Saiba mais sobre como investigar alertas de prevenção de perda de dados

Este artigo apresenta-lhe o fluxo de investigação de alertas e as ferramentas que pode utilizar para investigar alertas DLP.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre assinatura e termos de avaliação.

Antes de começar

Se não estiver familiarizado com o DLP do Microsoft Purview, eis uma lista dos artigos principais com os quais deve estar familiarizado ao implementar a sua prática de prevenção de perda de dados:

1. Unidades administrativas
2. Saiba mais sobre a Prevenção de Perda de Dados do Microsoft Purview: o artigo apresenta-lhe a disciplina de prevenção de perda de dados e a implementação do DLP pela Microsoft.
3. Planear a prevenção de perda de dados (DLP): ao trabalhar neste artigo, irá:
   1. Identificar intervenientes
   2. Descrever as categorias de informações confidenciais a proteger
   3. Definir objetivos e estratégia
4. Referência da política de Prevenção de Perda de Dados: este artigo apresenta todos os componentes de uma política DLP e como cada um influencia o comportamento de uma política.
5. Estruturar uma política DLP: este artigo explica-lhe como criar uma instrução de intenção de política e mapeá-la para uma configuração de política específica.
6. Criar e Implementar políticas de prevenção de perda de dados: apresenta alguns cenários de intenções de política comuns que mapeia às opções de configuração. Em seguida, orienta-o ao longo da configuração dessas opções e fornece orientações sobre a implementação de uma política.
7. Saiba mais sobre como investigar alertas de prevenção de perda de dados: este artigo que está a ler apresenta agora o ciclo de vida dos alertas desde a criação até à remediação final e à otimização de políticas. Também apresenta as ferramentas que utiliza para investigar alertas.

O ciclo de vida de um alerta DLP

Todos os alertas e a sua interação com eles passam por estes seis passos:

• Trigger
• Notify
• Triagem
• Investigar
• Corrigir
• Otimizar

Gatilho

A vida útil de um alerta de Prevenção de Perda de Dados (DLP) do Microsoft Purview começa quando as condições definidas na política são correspondidas. Quando ocorre uma correspondência de política, as ações definidas na política são acionadas, o que pode incluir a geração de um alerta se a política estiver configurada para o fazer.

Normalmente, as políticas DLP são configuradas para monitorizar e gerar alertas quando:

• As informações confidenciais, como a identificação pessoal de dados ou propriedade intelectual, são exfiltradas da sua organização.
• As informações confidenciais são partilhadas de forma inadequada com pessoas externas ou dentro da sua organização.
• Os utilizadores dedicam-se a atividades de risco, como transferir informações confidenciais para suportes de dados amovíveis.

Notificar

Quando é gerado um alerta, é enviado para o portal do Microsoft Defender como um incidente e para o dashboard de gestão de alertas DLP. As políticas DLP podem ser configuradas para enviar notificações a utilizadores, administradores e outros intervenientes por e-mail.

Na fase de notificação, o Microsoft Purview:

• Relatórios sobre correspondências de políticas DLP e substituições de utilizador.
• Pode utilizar o Explorador de atividades para ver atividades relacionadas com DLP e filtrar para fins de geração de relatórios.

Para exportar dados de atividade para a utilização de relatórios Export-ActivityExplorerData (ExchangePowerShell) | Microsoft Doc com a API de Atividade de Gestão do O365 ou a API de Incidentes.

Observação

O portal do Microsoft Defender retém incidentes durante seis meses. O dashboard de gestão de alertas DLP retém alertas durante 30 dias.

Triagem

Neste passo, vai analisar um alerta e quaisquer registos associados e decidir se o alerta é um verdadeiro positivo ou um falso positivo. Se for um verdadeiro positivo, defina a prioridade do alerta com base na gravidade do problema e no respetivo impacto na sua organização e atribua um proprietário. Se for um falso positivo, pode desbloquear o utilizador e avançar para o alerta seguinte.

