Introdução a evidências forenses de gerenciamento de riscos internos

Importante

As evidências forenses são um recurso de complemento opt-in no Insider Risk Management que fornece às equipes de segurança insights visuais sobre possíveis incidentes de segurança de dados internos, com privacidade do usuário interna. As evidências forenses incluem gatilhos de eventos personalizáveis e controles internos de proteção de privacidade do usuário, permitindo que as equipes de segurança investiguem, entendam e respondam melhor a possíveis riscos de dados internos, como a exfiltração de dados não autorizados de dados confidenciais.

As organizações definem as políticas certas para si mesmas, incluindo quais eventos arriscados são de maior prioridade para capturar evidências forenses e quais dados são mais confidenciais. As evidências forenses estão desativadas por padrão, a criação de política requer autorização dupla e os nomes de usuário podem ser mascarados com pseudonymization (que está ativado por padrão para o Insider Risk Management). A configuração de políticas e a revisão de alertas de segurança no Insider Risk Management aproveita o RBAC (controles de acesso baseados em função) fortes, garantindo que os indivíduos designados na organização estejam tomando as ações certas com recursos adicionais de auditoria.

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar possíveis riscos internos mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O gerenciamento de risco interno permite que os clientes criem políticas para gerenciar a segurança e a conformidade. Criados com privacidade por design, os usuários são pseudônimos por padrão e os controles de acesso baseados em função e os logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.

Configurar evidências forenses

Configurar evidências forenses em sua organização é semelhante à configuração de outras políticas de modelos de política de gerenciamento de risco interno. Em geral, você seguirá as mesmas etapas básicas de configuração para configurar evidências forenses, mas há algumas áreas que precisam de ações de configuração específicas do recurso antes de começar as etapas básicas de configuração.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Etapa 1: confirmar sua assinatura e configurar o acesso ao armazenamento de dados

Antes de começar a usar evidências forenses, você deve confirmar sua assinatura de gerenciamento de risco interno e quaisquer complementos.

Além disso, você precisará adicionar o seguinte domínio à sua lista de permissões de firewall para dar suporte ao armazenamento de captura de evidências forenses para sua organização:

• compliancedrive.microsoft.com

Capturas e capturas de dados são armazenadas neste domínio e são atribuídas apenas à sua organização. Nenhuma outra organização do Microsoft 365 tem acesso a capturas de evidências forenses para sua organização.

Observação

Os dados de evidências forenses são armazenados em uma região em que seu Proteção do Exchange Online (EOP) ou região de troca é definido.

Etapa 2: configurar dispositivos com suporte

Os dispositivos de usuário qualificados para captura de evidências forenses devem ser integrados ao portal de conformidade do Microsoft Purview e devem ter o Cliente do Microsoft Purview instalado.

Importante

O Cliente do Microsoft Purview coleta automaticamente dados de diagnóstico gerais relacionados à configuração do dispositivo e às métricas de desempenho. Isso inclui dados sobre erros críticos, consumo de RAM, falhas de processo e outros dados. Esses dados nos ajudam a avaliar a integridade do cliente e identificar quaisquer problemas. Para obter mais detalhes sobre como os dados de diagnóstico podem ser usados, consulte o Uso de Software com Serviços Online nos Termos do Produto da Microsoft.

Para obter uma lista de requisitos de dispositivo e configuração, consulte Saiba mais sobre evidências forenses. Para integrar dispositivos com suporte, conclua as etapas descritas no artigo Visão geral de Windows 10 e Windows 11 do Microsoft 365.

Instalar o cliente do Microsoft Purview

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

2. Acesse a solução de Gerenciamento de Riscos Internos .

3. Selecione Evidência Forense na navegação à esquerda e selecione Instalação do cliente.

4. Selecione Baixar pacote do instalador (versão x64) para baixar o pacote de instalação do Windows.

5. Depois de baixar o pacote de instalação, use seu método preferencial para instalar o cliente nos dispositivos dos usuários. Essas opções podem incluir a instalação manual do cliente em dispositivos ou ferramentas para ajudar a automatizar a instalação do cliente:

   • Microsoft Intune: Microsoft Intune é uma solução integrada para gerenciar todos os seus dispositivos. A Microsoft reúne Configuration Manager e Intune, sem uma migração complexa e com licenciamento simplificado.
   • Soluções de gerenciamento de dispositivos de terceiros: se sua organização estiver usando soluções de gerenciamento de dispositivos de terceiros, consulte a documentação dessas ferramentas para instalar o cliente.

