Gerenciar evidências forenses de gerenciamento de risco interno

Importante

As evidências forenses são um recurso de complemento opt-in no Insider Risk Management que fornece às equipes de segurança insights visuais sobre possíveis incidentes de segurança de dados internos, com privacidade do usuário interna. As evidências forenses incluem gatilhos de eventos personalizáveis e controles internos de proteção de privacidade do usuário, permitindo que as equipes de segurança investiguem, entendam e respondam melhor a possíveis riscos de dados internos, como a exfiltração de dados não autorizados de dados confidenciais.

As organizações definem as políticas certas para si mesmas, incluindo quais eventos arriscados são de maior prioridade para capturar evidências forenses e quais dados são mais confidenciais. As evidências forenses estão desativadas por padrão, a criação de política requer autorização dupla e os nomes de usuário podem ser mascarados com pseudonymization (que está ativado por padrão para o Insider Risk Management). A configuração de políticas e a revisão de alertas de segurança no Insider Risk Management aproveita o RBAC (controles de acesso baseados em função) fortes, garantindo que os indivíduos designados na organização estejam tomando as ações certas com recursos adicionais de auditoria.

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar possíveis riscos internos mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O gerenciamento de risco interno permite que os clientes criem políticas para gerenciar a segurança e a conformidade. Criados com privacidade por design, os usuários são pseudônimos por padrão e os controles de acesso baseados em função e os logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.

Depois de concluir as etapas de configuração e criar sua política de evidências forenses, você começará a ver alertas para atividades de usuário potencialmente arriscadas relacionadas à segurança que atendem às condições para indicadores definidos na política.

Dica

Comece a usar Microsoft Copilot para Segurança para explorar novas maneiras de trabalhar de forma mais inteligente e rápida usando a potência da IA. Saiba mais sobre Microsoft Copilot para Segurança no Microsoft Purview.

Painel

A evidência forense dashboard é a exibição de resumo das principais áreas da configuração de evidências forenses em sua organização. Para a versão prévia, o dashboard inclui apenas uma seção de integridade do dispositivo de evidência forense. Selecione Exibir relatório de integridade do dispositivo para abrir a guia Integridade do dispositivo e o relatório. Outras seções serão incluídas em versões futuras.

Gerenciar usuários

Você deve solicitar e aprovar usuários específicos antes que eles sejam qualificados para captura de evidências forenses. Simplesmente adicionar usuários a uma política de evidências forenses não torna automaticamente esses usuários qualificados para captura. Você pode solicitar e aprovar usuários antes ou depois que as políticas de evidências forenses forem criadas, mas as capturas de clipe associadas a indicadores de política só serão criadas e disponíveis para revisão depois que os usuários forem aprovados.

Os usuários atribuídos aos grupos de funções Insider Risk Management ou Insider Risk Management Admins podem enviar solicitações de aprovação aos usuários atribuídos ao grupo de funções Insider Risk Management Approvers .

Solicitar aprovações de captura

Você deve solicitar que a captura de evidências forenses seja ativada para usuários específicos. Quando uma solicitação é enviada, os aprovadores em sua organização são notificados por email e podem aprovar ou rejeitar a solicitação. Se aprovado, o usuário ou aparecerá na guia Usuários aprovados e será qualificado para captura. Se não for endereçada, a solicitação expirará 6 meses a partir do dia em que foi enviada.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

2. Acesse a solução de Gerenciamento de Riscos Internos .

3. Selecione Evidência forense na navegação à esquerda e selecione Gerenciamento de usuários.

4. Selecione a guia Gerenciar solicitações de evidências forenses .

5. Selecione Create solicitação.

6. Na página Usuários , selecione Adicionar usuários.

7. Use a Pesquisa para localizar um usuário específico ou selecionar um ou mais usuários na lista. Selecione Próximo, e em seguidaAvançar.

8. Na página Política de evidências forenses , selecione uma política de evidências forenses para os usuários adicionados. A política escolhida determina o escopo da atividade a ser capturada para usuários.

9. Selecione Avançar.

10. Na página Justificativa , deixe o revisor saber por que você está solicitando que a captura seja habilitada para os usuários que você adicionou na caixa de texto Justificativa para ativar evidências forenses que capturam texto. Esse é um campo obrigatório. Ao concluir, selecione Avançar.

