Comece a usar a coleta de arquivos que correspondem às políticas de prevenção contra perda de dados de dispositivos

Este artigo explica-lhe os pré-requisitos e os passos de configuração da recolha de provas para atividades de ficheiros em dispositivos e apresenta como ver os itens que são copiados e guardados.

Dica

Comece a utilizar o Microsoft Copilot para a Segurança para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Copilot para Segurança no Microsoft Purview.

Eis os passos de alto nível para configurar e utilizar a recolha de provas para atividades de ficheiros em dispositivos.

1. Integrar dispositivos
2. Compreender os requisitosCriar a conta de armazenamento do Azure gerida
3. Adicionar um blob de armazenamento do Azure à sua conta
4. Ativar e configurar a recolha de provas numa conta de armazenamento gerida pela Microsoft (pré-visualização)
5. Configurar a política DLP
6. Pré-visualizar as provas

Antes de começar

Antes de iniciar estes procedimentos, deve rever Saiba mais sobre a recolha de provas para atividades de ficheiros em dispositivos.

Licenciamento e Subscrições

Antes de começar a utilizar políticas DLP, confirme a sua subscrição do Microsoft 365 e quaisquer suplementos.

Para obter informações sobre o licenciamento, consulte Microsoft 365, Office 365, Enterprise Mobility + Security e Subscrições Windows 11 para Empresas.

Veja os requisitos de licenciamento dos pré-requisitos para Microsoft Entra ID P1 ou P2 necessários para criar um controlo de acesso baseado em funções (RBAC) personalizado.

Permissões

São necessárias permissões de Prevenção Contra Perda de Dados do Microsoft Purview Padrão (DLP). Para saber mais, consulte Permissões.

Integração de dispositivos

Antes de poder utilizar itens com correspondência de cópia, tem de integrar Windows 10/11 dispositivos no Purview, consulte Integrar dispositivos Windows no Microsoft 365.

Compreender os seus requisitos

Importante

Cada contentor herda as permissões da conta de armazenamento em que se encontra. Não pode definir permissões diferentes por contentor. Se precisar de configurar permissões diferentes para regiões diferentes, tem de criar várias contas de armazenamento e não vários contentores.

Deve ter respostas à pergunta seguinte antes de configurar o armazenamento do Azure e definir o âmbito da funcionalidade para os utilizadores.

Precisa de compartimentar os itens e aceder ao longo das linhas de função ou departamental?

Por exemplo, se a sua organização quiser ter um conjunto de administradores ou investigadores de eventos DLP que podem ver ficheiros guardados da sua liderança sénior e outro conjunto de administradores ou investigadores de eventos DLP para itens guardados a partir de recursos humanos, deve criar uma conta de armazenamento do Azure para a liderança sénior da sua organização e outra para o departamento de Recursos Humanos. Isto garante que os administradores de armazenamento do Azure ou os investigadores de eventos DLP só podem ver os itens que correspondam às políticas DLP dos respetivos grupos.

Pretende utilizar contentores para organizar itens guardados?

Pode criar vários contentores de provas na mesma conta de armazenamento para ordenar ficheiros guardados. Por exemplo, um para ficheiros guardados do departamento de RH e outro para os do departamento de TI.

Qual é a sua estratégia para proteger contra a eliminação ou modificação de itens guardados?

No Armazenamento do Azure, a proteção de dados refere-se às estratégias para proteger a conta de armazenamento e os dados dentro da mesma contra serem eliminados ou modificados e para restaurar dados após serem eliminados ou modificados. O armazenamento do Azure também oferece opções para a recuperação após desastre, incluindo vários níveis de redundância, para proteger os seus dados contra falhas de serviço devido a problemas de hardware ou desastres naturais. Também pode proteger os seus dados através da ativação pós-falha gerida pelo cliente se o datacenter na região primária ficar indisponível. Para obter mais informações, veja Descrição geral da proteção de dados.

