Saiba mais sobre como investigar alertas de prevenção de perda de dados

Este artigo apresenta o fluxo de investigação de alerta e as ferramentas que você pode usar para investigar alertas DLP.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Antes de começar

Se você é novo no DLP do Microsoft Purview, aqui está uma lista dos principais artigos com os quais você deve estar familiarizado ao implementar sua prática de prevenção contra perda de dados:

  1. Unidades administrativas
  2. Saiba mais sobre Prevenção Contra Perda de Dados do Microsoft Purview – O artigo apresenta a disciplina de prevenção contra perda de dados e a implementação do DLP pela Microsoft.
  3. Planejar a DLP (prevenção contra perda de dados) – Trabalhando neste artigo, você fará:
    1. Identificar stakeholders
    2. Descrever as categorias de informações confidenciais para proteger
    3. Definir metas e estratégia
  4. Referência da política de prevenção contra perda de dados – este artigo apresenta todos os componentes de uma política DLP e como cada um influencia o comportamento de uma política.
  5. Criar uma política DLP – este artigo orienta você a criar uma instrução de intenção de política e mapeá-la para uma configuração de política específica.
  6. Criar e Implantar políticas de prevenção contra perda de dados – apresenta alguns cenários comuns de intenção de política que você mapeará para opções de configuração. Em seguida, ele orienta você na configuração dessas opções e fornece diretrizes sobre como implantar uma política.
  7. Saiba mais sobre como investigar alertas de prevenção contra perda de dados - Este artigo que você está lendo agora apresenta o ciclo de vida dos alertas desde a criação, até a correção final e o ajuste da política. Ele também apresenta as ferramentas que você usa para investigar alertas.

O ciclo de vida de um alerta DLP

Todos os alertas e sua interação com eles passam por estas seis etapas:

Gatilho

A vida de um alerta DLP (Prevenção Contra Perda de Dados do Microsoft Purview) começa quando as condições definidas na política são correspondidas. Quando ocorre uma correspondência de política, as ações definidas na política são disparadas, o que pode incluir a geração de um alerta se a política estiver configurada para fazê-lo.

As políticas DLP normalmente são configuradas para monitorar e gerar alertas quando:

  • Informações confidenciais, como identificar dados pessoalmente ou propriedade intelectual, são exfiltradas de sua organização.
  • Informações confidenciais são compartilhadas inapropriadamente com pessoas fora ou dentro de sua organização.
  • Os usuários se envolvem em atividades arriscadas, como baixar informações confidenciais para mídia removível.

Notificar

Quando um alerta é gerado, ele é enviado para o portal Microsoft Defender como um incidente e o gerenciamento de alertas DLP dashboard. As políticas DLP podem ser configuradas para enviar notificações para usuários, administradores e outros stakeholders por email.

Na fase de notificar o Microsoft Purview:

  • Relatórios sobre correspondências de política DLP e substituições de usuário.
  • Você pode usar o Gerenciador de Atividades para exibir atividades relacionadas ao DLP e filtrar para fins de geração de relatório.

Para exportar dados de atividade para o uso de relatórios Export-ActivityExplorerData (ExchangePowerShell) | Microsoft Doc usando a API de Atividade de Gerenciamento do O365 ou API de Incidentes

Observação

O portal Microsoft Defender mantém incidentes por seis meses. O dashboard de gerenciamento de alertas DLP mantém alertas por 30 dias.

Triagem

Nesta etapa, você analisa um alerta e todos os logs associados e decide se o alerta é um verdadeiro positivo ou um falso positivo. Se for um verdadeiro positivo, você definirá a prioridade do alerta com base na gravidade do problema e no impacto para sua organização e atribuirá um proprietário. Se for um falso positivo, você poderá desbloquear o usuário e passar para o próximo alerta.

O portal do Defender agrupa eventos DLP em incidentes. Os incidentes são uma coleção de alertas relacionados que são agrupados com base em todos os outros sinais que o Defender está recebendo. Por exemplo, quando você tem uma política DLP configurada para monitorar e alertar sobre arquivos confidenciais em sites do SharePoint, e um usuário baixa um arquivo de um site do SharePoint e, em seguida, carrega-o em um OneDrive pessoal e, em seguida, compartilha-o com um usuário externo, o Defender agrupa todos esses alertas em um único incidente. Esse é um recurso poderoso que permite que você se concentre primeiro nos alertas mais importantes.

No portal do Defender, você pode iniciar imediatamente a triagem de incidentes e usar marcas, comentários e outros recursos para estruturar o gerenciamento de incidentes. Você deve usar a página Incidentes no portal Microsoft Defender para gerenciar seus alertas DLP. Você pode filtrar a fila Incidentes para exibir todos os incidentes com alertas DLP do Microsoft Purview selecionando Filtros e escolhendo Fonte de Serviço: Prevenção contra Perda de Dados.