Portal de Conformidade

1. Entre no portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

2. Acesse a solução de Gerenciamento de Riscos Internos .

3. Vá parainstalação do clientede evidência> forense.

4. Selecione Baixar pacote do instalador (versão x64) para baixar o pacote de instalação do Windows.

5. Depois de baixar o pacote de instalação, use seu método preferencial para instalar o cliente nos dispositivos dos usuários. Essas opções podem incluir a instalação manual do cliente em dispositivos ou ferramentas para ajudar a automatizar a instalação do cliente:

   • Microsoft Intune: Microsoft Intune é uma solução integrada para gerenciar todos os seus dispositivos. A Microsoft reúne Configuration Manager e Intune, sem uma migração complexa e com licenciamento simplificado.
   • Soluções de gerenciamento de dispositivos de terceiros: se sua organização estiver usando soluções de gerenciamento de dispositivos de terceiros, consulte a documentação dessas ferramentas para instalar o cliente.

Etapa 3: configurar configurações

As evidências forenses têm várias configurações que fornecem flexibilidade para os tipos de atividade de usuário relacionada à segurança capturadas, capturando parâmetros, limites de largura de banda e opções de captura offline. A captura de evidências forenses permite criar políticas com base em seus requisitos em apenas algumas etapas e adicionar usuários a uma política requer autorização dupla.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

2. Acesse a solução de Gerenciamento de Riscos Internos .

3. Selecione Evidência forense na navegação à esquerda e selecione Configurações de evidência forense.

4. Selecione Captura de evidências forenses para habilitar a captura de suporte em suas políticas de evidências forenses. Se isso for desativado mais tarde, isso removerá todos os usuários adicionados anteriormente para políticas de evidências forenses.

   Importante

   O Cliente do Microsoft Purview usado para capturar atividades nos dispositivos dos usuários é licenciado sob o Uso de Software com os Serviços Online nos Termos do Produto da Microsoft. Observe que os clientes são os únicos responsáveis pelo uso da solução de gerenciamento de risco interno, incluindo o Cliente do Microsoft Purview, em conformidade com todas as leis aplicáveis.

5. Na seção Capturando janela , defina quando iniciar e interromper a captura de atividades. Os valores disponíveis são 10 segundos, 30 segundos, 1 minuto, 3 minutos ou 5 minutos.

6. Na seção Carregar limite de largura de banda , defina a quantidade de dados de captura a serem carregados em sua conta de armazenamento de dados por usuário, por dia. Os valores disponíveis são 100 MB, 250 MB, 500 MB, 1 GB ou 2 GB.

7. Na seção Limite de cache de captura offline , defina o tamanho máximo do cache a ser armazenado nos dispositivos dos usuários quando a captura offline estiver habilitada. Os valores disponíveis são 100 MB, 250 MB, 500 MB, 1 GB ou 2 GB.

8. Selecione Salvar.

Portal de Conformidade

1. Entre no portal de conformidade do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365..

2. Acesse a solução de Gerenciamento de Riscos Internos .

3. Vá para evidências>forenses Configurações de evidência forense.

4. Selecione Captura de evidências forenses para habilitar a captura de suporte em suas políticas de evidências forenses. Se isso for desativado mais tarde, isso removerá todos os usuários adicionados anteriormente para políticas de evidências forenses.

   Importante

   O Cliente do Microsoft Purview usado para capturar atividades nos dispositivos dos usuários é licenciado sob o Uso de Software com os Serviços Online nos Termos do Produto da Microsoft. Observe que os clientes são os únicos responsáveis pelo uso da solução de gerenciamento de risco interno, incluindo o Cliente do Microsoft Purview, em conformidade com todas as leis aplicáveis.

5. Na seção Capturando janela , defina quando iniciar e interromper a captura de atividades. Os valores disponíveis são 10 segundos, 30 segundos, 1 minuto, 3 minutos ou 5 minutos.

6. Na seção Carregar limite de largura de banda , defina a quantidade de dados de captura a serem carregados em sua conta de armazenamento de dados por usuário, por dia. Os valores disponíveis são 100 MB, 250 MB, 500 MB, 1 GB ou 2 GB.