Também pode configurar políticas de imutabilidade para os seus dados de blobs que protegem contra os itens guardados que estão a ser substituídos ou eliminados. Para obter mais informações, veja Armazenar dados de blobs críticos para a empresa com armazenamento imutável

Tipos de ficheiro suportados para armazenar e pré-visualizar provas

Pode ser Armazenado	Pode ser Pré-visualizado
Todos os tipos de ficheiro monitorizados pelo DLP de Ponto Final	Todos os tipos de ficheiro suportados para pré-visualizar ficheiros no OneDrive, SharePoint e Teams

Guardar itens correspondentes no seu armazenamento preferencial

Para guardar as provas de que o Microsoft Purview deteta quando as políticas de prevenção de perda de dados são aplicadas, tem de configurar o armazenamento. Há duas maneiras de fazer isso:

1. Criar armazenamento gerido pelo cliente
2. Criar armazenamento gerido pela Microsoft (pré-visualização)

Para obter mais informações e uma comparação destes dois tipos de armazenamento, consulte [Armazenar provas quando são detetadas informações confidenciais (pré-visualização)](dlp-copy-matched-items-learn.md#storing-evidence-when-sensitive-information-is-detected-on-policy match-preview).

Criar armazenamento gerido pelo cliente

Os procedimentos para configurar a conta de armazenamento, o contentor e os blobs do Azure estão documentados no conjunto de documentos do Azure. Seguem-se ligações para artigos relevantes que pode consultar para o ajudar a começar:

1. Introdução ao Armazenamento de Blobs do Azure
2. Criar uma conta de armazenamento
3. Predefinir e autorizar o acesso a blobs com Microsoft Entra ID
4. Gerir contentores de blobs com o portal do Azure
5. Gerir blobs de blocos com o PowerShell

Observação

Certifique-se de que seleciona Ativar o acesso público a partir de todas as redes ao criar a conta de armazenamento. O suporte para Redes virtuais e endereços IP e a utilização do acesso privado não estão disponíveis

Certifique-se de que guarda o nome e o URL do contentor de blobs do Azure. Para ver o URL, abra asPropriedades doContentor>das Contas> de Armazenamento Doméstica do portal>> de armazenamento do Azure

O formato do URL do contentor de blobs do Azure é:https://storageAccountName.blob.core.windows.net/containerName.

Adicionar um blob de armazenamento do Azure à sua conta

Existem várias formas de adicionar um blob de armazenamento do Azure à sua conta. Escolha um dos métodos abaixo.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Microsoft Purview Portal

Para adicionar o armazenamento de blobs do Azure com o portal do Microsoft Purview:

1. Inicie sessão no portal do Microsoft Purview e selecione a engrenagem Definições na barra de menus.
2. Selecione Prevenção de Perda de Dados.
3. Selecione Definições DLP de Ponto Final.
4. Expanda a recolha de provas de configuração para atividades de ficheiros em dispositivos.
5. Altere o botão de alternar de Desativado para Ativado.
6. No campo Definir cache de provas no dispositivo , selecione a quantidade de tempo que as provas devem ser guardadas localmente quando o dispositivo estiver offline. Pode escolher 7, 30 ou 60 dias.
7. Selecione um tipo de armazenamento (Arquivo gerido pelo cliente ou Loja gerida pela Microsoft (pré-visualização)) e, em seguida, selecione + Adicionar armazenamento.
   1. Para o armazenamento gerido pelo cliente:
      1. Selecione Arquivo gerido pelo cliente: e, em seguida, selecione + Adicionar armazenamento.
      2. Introduza atribua um nome à conta e introduza o URL do blob de armazenamento.
      3. Escolha Salvar.
   2. Para o armazenamento gerido pela Microsoft:
      1. Escolha Loja gerida da Microsoft (pré-visualização)

Política DLP no portal do Microsoft Purview

Para adicionar o armazenamento de blobs do Azure com o fluxo de trabalho de criação de políticas DLP no portal do Microsoft Purview:

1. Inicie sessão no portal do Microsoft Purview e escolha Prevenção de Perda de Dados.
2. Siga os passos para criar uma nova política.
3. No passo Localizações , certifique-se de que apenas a localização Dispositivos está selecionada e, em seguida, selecione Seguinte.
4. No passo Definições de política, selecione Criar ou personalizar regras DLP avançadas.
5. Selecione +Criar regra e adicione Condições, Ações, Notificações do utilizador e Substituições de utilizador por valores à sua escolha.
6. Na secção Relatórios de incidentes , o botão Desativar Enviar um alerta aos administradores quando ocorre uma correspondência de regra deve estar Ativado por predefinição. (Se não estiver, ative-o.)
7. Selecione a caixa de verificação junto a Recolher ficheiro original como prova de todas as atividades de ficheiro selecionadas no Ponto Final.
8. Selecione as atividades para as quais pretende recolher provas.
9. Selecione Adicionar armazenamento junto ao item da caixa de verificação.
10. Na página Definições de DLP de Ponto Final, expanda Configurar recolha de provas para atividades de ficheiros em dispositivos e certifique-se de que a opção está ativada.

