Alertas e políticas de alertas do Gestor de Conformidade do Microsoft Purview
Dica
Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.
Visão Geral
O Gestor de Conformidade pode alertá-lo para alterações assim que estas ocorram, para que possa manter-se no caminho certo com os seus objetivos de conformidade. Por exemplo, pode configurar alertas para informá-lo quando o valor da classificação de uma ação de melhoramento tiver aumentado ou diminuído devido a uma alteração de configuração no seu inquilino ou quando uma ação de melhoria tiver sido atribuída a um utilizador para realizar trabalhos de implementação ou teste. Veja os tipos de eventos para os quais pode criar alertas.
Para criar alertas, configure primeiro uma política de alertas para destacar as condições que acionam um alerta e a frequência das notificações. Quando detetamos uma correspondência com as suas condições de política, receberá uma notificação por e-mail com detalhes para que possa determinar se deve investigar ou tomar medidas adicionais.
Todos os alertas estão listados na página Alertas no Gestor de Conformidade e todas as políticas de alerta são listadas na página Políticas (no portal de conformidade do Microsoft Purview clássico, esta página é denominada Políticas de alerta). Todas as organizações têm uma política de alteração de classificação predefinida já configurada para as mesmas.
Compreender as páginas Políticas e Alertas
Importante
Os utilizadores têm de ter a função leitor de Segurança no Microsoft Entra ID para acederem às páginas Políticas e Alertas. São necessárias funções adicionais do Gestor de Conformidade e segurança para trabalhar com alertas e políticas de alerta. Obtenha os detalhes abaixo em Permissões da política de alertas.
Página Políticas
Selecione Políticas (ou Políticas de alerta se utilizar o portal clássico) no Gestor de Conformidade para ver e gerir as políticas de alerta. A página Políticas contém uma tabela que lista todas as políticas criadas pela sua organização. A partir desta página, pode criar novas políticas, editar políticas existentes, alterar status de ativação e eliminar políticas.
Na coluna Estado, Ativo significa que a política está em vigor e aciona alertas quando as condições são cumpridas. Inativo significa que a política existe, mas não está a gerar alertas. A tabela de políticas também mostra a gravidade da política e a data em que a política foi modificada pela última vez.
Para ver os detalhes de uma política individual, selecione a respetiva linha na tabela. Será apresentado um painel de lista de opções que mostra todos os detalhes. Selecione o botão Ação na parte inferior do painel e selecione uma das opções para editar a política, ver os respetivos alertas ou eliminá-la. Os comandos para adicionar, editar, eliminar, ativar e desativar também estão disponíveis junto à parte superior da tabela, acima dos filtros.
Para começar a criar uma política de alertas, veja Criar uma política de alertas.
Página alertas
Selecione Alertas no Gestor de Conformidade para ver e gerir os alertas. A página Alertas contém uma tabela que lista cada alerta gerado por uma política de alerta, juntamente com a gravidade e o evento de acionamento (por exemplo, a alteração da classificação de uma ação) e a data do alerta.
Para ver um alerta individual, selecione a respetiva linha na tabela. Será apresentado um painel de lista de opções que mostra todos os detalhes no separador Descrição geral do painel. O separador Registo de eventos apresenta as ações executadas pelos utilizadores que acionaram o alerta.
O botão Ações na parte inferior do painel fornece opções para atribuir o alerta a um utilizador para seguimento, enviar um e-mail ao utilizador cujas ações geraram o alerta ou ver os detalhes da política que gera o alerta. Também pode efetuar as mesmas ações ao selecionar o botão redondo que aparece à esquerda do nome do alerta quando paira o cursor do rato sobre a linha e, em seguida, ao selecionar um dos botões junto à parte superior da tabela, acima dos filtros.
Para começar a trabalhar com alertas, veja Ver e gerir alertas.
Permissões da política de alertas
A tabela abaixo descreve quais os utilizadores que podem criar e editar alertas e políticas de alerta com base no respetivo tipo de função. Além de ter uma função de Gestor de Conformidade, os utilizadores também precisam de uma função de Microsoft Entra da seguinte forma:
- Para ver alertas e políticas de alerta: a função leitor de segurança no Microsoft Entra ID.