7. Na seção Limite de cache de captura offline , defina o tamanho máximo do cache a ser armazenado nos dispositivos dos usuários quando a captura offline estiver habilitada. Os valores disponíveis são 100 MB, 250 MB, 500 MB, 1 GB ou 2 GB.

8. Selecione Salvar.

Etapa 4: criar uma política

As políticas de evidências forenses definem o escopo da atividade de usuário relacionada à segurança a ser capturada para dispositivos configurados. Há duas opções para capturar evidências forenses:

• Capture apenas atividades específicas (como imprimir ou exfiltrar arquivos). Com essa opção, você pode escolher as atividades do dispositivo que deseja capturar e apenas as atividades selecionadas serão capturadas pela política. Você também pode optar por capturar atividades para aplicativos de área de trabalho específicos e/ou sites. Dessa forma, você pode se concentrar apenas nas atividades, aplicativos e sites que apresentam risco.
• Capture todas as atividades que os usuários aprovados executam em seus dispositivos. Essa opção normalmente é usada para um período específico de tempo, por exemplo, quando um determinado usuário está potencialmente envolvido em atividades arriscadas que podem levar a um incidente de segurança. Todos os indicadores de evidência forense serão incluídos automaticamente se você selecionar essa opção, incluindo indicadores de dispositivo e indicadores avançados de Proteção contra Phishing. Para preservar a capacidade e a privacidade do usuário, você pode optar por excluir aplicativos de área de trabalho específicos e/ou sites da captura, conforme descrito abaixo.

Depois de criar uma política, você a incluirá em solicitações de evidências forenses para controlar qual atividade capturar para usuários cujas solicitações são aprovadas.

Observação

Políticas forenses contínuas (capturando todas as atividades) têm precedência sobre políticas de evidências forenses seletivas (capturando apenas atividades específicas).

Capturar apenas atividades específicas

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

2. Acesse a solução de Gerenciamento de Riscos Internos .

3. Selecione Evidências forenses na navegação à esquerda e selecione Políticas de evidências forenses.

4. Selecione Criar política de evidências forenses.

5. Na página Escopo , selecione Atividades específicas. Essa opção captura apenas as atividades detectadas por políticas nas quais os usuários estão incluídos. Essas atividades são definidas pelos indicadores selecionados nas políticas de evidências forenses. As capturas para essa opção estarão disponíveis para revisão na guia Evidências forenses (versão prévia) na dashboard alertas ou casos.

6. Selecione Avançar.

7. Na página Nom e descrição, complete os seguintes campos:

   • Nome (obrigatório): insira um nome amigável para a política de evidências forenses. Esse nome não pode ser alterado após a criação da política.
   • Descrição (opcional): insira uma descrição para a política de evidências forenses.

8. Selecione Avançar.

9. Na página Escolher atividades do dispositivo para capturar :

   1. Selecione todas as atividades de dispositivo que você deseja capturar. Somente as atividades selecionadas serão capturadas pela política.

      Observação

      Se os indicadores não forem selecionáveis, você será solicitado a ativá-los.

   2. Você também pode optar por capturar atividades para determinados aplicativos de área de trabalho e/ou sites em sua política selecionando a caixa Abrir um aplicativo ou site específico marcar em Atividades de navegação no Aplicativo e na Web a serem capturadas.

   Importante

   Se você quiser capturar atividades de navegação (para incluir ou excluir URLs específicas em suas políticas de evidências forenses), instale as extensões de navegador necessárias. Você também precisa ativar pelo menos um indicador de navegação. Se você ainda não tiver ativado um ou mais indicadores de navegação, você será solicitado a fazê-lo se optar por incluir ou excluir aplicativos de área de trabalho ou sites. O evento de gatilho para capturar atividades de navegação é uma atualização de URL na barra de URL que contém a URL especificada.

   3. Selecione Avançar.

10. (Opcional) Se você optar por capturar atividades para determinados aplicativos de área de trabalho e sites, no Adicionar aplicativos e sites, você deseja capturar a atividade para a página:

    1. Para adicionar um aplicativo de área de trabalho, selecione Adicionar aplicativos de área de trabalho, insira o nome de um arquivo executável (por exemplo, teams.exe) e selecione Adicionar. Repita esse processo para cada aplicativo de área de trabalho que você deseja adicionar (até 25 aplicativos). Para localizar o nome de um arquivo executável para o aplicativo, abra o Gerenciador de Tarefas e exiba as propriedades do aplicativo. Aqui está uma lista de nomes de exe para alguns dos aplicativos comuns: Microsoft Edge (msedge.exe), Microsoft Excel (Excel.exe), a ferramenta Snipping (SnippingTool.exe), Microsoft Teams (Teams.exe), Microsoft Word (WinWord.exe) e Área de Trabalho Remota da Microsoft Connection (mstsc.exe).