Portal de Conformidade

Para adicionar o armazenamento de blobs do Azure com o portal de conformidade:

1. A partir do painel de navegação esquerdo do portal de conformidade, navegue para DescriçãoGeral> da Prevenção> de Perda deDadosDefinições de prevenção de perda de dados Definições>DLP do Ponto Final.
2. Expanda Configurar recolha de provas para atividades de ficheiros em dispositivos e defina o botão de alternar para Ativado.
3. No campo Definir cache de provas no dispositivo , selecione a quantidade de tempo que as provas devem ser guardadas localmente quando o dispositivo estiver offline. Pode escolher 7, 30 ou 60 dias.
4. Selecione um tipo de armazenamento (Arquivo gerido pelo cliente ou Loja gerida pela Microsoft (pré-visualização)) e, em seguida, selecione + Adicionar armazenamento.
   1. Para o armazenamento gerido pelo cliente:
      1. Selecione Arquivo gerido pelo cliente: e, em seguida, selecione + Adicionar armazenamento.
      2. Introduza atribua um nome à conta e introduza o URL do blob de armazenamento.
      3. Escolha Salvar.
   2. Para o armazenamento gerido pela Microsoft:
      1. Escolha Loja gerida da Microsoft (pré-visualização)

Fluxo de trabalho da Política DLP no portal de conformidade

Para adicionar o armazenamento de blobs do Azure com o fluxo de trabalho de criação de políticas DLP no portal de conformidade:

1. No painel de navegação esquerdo, navegue paraPolíticas de Prevenção> de Perda de Dados.
2. Opte por editar uma política existente ou criar uma nova.
3. Trabalhe através do fluxo de trabalho de criação de políticas. Na página Definições de política , selecione Criar ou personalizar regras DLP avançadas.
4. Na página Localizações , certifique-se de que apenas a localização Dispositivos está selecionada e, em seguida, selecione Seguinte.
5. Na página Definir definições de política , selecione Criar ou personalizar regras DLP avançadas.
6. Selecione + Criar regra.
7. Trabalhe no construtor de regras como de costume, selecionando as seguintes opções:
   1. Na secção Relatórios de incidentes , selecione uma opção para Utilizar este nível de gravidade em alertas e relatórios de administrador*.
   2. Alterne a opção Enviar um alerta aos administradores quando ocorre uma correspondência de regra para Ativado.
   3. Selecione a caixa de verificação junto a Recolher ficheiro original como prova de todas as atividades de ficheiro selecionadas no Ponto Final.
   4. Selecione Adicionar Armazenamento. A página de definições DLP de Ponto Final é aberta numa nova janela.
   5. Na página Definições de DLP de Ponto Final, expanda Configurar recolha de provas para atividades de ficheiros em dispositivos e certifique-se de que a opção está ativada.
   6. Para Definir cache de provas no dispositivo, especifique o número de dias em que os ficheiros devem ser retidos se o dispositivo estiver desligado do servidor.
   7. Selecione + Adicionar armazenamento.
   8. Na lista de opções Adicionar conta , introduza um nome e um URL para o blob.
   9. Escolha Salvar.
   10. Novamente no construtor de regras, selecione Enviar alerta sempre que uma atividade corresponder à regra.
   11. Escolha Salvar.
   12. Conclua a criação ou edição da regra e, em seguida, selecione Submeter.

Definir permissões no armazenamento de blobs do Azure

Com Microsoft Entra autorização, tem de configurar dois conjuntos de permissões (grupos de funções) nos blobs:

1. Um para os administradores e investigadores para que possam ver e gerir provas
2. Um para os utilizadores que precisam de carregar itens para o Azure a partir dos respetivos dispositivos

A melhor prática é impor o menor privilégio a todos os utilizadores, independentemente da função. Ao impor o menor privilégio, garante que as permissões de utilizador estão limitadas apenas às permissões necessárias para a respetiva função. Para configurar permissões de utilizador, crie funções e grupos de funções no Microsoft Defender para Office 365 e no Microsoft Purview.