11. Na página Email notificações, você pode usar um modelo de notificação para enviar um email aos usuários informando que a captura de evidências forenses será ativada para seu dispositivo de acordo com as políticas da sua organização. O email será enviado aos usuários somente se a solicitação for aprovada.

    Selecione a caixa Enviar uma notificação por email para usuários aprovados marcar. Escolha um modelo existente ou crie um novo. Para criar um novo modelo, selecione Create um modelo de notificação e conclua os seguintes campos necessários no painel Novo modelo de notificação por email.

12. Selecione Avançar.

13. Na página Concluir , examine suas configurações antes de enviar a solicitação. Selecione Editar usuários ou Editar justificativa para alterar qualquer um dos valores de solicitação ou selecione Enviar para criar e enviar a solicitação aos revisores.

Portal de Conformidade

1. Entre no Portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

2. Acesse a solução de Gerenciamento de Riscos Internos .

3. AcesseGerenciamento de usuário de evidências >forenses.

4. Selecione a guia Gerenciar solicitações de evidências forenses .

5. Selecione Create solicitação.

6. Na página Usuários , selecione Adicionar usuários.

7. Use a Pesquisa para localizar um usuário específico ou selecionar um ou mais usuários na lista. Selecione Próximo, e em seguidaAvançar.

8. Na página Política de evidências forenses , selecione uma política de evidências forenses para os usuários adicionados. A política escolhida determina o escopo da atividade a ser capturada para usuários.

9. Selecione Avançar.

10. Na página Justificativa , deixe o revisor saber por que você está solicitando que a captura seja habilitada para os usuários que você adicionou na caixa de texto Justificativa para ativar evidências forenses que capturam texto. Esse é um campo obrigatório. Ao concluir, selecione Avançar.

11. Na página Email notificações, você pode usar um modelo de notificação para enviar um email aos usuários informando que a captura de evidências forenses será ativada para seu dispositivo de acordo com as políticas da sua organização. O email será enviado aos usuários somente se a solicitação for aprovada.

    Selecione a caixa Enviar uma notificação por email para usuários aprovados marcar. Escolha um modelo existente ou crie um novo. Para criar um novo modelo, selecione Create um modelo de notificação e conclua os seguintes campos necessários no painel Novo modelo de notificação por email.

12. Selecione Avançar.

13. Na página Concluir , examine suas configurações antes de enviar a solicitação. Selecione Editar usuários ou Editar justificativa para alterar qualquer um dos valores de solicitação ou selecione Enviar para criar e enviar a solicitação aos revisores.

Para exibir solicitações de aprovação pendentes, acesse Evidênciasforenses> de gerenciamento > de risco do InsiderPendentes. Aqui você verá os usuários com solicitações pendentes, seu endereço de email, a data de envio da solicitação e quem enviou a solicitação de aprovação. Se nenhum usuário for exibido, não haverá nenhuma solicitação de aprovação pendente para nenhum usuário.

Os usuários atribuídos ao grupo de funções Aprovadores de Gerenciamento de Riscos Internos podem selecionar um usuário na guia Solicitação de evidências forenses e examinar a solicitação. Depois de revisar a solicitação, esses usuários podem aprovar ou rejeitar a solicitação de captura de evidências forenses. Aprovar ou rejeitar a solicitação de captura remove a solicitação pendente para usuários dessa exibição.

Aprovar ou rejeitar solicitações de captura

Após a conclusão das solicitações, os usuários atribuídos ao grupo de funções Aprovadores de Gerenciamento de Riscos Internos receberão uma notificação por email para a solicitação de aprovação.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione Evidências forenses na navegação à esquerda e selecione Solicitações pendentes.
4. Selecione um usuário para examinar.
5. No painel Examinar a solicitação de evidência forense (versão prévia), examine a justificativa enviada pelo solicitante. Selecione Aprovar ou Rejeitar conforme aplicável.
6. Na página Solicitação aprovada ou Solicitação rejeitada , selecione Fechar.

Portal de Conformidade

1. Entre no Portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Vá para evidência> forensesolicitações pendentes.
4. Selecione um usuário para examinar.
5. No painel Examinar a solicitação de evidência forense (versão prévia), examine a justificativa enviada pelo solicitante. Selecione Aprovar ou Rejeitar conforme aplicável.
6. Na página Solicitação aprovada ou Solicitação rejeitada , selecione Fechar.

