Investigar alertas de prevenção de perda de dados com o Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Pode gerir alertas de Prevenção de Perda de Dados do Microsoft Purview (DLP) no portal do Microsoft Defender. Abra Incidentes & alertas Incidentes> na iniciação rápida do portal do Microsoft Defender. Nesta página, pode:
- Veja todos os alertas DLP agrupados em incidentes na fila de incidentes Microsoft Defender XDR.
- Veja alertas correlacionados entre soluções inteligentes (DLP-MDE, DLP-MDO) e intra-solução (DLP-DLP) num único incidente.
- Procure registos de conformidade juntamente com a segurança em Investigação Avançada.
- Ações de remediação de administrador no local no utilizador, ficheiro e dispositivo.
- Associe etiquetas personalizadas a incidentes DLP e filtre por eles.
- Filtre por nome da política DLP, etiqueta, Data, origem do serviço, estado do incidente e utilizador na fila de incidentes unificada.
Sugestão
Também pode solicitar incidentes DLP juntamente com eventos e provas no Microsoft Sentinel para investigação e remediação com o conector Microsoft Defender XDR no Microsoft Sentinel.
Requisitos de licenciamento
Para investigar Prevenção de Perda de Dados do Microsoft Purview incidentes no portal do Microsoft Defender, precisa de uma licença de uma das seguintes subscrições:
- Microsoft Office 365 E5/A5
- Microsoft 365 E5/A5
- Conformidade Microsoft 365 E5/A5
- Microsoft 365 E5/A5 Information Protection e Governação
Nota
Quando for licenciado e elegível para esta funcionalidade, os alertas DLP fluem automaticamente para Microsoft Defender XDR. Se não quiser que os alertas DLP fluam para o Defender, abra um pedido de suporte para desativar esta funcionalidade. Se desativar esta funcionalidade, os alertas DLP serão apresentados no portal do Defender como Microsoft Defender para alertas do Office.
Funções
A melhor prática é conceder apenas permissões mínimas a alertas no portal do Microsoft Defender. Pode criar uma função personalizada com estas funções e atribuí-la aos utilizadores que precisam de investigar alertas DLP.
Permissão | Acesso a Alertas do Defender |
---|---|
Gerir Alertas | DLP + Segurança |
View-Only Gerir Alertas | DLP + Segurança |
Analista de Information Protection | Apenas DLP |
Gestão de Conformidade DLP | Apenas DLP |
Gestão de Conformidade de DLP View-Only | Apenas DLP |
Antes de começar
Ative os alertas para todas as políticas DLP no Portal de Conformidade do Microsoft Purview.
Nota
As restrições de unidades administrativas fluem da prevenção de perda de dados (DLP) para o portal do Defender. Se for um administrador restrito de unidade administrativa, só verá os alertas de DLP para a sua unidade administrativa.
Investigar alertas DLP no portal do Microsoft Defender
Aceda ao portal Microsoft Defender e selecione Incidentes no menu de navegação esquerdo para abrir a página de incidentes.
Selecione Filtros no canto superior direito e escolha Origem do Serviço: Prevenção de Perda de Dados para ver todos os incidentes com alertas DLP. Eis alguns exemplos dos subfiltros que estão disponíveis na pré-visualização:
- por nomes de utilizador e dispositivo
- (em pré-visualização) No filtro Entidades , pode procurar nomes de ficheiros, utilizadores, nomes de dispositivos e caminhos de ficheiro.
- (em pré-visualização) Na fila >Incidentes, título da política alerta políticas> de alerta. Pode procurar o nome da política DLP.
Pesquisa para o nome da política DLP dos alertas e incidentes em que está interessado.
Para ver a página de resumo do incidente, selecione o incidente na fila. Da mesma forma, selecione o alerta para ver a página de alerta DLP.
Veja o bloco Alerta para obter detalhes sobre a política e os tipos de informações confidenciais detetados no alerta. Selecione o evento na secção Eventos Relacionados para ver os detalhes da atividade do utilizador.
Veja o conteúdo confidencial correspondente no separador Tipos de informações confidenciais e o conteúdo do ficheiro no separador Origem se tiver a permissão necessária (veja os detalhes aqui).
Expandir a investigação de alertas DLP com investigação avançada
A investigação avançada é uma ferramenta de investigação de ameaças baseada em consultas que lhe permite explorar até 30 dias de registos de auditoria de localizações de utilizadores, ficheiros e sites para ajudar na sua investigação. Pode inspecionar proativamente eventos na sua rede para localizar indicadores e entidades de ameaças. O acesso flexível aos dados permite uma investigação sem restrições para ameaças conhecidas e potenciais.
A tabela CloudAppEvents contém todos os registos de auditoria em todas as localizações, como SharePoint, OneDrive, Exchange e Dispositivos.
Before you begin
Se não estiver familiarizado com a investigação avançada, deve rever Introdução à investigação avançada.
Antes de poder utilizar a investigação avançada, tem de ter acesso à tabela CloudAppEvents que contém os dados do Microsoft Purview.
Utilizar consultas incorporadas
Importante
Esta funcionalidade está em pré-visualização. As funcionalidades de pré-visualização não se destinam à utilização de produção e podem ter funcionalidades restritas. Estas funcionalidades estão disponíveis antes de um lançamento oficial para que os clientes possam obter acesso antecipado e fornecer feedback.
O portal do Defender oferece várias consultas incorporadas que pode utilizar para ajudar na investigação de alertas DLP.
- Aceda ao portal Microsoft Defender e selecione Incidentes & alertas no menu de navegação esquerdo para abrir a página de incidentes. Selecione Incidentes.
- Selecione Filtros no canto superior direito e escolha Origem do Serviço: Prevenção de Perda de Dados para ver todos os incidentes com alertas DLP.
- Abra um incidente DLP.
- Selecione num alerta para ver os eventos associados.
- Selecione um evento.
- No painel de detalhes do evento, selecione o controlo Go Hunt .
- O Defender mostra-lhe uma lista de consultas incorporadas que são relevantes para a localização de origem do evento. Por exemplo, se o evento for do SharePoint, verá
- Ficheiro partilhado com
- Atividades de ficheiros
- Atividade do site
- Violações de DLP do utilizador nos últimos 30 dias
- O Defender mostra-lhe uma lista de consultas incorporadas que são relevantes para a localização de origem do evento. Por exemplo, se o evento for do SharePoint, verá
- Pode optar por Executar consulta imediatamente, alterar o intervalo de tempo, editar ou guardar a consulta para utilização posterior.
- Depois de executar a consulta, veja os resultados no separador Resultados .
Se o alerta for para uma mensagem de e-mail, pode transferir a mensagem ao selecionar Ações>Transferir e-mail.
Se o alerta se destinar a um ficheiro no SharePoint Online ou no One Drive para Empresas, pode efetuar estas ações:
- Aplicar etiqueta de retenção
- Anular partilha
- Eliminar
- Aplicar etiqueta de confidencialidade
- Transferir (a função de visualizador de conteúdos de classificação de dados é necessária para esta ação)
- Retirar comentários
Para ações de remediação, selecione o Cartão de utilizador na parte superior da página de alerta para abrir os detalhes do utilizador.
Para Alertas DLP de Dispositivos, selecione o cartão do dispositivo na parte superior da página de alerta para ver os detalhes do dispositivo e efetuar ações de remediação no dispositivo.
Aceda à página de resumo do incidente e selecione Gerir Incidente para adicionar etiquetas de incidentes, atribuir ou resolver um incidente.
Artigos relacionados
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.