- Para criar ou atualizar políticas de alerta: a função Administrador de Conformidade, Administrador de Dados de Conformidade, Administrador de Segurança ou Operador de Segurança no Microsoft Entra ID.
Saiba mais sobre as funções do Azure no portal de conformidade do Microsoft Purview.
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.
Função | Pode criar e editar políticas | Pode editar alertas |
---|---|---|
Administração do Gestor de Conformidade | Sim | Sim |
Consultor do Gerenciador de Conformidade | Sim | Sim |
Colaborador do Gerenciador de Conformidade | Sim | Sim |
Leitor do Gerenciador de Conformidade | Não | Não |
Administrador Global | Sim | Sim |
Saiba como definir permissões de utilizador e atribuir funções para o Gestor de Conformidade.
Criar uma política de alertas
Pode criar políticas para alertá-lo quando ocorrem determinadas alterações ou eventos relacionados com ações de melhoramento. Os tipos de eventos estão listados abaixo.
Tipos de eventos de alerta
- Alteração de classificação: um aumento ou diminuição dos pontos atribuídos para uma ação de melhoria devido às alterações de configuração efetuadas por alguém na sua organização. Por exemplo, se a sua organização criar uma política de gestão de riscos internos, isso poderá aumentar os seus pontos para uma determinada ação em um determinado montante.
- Alteração de atribuição: foi atribuída uma ação de melhoramento a um utilizador, reatribuída a um utilizador diferente ou não atribuída a um utilizador.
- Implementação status alteração: um utilizador alterou a implementação de uma ação de melhoria status.
- Teste status alteração: um utilizador alterou o status de teste de uma ação de melhoria.
- Alteração de provas: um utilizador carregou ou eliminou um documento de provas no separador Documentos da ação de melhoria.
Política de alteração de classificação predefinida
O Gestor de Conformidade configura uma política de alertas predefinida para monitorizar as alterações de classificação nas ações de melhoria. A política predefinida gera um alerta quando a classificação de uma ação de melhoramento é alterada. A maioria das definições da política predefinida não pode ser editada. No entanto, pode adicionar outros utilizadores como destinatários das notificações de alerta, o que recomendamos.
Eis as definições da política predefinida:
Todas as correspondências detetadas num intervalo de 60 minutos serão agrupadas num único alerta para reduzir as notificações excessivas. Por exemplo, se cinco ações de melhoria sofrerem uma alteração de classificação dentro de uma hora, é gerado um alerta.
O nível de gravidade destes alertas é médio.
A Administração Global da sua organização é o destinatário predefinido das notificações de alerta.
Pode adicionar mais destinatários de alertas ao seguir estes passos:
- Na página Políticas , localize a política de alertas predefinida do Gestor de Conformidade.
- Selecione a caixa à esquerda do respetivo nome e selecione o botão Editar junto à parte superior, acima dos filtros.
- Selecione o botão Seguinte até chegar à página Destinatários do alerta .
- Selecione +Selecionar destinatários e marcar as caixas junto a cada nome de utilizador no painel de lista de opções a quem pretende receber a notificação por e-mail. Quando terminar, selecione Adicionar destinatário e, em seguida, selecione Seguinte.
- Na página Rever e concluir , selecione Atualizar para guardar as alterações.
Não é possível eliminar a política predefinida, mas pode desativá-la ao seguir os passos descritos abaixo.
Passos de criação de políticas
Para criar uma política para gerar alertas com base num ou mais eventos, siga os passos abaixo:
No Gestor de Conformidade, aceda à página Políticas e selecione Adicionar para iniciar o assistente de criação de políticas.
Dica
No novo portal do Microsoft Purview, esta página é denominada Políticas e encontra-se no painel de navegação esquerdo em vez de como um separador na parte superior.
Na página Nome e descrição , introduza um nome para a política e uma descrição opcional e, em seguida, selecione Seguinte.