Revogar aprovações de captura

Se necessário, você pode revogar a aprovação para usuários específicos e excluí-los da captura de evidências forenses. A revogação da aprovação não exclui nem remove as capturas existentes para esses usuários, apenas a captura futura da atividade para esses usuários está desabilitada.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview como membro do grupo de funções Aprovadores de Gerenciamento de Riscos Internos .
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione Evidência forense na navegação à esquerda e selecione Gerenciamento de usuários.
4. Selecione a guia Usuários aprovados .
5. Selecione um usuário e selecione Remover.
6. Na página de confirmação de remoção, selecione Remover para revogar a aprovação de captura.

Portal de Conformidade

1. Entre no portal de conformidade como membro do grupo de funções Aprovadores de Gerenciamento de Riscos Internos .
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. AcesseGerenciamento de usuário de evidências >forenses.
4. Selecione a guia Usuários aprovados .
5. Selecione um usuário e selecione Remover.
6. Na página de confirmação de remoção, selecione Remover para revogar a aprovação de captura ou selecione Cancelar para fechar a página de confirmação.

Criando e gerenciando modelos de notificação

Você pode criar e usar um modelo de notificação para enviar um email aos usuários informando que a captura de evidências forenses será ativada para seu dispositivo de acordo com as políticas da sua organização. O email será enviado aos usuários somente se a solicitação for aprovada.

Create um novo modelo de notificação

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione Evidência forense na navegação à esquerda e selecione Modelos de notificação.
4. Selecione Create modelo de notificação.
5. No painel Novo modelo de notificação por email , conclua os seguintes campos necessários:
   • Nome do modelo
   • Enviar de
   • Assunto
   • Corpo da mensagem
6. Selecione Salvar.

Portal de Conformidade

1. Entre no Portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Acesse Modelos de notificação de evidências>forenses.
4. Selecione Create modelo de notificação.
5. No painel Novo modelo de notificação por email , conclua os seguintes campos necessários:
   • Nome do modelo
   • Enviar de
   • Assunto
   • Corpo da mensagem
6. Selecione Salvar.

Observação

Para excluir um modelo de notificação existente, selecione o modelo e selecione Excluir.

Exibindo clipes capturados

Você pode exibir e explorar clipes capturados selecionando a guia Evidências forenses ao abrir Gerenciamento de Risco Interno do Microsoft Purview. Você também pode selecionar a guia Evidências forenses de outras áreas na solução para exibir uma lista de clipes capturados no contexto:

• Alertas dashboard. Os clipes acessíveis dos alertas dashboard correspondem à opção de capturar atividades específicas do usuário quando a política de evidência forense é criada. Os clipes capturados são definidos por indicadores selecionados na política de evidências forenses.
• Relatórios de atividade do usuário. Os clipes acessíveis dos relatórios de atividade do usuário correspondem à opção de capturar qualquer atividade relacionada à segurança executada pelos usuários incluídos nas políticas de evidências forenses.
• Casos dashboard. Os clipes acessíveis do dashboard de Casos são alertas que foram escalonados para casos.

Observação

Se você for membro do grupo de funções Insider Risk Management Investigators e do grupo de funções de administradores do Insider Risk Management, verá um botão Revisar clipes capturados quando abrir Gerenciamento de Risco Interno do Microsoft Purview. Se você selecionar o botão Revisar clipes capturados , ele será alterado para o botão Abrir configurações de evidência forense . A finalidade deste botão é ir e voltar entre a lista de clipes e configurações capturados se você tiver as duas funções. Saiba mais sobre grupos de funções

Quando você seleciona a guia Evidências forenses, clipes capturados e informações associadas são exibidos em uma lista. Se você selecionar um clipe capturado na lista, um player de vídeo será exibido no centro da tela e uma transcrição de atividades e eventos do clipe será exibida à direita do player de vídeo.

