Saiba mais sobre como investigar alertas de prevenção de perda de dados

Este artigo apresenta o fluxo de investigação de alerta e as ferramentas que você pode usar para investigar alertas DLP.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre assinatura e termos de avaliação.

Antes de começar

Se você é novo no DLP do Microsoft Purview, aqui está uma lista dos principais artigos com os quais você deve estar familiarizado ao implementar sua prática de prevenção contra perda de dados:

1. Unidades administrativas
2. Saiba mais sobre Prevenção Contra Perda de Dados do Microsoft Purview – O artigo apresenta a disciplina de prevenção contra perda de dados e a implementação do DLP pela Microsoft.
3. Planejar a DLP (prevenção contra perda de dados) – Trabalhando neste artigo, você fará:
   1. Identificar stakeholders
   2. Descrever as categorias de informações confidenciais para proteger
   3. Definir metas e estratégia
4. Referência da política de prevenção contra perda de dados – este artigo apresenta todos os componentes de uma política DLP e como cada um influencia o comportamento de uma política.
5. Criar uma política DLP – este artigo orienta você a criar uma instrução de intenção de política e mapeá-la para uma configuração de política específica.
6. Create e Implantar políticas de prevenção contra perda de dados – apresenta alguns cenários de intenção de política comuns que você mapeia para opções de configuração. Em seguida, ele orienta você na configuração dessas opções e fornece diretrizes sobre como implantar uma política.
7. Saiba mais sobre como investigar alertas de prevenção contra perda de dados - Este artigo que você está lendo agora apresenta o ciclo de vida dos alertas desde a criação, até a correção final e o ajuste da política. Ele também apresenta as ferramentas que você usa para investigar alertas.

O ciclo de vida de um alerta DLP

Todos os alertas e sua interação com eles passam por estas seis etapas:

• Trigger
• Notify
• Triagem
• Investigar
• Corrigir
• Música

Gatilho

A vida de um alerta DLP (Prevenção Contra Perda de Dados do Microsoft Purview) começa quando as condições definidas na política são correspondidas. Quando ocorre uma correspondência de política, as ações definidas na política são disparadas, o que pode incluir a geração de um alerta se a política estiver configurada para fazê-lo.

As políticas DLP normalmente são configuradas para monitorar e gerar alertas quando:

• Informações confidenciais, como identificar dados pessoalmente ou propriedade intelectual, são exfiltradas de sua organização.
• Informações confidenciais são compartilhadas inapropriadamente com pessoas fora ou dentro de sua organização.
• Os usuários se envolvem em atividades arriscadas, como baixar informações confidenciais para mídia removível.

Notificar

Quando um alerta é gerado, ele é enviado para o portal Microsoft Defender como um incidente e o gerenciamento de alertas DLP dashboard. As políticas DLP podem ser configuradas para enviar notificações para usuários, administradores e outros stakeholders por email.

Na fase de notificar o Microsoft Purview:

• Relatórios sobre correspondências de política DLP e substituições de usuário.
• Você pode usar o Gerenciador de Atividades para exibir atividades relacionadas ao DLP e filtrar para fins de geração de relatório.

Para exportar dados de atividade para o uso de relatórios Export-ActivityExplorerData (ExchangePowerShell) | Microsoft Doc usando a API de Atividade de Gerenciamento do O365 ou API de Incidentes

Observação

O portal Microsoft Defender mantém incidentes por seis meses. O dashboard de gerenciamento de alertas DLP mantém alertas por 30 dias.

Triagem

Nesta etapa, você analisa um alerta e todos os logs associados e decide se o alerta é um verdadeiro positivo ou um falso positivo. Se for um verdadeiro positivo, você definirá a prioridade do alerta com base na gravidade do problema e no impacto para sua organização e atribuirá um proprietário. Se for um falso positivo, você poderá desbloquear o usuário e passar para o próximo alerta.

O portal do Defender agrupa eventos DLP em incidentes. Os incidentes são uma coleção de alertas relacionados que são agrupados com base em todos os outros sinais que o Defender está recebendo. Por exemplo, quando você tem uma política DLP configurada para monitorar e alertar sobre arquivos confidenciais em sites do SharePoint, e um usuário baixa um arquivo de um site do SharePoint e, em seguida, carrega-o em um OneDrive pessoal e, em seguida, compartilha-o com um usuário externo, o Defender agrupa todos esses alertas em um único incidente. Esse é um recurso poderoso que permite que você se concentre primeiro nos alertas mais importantes.