    Observação

    Às vezes, os nomes de exe para um aplicativo podem diferir com base no dispositivo e nas permissões com as quais o aplicativo foi aberto. Por exemplo, em um Windows 11 dispositivo empresarial, quando Windows PowerShell é aberto sem permissões de administrador, o nome exe é WindowsTerminal.exe mas quando aberto com permissões de administrador, o nome exe muda para powershell.exe. Certifique-se de incluir/excluir ambos os nomes de ex em tais cenários.

    2. Para adicionar um aplicativo Web ou um site, selecione Adicionar aplicativos Web e sites, insira uma URL (por exemplo), https://teams.microsoft.come selecione Adicionar. Repita esse processo para cada aplicativo Web ou site que você deseja adicionar. Você pode adicionar até 25 URLs com um comprimento de caractere de 100 para cada URL.

    Dica

    Se um aplicativo tiver uma versão da área de trabalho e da Web, adicione o executável da área de trabalho e a URL da Web para garantir que você capture a atividade para ambos.

    3. Selecione Avançar.

11. Na página Revisar configurações e concluir , examine as configurações escolhidas para a política e quaisquer sugestões ou avisos para suas seleções. Edite qualquer um dos valores da política ou selecione Enviar para criar e ativar a política.

12. Depois de concluir as etapas de configuração da política, continue para a Etapa 5.

Portal de Conformidade

1. Entre no portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

2. Acesse a solução de Gerenciamento de Riscos Internos .

3. Vá para evidências>forenses políticas de evidências forenses.

4. Selecione Criar política de evidências forenses.

5. Na página Escopo , selecione Atividades específicas. Essa opção captura apenas as atividades detectadas por políticas nas quais os usuários estão incluídos. Essas atividades são definidas pelos indicadores selecionados nas políticas de evidências forenses. As capturas para essa opção estarão disponíveis para revisão na guia Evidências forenses (versão prévia) na dashboard alertas ou casos.

6. Selecione Avançar.

7. Na página Nom e descrição, complete os seguintes campos:

   • Nome (obrigatório): insira um nome amigável para a política de evidências forenses. Esse nome não pode ser alterado após a criação da política.
   • Descrição (opcional): insira uma descrição para a política de evidências forenses.

8. Selecione Avançar.

9. Na página Escolher atividades do dispositivo para capturar :

   1. Selecione todas as atividades de dispositivo que você deseja capturar. Somente as atividades selecionadas serão capturadas pela política.

      Observação

      Se os indicadores não forem selecionáveis, você será solicitado a ativá-los.

   2. Selecione todas as atividades em Atividades avançadas de Proteção contra Phishing para capturar (versão prévia) que você deseja capturar. Por exemplo, você pode capturar quando um usuário insere a senha da Microsoft usada para entrar em seu dispositivo Windows 11 em um site de phishing ou aplicativo que se conecta a um site de phishing. Saiba mais sobre a Proteção avançada contra phishing no Microsoft Defender SmartScreen.
   3. Você também pode optar por capturar atividades para determinados aplicativos de área de trabalho e/ou sites em sua política selecionando a caixa Abrir um aplicativo ou site específico marcar em Atividades de navegação no Aplicativo e na Web a serem capturadas.

   Importante

   Se você quiser capturar atividades de navegação (para incluir ou excluir URLs específicas em suas políticas de evidências forenses), instale as extensões de navegador necessárias. Você também precisa ativar pelo menos um indicador de navegação. Se você ainda não tiver ativado um ou mais indicadores de navegação, você será solicitado a fazê-lo se optar por incluir ou excluir aplicativos de área de trabalho ou sites. O evento de gatilho para capturar atividades de navegação é uma atualização de URL na barra de URL que contém a URL especificada.