Se você tiver habilitado o compartilhamento de dados de gerenciamento de risco interno com Microsoft Defender XDR (versão prévia) – você verá o nível de gravidade da política de gerenciamento de risco do Insider associada a um usuário na página de alertas DLP. Os níveis de gravidade do gerenciamento de risco interno são: Baixo, Médio, Alto e Nenhum. Você pode usar essas informações para priorizar seus esforços de investigação e correção. Essas informações também estarão disponíveis no portal do Microsoft 365 Defender nos detalhes do incidente.

Investigar

O objetivo main da fase de investigação é que o proprietário atribuído correlacionar evidências, determinar a causa e o impacto total do alerta e decidir sobre um plano de correção. O proprietário atribuído é responsável por uma investigação mais profunda e correção do alerta. As principais ferramentas de investigação de alerta são o portal Microsoft Defender e o dashboard de gerenciamento de alertas DLP. Você também pode usar o Gerenciador de Atividades para investigar alertas. Você também pode compartilhar alertas com outros usuários em sua organização.

Você pode aproveitar recursos DLP como:

Você pode usar Microsoft Defender portal e ferramentas do Purview para triagem e investigação de alertas, mas o portal Microsoft Defender fornece mais recursos para gerenciar alertas e incidentes. Como:

  • Exiba todos os alertas DLP agrupados em incidentes na fila de incidentes Microsoft Defender XDR.
  • Exibir alertas correlacionados de DLP-MDE (DLP-MDE, DLP-MDO) e intra-solução (DLP-DLP) em um único incidente.
  • Procure logs de conformidade junto com a segurança em Busca Avançada.
  • Ações de correção de administrador in-loco no usuário, arquivo e dispositivo.
  • Associe marcas personalizadas a incidentes DLP e filtre por elas.
  • Filtrar por nome da política DLP, marca, Data, fonte de serviço, status de incidentes e usuário na fila de incidentes unificada.

Se você estiver compartilhando dados de gerenciamento de risco interno com o Defender (versão prévia), poderá ver o resumo da atividade do usuário de todas as atividades de exfiltração em que o usuário se envolveu até os últimos 120 dias.

Correção

Seu plano de correção será exclusivo para suas políticas de organizações, o setor e as regulamentações geopolíticas que ele deve cumprir e as práticas comerciais. Como sua organização opta por responder a um alerta gira em torno da precisão do alerta (verdadeiro positivo, falso positivo, falso negativo), a gravidade do problema e o impacto para sua organização.

As ações de correção podem incluir:

  • Monitore somente, nenhuma ação adicional necessária.
  • Nenhuma ação adicional necessária porque as ações executadas pela política atenuaram suficientemente o risco.
  • Risco atenuado por ações de política automatizadas, mas a educação do usuário é necessária.
  • O problema não foi totalmente mitigado pela política, portanto, mais limpo e a mitigação de risco é necessária juntamente com mais treinamento do usuário.
  • Por meio da Proteção Adaptável na Prevenção contra Perda de Dados (versão prévia), em que o DLP se integra ao Insider Risk Management, você pode atribuir um nível de risco ao usuário para monitoramento e ações adicionais.

Com o portal do Defender, você pode executar imediatamente ações de correção em alertas e incidentes. Por exemplo:

  • Redefinir senha
  • Desabilitar conta
  • Exibir atividade do usuário
  • Ações em detecções de DLP
  • Remover documento
  • Aplicar rótulo de confidencialidade
  • Descompartilhar
  • Baixar email
  • Busca Avançada
  • Isolar dispositivo
  • Coletar pacote de investigação do dispositivo
  • Executar verificação de AV
  • Arquivo de quarentena
  • Desabilitar usuário
  • Redefinir pwd
  • Excluir email
  • Mover o email para outra pasta de caixa de correio
  • Baixar o arquivo

Música

Com base na precisão e eficácia de sua política, talvez seja necessário atualizá-la para que ela permaneça eficaz. Você já ajustou sua política durante o processo de criação e implantação de políticas, mas, à medida que seu patrimônio de dados e empresas precisarem ser alterados, as políticas terão que ser atualizadas para continuar a ser eficazes. Essas alterações são melhor rastreadas na instrução de intenção de política e na configuração da política.

Itens que você ajustará:

  • O escopo da política.
  • As condições necessárias para uma correspondência de política.
  • As ações executadas quando ocorre uma correspondência de política.
  • Notificações enviadas a usuários e administradores.

Para obter mais informações sobre como mapear as necessidades de negócios para definir políticas de design e teste de políticas, consulte

Toolsets

Há várias ferramentas que você pode usar para investigar e gerenciar alertas de DLP (Prevenção Contra Perda de Dados do Microsoft Purview). Lá:

A Microsoft recomenda usar a fila de incidentes unificada no portal Microsoft Defender para gerenciar seus alertas DLP. No entanto, sua organização pode ter necessidades que podem ser atendidas usando o dashboard de gerenciamento de alertas DLP, além do portal Microsoft Defender.

Portal do Microsoft Defender

Portal de conformidade do Microsoft Purview

Você pode investigar alertas de Prevenção Contra Perda de Dados do Microsoft Purview (DLP) no console do Microsoft Purview.

Próximas etapas