Permissões no blob do Azure para administradores e investigadores

Depois de criar o grupo de funções para investigadores de incidentes DLP, tem de configurar as permissões descritas nas secções Ações do investigador e Ações de dados do Investigador que se seguem.

Para obter mais informações sobre como configurar o acesso a blobs, veja estes artigos:

• Como autorizar o acesso a dados de blobs no portal do Azure
• Atribuir permissões ao nível da partilha.

Ações do investigador

Configure estas permissões de objeto e ação para a função de investigador:

Objeto	Permissões
Microsoft.Storage/storageAccounts/blobServices	Leia: Listar Serviços de Blobs
Microsoft.Storage/storageAccounts/blobServices	Leia: Obter as propriedades ou estatísticas do serviço blob
Microsoft.Storage/storageAccounts/blobServices/containers	Leia: Obter o contentor de blobs
Microsoft.Storage/storageAccounts/blobServices/containers	Leia: Lista de contentores de blobs
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Leitura: Ler blob
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action	Outro: Gerar uma chave de delegação de utilizador

Ações de dados do investigador

Objeto	Permissões
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Leia: Ler Blob

O seu JSON para o grupo de funções de investigador deve ter o seguinte aspeto:

"permissions": [
            {
                "actions": [
                 "Microsoft.Storage/storageAccounts/blobServices/read",
                 "Microsoft.Storage/storageAccounts/blobServices/containers/read",
                 "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
                ],
                "notActions": [],
                "dataActions": [
                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
                ],
                "notDataActions": []
            }
        ]

Permissões no blob do Azure para utilizadores

Atribua estas permissões de objeto e ação ao blob do Azure para a função de utilizador:

Ações do usuário

Objeto	Permissões
Microsoft.Storage/storageAccounts/blobServices	Leia: Listar Serviços de Blobs
Microsoft.Storage/storageAccounts/blobServices/containers	Leia: Obter o contentor de blobs
Microsoft.Storage/storageAccounts/blobServices/containers	Escrita: Colocar contentor de blobs

Ações de dados do utilizador

Objeto	Permissões
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Escrita: Escrever Blob
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Outro: Adicionar conteúdo de blob

O JSON para o grupo de funções de utilizador deve ter o seguinte aspeto:

"permissions": [
  {
     "actions": [
       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
       "Microsoft.Storage/storageAccounts/blobServices/read"
     ],
     "notActions": [],
     "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
     ],
     "notDataActions": []
    }
 ]

Ativar e configurar a recolha de provas numa conta de armazenamento gerida pela Microsoft (pré-visualização)

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

Para ativar e configurar a recolha de provas numa conta de armazenamento gerida pela Microsoft a partir do portal do Microsoft Purview:

1. Inicie sessão na engrenagemdefinições do portal > do Microsoft Purviewna barra de menus.
2. Selecione Prevenção de Perda de Dados.
3. Selecione Definições DLP de Ponto Final.
4. Expanda Configurar recolha de provas para atividades de ficheiros em dispositivos e defina o botão de alternar para Ativado.
5. Em Selecionar tipo de armazenamento, selecioneArmazenamento gerido pela Microsoft.

Portal de Conformidade

Para ativar e configurar a recolha de provas numa conta de armazenamento gerida pela Microsoft a partir do portal de conformidade:

1. Abra portal de conformidade do Microsoft Purview>Definições de prevenção> deperda de dadosDefinições> deDLP de Ponto final.
2. Expanda Configurar recolha de provas para atividades de ficheiros em dispositivos e defina o botão de alternar para Ativado.
3. No campo Definir cache de provas no dispositivo , selecione a quantidade de tempo que as provas devem ser guardadas localmente quando o dispositivo estiver offline. Pode escolher 7, 30 ou 60 dias.
4. Em Selecionar tipo de armazenamento, selecioneArmazenamento gerido da Microsoft (pré-visualização).

Configurar a política DLP

Crie uma política DLP como faria normalmente. Para obter exemplos de configuração de políticas, veja Criar e Implementar políticas de prevenção de perda de dados.