Cada clipe capturado inclui as seguintes informações:

• Data/hora (UTC): a data, a hora (UTC) e a duração da captura. A duração da captura é o tempo total estendido pela captura. O comprimento real da captura pode ser menor, pois o gerenciamento de risco interno elimina automaticamente quadros idênticos.
• Dispositivo: o nome do dispositivo em Windows 10/11.
• Atividades: o tipo de atividade de gerenciamento de risco interno incluído na captura. Essas atividades são baseadas em indicadores globais e de política atribuídos à política associada.
• Usuário: o nome do usuário.
• URL (se aplicável): a URL que o usuário estava acessando quando a atividade ocorreu.
• Aplicativo (se aplicável): o aplicativo que o usuário estava acessando quando a atividade ocorreu.
• Título da janela ativa: o título da janela que o usuário estava acessando quando a atividade ocorreu.

Para exibir um clipe capturado:

1. Se necessário, configure os filtros na parte superior da lista.

2. Selecione um clipe na lista.

3. Usando os controles do player de vídeo, selecione o controle Reproduzir para revisar todo o clipe do início ao fim.

4. Para escopo da revisão para uma atividade ou evento específico no clipe, selecione a atividade ou o evento na transcrição. Você também pode usar a caixa de pesquisa acima da transcrição para pesquisar atividades ou eventos específicos.

   Observação

   Um triângulo vermelho na transcrição denota uma atividade.

Filtrando a lista de clipes capturados

Você pode usar os filtros acima da lista de clipes capturados para filtrar para atividades e informações específicas. Cada filtro dá suporte a até 10 IDs exclusivas para que, por exemplo, você possa filtrar até 10 usuários ao mesmo tempo. A tabela a seguir descreve os diferentes filtros.

Nome do filtro	Descrição
Nome de usuário	Filtrar em qualquer nome de usuário.
Atividade	Selecione uma atividade específica para filtrar, como Imprimir arquivos ou Senha usada para entrar no dispositivo foi reutilizado.
Nome do dispositivo	Filtrar em qualquer nome do dispositivo.
URL	Filtre um nome de domínio ou pesquise qualquer palavra-chave após filtrar um nome de domínio. Exemplo: inserir "SharePoint" como um palavra-chave retorna qualquer URL que inclua "SharePoint" em qualquer lugar da URL.
App	Filtrar pelo nome do aplicativo. Você pode selecionar Contém qualquer um ouContém tudo com esse filtro. Exemplo: se você selecionar Conter qualquer um e inserir "Contoso.com,Contoso2.com", poderá ter um clipe que captura Contoso.com e outro que captura Contoso2.com. Se você selecionar Conter tudo e inserir "Contoso.com,Contoso2.com", todas as capturas terão que conter ambos os domínios.
Título da janela ativa	Filtrar para o título da janela ativa. Você pode selecionar Contém qualquer um ouContém tudo para filtrar da mesma forma que o filtro de aplicativo.

Excluindo clipes

Os usuários atribuídos ao grupo de funções Insider Risk Management Investigators podem excluir clipes individuais da lista de clipes capturados. Para fazer isso:

1. Selecione a caixa marcar ao lado da captura.
2. Selecione o botão Excluir (Lata de lixo).

Os usuários atribuídos ao grupo de funções de administradores do Insider Risk Management podem fazer exclusões em massa por meio de configurações.

Fazer uma exclusão em massa

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview como membro do grupo de funções de administradores do Insider Risk Management .
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione Evidência forense na navegação à esquerda e selecione Configurações de evidência forense.
4. Verifique se a opção Permitir exclusão de dados de usuário forense por um administrador ou investigador está definida como Ativada.
5. Em Excluir dados de um usuário , escolha Selecionar um usuário e selecione o usuário para o qual você deseja excluir clipes.

Portal de Conformidade

1. Entre no portal de conformidade do Microsoft Purview como membro do grupo de funções de administradores do Insider Risk Management.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Vá para evidências>forenses Configurações de evidência forense.
4. Verifique se a opção Permitir exclusão de dados de usuário forense por um administrador ou investigador está definida como Ativada.
5. Em Excluir dados de um usuário , escolha Selecionar um usuário e selecione o usuário para o qual você deseja excluir clipes.

Importante

Os clipes de evidências forenses são excluídos 120 dias depois de serem capturados. Você pode exportar ou transferir clipes de evidências forenses antes de serem excluídos.

