Quando sua organização usa o Gerenciamento de Risco Interno do Microsoft 365, alertas são gerados quando a atividade do usuário corresponde a uma política de risco definida. Esses alertas geralmente apontam para arquivos específicos armazenados no OneDrive que podem ter sido compartilhados, baixados ou acessados de forma suspeita. Como oficial de conformidade ou administrador de segurança, você precisa verificar quais arquivos do OneDrive acionaram o alerta e avaliar se a atividade é legítima ou maliciosa. Este artigo explica como localizar o alerta no portal de conformidade do Microsoft 365, revisar os arquivos do OneDrive associados e tomar a ação adequada.
Principais Conclusões: Verificando Arquivos do OneDrive em Alertas de Risco Interno
- Portal de conformidade do Microsoft 365 > Gerenciamento de risco interno > Alertas: O local central para visualizar todos os alertas de risco interno e filtrar por política ou data.
- Painel de detalhes do alerta > Explorador de atividades: Mostra todas as ações relacionadas a arquivos do usuário, incluindo uploads, downloads, compartilhamentos e exclusões do OneDrive.
- Explorador de atividades > Filtro de arquivo: Permite restringir a lista apenas a arquivos do OneDrive selecionando o filtro de carga de trabalho e digitando o nome ou caminho do arquivo.
O Que Aciona um Alerta de Risco Interno para Arquivos do OneDrive
O Gerenciamento de Risco Interno no Microsoft 365 monitora o comportamento do usuário no Exchange, SharePoint, Teams e OneDrive. Quando um usuário realiza uma ação que corresponde a uma regra de política — como baixar um grande número de arquivos do OneDrive para um dispositivo pessoal, compartilhar um arquivo com um domínio externo ou excluir arquivos pouco antes de sair da empresa — o sistema gera um alerta. Cada alerta contém um resumo da atividade detectada e um link para a linha do tempo de atividades do usuário.
O alerta não lista automaticamente todos os arquivos do OneDrive que o usuário tocou. Em vez disso, fornece um ponto de partida: a identidade do usuário, a política que foi acionada e o intervalo de datas. Para ver os arquivos específicos do OneDrive, você deve abrir o alerta e usar o Explorador de atividades. Essa ferramenta registra cada evento de arquivo com metadados, incluindo nome do arquivo, caminho, tamanho e a ação exata realizada.
Antes de começar, certifique-se de ter uma das seguintes funções de administrador atribuídas: Administrador de Gerenciamento de Risco Interno, Analista de Gerenciamento de Risco Interno ou Investigador de Gerenciamento de Risco Interno. Sem essas funções, a guia Alertas e o Explorador de atividades não ficarão visíveis.
Passos para Verificar Arquivos do OneDrive em um Alerta de Risco Interno
- Entre no portal de conformidade do Microsoft 365
Abra um navegador e acesse https://compliance.microsoft.com. Faça login com uma conta que tenha a função de Analista de Gerenciamento de Risco Interno ou superior. - Navegue até Gerenciamento de risco interno > Alertas
No painel de navegação esquerdo, selecione Gerenciamento de risco interno. Em seguida, clique em Alertas. Você verá uma lista de todos os alertas gerados por suas políticas. Use a barra de filtros na parte superior para restringir por status, gravidade, nome da política ou intervalo de datas. - Abra o alerta específico
Clique no alerta que deseja investigar. O painel de detalhes do alerta é aberto no lado direito. Ele mostra o nome do usuário, a política que acionou o alerta, a data e hora e uma breve descrição da atividade. - Clique em Visualizar atividade no painel de detalhes do alerta
Na parte inferior do painel de detalhes do alerta, clique no botão Visualizar atividade. Isso abre o Explorador de atividades para aquele usuário, pré-filtrado para o intervalo de datas do alerta. - Aplique o filtro de arquivo para mostrar apenas arquivos do OneDrive
No Explorador de atividades, localize a barra de filtros acima da lista de atividades. Clique no botão Adicionar filtro. Selecione Carga de trabalho no menu suspenso e marque OneDrive. Clique em Aplicar. A lista agora mostra apenas atividades realizadas no OneDrive. - Revise os detalhes do arquivo na lista de atividades
Cada linha na lista representa um evento de arquivo. As colunas incluem Nome do arquivo, Caminho do arquivo, Atividade (como FileDownloaded, FileSharedExternally, FileDeleted), Data e Tamanho. Clique em qualquer linha para ver metadados adicionais, como o endereço IP do usuário e o nome do dispositivo. - Exporte a lista de atividades para análise posterior, se necessário
Para salvar a lista de eventos de arquivos do OneDrive, clique no botão Exportar acima da lista de atividades. Os dados são baixados como um arquivo CSV. Você pode abri-lo no Excel para classificar, filtrar ou compartilhar com outros investigadores.