Na página Condições , selecione um ou mais eventos que irão acionar um alerta. No cabeçalho de atividade da ação De melhoramento, selecione Adicionar sub-condições e marcar caixa que é apresentada ao pairar com o cursor do rato à esquerda de cada nome da condição. Pode escolher uma ou mais condições para uma política: alteração de atribuição, alteração de provas, implementação status alteração, alteração de classificação, teste status alteração. Quando concluir, selecione Avançar.
Na página Resultados , escolha o que acontece quando é detetada uma correspondência de política:
- Selecione um nível de gravidade para o alerta quando for detetada uma correspondência: baixa, média ou alta.
- Selecione a frequência com que pretende ser notificado por e-mail quando é detetada uma correspondência. Pode optar por ser notificado com cada correspondência ou escolher um limiar de um determinado número de correspondências acima de três.
- Se optar por ser notificado após três ou mais correspondências, designará o número de minutos em que esse limiar tem de ser atingido (por exemplo, 4 correspondências dentro de 90 minutos).
Quando terminar, clique em Avançar.
Na página Destinatário do alerta , selecione utilizadores adicionais na sua organização para receber um e-mail quando as condições da política forem cumpridas. O utilizador que cria a política é o destinatário predefinido. Selecione +Selecionar destinatários e marcar as caixas junto a cada nome de utilizador no painel de lista de opções a quem pretende receber a notificação por e-mail. Quando terminar, selecione Adicionar destinatários e, em seguida, selecione Seguinte.
Reveja todas as seleções e efetue alterações a cada secção ao selecionar Editar. Quando terminar a revisão, selecione Criar política.
Quando a política for criada, selecione Concluído. Chega à página Políticas com o painel de lista de opções da política que acabou de criar já aberta.
A política está ativa assim que a criar, o que significa que começa a detetar correspondências e a gerar alertas. Veja a secção Gerir políticas abaixo para saber como inativar ou eliminar políticas.
Pode demorar até 24 horas após criar ou atualizar uma política antes de os alertas serem gerados por essa política. Veja Ver detalhes do alerta abaixo para saber mais sobre como acionar eventos e agregação de alertas.
Gerir políticas
A página Políticas contém uma lista de tabelas de todas as suas políticas. Veja a página Políticas para compreender melhor esta página. Qualquer utilizador na sua organização pode ver políticas, mas determinadas ações estão restritas a determinadas funções; veja Permissões da política de alertas.
Dica
No novo portal do Microsoft Purview, esta página é denominada Políticas e encontra-se no painel de navegação esquerdo em vez de como um separador na parte superior.
Ver detalhes da política
Selecione uma política na respetiva linha na página Políticas para apresentar um painel de lista de opções que mostra os detalhes da política, incluindo as condições de correspondência, se e quando as notificações de alerta são enviadas e para quem e o nível de gravidade.
O botão Ações na parte inferior do painel dá-lhe opções para editar a política, eliminar a política ou ver alertas.
Ver os alertas de uma política
No painel de lista de opções da política, selecione Ações e, em seguida , Ver alertas. É direcionado diretamente para a página Alertas com uma vista filtrada de todos os alertas gerados por essa política. Saiba como trabalhar com alertas.
Editar uma política
Pode editar qualquer aspeto de uma política, exceto o respetivo nome. Se quiser alterar o nome, tem de criar uma nova política com um novo nome.
Para editar uma política, selecione o botão redondo que aparece à esquerda do respetivo nome quando paira o cursor sobre a linha na página Políticas e selecione o botão Editar junto à parte superior, acima dos filtros.
É levado para o assistente de criação de políticas, onde pode fazer e guardar alterações à sua política. Também pode selecionar a política para apresentar o respetivo painel de detalhes e, no botão Ações , selecione Editar política. Depois de trabalhar novamente no assistente, reveja as suas seleções e, no passo final, selecione Atualizar para guardar as alterações.
Pode demorar até 24 horas até que os alertas sejam gerados pela política atualizada.
Ativar ou inativar uma política
As políticas são ativadas por predefinição assim que são criadas. Quando estiver ativa, uma política criará um alerta (apresentado na página Alertas ) quando as condições forem cumpridas e enviará um e-mail de notificação aos destinatários designados.
