Investigue alertas de prevenção contra perda de dados com o Microsoft Defender XDR

Observação

Quer experimentar Microsoft Defender XDR? Saiba mais sobre como você pode avaliar e pilotar Microsoft Defender XDR.

Aplica-se a:

  • Microsoft Defender XDR

Você pode gerenciar alertas de DLP (Prevenção Contra Perda de Dados do Microsoft Purview) no portal Microsoft Defender. Abra Incidentes & alertas>Incidentes no lançamento rápido do portal Microsoft Defender. Nesta página, você pode:

  • Exiba todos os alertas DLP agrupados em incidentes na fila de incidentes Microsoft Defender XDR.
  • Exibir alertas correlacionados de DLP-MDPE, DLP-MDO) e intra-solution (DLP-DLP) em um único incidente.
  • Procure logs de conformidade junto com a segurança em Busca Avançada.
  • Ações de correção de administrador in-loco no usuário, arquivo e dispositivo.
  • Associe marcas personalizadas a incidentes DLP e filtre por elas.
  • Filtrar por nome da política DLP, marca, Data, fonte de serviço, status de incidentes e usuário na fila de incidentes unificada.

Dica

Você também pode puxar incidentes DLP junto com eventos e evidências no Microsoft Sentinel para investigação e correção com o conector Microsoft Defender XDR no Microsoft Sentinel.

Requisitos de licenciamento

Para investigar Prevenção Contra Perda de Dados do Microsoft Purview incidentes no portal do Microsoft Defender, você precisa de uma licença de uma das seguintes assinaturas:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Conformidade Microsoft 365 E5/A5
  • Proteção e Governança de informações do Microsoft 365 E5/A5

Observação

Quando você estiver licenciado e qualificado para esse recurso, os alertas DLP fluirão automaticamente para Microsoft Defender XDR. Se você não quiser que os alertas DLP fluam para o Defender, abra um caso de suporte para desabilitar esse recurso. Se você desabilitar esse recurso, os alertas DLP aparecerão no portal do Defender como Microsoft Defender para alertas do Office.

Funções

É uma prática recomendada conceder apenas permissões mínimas para alertas no portal Microsoft Defender. Você pode criar uma função personalizada com essas funções e atribuí-la aos usuários que precisam investigar alertas DLP.

Permissão Acesso ao Alerta do Defender
Gerenciar Alertas DLP + Segurança
View-Only gerenciar alertas DLP + Segurança
Analista de Proteção de Informações Somente DLP
Gerenciamento de Conformidade de DLP Somente DLP
View-Only Gerenciamento de Conformidade DLP Somente DLP

Antes de começar

Ative alertas para todas as políticas de DLP no portal de conformidade do Microsoft Purview.

Observação

As restrições de unidades administrativas fluem da DLP (prevenção contra perda de dados) para o portal do Defender. Se você for um administrador restrito de unidade administrativa, verá apenas os alertas DLP para sua unidade administrativa.

Investigar alertas DLP no portal do Microsoft Defender

  1. Acesse o portal Microsoft Defender e selecione Incidentes no menu de navegação à esquerda para abrir a página de incidentes.

  2. Selecione Filtros na parte superior direita e escolha Fonte de Serviço : Prevenção contra Perda de Dados para exibir todos os incidentes com alertas DLP. Aqui estão alguns exemplos dos subfiltros que estão disponíveis na versão prévia:

    1. por nomes de usuário e dispositivo
    2. (na versão prévia) No filtro Entidades , você pode pesquisar em nomes de arquivo, usuário, nomes de dispositivo e caminhos de arquivo.
    3. (na versão prévia) Na fila >Incidentes Políticasde alerta Título de política de > alerta. Você pode pesquisar no nome da política DLP.
  3. Pesquisa para o nome da política DLP dos alertas e incidentes nos quais você está interessado.

  4. Para exibir a página de resumo de incidentes, selecione o incidente na fila. Da mesma forma, selecione o alerta para exibir a página de alerta DLP.

  5. Exiba a história alerta para obter detalhes sobre a política e os tipos de informações confidenciais detectados no alerta. Selecione o evento na seção Eventos Relacionados para ver os detalhes da atividade do usuário.

  6. Exiba o conteúdo confidencial correspondente na guia Tipos de informações confidenciais e o conteúdo do arquivo na guia Origem se você tiver a permissão necessária (Confira detalhes aqui).

Estender investigação de alerta DLP com caça avançada

A caça avançada é uma ferramenta de busca de ameaças baseada em consulta que permite explorar até 30 dias de logs de auditoria de usuários, arquivos e locais do site para ajudar na investigação. Você pode inspecionar proativamente os eventos na sua rede para localizar indicadores e entidades ameaçadoras.. O acesso flexível aos dados permite a busca irrestrita tanto por ameaças conhecidas como potenciais.

A tabela CloudAppEvents contém todos os logs de auditoria em todos os locais, como SharePoint, OneDrive, Exchange e Dispositivos.

Antes de começar

Se você é novo na caça avançada, você deve examinar Introdução à caça avançada.

Antes de usar a caça antecipada, você deve ter acesso à tabela CloudAppEvents que contém os dados do Microsoft Purview.

Usando consultas internas

Importante

Este recurso está em versão prévia. Os recursos de visualização não são destinados ao uso da produção e podem ter funcionalidade restrita. Esses recursos estão disponíveis antes de uma versão oficial para que os clientes possam obter acesso antecipado e fornecer comentários.

O portal do Defender oferece várias consultas internas que você pode usar para ajudar na investigação de alerta DLP.

  1. Acesse o portal Microsoft Defender e selecione Incidentes & alertas no menu de navegação à esquerda para abrir a página de incidentes. Selecione Incidentes.
  2. Selecione Filtros na parte superior direita e escolha Fonte de Serviço : Prevenção contra Perda de Dados para exibir todos os incidentes com alertas DLP.
  3. Abra um incidente DLP.
  4. Selecione em um alerta para exibir seus eventos associados.
  5. Selecione um evento.
  6. No painel de detalhes do evento, selecione o controle Go Hunt .
    1. O Defender mostra uma lista de consultas internas relevantes para o local de origem do evento. Por exemplo, se o evento for do SharePoint, você verá
      1. Arquivo compartilhado com
      2. Atividades de arquivo
      3. Atividade do site
      4. Violações de DLP do usuário nos últimos 30 dias
  7. Você pode optar por Executar consulta imediatamente, alterar o intervalo de tempo, editar ou salvar a consulta para uso posterior.
  8. Depois de executar a consulta, exiba os resultados na guia Resultados .

Se o alerta for para uma mensagem de email, você poderá baixar a mensagem selecionando Ações>Baixar email.

Se o alerta for para um arquivo no SharePoint Online ou no One Drive for Business, você poderá executar estas ações:

Para ações de correção, selecione o Usuário cartão na parte superior da página de alerta para abrir os detalhes do usuário.

Para alertas DLP de dispositivos, selecione o dispositivo cartão na parte superior da página de alerta para exibir os detalhes do dispositivo e executar ações de correção no dispositivo.

Vá para a página resumo de incidentes e selecione Gerenciar Incidente para adicionar marcas de incidente, atribuir ou resolve um incidente.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.