Alertas dashboard

Para alertas gerados por políticas, você pode revisar as capturas de evidências forenses na guia Evidências Forenses no dashboard alertas. Se uma ou mais capturas estiverem disponíveis para o alerta, você também verá um link de notificação de evidências forenses na atividade que gera uma seção de cabeçalho de alerta. Você pode selecionar o link de notificação ou a guia Evidências forenses para revisar uma lista de capturas de atividades.

Revisar um alerta para atividades potencialmente arriscadas que podem conter capturas de evidências forenses é essencialmente o mesmo que revisar um alerta sem capturas de evidências forenses. A diferença significativa é a inclusão de todas as capturas aplicáveis. A guia Evidências forenses fornece acesso a todas as capturas disponíveis associadas ao alerta.

Casos dashboard

Se os alertas forem escalados para casos, todas as capturas de evidências forenses associadas serão incluídas como parte do caso. A revisão das capturas de evidências forenses para casos segue o mesmo processo que a revisão de capturas para alertas.

Relatórios de atividade do usuário

Os relatórios de atividade do usuário permitem examinar atividades para usuários específicos por um período de tempo definido sem precisar atribuí-las temporariamente ou explicitamente a uma política de gerenciamento de risco interno. Se essas atividades de usuário incluirem atividades com suporte na captura de evidências forenses, os clipes serão incluídos na atividade do usuário.

Se você configurou evidências forenses para capturar todas as atividades de usuário relacionadas à segurança, independentemente de estarem incluídas em uma política de evidências forenses, para revisar essas capturas:

1. SelecioneVisão geral dogerenciamento> de riscos do Insider.
2. Na parte inferior da tela Visão geral , em Investigar atividade do usuário, selecione Gerenciar relatórios.
3. Selecione um usuário específico e selecione a guia Evidências forenses .
4. Consulte as instruções acima.

Relatório de integridade do dispositivo (versão prévia)

Depois que os dispositivos forem configurados para dar suporte a evidências forenses, você pode examinar o status de integridade do Cliente do Microsoft Purview para todos os dispositivos em sua organização navegando até o gerenciamento> de riscosinsider Evidência> forenseIntegridade do dispositivo.

Para obter uma lista de requisitos mínimos de dispositivo e configuração, consulte Saiba mais sobre evidências forenses. Para integrar dispositivos com suporte, conclua as etapas descritas no artigo Visão geral de Windows 10 e Windows 11 do Microsoft 365.

O relatório de integridade do dispositivo permite exibir o status e a integridade de todos os dispositivos que têm o agente de evidências forenses instalado. Cada widget de relatório no relatório exibe informações nas últimas 24 horas.

• Dispositivos online: o número total de dispositivos atualmente online.
• Dispositivos offline: o número total de dispositivos atualmente offline.
• Dispositivos com avisos: o número total de dispositivos com um aviso.
• Dispositivos com erros: o número total de dispositivos com um erro.

A fila de integridade do dispositivo lista todos os dispositivos configurados para evidências forenses em sua organização. Além disso, o relatório lista o status dos seguintes atributos de dispositivo:

• Nome do dispositivo: o nome do dispositivo, definido pelo atributo ComputerName do dispositivo.
• Status do dispositivo: o status do Cliente do Microsoft Purview no dispositivo. Os valores de status são os seguintes:
  • Saudável: o cliente no dispositivo está funcionando corretamente e os recursos de captura de evidências forenses são totalmente compatíveis.
  • Aviso: o cliente no dispositivo tem um aviso e os recursos de captura de evidências forenses podem não ter suporte total.
  • Erro: o cliente no dispositivo tem um erro e os recursos de captura de evidências forenses estão desabilitados ou não têm suporte total.
• Detalhes do status: mais informações sobre o dispositivo status.
• Última sincronização (UTC): data e hora do último status sincronização para o dispositivo.
• Nome de usuário: o nome de usuário do usuário entrou no dispositivo quando a sincronização status foi executada.
• Versão do Windows: a versão do Microsoft Windows instalada no dispositivo.
• Versão do cliente: a versão do Cliente do Microsoft Purview instalada no dispositivo.