   4. Selecione Avançar.

10. (Opcional) Se você optar por capturar atividades para determinados aplicativos de área de trabalho e sites, no Adicionar aplicativos e sites, você deseja capturar a atividade para a página:

    1. Para adicionar um aplicativo de área de trabalho, selecione Adicionar aplicativos de área de trabalho, insira o nome de um arquivo executável (por exemplo, teams.exe) e selecione Adicionar. Repita esse processo para cada aplicativo de área de trabalho que você deseja adicionar (até 25 aplicativos). Para localizar o nome de um arquivo executável para o aplicativo, abra o Gerenciador de Tarefas e exiba as propriedades do aplicativo. Aqui está uma lista de nomes de exe para alguns dos aplicativos comuns: Microsoft Edge (msedge.exe), Microsoft Excel (Excel.exe), a ferramenta Snipping (SnippingTool.exe), Microsoft Teams (Teams.exe), Microsoft Word (WinWord.exe) e Área de Trabalho Remota da Microsoft Connection (mstsc.exe).

    Observação

    Às vezes, os nomes de exe para um aplicativo podem diferir com base no dispositivo e nas permissões com as quais o aplicativo foi aberto. Por exemplo, em um Windows 11 dispositivo empresarial, quando Windows PowerShell é aberto sem permissões de administrador, o nome exe é WindowsTerminal.exe mas quando aberto com permissões de administrador, o nome exe muda para powershell.exe. Certifique-se de incluir/excluir ambos os nomes de ex em tais cenários.

    2. Para adicionar um aplicativo Web ou um site, selecione Adicionar aplicativos Web e sites, insira uma URL (por exemplo), https://teams.microsoft.come selecione Adicionar. Repita esse processo para cada aplicativo Web ou site que você deseja adicionar. Você pode adicionar até 25 URLs com um comprimento de caractere de 100 para cada URL.

    Dica

    Se um aplicativo tiver uma versão da área de trabalho e da Web, adicione o executável da área de trabalho e a URL da Web para garantir que você capture a atividade para ambos.

    3. Selecione Avançar.

11. Na página Revisar configurações e concluir , examine as configurações escolhidas para a política e quaisquer sugestões ou avisos para suas seleções. Edite qualquer um dos valores da política ou selecione Enviar para criar e ativar a política.

12. Depois de concluir as etapas de configuração da política, continue para a Etapa 5.

Capturar todas as atividades

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

2. Acesse a solução de Gerenciamento de Riscos Internos .

3. Selecione Evidências forenses na navegação à esquerda e selecione Políticas de evidências forenses.

4. Selecione Criar política de evidências forenses.

5. Na página Escopo , selecione Todas as atividades. Essa opção captura qualquer atividade executada pelos usuários. As capturas para essa opção estarão disponíveis para revisão na guia Evidências forenses (versão prévia) nos relatórios de atividade do usuário (versão prévia) dashboard.

6. Selecione Avançar.

7. Na página Nom e descrição, complete os seguintes campos:

   • Nome (obrigatório): insira um nome amigável para a política de evidências forenses. Esse nome não pode ser alterado após a criação da política.
   • Descrição (opcional): insira uma descrição para a política de evidências forenses.

8. Selecione Avançar.

9. Na página Escolher atividades de dispositivo para capturar, se você quiser excluir determinados aplicativos de área de trabalho e/ou aplicativos Web ou sites da captura, em Atividades de navegação no aplicativo e na Web para capturar, selecione a caixa Excluir aplicativos ou sites específicos marcar.

10. Selecione Avançar.

11. Se você optar por excluir aplicativos e sites de área de trabalho específicos da captura, na página Excluir aplicativos/URLs :

    • Para excluir um aplicativo de área de trabalho da captura, selecione Excluir aplicativos de área de trabalho, insira o nome de um arquivo executável (por exemplo, teams.exe) e selecione Adicionar. Repita esse processo para cada aplicativo de área de trabalho que você deseja excluir (até 25 aplicativos). Para localizar o nome de um arquivo executável para um aplicativo, abra o Gerenciador de Tarefas e exiba as propriedades do aplicativo.
    • Para excluir um aplicativo Web ou um site, selecione Excluir aplicativos Web e sites, insira uma URL (por exemplo), https://teams.microsoft.come selecione Adicionar. Repita esse processo para cada aplicativo Web ou site que você deseja excluir. Você pode excluir até 25 URLs com um comprimento de caractere de 100 para cada URL.