Configure a política com estas definições:

• Certifique-se de que Dispositivos é a única localização selecionada.
• Em Relatórios de incidentes, alterne Enviar um alerta para os administradores quando ocorre uma correspondência de regra para Ativado.
• Em Relatórios de incidentes, selecione Recolher ficheiro original como prova para todas as atividades de ficheiro selecionadas no Ponto Final.
• Selecione a conta de armazenamento que pretende.
• Selecione as atividades para as quais pretende copiar itens correspondentes para o armazenamento do Azure, tais como:
  • Colar em browsers suportados
  • Carregar para domínios de serviço cloud ou aceder a browsers não permitidos
  • Copiar para um dispositivo USB amovível
  • Copiar para uma partilha de rede
  • Print
  • Copiar ou mover com uma aplicação Bluetooth não permitida
  • Copiar ou mover com RDP

Pré-visualizar as provas

Existem diferentes formas de pré-visualizar as suas provas, consoante o tipo de armazenamento que selecionar.

Tipo de Armazenamento	Opções de pré-visualização
Gerido pelo cliente	- Utilizar o explorador de atividades - Utilizar o portal de conformidade
Microsoft Managed (pré-visualização)	- Utilizar o explorador de atividades - Utilizar o portal de conformidade

Pré-visualizar provas através do Explorador de atividades

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Inicie sessão no portal > do Microsoft PurviewExplorador de atividades deprevenção> de perdade dados.
2. Através da lista pendente Data , selecione as datas de Início e Fim do período em que está interessado.
3. Na lista de resultados, faça duplo clique no item de linha da atividade que pretende investigar.
4. No painel de lista de opções, a ligação para o blob do Azure onde as provas são armazenadas aparece em Ficheiro de provas.
5. Selecione a ligação armazenamento de blobs do Azure para apresentar o ficheiro correspondente.

Portal de Conformidade

1. Abra portal de conformidade do Microsoft Purview>Data loss preventionActivity explorer (Explorador de atividades de prevenção > de perda de dados).
2. Através da lista pendente Data , selecione as datas de Início e Fim do período em que está interessado.
3. Na lista de resultados, selecione a atividade que pretende investigar.
4. No painel de lista de opções, a ligação para o blob do Azure onde as provas são armazenadas aparece em Ficheiro de provas.
5. Selecione a ligação armazenamento de blobs do Azure para apresentar o ficheiro correspondente.

Pré-visualizar provas através da página Alertas do portal de conformidade

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Inicie sessão no portal > do Microsoft PurviewAlertas deprevenção> de perda de dados.
2. Através da lista pendente Data , selecione as datas de Início e Fim do período em que está interessado.
3. Na lista de resultados, faça duplo clique no item de linha da atividade que pretende investigar.
4. No painel de lista de opções, selecione Ver detalhes.
5. Selecione o separador Eventos .
6. No painel Detalhes , selecione o separador Origem. É apresentado o ficheiro correspondente.

Portal de Conformidade

1. Abra o portal de conformidade do Microsoft Purview e navegue paraAlertas de Prevenção> de Perda de Dados.
2. Através da lista pendente Data , selecione as datas de Início e Fim do período em que está interessado.
3. Na lista de resultados, selecione a atividade que pretende investigar.
4. No painel de lista de opções, selecione Ver detalhes.
5. Selecione o separador Eventos .
6. No painel Detalhes , selecione o separador Origem . É apresentado o ficheiro correspondente.

Observação

Se o ficheiro que foi correspondido já existir no blob de armazenamento do Azure, não será carregado novamente até que sejam efetuadas alterações ao ficheiro e um utilizador efetue uma ação no mesmo.

Comportamentos Conhecidos

• Os ficheiros armazenados na cache do dispositivo não persistem se o sistema falhar ou reiniciar.
• O tamanho máximo para ficheiros que podem ser carregados a partir de um dispositivo é de 500 MB.
• Se a Proteção Just-in-Time for acionada num ficheiro analisado ou se o ficheiro estiver armazenado numa partilha de rede, o ficheiro de provas não será recolhido.
• Quando vários ficheiros são abertos no mesmo processo (aplicações não office) e um dos ficheiros correspondentes a uma política é removido, os eventos DLP são acionados para todos os ficheiros. Nenhuma prova é capturada.
• Se forem detetadas várias regras de política num único ficheiro, o ficheiro de provas só será armazenado se a regra de política mais restritiva estiver configurada para recolher provas.