Introdução às provas forenses da gestão de riscos internos
Importante
As provas forenses são uma funcionalidade de suplemento opt-in na Gestão de Riscos Internos que fornece às equipas de segurança informações visuais sobre potenciais incidentes de segurança de dados internos, com a privacidade dos utilizadores incorporada. As provas forenses incluem acionadores de eventos personalizáveis e controlos de proteção de privacidade de utilizadores incorporados, permitindo que as equipas de segurança investiguem, compreendam e respondam melhor a potenciais riscos de dados internos, como a transferência não autorizada de dados confidenciais.
As organizações definem as políticas certas para si mesmas, incluindo que eventos de risco são a prioridade mais alta para capturar provas forenses e quais os dados mais sensíveis. As provas forenses estão desativadas por predefinição, a criação de políticas requer autorização dupla e os nomes de utilizador podem ser mascarados com pseudonimização (que está ativada por predefinição para a Gestão de Riscos Internos). A configuração de políticas e a revisão de alertas de segurança na Gestão de Riscos Internos tira partido de controlos de acesso baseados em funções fortes (RBAC), garantindo que as pessoas designadas na organização estão a tomar as ações certas com capacidades de auditoria adicionais.
Importante
Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar potenciais riscos internos maliciosos ou inadvertidos, como roubo de IP, fuga de dados e violações de segurança. A gestão de riscos internos permite que os clientes criem políticas para gerir a segurança e a conformidade. Criados com privacidade por predefinição, os utilizadores são pseudonimizados por predefinição e os controlos de acesso baseados em funções e os registos de auditoria estão implementados para ajudar a garantir a privacidade ao nível do utilizador.
A configuração de provas forenses na sua organização é semelhante à configuração de outras políticas a partir de modelos de políticas de gestão de riscos internos. Em geral, irá seguir os mesmos passos básicos de configuração para configurar provas forenses, mas existem algumas áreas que precisam de ações de configuração específicas de funcionalidades antes de começar com os passos básicos de configuração.
Dica
Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.
Passo 1: Confirmar a sua subscrição e configurar o acesso ao armazenamento de dados
Antes de começar com as provas forenses, deve confirmar a sua subscrição de gestão de riscos internos e quaisquer suplementos.
Além disso, tem de adicionar os seguintes domínios à firewall e à lista de permissões do servidor proxy para suportar o armazenamento de captura de provas forenses para a sua organização:
Mundial - Domínio
- compliancedrive.microsoft.com
- *.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft
GCC/GCC High - Domínio
- *.compliancedrive.microsoft.us
- tb.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft
DOD - Domínio
- dod.compliancedrive.apps.mil
- pf.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft
Para obter mais informações sobre estes pontos finais, consulte Pontos finais do Microsoft 365.
Observação
As capturas e capturas de dados são armazenadas nestes domínios e são atribuídas apenas à sua organização. Nenhuma outra organização do Microsoft 365 tem acesso a capturas de provas forenses para a sua organização.
Os dados de provas forenses são armazenados numa região onde a sua região de Proteção do Exchange Online (EOP) ou troca está definida.
Passo 2: Configurar dispositivos suportados
Os dispositivos de utilizador elegíveis para a captura de provas forenses têm de estar integrados no portal de conformidade do Microsoft Purview e têm de ter o Cliente Do Microsoft Purview instalado.
Importante
O Cliente do Microsoft Purview recolhe automaticamente dados de diagnóstico gerais relacionados com a configuração do dispositivo e as métricas de desempenho. Isto inclui dados sobre erros críticos, consumo de RAM, falhas de processos e outros dados. Estes dados ajudam-nos a avaliar o estado de funcionamento do cliente e a identificar quaisquer problemas. Para obter mais detalhes sobre a forma como os dados de diagnóstico podem ser utilizados, veja a Utilização de Software com Serviços Online nos Termos do Produto Microsoft.
Para obter uma lista dos requisitos de configuração e do dispositivo, veja Saiba mais sobre provas forenses. Para integrar dispositivos suportados, conclua os passos descritos no artigo Descrição geral carregar Windows 10 e Windows 11 dispositivos no Microsoft 365.
Instalar o cliente do Microsoft Purview
Selecione a guia apropriada para o portal que você está usando. Dependendo do seu plano do Microsoft 365, o portal de conformidade do Microsoft Purview será descontinuado ou será descontinuado em breve.
Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
Aceda à solução Gestão de Riscos Internos.
Selecione Provas Forenses no painel de navegação esquerdo e, em seguida, selecione Instalação do cliente.
Selecione Transferir pacote do instalador (versão x64) para transferir o pacote de instalação para Windows.
Depois de transferir o pacote de instalação, utilize o método preferencial para instalar o cliente nos dispositivos dos utilizadores. Estas opções podem incluir a instalação manual do cliente em dispositivos ou ferramentas para ajudar a automatizar a instalação do cliente:
- Microsoft Intune: Microsoft Intune é uma solução integrada para gerir todos os seus dispositivos. A Microsoft reúne Configuration Manager e Intune, sem uma migração complexa e com licenciamento simplificado.
- Soluções de gestão de dispositivos de terceiros: se a sua organização estiver a utilizar soluções de gestão de dispositivos de terceiros, consulte a documentação destas ferramentas para instalar o cliente.
Passo 3: Configurar definições
As provas forenses têm várias definições de configuração que proporcionam flexibilidade para os tipos de atividade de utilizador relacionada com segurança capturadas, captura de parâmetros, limites de largura de banda e opções de captura offline. A captura de provas forenses permite-lhe criar políticas com base nos seus requisitos em apenas alguns passos e adicionar utilizadores a uma política requer autorização dupla.
Selecione a guia apropriada para o portal que você está usando. Dependendo do seu plano do Microsoft 365, o portal de conformidade do Microsoft Purview será descontinuado ou será descontinuado em breve.
Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
Aceda à solução Gestão de Riscos Internos.
Selecione Provas forenses no painel de navegação esquerdo e, em seguida, selecione Definições de provas forenses.
Selecione Captura de provas forenses para permitir a captura de apoio nas suas políticas de provas forenses. Se esta opção for desativada mais tarde, esta ação removerá todos os utilizadores adicionados anteriormente para políticas de provas forenses.
Importante
O Cliente do Microsoft Purview utilizado para capturar a atividade nos dispositivos dos utilizadores é licenciado ao abrigo da Utilização de Software com os Serviços Online nos Termos do Produto Microsoft. Tenha em atenção que os clientes são os únicos responsáveis pela utilização da solução de gestão de riscos internos, incluindo o Cliente Do Microsoft Purview, em conformidade com todas as leis aplicáveis.
Na secção Capturar janela , defina quando iniciar e parar a captura de atividade. Os valores disponíveis são 10 segundos, 30 segundos, 1 minuto, 3 minutos ou 5 minutos.
Na secção Carregar limite de largura de banda , defina a quantidade de dados de captura a carregar para a sua conta de armazenamento de dados por utilizador, por dia. Os valores disponíveis são 100 MB, 250 MB, 500 MB, 1 GB ou 2 GB.
Na secção Limite de cache de captura offline , defina o tamanho máximo da cache a armazenar nos dispositivos dos utilizadores quando a captura offline está ativada. Os valores disponíveis são 100 MB, 250 MB, 500 MB, 1 GB ou 2 GB.
Selecione Salvar.
Passo 4: Criar uma política
As políticas de provas forenses definem o âmbito da atividade do utilizador relacionada com segurança a capturar para dispositivos configurados. Existem duas opções para capturar provas forenses:
- Capture apenas atividades específicas (como imprimir ou exfiltrar ficheiros). Com esta opção, pode escolher as atividades do dispositivo que pretende capturar e apenas estas atividades selecionadas são capturadas pela política. Também pode optar por capturar atividade para aplicações e/ou sites de ambiente de trabalho específicos. Desta forma, pode concentrar-se apenas nas atividades, aplicações e sites que apresentam riscos.
- Capture todas as atividades que os utilizadores aprovados realizam nos respetivos dispositivos. Normalmente, esta opção é utilizada durante um período de tempo específico, por exemplo, quando um determinado utilizador está potencialmente envolvido em atividades de risco que podem levar a um incidente de segurança. Todos os indicadores de provas forenses são incluídos automaticamente se selecionar esta opção, incluindo indicadores de dispositivo e indicadores de Proteção de Phishing Avançada. Para preservar a capacidade e a privacidade dos utilizadores, pode optar por excluir aplicações e/ou sites de ambiente de trabalho específicos da captura, conforme descrito abaixo.
Depois de criar uma política, irá incluí-la em pedidos de provas forenses para controlar que atividade capturar para os utilizadores cujos pedidos são aprovados.