Se o Alerta Não Mostrar Arquivos do OneDrive
O Explorador de atividades não mostra eventos do OneDrive
Se você aplicar o filtro de Carga de trabalho para OneDrive e a lista de atividades estiver vazia, o usuário pode não ter realizado nenhuma ação no OneDrive durante a janela de tempo do alerta. Verifique se a descrição do alerta menciona uma carga de trabalho diferente, como SharePoint ou Exchange. Remova o filtro de Carga de trabalho e revise todas as atividades para ver qual carga de trabalho realmente acionou o alerta.
O alerta menciona um arquivo, mas você não consegue encontrá-lo na lista
Alguns alertas incluem nomes de arquivos no texto da descrição. Se o arquivo não aparecer no Explorador de atividades, ele pode ter sido excluído após a atividade ocorrer. Exclusões de arquivos do OneDrive são registradas como eventos FileDeleted. Se o arquivo foi excluído antes da geração do alerta, os metadados ainda podem estar presentes no log de auditoria. Vá para Auditoria no portal de conformidade e pesquise pelo nome do arquivo com a conta do usuário para recuperar o registro histórico.
Você precisa ver o conteúdo do arquivo, não apenas os metadados
O Explorador de atividades mostra apenas metadados — nome do arquivo, caminho, tamanho e ação. Ele não exibe o conteúdo do arquivo. Para visualizar o arquivo real, clique no link Abrir no Microsoft 365 no painel de detalhes da atividade. Isso abre o arquivo em seu local nativo no OneDrive, desde que você tenha acesso de leitura ao OneDrive do usuário. Se você não tiver acesso, solicite uma revisão de conteúdo ao gerente do usuário ou a um administrador do SharePoint com as permissões necessárias.
Explorador de Atividades vs Log de Auditoria para Verificações de Arquivos do OneDrive
| Item | Explorador de Atividades | Log de Auditoria (Log de Auditoria Unificado) |
|---|---|---|
| Método de acesso | Dentro de um alerta de risco interno ou pelo painel de gerenciamento de risco interno | Guia Auditoria no portal de conformidade ou pelo cmdlet PowerShell Search-UnifiedAuditLog |
| Retenção de dados | Até 30 dias para o contexto do alerta atual | Até 90 dias para Microsoft 365 E5, 180 dias com complemento E5 Compliance |
| Filtragem por carga de trabalho | Filtro de Carga de trabalho integrado para OneDrive, SharePoint, Teams, Exchange | Deve filtrar pelo parâmetro Workload ou pesquisar por usuário e intervalo de datas |
| Interface do usuário | Otimizada para investigação de incidentes com linha do tempo e agrupamento de atividades | Lista plana de eventos; requer classificação manual |
| Acesso ao conteúdo do arquivo | Link Abrir no Microsoft 365 se o investigador tiver permissões | Sem link direto; deve pesquisar a URL do arquivo manualmente |
Depois de revisar os arquivos do OneDrive no alerta, você pode atribuir um status ao alerta — como Descartado, Confirmado ou Precisa de Investigação — no painel de detalhes do alerta. Se você confirmar que a atividade é maliciosa, pode escalar o caso para uma investigação formal clicando em Criar caso. A partir daí, você pode adicionar notas, atribuir revisores e acompanhar as etapas de remediação.
Para monitoramento contínuo, considere criar uma política de risco interno personalizada que foque especificamente no compartilhamento de arquivos do OneDrive com domínios externos. Use o modelo de política Vazamento de dados e defina o limite para acionar apenas em arquivos compartilhados do OneDrive. Isso reduz o ruído de atividades do SharePoint ou Teams e permite que você se concentre na superfície de risco interno mais comum no OneDrive.
Para otimizar ainda mais seu fluxo de trabalho, use o atalho de teclado Ctrl + Shift + F no Explorador de atividades para pesquisar rapidamente um nome de arquivo por palavra-chave. Isso funciona na interface baseada em navegador e economiza tempo ao revisar dezenas de alertas em uma única sessão.