Para alterar uma política para um estado inativo , o que significa que não irá gerar alertas, selecione o botão redondo que aparece à esquerda do nome da política quando paira o cursor sobre a linha. Em seguida, selecione o comando Desativar acima da tabela. O status da sua política irá agora ler Inativo. Para reativar a política, siga o mesmo processo e selecione o botão Ativar acima dos filtros.
Excluir uma política
Para eliminar uma política, pode selecionar o botão junto ao respetivo nome na página Políticas e selecionar Eliminar junto à parte superior da página. Também pode selecionar a política para apresentar o respetivo painel de detalhes e, no botão Ações , selecione Eliminar política.
A eliminação é permanente. Depois de eliminar uma política, esta deixará de gerar alertas ou notificações por email. Saiba mais sobre alertas ligados a políticas eliminadas.
Ver e gerir alertas
A página Alertas mostra uma tabela com todos os alertas gerados por todas as suas políticas. Os alertas são gerados quase imediatamente após ocorrer um evento que corresponda às condições da política. O nome do alerta é o mesmo nome da política que gerou o alerta.
Um alerta só pode ser gerado a partir de uma política ativa. Depois de gerar um alerta, este permanece listado na página Alertas , independentemente de a política estar ativa ou inativa.
Filtrar a vista de alertas
Pode filtrar a vista de alertas ao selecionar o comando Filtrar acima da tabela na página Alertas . No painel lista de opções Filtro, selecione entre estas opções de filtro:
- Tipo de evento
- Severity
- Status
- Utilizador atribuído a
- Data de deteção
- Nome da política
Depois de efetuar as suas seleções, selecione Aplicar. O painel de lista de opções é fechado e a página Alertas atualizada mostra a vista filtrada. Os filtros são apresentados na parte superior da tabela, embora nem todas as colunas de filtro possam ser apresentadas na tabela.
Ver detalhes do alerta
Para ver todos os detalhes sobre o alerta, incluindo os eventos que o acionaram, selecione a linha na tabela. Um painel de lista de opções mostra os detalhes do alerta no separador Descrição geral do painel.
O separador Registo de eventos do painel de lista de opções lista as atividades que geraram o alerta, como uma alteração de classificação ou uma alteração de atribuição, juntamente com o nome do utilizador associado a cada ação e a data detetada.
Eventos de alerta
A coluna Evento na página Alertas indica as condições de uma política detetada; por outras palavras, a atividade que gerou o alerta. O separador Registo de eventos no painel de detalhes do alerta lista cada instância de um evento, o utilizador associado e a data detetada. Os valores dos eventos estão listados abaixo:
- Alteração de classificação: mostra o número de aumentos ou diminuições em pontos
- Alteração de atribuição: foi atribuída uma ação de melhoramento a um utilizador, reatribuída a um utilizador diferente ou não atribuída a um utilizador
- Implementação status alteração: um utilizador alterou a implementação de uma ação de melhoria status
- Teste status alteração: um utilizador alterou o status de teste de uma ação de melhoria.
- Alteração de provas: um utilizador carregou ou eliminou um documento de provas no separador Documentos da ação de melhoria
- Vários eventos: foram detetadas várias instâncias do mesmo tipo de evento; por exemplo, uma única ação de melhoramento que foi reatribuída várias vezes
- Várias condições: foram detetadas várias condições numa única política
Agregação de alertas para vários eventos num minuto
Quando ocorrem vários eventos que correspondem às condições de uma política de alerta com um minuto, são adicionados a um alerta existente por um processo chamado agregação de alertas.
Por exemplo, quando ocorre um evento que corresponde a uma política, é gerado e apresentado um alerta na página Alertas e é enviada uma notificação. Se ocorrer outro evento que corresponda à mesma política num minuto após o primeiro evento, o Gestor de Conformidade adiciona detalhes sobre o outro evento no separador Registo de eventos do alerta existente em vez de acionar um novo alerta. O objetivo da agregação de alertas é ajudar a reduzir a "fadiga" dos alertas e permitir que se concentre e tome medidas em menos alertas.
