Políticas de alerta no Centro de conformidade de segurança do Office 365

Importante :  Este artigo foi traduzido por um sistema de tradução automática, leia o aviso de isenção de responsabilidade. Para sua referência, veja a versão em inglês deste artigo aqui.

Você pode usar a política de alerta de novo e ferramentas de alerta dashboard no Centro de Conformidade e Segurança do Office 365 para criar políticas de alerta e, em seguida, exibir os alertas que são gerados quando os usuários realizar atividades que correspondem às condições de uma política de alerta. Políticas de alerta desenvolver e expandir a funcionalidade de alertas de atividade, permitindo que você catagorize a política de alerta, a política se aplica a todos os usuários em sua organização, definir um limite de nível para quando um alerta é disparada e decida se deseja ou não receber emails notificações. Também há uma alertas do modo de exibição de alerta de página no Centro de Conformidade e Segurança onde você pode visualizar e filtrar, definir um status de alerta para ajudá-lo a gerenciar alertas e, em seguida, dispensar alertas depois endereçados ou resolvido subjacente incidente. Nós também já expandido o tipo de eventos que você pode criar alertas para. Por exemplo, você pode criar políticas de alerta para controlar a atividade de malware e ocorrências de perda de dados. Por fim, também há um número de padrão alerta políticas que ajudam você monitoram atribuindo privilégios de administrador no Exchange Online, ataques de malware e níveis incomuns de exclusões de arquivos e compartilhamento externo.

Atualmente, políticas de alerta exigem um Office 365 E5 assinatura para sua organização. Se você não tiver o plano e quer experimentar políticas de alerta, você pode inscrever-se para uma avaliação do Office 365 Enterprise E5.

Sumário

Trabalho de políticas como alerta

Configurações de política de alerta

Políticas de alerta padrão

Exibição de alertas

Gerenciar alertas

Trabalho de políticas como alerta

Aqui está uma rápida visão geral de como alerta trabalho de políticas e os alertas que são disparadores quando o usuário ou administrador atividade coincidem com as condições de uma política de alerta.

Visão geral de como alerta trabalho de políticas
  1. Administrador de sua organização cria, configura e ativa uma política de alerta usando a página de políticas de alerta na Centro de Conformidade e Segurança. Você também pode criar políticas de alerta, usando o cmdlet New-ProtectionAlert do PowerShell.

  2. Um usuário executa uma atividade que coincida com as condições de uma política de alerta. No caso de ataques de malware, mensagens de e-mail infectadas enviadas aos usuários em sua organização irá disparar um alerta.

  3. Office 365 gera um alerta que é exibido na página Exibir alertas na Centro de Conformidade e Segurança. Além disso, se as notificações por email estiverem ativadas para a política de alerta, Office 365 envia uma notificação para destinatários de uma lista.

  4. Um administrador gerencia alertas na Centro de Conformidade e Segurança. Gerenciar alertas consiste em atribuir um status de alerta para ajudar a controlar e gerenciar qualquer investigação.

Retornar ao início

Configurações de política de alerta

Uma política de alerta consiste em um conjunto de regras e condições que definem o usuário ou atividade de administrador que irá gerar um alerta, uma lista de usuários que iniciará o alerta se eles executarem a atividade, e limite que define quantas vezes a atividade deve ocorrer antes de um alerta n é acionado. Você também categorizar a política e atribuí-la um nível de gravidade. Estas duas configurações ajudam você a gerenciar políticas de alerta (e os alertas que são acionados quando as condições de política são combinadas) porque você pode filtrar essas configurações ao gerenciar políticas e exibir alertas na Centro de Conformidade e Segurança. Por exemplo, você pode exibir alertas que coincidem com as condições da mesma categoria ou alertas do modo de exibição com o mesmo nível de gravidade.

Para exibir e criar políticas de alerta, vá para alertas > políticas de alerta na Centro de Conformidade e Segurança.

Em segurança e Complinace central, clique em alertas, clique em políticas de alerta para exibir e criar políticas de alerta

Uma política de alerta consiste em configurações e condições a seguir.

  • Atividade de alerta está acompanhando    Criar uma política para controlar uma atividade ou em alguns casos, algumas atividades relacionadas, tal um compartilhar um arquivo com um usuário externo, compartilhá-lo, atribuindo permissões de acesso ou criar um link de anônimo. Quando um usuário executa a atividade definida pela diretiva, um alerta é acionado com base nas configurações de limite de alerta.