O status de integridade do dispositivo fornece insights sobre possíveis problemas com seus dispositivos e com o Cliente do Microsoft Purview. A coluna Dispositivo status na página Integridade do dispositivo pode alertá-lo para problemas de dispositivo que podem impedir que a atividade do usuário seja capturada ou por que o volume de captura de evidências forenses é incomum. O status de integridade do dispositivo também pode confirmar que os dispositivos incluídos na captura de evidências forenses são saudáveis e não precisam de alterações de atenção ou configuração. A tabela a seguir lista possíveis mensagens de detalhes status e ações recomendadas que você pode tomar para resolver avisos e erros:

Detalhes do status	Status	Ação Sugerida
Erro interno do servidor. Como resultado, os dados de captura podem estar ausentes.	Erro	Create um tíquete de suporte com a Microsoft para investigação adicional
A largura de banda de carregamento atingiu 90% do limite configurado neste dispositivo. As capturas podem ser substituídas em breve.	Aviso	Aumente o limite de largura de banda de carregamento na página Configurações de evidência forense .
O limite de largura de banda de carregamento configurado foi atingido neste dispositivo. Não serão carregadas mais capturas para o dia.	Erro	Aumente o limite de largura de banda de carregamento na página Configurações de evidência forense .
O armazenamento offline atingiu 90% do limite configurado neste dispositivo. As capturas podem ser substituídas em breve.	Aviso	Aumente o limite de cache de captura offline na página Configurações de evidências forenses .
O limite de armazenamento offline configurado foi atingido neste dispositivo. Como resultado, as capturas offline estão sendo substituídas.	Erro	Aumente o limite de cache de captura offline na página Configurações de evidências forenses .
O uso da CPU no dispositivo excedeu o limite máximo.	Erro	O processo de captura foi interrompido e será reiniciado em alguns minutos.
O uso de memória no dispositivo excedeu o limite máximo.	Erro	O processo de captura foi interrompido e será reiniciado em alguns minutos.
O uso de GPU no dispositivo excedeu o limite máximo.	Erro	O processo de captura foi interrompido e será reiniciado em alguns minutos.
O Cliente do Microsoft Purview instalado no dispositivo não pode ser sincronizado com a política de evidências forenses.	Aviso	Conectar-se ao cliente de reinstalação de & de rede
O Cliente do Microsoft Purview instalado no dispositivo não é sincronizado com a política de evidências forenses há mais de 24 horas.	Erro	Conectar-se ao cliente de reinstalação de & de rede
O Cliente do Microsoft Purview não consegue capturar a atividade porque nenhum cartão de elementos gráficos é detectado neste dispositivo.	Erro	Adicione um cartão gráfico ou substitua o dispositivo por um que tenha um gráfico cartão
O Cliente do Microsoft Purview não consegue capturar a atividade porque nenhum monitor de exibição é detectado neste dispositivo.	Erro	Adicionar monitores de exibição para este dispositivo
O Cliente do Microsoft Purview não consegue capturar a atividade porque os monitores de exibição neste dispositivo foram desativados ou desconectados.	Erro	Conectar/Ativar monitores de exibição para o dispositivo
O dispositivo não consegue acessar o diretório que armazena as capturas de evidências forenses.	Erro	Reinstalar o cliente neste dispositivo
Falha na inicialização do codificador.	Erro	Reinstale o cliente neste dispositivo.

Entre em contato com Suporte da Microsoft se as ações recomendadas não resolve problemas com o cliente.

Capacidade e cobrança

Quando as evidências forenses são configuradas, você pode optar por comprar o complemento de evidências forenses para o Gerenciamento de Riscos Internos para seus clipes capturados. O complemento está disponível para organizações com qualquer uma das seguintes licenças: Microsoft 365 E5, Microsoft 365 E5 Compliance ou Microsoft 365 E5 Insider Risk Management.

As organizações podem comprar o complemento em unidades de 100 GB por mês. A capacidade adquirida se aplica à ingestão de evidências forenses a partir da data da compra e redefinições no primeiro do mês. A capacidade não utilizada não é executada. Recomendamos que você compre a licença no início do mês para maximizar o valor da licença. 100 GB é aproximadamente igual a cerca de 1.100 horas de capturas de evidências forenses por locatário, em uma resolução de vídeo de 1080p. Você pode baixar a calculadora de capacidade para ajudar a estimar o número de GBs necessários por mês.