Observação
As políticas forenses contínuas (captura de todas as atividades) têm precedência sobre políticas de provas forenses selectivas (capturando apenas atividades específicas).
Capturar apenas atividades específicas
Selecione a guia apropriada para o portal que você está usando. Dependendo do seu plano do Microsoft 365, o portal de conformidade do Microsoft Purview será descontinuado ou será descontinuado em breve.
Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
Aceda à solução Gestão de Riscos Internos.
Selecione Provas forenses no painel de navegação esquerdo e, em seguida, selecione Políticas de provas forenses.
Selecione Criar política de provas forenses.
Na página Âmbito , selecione Atividades específicas. Esta opção captura apenas as atividades detetadas por políticas nas quais os utilizadores estão incluídos. Estas atividades são definidas pelos indicadores selecionados nas políticas de provas forenses. As capturas para esta opção estão disponíveis para revisão no separador Provas forenses (pré-visualização) no dashboard Alertas ou Casos.
Selecione Avançar.
Na página Nom e descrição, complete os seguintes campos:
- Nome (obrigatório): introduza um nome amigável para a política de provas forenses. Este nome não pode ser alterado após a criação da política.
- Descrição (opcional): introduza uma descrição para a política de provas forenses.
Selecione Avançar.
Na página Escolher atividades do dispositivo a capturar :
- Selecione as atividades do dispositivo que pretende capturar. Apenas as atividades selecionadas são capturadas pela política.
Observação
Se os indicadores não forem selecionáveis, ser-lhe-á pedido para os ativar.
- Também pode optar por capturar atividade para aplicações de ambiente de trabalho específicas e/ou sites na sua política ao selecionar a caixa Abrir uma aplicação ou site específico marcar em Atividades de navegação na Web e aplicação para capturar.
Importante
Se quiser capturar atividades de navegação (para incluir ou excluir URLs específicos nas suas políticas de provas forenses), certifique-se de que instala as extensões de browser necessárias. Também tem de ativar, pelo menos, um indicador de navegação. Se ainda não tiver ativado um ou mais indicadores de navegação, ser-lhe-á pedido que o faça se optar por incluir ou excluir aplicações ou sites de ambiente de trabalho. O evento de acionamento para capturar atividades de navegação é uma atualização de URL na barra de URL que contém o URL especificado.
- Selecione Avançar.
- Selecione as atividades do dispositivo que pretende capturar. Apenas as atividades selecionadas são capturadas pela política.
(Opcional) Se optou por capturar atividade para aplicações e sites de ambiente de trabalho específicos, na página Adicionar aplicações e sites para os quais pretende capturar atividade :
- Para adicionar uma aplicação de ambiente de trabalho, selecione Adicionar aplicações de ambiente de trabalho, introduza o nome de um ficheiro executável (por exemplo, teams.exe) e, em seguida, selecione Adicionar. Repita este processo para cada aplicação de ambiente de trabalho que pretende adicionar (até 25 aplicações). Para localizar o nome de um ficheiro executável para a aplicação, abra o Gestor de Tarefas e, em seguida, veja as propriedades da aplicação. Eis uma lista de nomes exe para algumas das aplicações comuns: Microsoft Edge (msedge.exe), Microsoft Excel (Excel.exe), ferramenta de Recorte (SnippingTool.exe), Microsoft Teams (Teams.exe), Microsoft Word (WinWord.exe) e Ligação Área de Trabalho Remota da Microsoft (mstsc.exe).
Observação
Por vezes, os nomes exe de uma aplicação podem diferir com base no dispositivo e nas permissões com as quais a aplicação foi aberta. Por exemplo, num dispositivo Windows 11 empresa, quando Windows PowerShell é aberto sem permissões de administrador, o nome exe é WindowsTerminal.exe mas, quando aberto com permissões de administrador, o nome exe muda para powershell.exe. Certifique-se de que inclui/exclui ambos os nomes exe nesses cenários.
- Para adicionar uma aplicação Web ou site, selecione Adicionar aplicações Web e sites, introduza um URL (por exemplo, ) e, em seguida, https://teams.microsoft.comselecione Adicionar. Repita este processo para cada aplicação Web ou site que pretende adicionar. Pode adicionar até 25 URLs com um comprimento de caráter de 100 para cada URL.
Dica
Se uma aplicação tiver uma versão de ambiente de trabalho e Web, certifique-se de que adiciona o executável de ambiente de trabalho e o URL da Web para se certificar de que captura a atividade para ambos.