O portal do Defender agrupa eventos DLP em incidentes. Os incidentes são uma coleção de alertas relacionados que são agrupados com base em todos os outros sinais que o Defender está a receber. Por exemplo, quando tem uma política DLP configurada para monitorizar e alertar sobre ficheiros confidenciais em sites do SharePoint, um utilizador transfere um ficheiro de um site do SharePoint e, em seguida, carrega-o para um OneDrive pessoal e, em seguida, partilha-o com um utilizador externo, o Defender agrupa todos esses alertas num único incidente. Esta é uma funcionalidade avançada que lhe permite concentrar-se primeiro nos alertas mais importantes.

No portal do Defender, pode iniciar imediatamente a triagem de incidentes e utilizar etiquetas, comentários e outras funcionalidades para estruturar a gestão de incidentes. Deve utilizar a página Incidentes no portal do Microsoft Defender para gerir os alertas DLP. Pode filtrar a fila Incidentes para ver todos os incidentes com alertas DLP do Microsoft Purview ao selecionar Filtros e selecionar Origem de Serviço: Prevenção de Perda de Dados.

Se tiver ativado a partilha de dados de gestão de riscos internos com o Microsoft Defender XDR (pré-visualização), verá o nível de gravidade da política de Gestão de Riscos Internos que está associada a um utilizador na página de alertas DLP. Os níveis de gravidade da Gestão de Risco Interno são: Baixo, Médio, Alto e Nenhum. Pode utilizar estas informações para priorizar os seus esforços de investigação e remediação. Estas informações também estarão disponíveis no portal do Microsoft 365 Defender nos detalhes do incidente.

Investigar

O principal objetivo da fase de investigação é que o proprietário atribuído correlacione as provas, determine a causa e o impacto total do alerta e decida um plano de remediação. O proprietário atribuído é responsável por uma investigação e remediação mais aprofundadas do alerta. As principais ferramentas de investigação de alertas são o portal do Microsoft Defender e o dashboard de gestão de alertas DLP. Também pode utilizar o Explorador de atividades para investigar alertas. Também pode partilhar alertas com outros utilizadores na sua organização.

Pode tirar partido de funcionalidades DLP como:

• A recolha de provas para atividades de ficheiros em dispositivos torna facilmente acessíveis ficheiros como e-mail e documentos que correspondam a uma política.
• Utilize o Explorador de conteúdos para investigar profundamente os conteúdos no incidente.

Pode utilizar o portal do Microsoft Defender e as ferramentas do Purview para fazer a triagem e investigar alertas, mas o portal do Microsoft Defender fornece mais funcionalidades para gerir alertas e incidentes, tais como:

• Veja todos os alertas DLP agrupados em incidentes na fila de incidentes do Microsoft Defender XDR.
• Veja alertas correlacionados entre soluções inteligentes (DLP-MDE, DLP-MDO) e intra-solução (DLP-DLP) num único incidente.
• Procure registos de conformidade juntamente com a segurança em Investigação Avançada.
• Ações de remediação de administrador no local no utilizador, ficheiro e dispositivo.
• Associe etiquetas personalizadas a incidentes DLP e filtre por eles.
• Filtre por nome da política DLP, etiqueta, Data, origem do serviço, estado do incidente e utilizador na fila de incidentes unificada.

Se estiver a partilhar dados de gestão de riscos internos com o Defender (pré-visualização), pode ver o resumo da atividade do utilizador de todas as atividades de exfiltração em que o utilizador se envolveu até aos últimos 120 dias.

Correção

O seu plano de remediação é exclusivo das políticas da sua organização, do setor, dos regulamentos geopolíticos que tem de cumprir e das práticas empresariais. A forma como a sua organização opta por responder a um alerta gira em torno da precisão do alerta (verdadeiro positivo, falso positivo, falso negativo), da gravidade do problema e do impacto na sua organização.

As ações de remediação podem incluir:

• Apenas monitorização, não são necessárias mais ações.
• Não são necessárias mais medidas porque as ações tomadas pela política mitigaram suficientemente o risco.
• Risco mitigado por ações de política automatizadas, mas a educação dos utilizadores é necessária.
• O problema não foi totalmente mitigado pela política, pelo que é necessária uma melhor limpeza e mitigação de riscos, juntamente com mais preparação de utilizadores.
• Através da Proteção Adaptável na Prevenção de Perda de Dados (pré-visualização) em que o DLP se integra com a Gestão de Riscos Internos, pode atribuir um nível de risco ao utilizador para monitorização e ações adicionais.