  • Condições de atividade    Na maioria das atividades, você pode definir condições adicionais que devem ser atendidas para um alerta para ser acionada. Condições comuns incluem IP endereços (de forma que um alerta é acionado quando o usuário executa a atividade em um computador com um endereço IP específico ou dentro de um intervalo de endereços IP), se um alerta é acionado se um usuário específico ou usuários realizarem atividade e se a atividade é executada em um nome de arquivo específico ou a URL. Você também pode configurar uma condição que dispara um alerta quando a atividade é executada por qualquer usuário em sua organização. Observe que as condições disponíveis dependem da atividade selecionada.

  • Limite de alerta    Você pode definir uma configuração de limite que define a frequência uma atividade pode ocorrer antes que um alerta é acionado. Isso permite que você defina uma política para gerar um alerta sempre que uma atividade coincide com as condições de política ou somente quando um determinado limite é excedido. O limite define quantas vezes uma atividade pode ocorrer dentro de um intervalo de tempo antes que um alerta é gerado.

    Você também pode atribuir um limite de alerta com base em uma atividade incomum . Se você selecionar esse tipo de configuração de limite, Office 365 estabelece um valor de linha de base que define a frequência normal da atividade selecionada; leva até 7 dias para estabelecer essa linha de base, durante o qual os alertas não geradas. Depois que a linha de base é estabelecida, um alerta será acionado quando a frequência da atividade acompanhada pela política de alerta bastante excede o valor de linha de base. Para atividades de auditoria relacionados (como atividades de arquivo e pasta), você pode estabelecer uma linha de base com base em um único usuário ou todos os usuários em sua organização; para atividades de malware relacionados, você pode estabelecer uma linha de base com base em uma família de malware único, um único destinatário ou todas as mensagens em sua organização.

  • Categoria de alerta    Para ajudar com acompanhamento e gerenciando os alertas gerados por uma política, você pode atribuir uma das categorias a seguir para uma política.

    • Governança de dados

    • Proteção contra perda de dados

    • Permissões

    • Gerenciamento de ameaças

    • Outros

    Quando uma atividade ocorre que coincida com as condições da política de alerta, o alerta que é gerado marcado com a categoria definida nesta configuração. Isso permite controlar e gerenciar alertas que têm a mesma configuração de categoria na página Exibir alertas na Centro de Conformidade e Segurança porque você pode classificar e filtrar alertas com base na categoria.

  • Gravidade de alerta    Semelhante à categoria de alerta, você atribuir um atributo de gravidade (baixa, média ou alta ) às políticas de alerta. Como a categoria de alerta, quando uma atividade ocorre que coincida com as condições da diretiva de alerta, o alerta que é gerado marcado com o mesmo nível de gravidade que é definido para a política de alerta. Novamente, isso permite controlar e gerenciar alertas que têm a mesma configuração de gravidade na página Exibir alertas. Por exemplo, você pode filtrar a lista de alertas para que somente os alertas com uma alta gravidade sejam exibidos.

    Dica : Ao configurar uma política de alerta, considere a possibilidade de atribuir uma maior gravidade às atividades que podem resultar em consequências seriamente negativas, como detecção de malware após a entrega aos usuários, a visualização dos dados confidenciais ou classificados, compartilhamento de dados com usuários externos, ou outras atividades que podem resultar em ameaças de segurança ou de perda de dados. Isso pode ajudá-lo a priorizar alertas e as ações que você tomar para investigar e solucionar as causas subjacentes.

  • Notificações por email    Você pode configurar a política para que as notificações de email são enviadas (ou não enviadas) para uma lista de usuários quando um alerta é acionado. Você também pode definir um limite de notificação diária para que quando for alcançado o número máximo de notificações, nenhuma notificação mais sejam enviadas para o alerta naquele dia. No adicionais para notificações de email que você ou outros administradores podem exibir os alertas que são disparados por uma política na página Exibir alertas. Considere habilitar notificações de email para políticas de alerta de uma categoria específica ou que têm uma configuração de gravidade mais alta.