No portal do Defender, você pode iniciar imediatamente a triagem de incidentes e usar marcas, comentários e outros recursos para estruturar o gerenciamento de incidentes. Você deve usar a página Incidentes no portal Microsoft Defender para gerenciar seus alertas DLP. Você pode filtrar a fila Incidentes para exibir todos os incidentes com alertas DLP do Microsoft Purview selecionando Filtros e escolhendo Fonte de Serviço: Prevenção contra Perda de Dados.

Se você tiver habilitado o compartilhamento de dados de gerenciamento de risco interno com Microsoft Defender XDR (versão prévia) – você verá o nível de gravidade da política de Gerenciamento de Riscos Internos associada a um usuário na página de alertas DLP. Os níveis de gravidade do Gerenciamento de Risco Interno são: Baixo, Médio, Alto e Nenhum. Você pode usar essas informações para priorizar seus esforços de investigação e correção. Essas informações também estarão disponíveis no portal do Microsoft 365 Defender nos detalhes do incidente.

Investigar

O objetivo main da fase de investigação é que o proprietário atribuído correlacionar evidências, determinar a causa e o impacto total do alerta e decidir sobre um plano de correção. O proprietário atribuído é responsável por uma investigação mais profunda e correção do alerta. As principais ferramentas de investigação de alerta são o portal Microsoft Defender e o dashboard de gerenciamento de alertas DLP. Você também pode usar o Gerenciador de Atividades para investigar alertas. Você também pode compartilhar alertas com outros usuários em sua organização.

Você pode aproveitar recursos DLP como:

• A coleta de evidências para atividades de arquivo em dispositivos torna arquivos como email e documentos que correspondam a uma política facilmente acessíveis.
• Use o Gerenciador de Conteúdo para investigar profundamente o conteúdo do incidente.

Você pode usar Microsoft Defender portal e ferramentas do Purview para triagem e investigação de alertas, mas o portal Microsoft Defender fornece mais recursos para gerenciar alertas e incidentes, como:

• Exiba todos os alertas DLP agrupados em incidentes na fila de incidentes Microsoft Defender XDR.
• Exibir alertas correlacionados de DLP-MDPE, DLP-MDO) e intra-solution (DLP-DLP) em um único incidente.
• Procure logs de conformidade junto com a segurança em Busca Avançada.
• Ações de correção de administrador in-loco no usuário, arquivo e dispositivo.
• Associe marcas personalizadas a incidentes DLP e filtre por elas.
• Filtrar por nome da política DLP, marca, Data, fonte de serviço, status de incidentes e usuário na fila de incidentes unificada.

Se você estiver compartilhando dados de gerenciamento de risco interno com o Defender (versão prévia), poderá ver o resumo da atividade do usuário de todas as atividades de exfiltração em que o usuário se envolveu até os últimos 120 dias.

Correção

Seu plano de correção é exclusivo para suas políticas de organizações, o setor e regulamentos geopolíticos que ele deve cumprir e práticas comerciais. Como sua organização opta por responder a um alerta gira em torno da precisão do alerta (verdadeiro positivo, falso positivo, falso negativo), a gravidade do problema e o impacto para sua organização.

As ações de correção podem incluir:

• Monitore somente, nenhuma ação adicional necessária.
• Nenhuma ação adicional necessária porque as ações executadas pela política atenuaram suficientemente o risco.
• Risco atenuado por ações de política automatizadas, mas a educação do usuário é necessária.
• O problema não foi totalmente mitigado pela política, portanto, mais limpo e a mitigação de risco é necessária juntamente com mais treinamento do usuário.
• Por meio da Proteção Adaptável na Prevenção contra Perda de Dados (versão prévia), em que o DLP se integra ao Insider Risk Management, você pode atribuir um nível de risco ao usuário para monitoramento e ações adicionais.