Com o portal do Defender, pode efetuar imediatamente ações de remediação em alertas e incidentes. Por exemplo:

• Redefinir senha
• Desativar conta
• Ver a atividade do utilizador
• Ações nas deteções de DLP
• Remover documento
• Aplicar etiqueta de confidencialidade
• Anular partilha
• Transferir e-mail
• Busca Avançada
• Isolar Dispositivo
• Recolher pacote de investigação do Dispositivo
• Executar Análise AV
• Arquivo de quarentena
• Desativar utilizador
• Repor pwd
• Eliminar e-mail
• Mover correio para outra pasta de caixa de correio
• Baixar o arquivo

Otimizar

Com base na precisão e eficácia da sua política, poderá ter de atualizá-la para que permaneça eficaz. Já ajustou a política durante o processo de criação e implementação de políticas, mas à medida que o seu património de dados e as suas necessidades empresariais mudam, as políticas têm de ser atualizadas para continuarem a ser eficazes. Estas alterações são melhor registadas na instrução de intenção da política e na configuração da política.

Itens que otimizar:

• O âmbito da política.
• As condições necessárias para uma correspondência de política.
• As ações executadas quando ocorre uma correspondência de política.
• Notificações enviadas a utilizadores e administradores.

Para obter mais informações sobre as necessidades empresariais de mapeamento para políticas de design e teste, veja:

• Criar uma política de prevenção de perda de dados
• Testar as políticas de Prevenção de Perda de Dados

Conjuntos de ferramentas

Existem várias ferramentas que pode utilizar para investigar e gerir alertas de Prevenção de Perda de Dados (DLP) do Microsoft Purview. Existem:

• Portal do Microsoft Defender
• Dashboard alertas do portal de conformidade do Microsoft Purview
• Explorador de atividades
• Explorador de conteúdo
• Microsoft Copilot for Security na experiência incorporada do Purview
• Microsoft Copilot for Security na experiência autónoma do Purview

A Microsoft recomenda a utilização da fila de incidentes unificada no portal do Microsoft Defender para gerir os alertas DLP. No entanto, a sua organização pode ter necessidades que podem ser satisfeitas com o dashboard de gestão de alertas DLP, além do portal do Microsoft Defender.

Portal do Microsoft Defender

• Os alertas DLP são integrados com outros eventos e alertas numa única fila de incidentes, o que fornece uma imagem mais completa do incidente.
• Estão disponíveis seis meses de histórico de incidentes.
• A investigação avançada está disponível.
• Investigar incidentes de perda de dados com o Microsoft Defender XDR – pode gerir incidentes DLP juntamente com incidentes de segurança de Incidentes & alertas Incidentes> na iniciação rápida do portal do Microsoft Defender.
• Responder ao seu primeiro incidente no Microsoft Defender XDR
• Resposta a incidentes com o Microsoft Defender XDR
• Priorizar incidentes no Microsoft Defender XDR
• Gerir incidentes no Microsoft Defender XDR
• Investigar incidentes no Microsoft Defender XDR
• Investigar alertas no Microsoft Defender XDR
• Procurar proativamente ameaças com investigação avançada no Microsoft Defender XDR

Portal de conformidade do Microsoft Purview

• O dashboard de alertas, o Explorador de atividades e o Explorador de conteúdos estão todos disponíveis no portal de conformidade do Microsoft Purview. Pode resumir alertas com o Microsoft Copilot for Security Investigar um alerta DLP
• Pode definir um estado de alerta para Investigar.
• Pode partilhar alertas com outros utilizadores na sua organização.
• Transferir ficheiros do OneDrive e do SharePoint (a função de visualizador de conteúdos de classificação de dados é necessária para esta ação)

Se não estiver familiarizado com a utilização do dashboard Alertas DLP, deve ler estes artigos para o ajudar a começar.

• Introdução ao dashboard alertas de prevenção de perda de dados
• Partilhar alertas de prevenção de perda de dados (pré-visualização)
• Comece a usar alertas da prevenção contra perda de dados
• Introdução ao gerenciador de atividades
• Introdução ao gerenciador de conteúdo

Próximas etapas

• Investigue alertas de prevenção contra perda de dados com o Microsoft Defender XDR
• Introdução ao dashboard alertas de prevenção de perda de dados