Retornar ao início

Políticas de alerta padrão

Office 365 fornece as seguintes políticas de alerta internas que ajudam a identificar abuse de permissões de administrador do Exchange, a atividade de malware e riscos de gestão de dados. Essas políticas estão ativadas por padrão. Você pode desativar essas políticas (ou logon novamente), configure uma lista de destinatários para enviar notificações de email para e um limite de notificação diárias. As outras configurações para essas políticas não podem ser editadas.

Na página políticas de alerta, o nome dessas diretivas internos estão em negrito e o tipo de política é definido como sistema.

  • Criação de regra de encaminhamento/redirecionamento    Gera um alerta quando alguém de sua organização cria uma regra de caixa de entrada para suas caixas de correio que encaminha ou redireciona mensagens para outra conta de email. Essa política tem uma configuração de gravidade baixa. Para obter mais informações usando as regras para encaminhar e redirecionar email no Outlook, consulte encaminhar e redirecionamento de email automaticamente.

  • Privilégio de administrador de elevação do Exchange    Gera um alerta quando alguém está atribuído permissões administrativas em sua organização de Exchange Online; Por exemplo, se um usuário é adicionado ao grupo de função gerenciamento da organização no Exchange Online. Essa política tem uma configuração de gravidade baixa.

  • Campanha de malware detectado após a entrega    Gera um alerta quando um grande número incomum de mensagens que contêm malware é entregues às caixas de correio em sua organização. Se esse evento ocorre, Office 365 remove mensagens infectadas Exchange Online caixas de correio. Essa política tem uma configuração de gravidade alta.

  • Campanha de malware detectado e bloqueado    Gera um alerta quando alguém tentou enviar um grande número incomum de mensagens de email contendo um determinado tipo de malware aos usuários em sua organização. Se esse evento ocorrer, mensagens infectadas são bloqueadas pelo Office 365 e não entregues às caixas de correio. Essa política tem uma configuração de gravidade baixa.

  • Campanha de malware detectada em SharePoint e OneDrive   gera um alerta quando um alto volume de malware ou vírus for detectado em arquivos localizados em sites de SharePoint ou OneDrive contas em sua organização. Essa política tem uma configuração de gravidade alta.

  • Atividade de arquivo de usuário externo incomuns    Gera um alerta quando um geralmente grande número de atividades executado em arquivos de SharePoint ou OneDrive pelos usuários fora da sua organização. Isso inclui atividades como acessar arquivos, download de arquivos e excluir arquivos. Essa política tem uma configuração de gravidade alta.

  • Compartilhamento de volume incomuns de arquivo externo    Gera um alerta quando um geralmente grande número de arquivos em SharePoint ou OneDrive é compartilhado com usuários fora da sua organização. Essa política tem uma configuração de gravidade média.

  • Volume incomuns de exclusão de arquivo    Gera um alerta quando um grande número incomum de arquivos é excluído no SharePoint ou OneDrive em um quadro de hora abreviada. Essa política tem uma configuração de gravidade média.

  • Incomuns volume de mensagens relatada como phishing ou lixo eletrônico/não sendo lixo eletrônico    Gera um alerta quando há um aumento significativo no número de pessoas em sua organização usando o suplemento de mensagem de relatório no Outlook às mensagens de relatório como lixo eletrônico, não sendo lixo eletrônico ou email de phishing. Essa política tem uma configuração de gravidade alta. Para obter mais informações sobre esse suplemento, consulte usar o suplemento de mensagem de relatório.

Observe que a atividade incomum monitorada por algumas das diretivas internas se baseia o mesmo processo conforme o limite de alerta configuração que foi descrito anteriormente. Office 365 estabelece um valor de linha de base que define a frequência normal para atividade "normal". Alertas, em seguida, são disparadas quando a frequência de atividades controladas pela política de alerta interna bastante excede o valor de linha de base.

Retornar ao início

Exibição de alertas

Quando uma atividade realizado por usuários de sua organização corresponderem às configurações de uma política de alerta, um alerta é gerado e exibido na página Exibir alertas na Centro de Conformidade e Segurança. Dependendo das definições de uma política de alerta, uma notificação por email também sejam enviada para uma lista de usuários especificados quando um alerta é acionado. Para cada alerta, o dashboard na página Exibir alertas exibe o nome da política de alerta de correspondente, gravidade e categoria para o alerta (definidos na política de alerta) e o número de vezes que ocorreu uma atividade que resultaram no alerta que está sendo gerado; Esse valor baseia-se a configuração de limite da política de alerta. O painel também mostra o status de cada alerta. Consulte a seção Gerenciando alertas para obter mais informações sobre como usar a propriedade status para gerenciar alertas.