Com o portal do Defender, você pode executar imediatamente ações de correção em alertas e incidentes. Por exemplo:

• Redefinir senha
• Desabilitar conta
• Exibir atividade do usuário
• Ações em detecções de DLP
• Remover documento
• Aplicar rótulo de confidencialidade
• Descompartilhar
• Baixar email
• Busca Avançada
• Isolar dispositivo
• Coletar pacote de investigação do dispositivo
• Executar verificação de AV
• Arquivo de quarentena
• Desabilitar usuário
• Redefinir pwd
• Excluir email
• Mover o email para outra pasta de caixa de correio
• Baixar o arquivo

Música

Com base na precisão e eficácia de sua política, talvez seja necessário atualizá-la para que ela permaneça eficaz. Você já ajustou sua política durante o processo de criação e implantação de políticas, mas à medida que seu patrimônio de dados e negócios precisam ser alterados, as políticas precisam ser atualizadas para continuar a ser eficazes. Essas alterações são melhor rastreadas na instrução de intenção de política e na configuração da política.

Itens que você ajusta:

• O escopo da política.
• As condições necessárias para uma correspondência de política.
• As ações executadas quando ocorre uma correspondência de política.
• Notificações enviadas a usuários e administradores.

Para obter mais informações sobre como mapear as necessidades de negócios para definir políticas de design e teste de políticas, confira:

• Criar uma política de prevenção contra perda de dados
• Testar suas políticas de prevenção contra perda de dados

Toolsets

Há várias ferramentas que você pode usar para investigar e gerenciar alertas de DLP (Prevenção Contra Perda de Dados do Microsoft Purview). Há:

• Portal do Microsoft Defender
• dashboard alertas de portal de conformidade do Microsoft Purview
• Explorador de atividades
• Explorador de conteúdo
• Microsoft Copilot para Segurança na experiência inserida do Purview
• Microsoft Copilot para Segurança na experiência autônoma do Purview

A Microsoft recomenda usar a fila de incidentes unificada no portal Microsoft Defender para gerenciar seus alertas DLP. No entanto, sua organização pode ter necessidades que podem ser atendidas usando o dashboard de gerenciamento de alertas DLP, além do portal Microsoft Defender.

Portal do Microsoft Defender

• Os alertas DLP são integrados a outros eventos e alertas em uma única fila de incidentes, o que fornece uma imagem mais completa do incidente.
• Seis meses de histórico de incidentes estão disponíveis.
• A caça avançada está disponível.
• Investigar incidentes de perda de dados com Microsoft Defender XDR - Você pode gerenciar incidentes de DLP juntamente com incidentes de segurança de Incidentes & alertas Incidentes> no lançamento rápido do portal Microsoft Defender.
• Respondendo ao seu primeiro incidente no Microsoft Defender XDR
• Resposta a incidentes com Microsoft Defender XDR
• Priorizar incidentes no Microsoft Defender XDR
• Gerenciar incidentes no Microsoft Defender XDR
• Investigar incidentes em Microsoft Defender XDR
• Investigar alertas no Microsoft Defender XDR
• Caçar proativamente ameaças com caça avançada em Microsoft Defender XDR

Portal de conformidade do Microsoft Purview

• Os alertas dashboard, o Gerenciador de Atividades e o Gerenciador de Conteúdo estão todos disponíveis no portal de conformidade do Microsoft Purview. Você pode resumir alertas usando Microsoft Copilot para Segurança Investigar um alerta DLP
• Você pode definir um status de alerta para Investigar.
• Você pode compartilhar alertas com outros usuários em sua organização.
• Baixar arquivos do OneDrive e do SharePoint (a função de visualizador de conteúdo de classificação de dados é necessária para essa ação)

Se você estiver novo em usar os alertas DLP dashboard, leia estes artigos para ajudá-lo a começar.

• Introdução aos alertas de prevenção contra perda de dados dashboard
• Compartilhar alertas de prevenção contra perda de dados (versão prévia)
• Comece a usar alertas da prevenção contra perda de dados
• Introdução ao gerenciador de atividades
• Introdução ao gerenciador de conteúdo

Próximas etapas

• Investigue alertas de prevenção contra perda de dados com o Microsoft Defender XDR
• Introdução aos alertas de prevenção contra perda de dados dashboard