Tomar medidas em alertas
Quando uma das suas políticas gera um alerta, pode ver os eventos que causaram o alerta e determinar se precisa de verificar ou investigar mais aprofundadamente os eventos.
Para efetuar uma ação num alerta, selecione a respetiva linha na página Alertas para apresentar o painel de lista de opções com os respetivos detalhes, selecione o botão Ações e selecione entre as opções listadas abaixo. Também pode efetuar ações ao selecionar o botão redondo que aparece à esquerda do nome do alerta quando paira o cursor sobre a linha e ao selecionar um dos botões de ação junto à parte superior da página, acima dos filtros.
Atribuir alerta: poderá querer atribuir o alerta a um utilizador para investigar ou verificar os eventos que causaram o alerta. Quando escolhe esta opção, é aberto um painel onde pode selecionar um utilizador na sua organização e atribuir-lhe o alerta. Pode filtrar a vista de alertas ao selecionar Filtros na página Alertas e ao introduzir o nome do utilizador no campo Atribuído a .
Email alerta: poderá querer enviar um e-mail ao utilizador associado à atividade do alerta para confirmar que efetuou a ação. Quando escolhe esta opção, esta abre um modelo de e-mail com informações básicas sobre o alerta, que pode personalizar com instruções adicionais e enviadas ao utilizador.
Ver detalhes da política: poderá querer rever as definições da política que acionou o alerta. Quando seleciona esta opção, é direcionado diretamente para a página Políticas com o painel de detalhes da política já aberto. Deixará de estar na página Alertas quando fechar o painel de detalhes da política.
Alterar status: pode atualizar status para o alerta com base na revisão do respetivo impacto e se precisa de ser investigado. Saiba mais sobre os estados dos alertas na secção seguinte.
Status do alerta
Quando é criado um alerta, o respetivo status está Ativo. À medida que revê os detalhes de cada alerta, pode atualizar o respetivo status para qualquer um dos estados listados abaixo:
- Ativo: estado predefinido do alerta até que o respetivo status seja alterado
- A investigar: o alerta está em investigação
- Resolvido: o alerta não requer investigação ou seguimento mais aprofundados
- Dispensado: o alerta não é relevante ou não precisa de investigação
Para atribuir ou alterar o status de um alerta, selecione um alerta a partir da linha na tabela, selecione Alterar status junto à parte superior da página, acima dos filtros. No painel de lista de opções Atualizar alerta status, selecione uma status no menu pendente e, em seguida, selecione Atualizar alerta.
Assim que um alerta é gerado, o respetivo status é independente da status da política que gerou o alerta. Por exemplo, é possível ter um alerta ativo associado a uma política inativa e é possível ter uma status de investigação num alerta gerado por uma política que foi posteriormente inativada ou eliminada.
Quando as políticas são eliminadas
Quando uma política é eliminada, todos os alertas gerados por essa política permanecem na página Alertas , mas não são gerados novos alertas.
Email notificações de alertas
Quando cria uma política, é enviado um e-mail ao utilizador que criou a política alertando-o de que foi detetada uma correspondência. Pode optar por enviar estas notificações por email a mais utilizadores na sua organização. Os alertas ocorrem quase em tempo real e os notificações por email são enviados assim que um alerta é gerado. O e-mail contém o nome do evento, a gravidade, a hora detetada e uma ligação para ver o alerta no Gestor de Conformidade.
Remover utilizadores da receção de alertas
Se designar destinatários do alerta e, posteriormente, decidir removê-los, siga os passos abaixo. O criador da política continuará a receber notificações por email quando forem detetadas correspondências de política.
- Inicie os passos para editar a sua política.
- Quando chegar ao ecrã Destinatários do alerta , selecione +Selecionar destinatários.
- No painel de lista de opções Selecionar destinatários , localize o utilizador que pretende remover das notificações e desmarque a caixa à esquerda do respetivo nome e, em seguida, selecione o botão Adicionar destinatários (que tem o efeito de guardar a sua seleção).
- Continue através do assistente e confirme que o utilizador não aparece em Destinatários na página Rever e terminar. Selecione Atualizar para guardar as definições e concluir.