Para exibir alertas, vá para alertas > Exibir alertas na Centro de Conformidade e Segurança.

Em segurança e Complinace central, clique em alertas, clique em Exibir alertas para exibir alertas

Você pode usar os seguintes filtros para exibir um subconjunto de todos os alertas na página Exibir alertas.

  • Status    Use este filtro para mostrar alertas que são atribuídas a um determinado status; o status padrão está ativo. Você ou outros administradores podem alterar o valor de status.

  • Políticas    Use esse filtro para mostrar alertas que correspondem à configuração de uma ou mais diretivas de alerta. Ou, você pode apenas exibir todos os alertas para todas as políticas de alerta.

  • Intervalo de tempo    Use esse filtro para mostrar alertas que foram gerados dentro de uma data específica e o intervalo de tempo.

  • Gravidade    Use esse filtro para mostrar alertas que são atribuídas a uma gravidade específico.

  • Categoria    Use esse filtro para mostrar alertas de uma ou mais categorias de alerta.

Retornar ao início

Gerenciar alertas

Depois de alertas foram geradas e exibidas na página Exibir alertas na Centro de Conformidade e Segurança, você pode triagem, investigar e resolvê-los. Aqui estão algumas tarefas que você pode executar para gerenciar alertas.

  • Atribuir um status a alertas    Você pode atribuir um dos seguintes status para alertas: ativo (o valor padrão), Investigating, resolvido ou Dismissed. Em seguida, você pode filtrar essa configuração para exibir alertas com a mesma configuração de status. Esta configuração de status pode ajudar a acompanhar o processo de gerenciamento de alertas.

  • Exibir detalhes de alerta    Você pode clicar em um alerta para exibir uma página de submenu com detalhes sobre o alerta. As informações detalhadas dependem a política de alerta correspondente, mas geralmente inclui o seguinte: nome da operação real que disparou o alerta (como um cmdlet), uma descrição da atividade que disparou o alerta, o usuário (ou lista de usuários) quem disparou o alerta e política de alerta de nome (e link para) do correspondente.

    • O nome da operação real que disparou o alerta, como um cmdlet ou uma operação de log de auditoria.

    • Uma descrição da atividade que disparou o alerta.

    • O usuário que disparou o alerta; Este é incluído somente para políticas de alerta que estão configuradas para acompanhar um único usuário ou uma única atividade.

    • O número de vezes que a atividade controlada pelo alerta foi executado. Observe que este número pode não coincidir com esse número real de alertas relacionados listados na página Exibir alertas porque alertas adicionais podem ter sido disparadas.

    • Um link para uma lista de atividade que inclui um item para cada atividade que foi executada que disparou o alerta. Cada entrada nesta lista identifica quando ocorreu a atividade, o nome da operação real, (como "FileDeleted") e o usuário que executou a atividade, o objeto (como um arquivo, um caso de descoberta eletrônica ou uma caixa de correio) que a atividade foi executada em e o IP endereço do computador do usuário. Para malware relacionadas alertas, esta contém links para uma lista de mensagens.

    • O nome (e link para) da política de alerta correspondente.

  • Suprimir notificações de email    Você pode desativar (ou suprimir) notificações de email da página do submenu para um alerta. Quando você suprime notificações por email, Office 365 não enviar notificações quando atividades ou eventos que corresponderem às condições da política de alerta. No entanto, alertas continuará a ser disparador quando atividades realizadas pelos usuários coincidem com as condições da política de alerta. Você também pode desativar notificações por email editando a política de alerta.

  • Resolver alertas    Você pode marcar um alerta como resolvido na página do submenu para um alerta (que define o status do alerta para resolvida ). A menos que você alterar o filtro, alertas resolvidos não são exibidos na página Exibir alertas.

Retornar ao início

Observação : Aviso de Isenção de Tradução Automática: Este artigo foi traduzido por computador, sem intervenção humana. A Microsoft oferece essas traduções automáticas para ajudar as pessoas que não falam inglês a aproveitar os textos escritos sobre produtos, serviços e tecnologias da Microsoft. Como este artigo foi traduzido automaticamente, é possível que contenha erros de vocabulário, sintaxe ou gramática.

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×