Depois que a evidência forense for ingerida, ela será mantida por 120 dias. Você pode exportar evidências forenses se necessário após o período de retenção de 120 dias.

Planos de pagamento

Há dois planos de pagamento disponíveis ao comprar o complemento por meio do Centro de administração do Microsoft 365:

• Pague anualmente (disponível em todos os canais). A opção de compromisso anual permite que você compre o número de licenças especificadas por mês por 12 meses. É adequado para clientes que querem garantir que tenham capacidade disponível todos os meses para ingerir evidências forenses sem interrupção. Esse plano de pagamento reporá automaticamente o número de licenças compradas a cada mês. A capacidade adquirida se aplica à ingestão de evidências forenses a partir da data da compra e redefinições no primeiro do mês. A capacidade não utilizada não é executada. Os clientes podem optar por ser cobrados uma vez ou dividir a conta em 12 pagamentos mensais.
• Pague mensalmente (disponível apenas na Web direct). Se você não quiser assumir um compromisso anual, poderá comprar o número de licenças necessárias a cada mês. A capacidade adquirida se aplica à ingestão de evidências forenses a partir da data da compra e redefinições no primeiro do mês. A capacidade não utilizada não é executada.

Posso tentar a capacidade forense antes de comprá-la?

Cada locatário que tenha uma licença Microsoft 365 E5, Microsoft 365 E5 Compliance ou Microsoft 365 E5 Insider Risk Management pode se inscrever para uma licença de avaliação de 20 GB para experimentar a capacidade de evidência forense.

Observação

A licença de avaliação de 20 GB só está disponível para clientes na plataforma de comércio herdada.

Os 20 GB de capacidade disponíveis por meio da licença de avaliação não têm limite de tempo e estão disponíveis até que você use os 20 GB completos. Se você não usar os 20 GB completos em um ano, poderá reativar. Se você comprar uma licença de complemento de evidência forense antes de usar a capacidade de avaliação, poderá usar a capacidade de avaliação restante até que ela seja usada antes que o sistema comece a medir a capacidade adquirida.

Se você usar até 20 GB de capacidade de avaliação e não comprar posteriormente o complemento forense para o Insider Risk Management, poderá exibir todos os clipes que você já ingeriu, mas não poderá ingerir novos clipes.

Inscrever-se para a licença de avaliação de 20 GB

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

2. Acesse a solução de Gerenciamento de Riscos Internos .

3. Selecione Evidência forense na navegação à esquerda e selecione Capacidade e cobrança.

   Observação

   Você também pode se inscrever para a licença de avaliação na guiaPainel deevidências> forenses de gerenciamento> de riscos interno.

4. Selecione Reivindicar 20 GB de capacidade.

5. Siga os prompts no Centro de administração do Microsoft 365.

Portal de Conformidade

1. Entre no Portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

2. Acesse a solução de Gerenciamento de Riscos Internos .

3. Vá para a capacidade de evidência> forensee cobrança.

   Observação

   Você também pode se inscrever para a licença de avaliação na guiaPainel deevidências> forenses de gerenciamento> de riscos interno.

4. Selecione Reivindicar 20 GB de capacidade.

5. Siga os prompts no Centro de administração do Microsoft 365.

Comprar o complemento forense para o Gerenciamento de Riscos Internos

1. Acesse Centro de administração do Microsoft 365>Marketplace>Todos os produtos.
2. Procure por "evidência forense".

Analisar sua capacidade

Depois de comprar a capacidade (ou se inscrever para a licença de avaliação de 20 GB), você pode usar a página Capacidade para analisar a capacidade que você usou e a quantidade de capacidade restante. Você também pode analisar a quantidade de capacidade que está usando todos os meses selecionando a partir do uso da capacidade na lista GB ou selecionando Exibir todo o uso da capacidade.

Observação

A plataforma de comércio tem uma plataforma de cobrança herdada e uma plataforma de cobrança moderna. A cobrança de gerenciamento de risco interno foi projetada para funcionar com a plataforma de cobrança moderna. A capacidade adquirida é imposta na ingestão de provas forenses mensalmente, começando na data da compra e redefinindo a primeira de cada mês. Qualquer capacidade adquirida pode ser totalmente usada nesse mês e será redefinida no primeiro do próximo mês. Você pode continuar a usar a capacidade até a data em que a licença expirar.