. Você não estará mais na página Alertas quando fechar o painel de detalhes da política.

Status da alteração: você pode atualizar o status do alerta com base na revisão do impacto e se ele precisa ser investigado. Saiba mais sobre os status de alerta na próxima seção.

Status do alerta

Quando um alerta é criado, seu status é Ativo. Ao examinar os detalhes de cada alerta, você pode atualizar seu status para qualquer um dos estados listados abaixo:

  • Ativo: estado padrão do alerta até que seu status seja alterado
  • Investigando: o alerta está sob investigação
  • Resolvido: o alerta não requer mais investigação ou acompanhamento
  • Ignorado: o alerta não é relevante ou não precisa de investigação

Para atribuir ou alterar o status de um alerta, selecione um alerta de sua linha na tabela, selecione Alterar status próximo à parte superior da página, acima dos filtros. No painel de submenu Atualizar status do alerta, selecione um status no menu suspenso e, em seguida, selecione Atualizar alerta.

Depois que um alerta é gerado, seu status é independente do status da política que gerou o alerta. Por exemplo, é possível ter um alerta ativo associado a uma política inativa e é possível ter um status de investigação em um alerta que foi gerado por uma política que foi subsequentemente inativada ou excluída.

Quando as políticas são excluídas

Quando uma política é excluída, todos os alertas gerados por essa política permanecerão na página Alertas , mas nenhum novo alerta será gerado.

Email notificações de alertas

Quando você cria uma política, um email é enviado para o usuário que criou a política alertando-o de que uma correspondência foi detectada. Você pode optar por enviar essas notificações por email para usuários adicionais em sua organização. Os alertas ocorrem quase em tempo real e as notificações por email são enviadas assim que um alerta é gerado. O email conterá o nome do evento, a gravidade, o tempo detectado e um link para exibir o alerta no Gerenciador de Conformidade.

Remover usuários do recebimento de alertas

Se você designar destinatários de alerta e depois decidir removê-los, siga as etapas abaixo. Observe que o criador da política ainda receberá notificações por email quando as correspondentes à política forem detectadas.

  1. Comece as etapas para editar sua política.
  2. Quando chegar à tela Destinatários do alerta, selecione +Selecionar destinatários.
  3. No painel Selecionar destinatários , localize o usuário que você deseja remover das notificações e desmarque a caixa à esquerda do nome e, em seguida, selecione o botão Adicionar destinatários (que tem o efeito de salvar sua seleção).
  4. Continue no assistente e confirme se o usuário não aparece em Destinatários na página Revisão e término. Selecione Atualizar para salvar suas configurações e concluir.