Partilhar via

Investigar alertas de prevenção de perda de dados com o Microsoft Defender XDR

  • Aplica-se a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Pode gerir e responder a alertas e incidentes de Prevenção de Perda de Dados do Microsoft Purview (DLP) no portal do Microsoft Defender. Abra Incidentes & alertas Incidentes> na iniciação rápida do portal do Microsoft Defender. Nesta página, pode:

  • Veja todos os alertas DLP agrupados em incidentes na fila de incidentes Microsoft Defender XDR.
  • Veja alertas DLP correlacionados com outros alertas DLP ou com alertas de outras soluções (Defender para Endpoint, Defender para Office 365, Microsoft Sentinel, etc.), num único incidente.
  • Procure ameaças de segurança, utilizando consultas que combinam registos de conformidade com registos de segurança, em Investigação Avançada.
  • Realize ações de remediação no local em utilizadores, ficheiros e dispositivos.
  • Associe etiquetas personalizadas a incidentes DLP e filtre por eles.
  • Filtre a fila de incidentes unificada pelo nome da política DLP, etiqueta, data, origem do serviço, estado do incidente e utilizador.

Pré-requisitos

Requisitos de licenciamento

Para investigar Prevenção de Perda de Dados do Microsoft Purview incidentes no portal do Microsoft Defender, precisa de uma licença de uma das seguintes subscrições:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 E5/A5
  • Conformidade Microsoft 365 E5/A5
  • Microsoft 365 E5/A5 Information Protection e Governação

Nota

Quando for licenciado e elegível para esta funcionalidade, os alertas DLP fluem automaticamente para Microsoft Defender XDR. Se não quiser que os alertas DLP fluam para o Defender, abra um pedido de suporte para desativar esta funcionalidade. Se desativar esta funcionalidade, os alertas DLP serão apresentados no portal do Defender como Microsoft Defender para alertas do Office.

Funções

A melhor prática é conceder apenas permissões mínimas a alertas no portal do Microsoft Defender. Pode criar uma função personalizada com estas funções e atribuí-la aos utilizadores que precisam de investigar alertas DLP.

Permissão Acesso a Alertas do Defender
Gerir Alertas DLP + Segurança
View-Only Gerir Alertas DLP + Segurança
Analista de Information Protection Apenas DLP
Gestão de Conformidade DLP Apenas DLP
Gestão de Conformidade de DLP View-Only Apenas DLP

Antes de começar

Ative os alertas para todas as políticas DLP no portal do Microsoft Purview.

Nota

As restrições de unidades administrativas fluem da prevenção de perda de dados (DLP) para o portal do Defender. Se for um administrador restrito de unidade administrativa, só verá os alertas de DLP para a sua unidade administrativa.

Investigar alertas DLP no portal do Microsoft Defender

  1. Aceda ao portal Microsoft Defender e selecione Incidentes no menu de navegação esquerdo para abrir a página de incidentes.

  2. Selecione Adicionar filtro na barra de ferramentas e escolha o filtro Origens de serviço/deteção . Em seguida, selecione esse filtro e escolha Prevenção de Perda de Dados da Microsoft para ver todos os incidentes com alertas DLP. Também pode filtrar a fila por nomes de utilizador e dispositivo (utilizando o filtro Entidades ) e por políticas, através do filtro Política/regra de política , pode procurar nomes de ficheiros, utilizadores, nomes de dispositivos e caminhos de ficheiro.

    1. (em pré-visualização) Na fila >Incidentes, título da política alerta políticas> de alerta. Pode procurar o nome da política DLP.

  3. Procure o nome da política DLP dos alertas e incidentes em que está interessado.

  4. Para ver a página de resumo do incidente, selecione o incidente na fila. Da mesma forma, selecione o alerta para ver a página de alerta DLP. Selecione Resumir (pré-visualização) para Security Copilot para gerar um resumo do alerta. O resumo do alerta irá conter:

  • gravidade do alerta
  • título do alerta
  • o nome da política que foi correspondida
  • o ficheiro de nome envolvido e uma ligação para o ficheiro
  • estado do alerta
  • o endereço de e-mail do utilizador que efetuou a ação que correspondeu à política

  1. Veja o bloco Alerta para obter detalhes sobre a política e os tipos de informações confidenciais detetados no alerta. Selecione o evento na secção Eventos Relacionados para ver os detalhes da atividade do utilizador.

  2. Veja o conteúdo confidencial correspondente no separador Tipos de informações confidenciais e o conteúdo do ficheiro no separador Origem se tiver a permissão necessária (veja os detalhes aqui).

Expandir a investigação de alertas DLP com investigação avançada

A investigação avançada é uma ferramenta de investigação de ameaças baseada em consultas que lhe permite explorar até 30 dias de registos de auditoria de localizações de utilizadores, ficheiros e sites para ajudar na sua investigação. Pode inspecionar proativamente eventos na sua rede para localizar indicadores e entidades de ameaças. O acesso flexível aos dados permite uma investigação sem restrições para ameaças conhecidas e potenciais.

A tabela CloudAppEvents contém todos os registos de auditoria em todas as localizações, como SharePoint, OneDrive, Exchange e Dispositivos.

Antes de começar

Se não estiver familiarizado com a investigação avançada, deve rever Introdução à investigação avançada.

Antes de poder utilizar a investigação avançada, tem de ter acesso à tabela CloudAppEvents que contém os dados do Microsoft Purview.

Utilizar consultas incorporadas

Importante

Esta funcionalidade está em pré-visualização. As funcionalidades de pré-visualização não se destinam à utilização de produção e podem ter funcionalidades restritas. Estas funcionalidades estão disponíveis antes de um lançamento oficial para que os clientes possam obter acesso antecipado e fornecer feedback.

O portal do Defender oferece várias consultas incorporadas que pode utilizar para ajudar na investigação de alertas DLP.

  1. Aceda ao portal Microsoft Defender e selecione Incidentes & alertas no menu de navegação esquerdo para abrir a página de incidentes. Selecione Incidentes.
  2. Selecione Filtros no canto superior direito e escolha Origem do Serviço: Prevenção de Perda de Dados para ver todos os incidentes com alertas DLP.
  3. Abra um incidente DLP.
  4. Selecione num alerta para ver os eventos associados.
  5. Selecione um evento.
  6. No painel de detalhes do evento, selecione o controlo Go Hunt .
    1. O Defender mostra-lhe uma lista de consultas incorporadas que são relevantes para a localização de origem do evento. Por exemplo, se o evento for do SharePoint, verá
      1. Ficheiro partilhado com
      2. Atividades de ficheiros
      3. Atividade do site
      4. Violações de DLP do utilizador nos últimos 30 dias
  7. Pode optar por Executar consulta imediatamente, alterar o intervalo de tempo, editar ou guardar a consulta para utilização posterior.
  8. Depois de executar a consulta, veja os resultados no separador Resultados .

Se o alerta for para uma mensagem de e-mail, pode transferir a mensagem ao selecionar Ações>Transferir e-mail.

Se o alerta se destinar a um ficheiro no SharePoint Online ou no One Drive para Empresas, pode efetuar estas ações:

Para ações de remediação, selecione o Cartão de utilizador na parte superior da página de alerta para abrir os detalhes do utilizador.

Para Alertas DLP de Dispositivos, selecione o cartão do dispositivo na parte superior da página de alerta para ver os detalhes do dispositivo e efetuar ações de remediação no dispositivo.

Aceda à página de resumo do incidente e selecione Gerir Incidente para adicionar etiquetas de incidentes, atribuir ou resolver um incidente.

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.