    Dica

    Se um aplicativo tiver uma versão da área de trabalho e da Web, adicione o executável da área de trabalho e a URL da Web para garantir que você exclua ambos.

12. Na página Revisar configurações e concluir , examine as configurações escolhidas para a política e quaisquer sugestões ou avisos para suas seleções. Edite qualquer um dos valores da política ou selecione Enviar para criar e ativar a política.

13. Depois de concluir as etapas de configuração da política, continue para a Etapa 5.

Portal de Conformidade

1. Entre no portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

2. Acesse a solução de Gerenciamento de Riscos Internos .

3. Vá para evidências forenses (versão prévia)>Políticas de evidências forenses.

4. Selecione Criar política de evidências forenses.

5. Na página Escopo , selecione Todas as atividades. Essa opção captura qualquer atividade executada pelos usuários. As capturas para essa opção estarão disponíveis para revisão na guia Evidências forenses (versão prévia) nos relatórios de atividade do usuário (versão prévia) dashboard.

6. Selecione Avançar.

7. Na página Nom e descrição, complete os seguintes campos:

   • Nome (obrigatório): insira um nome amigável para a política de evidências forenses. Esse nome não pode ser alterado após a criação da política.
   • Descrição (opcional): insira uma descrição para a política de evidências forenses.

8. Selecione Avançar.

9. Na página Escolher atividades de dispositivo para capturar, se você quiser excluir determinados aplicativos de área de trabalho e/ou aplicativos Web ou sites da captura, em Atividades de navegação no aplicativo e na Web para capturar, selecione a caixa Excluir aplicativos ou sites específicos marcar.

10. Selecione Avançar.

11. Se você optar por excluir aplicativos e sites de área de trabalho específicos da captura, na página Excluir aplicativos/URLs :

    • Para excluir um aplicativo de área de trabalho da captura, selecione Excluir aplicativos de área de trabalho, insira o nome de um arquivo executável (por exemplo, teams.exe) e selecione Adicionar. Repita esse processo para cada aplicativo de área de trabalho que você deseja excluir (até 25 aplicativos). Para localizar o nome de um arquivo executável para um aplicativo, abra o Gerenciador de Tarefas e exiba as propriedades do aplicativo.
    • Para excluir um aplicativo Web ou um site, selecione Excluir aplicativos Web e sites, insira uma URL (por exemplo), https://teams.microsoft.come selecione Adicionar. Repita esse processo para cada aplicativo Web ou site que você deseja excluir. Você pode excluir até 25 URLs com um comprimento de caractere de 100 para cada URL.

    Dica

    Se um aplicativo tiver uma versão da área de trabalho e da Web, adicione o executável da área de trabalho e a URL da Web para garantir que você exclua ambos.

12. Na página Revisar configurações e concluir , examine as configurações escolhidas para a política e quaisquer sugestões ou avisos para suas seleções. Edite qualquer um dos valores da política ou selecione Enviar para criar e ativar a política.

13. Depois de concluir as etapas de configuração da política, continue para a Etapa 5.

Etapa 5: Definir e aprovar usuários para captura

Antes que as atividades de usuário relacionadas à segurança possam ser capturadas, os administradores devem seguir o processo de autorização dupla em evidências forenses. Esse processo determina que a habilitação da captura visual para usuários específicos seja definida e aprovada por pessoas aplicáveis em sua organização.

Você deve solicitar que a captura de evidências forenses esteja habilitada para usuários específicos. Quando uma solicitação é enviada, os aprovadores em sua organização são notificados por email e podem aprovar ou rejeitar a solicitação. Se aprovado, o usuário aparecerá na guia Usuários aprovados e será qualificado para captura. Confira estes links para obter mais informações:

• Solicite aprovação para captura de evidências forenses.
• Aprovar (ou rejeitar) solicitações de captura de provas forenses.

Próximas etapas

Depois de configurar sua política de evidências forenses, pode levar até duas horas para a aplicação da política, dado que os clientes de evidências forenses (instalados nos dispositivos de ponto de extremidade) estão online. Quando um clipe é capturado pelo cliente, pode levar até uma hora até que o clipe esteja disponível para revisão. Para obter mais informações sobre como gerenciar evidências forenses e revisar capturas de clipes, consulte o artigo Gerenciar evidências forenses de gerenciamento de riscos de informações .