Introdução aos alertas de prevenção contra perda de dados
As políticas de Prevenção Contra Perda de Dados do Microsoft Purview (DLP) podem ser configuradas para gerar alertas quando as condições em uma política são correspondidas.
Para obter uma breve visão geral dos alertas, confira:
Este artigo inclui os detalhes de licenciamento e permissão e outras informações cruciais que você precisa enquanto trabalha com alertas.
Os alertas DLP podem ser investigados e gerenciados no Microsoft Defender XDR dashboard e no portal de conformidade do Microsoft Purview. O Microsoft Defender XDR dashboard é o local recomendado para investigar e gerenciar alertas DLP. O portal de conformidade do Microsoft Purview é o local recomendado para criar e editar políticas DLP.
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Tipos de alerta
Os alertas podem ser enviados sempre que uma atividade corresponde a uma regra, que pode ser barulhenta ou pode ser agregada com base no número de correspondências ou volume de itens em um determinado período de tempo. Há dois tipos de alertas que podem ser configurados em políticas DLP.
Alertas de evento único normalmente são usados em políticas que monitoram eventos altamente sensíveis que ocorrem em um volume baixo, como um único email com 10 ou mais números de cartão de crédito do cliente sendo enviados para fora de sua organização.
Os alertas de evento agregado normalmente são usados em políticas que monitoram eventos que ocorrem em um volume maior durante um período de tempo. Por exemplo, um alerta agregado pode ser disparado quando 10 emails individuais cada um com um número de cartão de crédito do cliente é enviado para fora de sua organização ao longo de 48 horas.
Antes de começar
Antes de começar, verifique se você tem os pré-requisitos necessários:
Licenciamento para opções de configuração de alerta
- Configuração de alerta de evento único: organizações que têm uma assinatura E1, F1 ou G1 ou uma assinatura E3 ou G3 podem configurar políticas para gerar um alerta para cada vez que uma atividade de gatilho ocorrer.
- Configuração de alerta agregada: para configurar políticas de alerta agregadas com base em um limite, você deve ter uma das seguintes configurações:
- Uma assinatura do A5
- Uma assinatura E5 ou G5
- Uma assinatura E1, F1 ou G1 ou uma assinatura E3 ou G3 que inclui um dos seguintes recursos:
- Plano 2 de proteção avançada contra ameaças do Office 365
- Conformidade do Microsoft 365 E5
- Licença de complemento de descoberta e auditoria do Microsoft 365
Os clientes que usam o DLP do Ponto de Extremidade e que são qualificados para o Teams DLP verão seus alertas de política DLP do ponto de extremidade e alertas de política DLP do Teams no dashboard de gerenciamento de alertas DLP.
Funções e Grupos de Funções
Se você quiser exibir o dashboard de gerenciamento de alertas DLP ou editar as opções de configuração de alerta em uma política DLP, deverá ser membro de um desses grupos de funções:
- Administrador de Conformidade
- Administrador de Dados de Conformidade
- Administrador de Segurança
- Operador de Segurança
- Leitor de Segurança
- Administrador de Proteção de Informações
- Analista de Proteção de Informações
- Investigador de Proteção de Informações
- Leitor de Proteção de Informações
Para saber mais sobre eles, confira Permissões no portal de conformidade do Microsoft Purview
Aqui está uma lista de grupos de funções aplicáveis. Para saber mais sobre eles, consulte Permissões no portal de conformidade do Microsoft Purview.
- Proteção de Informações
- Administradores de Proteção de Informações
- Analistas de Proteção de Informações
- Investigadores de Proteção de Informações
- Leitores de Proteção de Informações
Para acessar o dashboard de gerenciamento de alertas DLP, você precisa da função Gerenciar alertas e uma dessas duas funções:
- Gerenciamento de Conformidade de DLP
- View-Only Gerenciamento de Conformidade DLP
Para acessar o recurso de visualização de conteúdo e os recursos de contexto e conteúdo confidenciais correspondentes, você deve ser um membro do grupo de funções Visualizador de Conteúdo Explorer conteúdo, que tem a função visualizador de conteúdo de classificação de dados pré-atribuída.
Dica
Se o administrador exigir acesso a alertas, mas não informações contextuais/confidenciais, você poderá criar e atribuir uma função personalizada que não inclua a permissão visualizador de conteúdo de classificação de dados.
Configuração de alerta DLP
Para saber como configurar um alerta em sua política DLP, consulte Criar e Implantar políticas de prevenção contra perda de dados. Há diferentes experiências de configuração de alerta dependendo do licenciamento.
Configuração de alerta de evento agregado
Se você tiver licença para opções de configuração de alerta agregadas, verá essas opções ao criar ou editar uma política DLP.