- Selecione Avançar.
Na página Rever definições e conclusão , reveja as definições que escolheu para a política e quaisquer sugestões ou avisos para as suas seleções. Edite qualquer um dos valores da política ou selecione Submeter para criar e ativar a política.
Depois de concluir os passos de configuração da política, avance para o Passo 5.
Capturar todas as atividades
Selecione a guia apropriada para o portal que você está usando. Dependendo do seu plano do Microsoft 365, o portal de conformidade do Microsoft Purview será descontinuado ou será descontinuado em breve.
Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
Aceda à solução Gestão de Riscos Internos.
Selecione Provas forenses no painel de navegação esquerdo e, em seguida, selecione Políticas de provas forenses.
Selecione Criar política de provas forenses.
Na página Âmbito , selecione Todas as atividades. Esta opção captura qualquer atividade realizada pelos utilizadores. As capturas para esta opção estão disponíveis para revisão no separador Provas forenses (pré-visualização) nos relatórios de atividade do utilizador (pré-visualização) dashboard.
Selecione Avançar.
Na página Nom e descrição, complete os seguintes campos:
- Nome (obrigatório): introduza um nome amigável para a política de provas forenses. Este nome não pode ser alterado após a criação da política.
- Descrição (opcional): introduza uma descrição para a política de provas forenses.
Selecione Avançar.
Na página Escolher atividades do dispositivo a capturar, se pretender excluir determinadas aplicações de ambiente de trabalho e/ou aplicações Web ou sites da captura, em Atividades de navegação na Web e aplicação a capturar, selecione a caixa de marcar Excluir aplicações ou sites específicos.
Selecione Avançar.
Se optar por excluir aplicações e sites de ambiente de trabalho específicos da captura, na página Excluir aplicações/URLs :
- Para excluir uma aplicação de ambiente de trabalho da captura, selecione Excluir aplicações de ambiente de trabalho, introduza o nome de um ficheiro executável (por exemplo, teams.exe) e, em seguida, selecione Adicionar. Repita este processo para cada aplicação de ambiente de trabalho que pretende excluir (até 25 aplicações). Para localizar o nome de um ficheiro executável de uma aplicação, abra o Gestor de Tarefas e, em seguida, veja as propriedades da aplicação.
- Para excluir uma aplicação Web ou site, selecione Excluir aplicações Web e sites, introduza um URL (por exemplo, ) e, em seguida, https://teams.microsoft.comselecione Adicionar. Repita este processo para cada aplicação Web ou site que pretende excluir. Pode excluir até 25 URLs com um comprimento de caráter de 100 para cada URL.
Dica
Se uma aplicação tiver uma versão de ambiente de trabalho e Web, certifique-se de que adiciona o executável de ambiente de trabalho e o URL da Web para se certificar de que exclui ambos.
Na página Rever definições e conclusão , reveja as definições que escolheu para a política e quaisquer sugestões ou avisos para as suas seleções. Edite qualquer um dos valores da política ou selecione Submeter para criar e ativar a política.
Depois de concluir os passos de configuração da política, avance para o Passo 5.
Passo 5: Definir e aprovar utilizadores para captura
Para que as atividades de utilizador relacionadas com a segurança possam ser capturadas, os administradores têm de seguir o processo de autorização dupla em provas forenses. Este processo determina que a ativação da captura visual para utilizadores específicos é definida e aprovada por pessoas aplicáveis na sua organização.
Tem de pedir que a captura de provas forenses esteja ativada para utilizadores específicos. Quando um pedido é submetido, os aprovadores na sua organização são notificados por e-mail e podem aprovar ou rejeitar o pedido. Se for aprovado, o utilizador aparecerá no separador Utilizadores aprovados e será elegível para captura. Veja estas ligações para obter mais informações:
- Pedir aprovação para captura de provas forenses.
- Aprovar (ou rejeitar) pedidos de captura de provas forenses.
Próximas etapas
Depois de configurar a sua política de provas forenses, a aplicação da política pode demorar até duas horas, dado que os clientes de provas forenses (instalados nos dispositivos de ponto final) estão online. Quando um clip é capturado pelo cliente, pode demorar até uma hora até que o clip esteja disponível para revisão. Para obter mais informações sobre como gerir provas forenses e rever capturas de clipes, veja o artigo Gerir provas forenses de gestão de riscos de informação .