Essa configuração permite configurar uma política para gerar um alerta:
- sempre que uma atividade corresponde às condições da política
- quando o limite definido é atendido ou excedido
- com base no número de atividades
- com base no volume de dados exfiltrados
Para evitar uma enxurrada de emails de notificação, todas as correspondências que ocorrem dentro de uma janela de tempo de um minuto que são para a mesma regra DLP e no mesmo local são agrupadas no mesmo alerta. O recurso de janela de tempo de agregação de um minuto está disponível em:
- Uma assinatura E5 ou G5
- Uma assinatura E1, F1 ou G1 ou uma assinatura E3 ou G3 que inclui um dos seguintes recursos:
- Plano 2 de proteção avançada contra ameaças do Office 365
- Conformidade do Microsoft 365 E5
- Licença de complemento de descoberta e auditoria do Microsoft 365
Para organizações que têm uma assinatura E1, F1 ou G1 ou uma assinatura E3 ou G3, a janela de tempo de agregação é de 15 minutos.
Configuração de alerta de evento único
Se você estiver licenciado para opções de configuração de alerta de evento único, verá essas opções ao criar ou editar uma política DLP. Use essa opção para criar um alerta que é gerado sempre que uma correspondência de regra DLP acontece.
Tipos de eventos
Aqui estão alguns dos eventos associados a um alerta. No Dashboard de Alerta, você pode escolher um evento específico para exibir seus detalhes.
Detalhes do evento
| Nome da propriedade | Descrição | Tipos de eventos |
|---|---|---|
| ID | ID exclusiva associada ao evento | todos os eventos |
| Local | carga de trabalho em que o evento foi detectado | todos os eventos |
| tempo de atividade | tempo da atividade do usuário que correspondia aos critérios da política DLP |
Entidades afetadas
| Nome da propriedade | Descrição | Tipos de eventos |
|---|---|---|
| usuário | usuário que tomou a ação que causou a correspondência de política | todos os eventos |
| Hostname | nome do host do computador em que a correspondência da política DLP ocorreu | eventos de dispositivo |
| Endereço IP | Endereço IP do computador em que a correspondência de política DLP ocorreu | eventos de dispositivo |
| sha1 | Hash SHA-1 do arquivo | eventos de dispositivo |
| sha256 | Hash SHA-256 do arquivo | eventos de dispositivo |
| ID do dispositivo MDATP | ID do MDATP do dispositivo de ponto de extremidade | |
| tamanho do arquivo | tamanho do arquivo | Eventos do SharePoint, OneDrive e dispositivo |
| caminho do arquivo | o caminho absoluto do item envolvido com a correspondência de política DLP | Eventos do SharePoint, OneDrive e dispositivos |
| destinatários de email | se um email fosse o item confidencial que correspondia à política DLP, este campo inclui os destinatários desse email | Troca de eventos |
| assunto email | assunto do email que correspondia à política DLP | Troca de eventos |
| anexos de email | nomes dos anexos no email que correspondiam à política DLP | Troca de eventos |
| proprietário do site | nome do proprietário do site | Eventos do SharePoint e do OneDrive |
| URL do site | cheio da URL do site do SharePoint ou do OneDrive em que ocorreu a correspondência da política DLP | Eventos do SharePoint e do OneDrive |
| arquivo criado | tempo de criação do arquivo que correspondia à política DLP | Eventos do SharePoint e do OneDrive |
| arquivo modificado pela última vez | a última vez que o arquivo que correspondia à política DLP foi alterado | Eventos do SharePoint e do OneDrive |
| tamanho do arquivo | tamanho do arquivo que correspondia à política DLP | Eventos do SharePoint e do OneDrive |
| proprietário do arquivo | proprietário do arquivo que correspondia à política DLP | Eventos do SharePoint e do OneDrive |
Detalhes da política
| Nome da propriedade | Descrição | Tipos de eventos |
|---|---|---|
| Política DLP correspondente | nome da política DLP correspondente | todos os eventos |
| regra correspondida | nome da regra de política DLP correspondente | todos os eventos |
| tipos de informações confidenciais (SIT) detectados | SITs detectados como parte da correspondência de política DLP | todos os eventos |
| ações tomadas | ações que foram tomadas que causaram a correspondência de política DLP | todos os eventos |
| violando a ação | ação no dispositivo de ponto de extremidade que levantou o alerta DLP | eventos de dispositivo |
| política de substituição de usuário | o usuário substituiu a política por meio de uma dica de política | todos os eventos |
| usar justificativa de substituição | o texto do motivo fornecido pelo usuário para a substituição | todos os eventos |
Importante
A configuração da política de retenção de log de auditoria da sua organização controla por quanto tempo um alerta permanece visível no console. Consulte Gerenciar políticas de retenção de log de auditoria para obter mais informações.
Confira também
- Alertas em políticas DLP: descreve alertas no contexto de uma política DLP.
- Introdução aos alertas de prevenção contra perda de dados: aborda os pré-requisitos necessários de licenciamento, permissões e pré-requisitos para alertas DLP e detalhes de referência de alerta.
- Criar e implantar políticas de prevenção contra perda de dados: inclui diretrizes sobre a configuração de alerta no contexto da criação de uma política DLP.
- Saiba mais sobre como investigar alertas de prevenção contra perda de dados: aborda os vários métodos para investigar alertas DLP.
- Investigar incidentes de perda de dados com Microsoft Defender XDR: como investigar alertas DLP no portal Microsoft Defender.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários