Políticas de proteção de informações

As políticas de arquivo do Defender para Aplicativos de Nuvem permitem que você imponha uma ampla gama de processos automatizados. As políticas podem ser configuradas para fornecer verificações proteção de informações, incluindo verificações de conformidade contínuas, tarefas de Descoberta Eletrônica legais e DLP para conteúdo confidencial compartilhado publicamente.

O Defender para Aplicativos de Nuvem pode monitorar qualquer tipo de arquivo com base em mais de 20 filtros de metadados,por exemplo, nível de acesso e tipo de arquivo. Para mais informações, consulte Políticas de arquivo.

Detectar e impedir o compartilhamento externo de dados confidenciais

Detecte quando arquivos contendo informações de identificação pessoal ou outros dados confidenciais são armazenados em um serviço de nuvem e compartilhados com usuários externos à sua organização e violam a política de segurança da sua empresa e criam uma possível violação de conformidade.

Pré-requisitos

É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.

Etapas

1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de arquivos.

2. Defina o filtro Nível de acesso igual a Público (Internet)/Público/Externo.

3. Em Método de inspeção, selecione Serviço de Classificação de Dados (DCS) e, em Selecionar tipo, selecione o tipo de informação confidencial que você deseja que o DCS inspecione.

4. Configure as ações de Governança a serem executadas quando um alerta for disparado. Por exemplo, você pode criar uma ação de governança para ser executada em violações de arquivos detectadas no Google Workspace, na qual você seleciona a opção Remover usuários externos e Remover acesso público.

5. Crie a política de arquivos.

Detectar dados confidenciais compartilhados externamente

Detecte quando os arquivos rotulados como Confidenciais e armazenados em um serviço de nuvem são compartilhados com usuários externos, violando as políticas da empresa.

Pré-requisitos

• É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.

• Habilitar integração da Proteção de Informações do Microsoft Purview.

Etapas

1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de arquivos.

2. Defina o filtro Rótulo de confidencialidade da Proteção de Informações do Microsoft Purview igual ao rótulo Confidencial ou ao equivalente da sua empresa.

3. Defina o filtro Nível de acesso como igual a Público (Internet) / Público / Externo.

4. Opcional: defina as ações de Governança a serem executadas nos arquivos quando uma violação for detectada. As ações de governança disponíveis variam entre os serviços.

5. Crie a política de arquivos.

Detectar e criptografar dados confidenciais inativos

Detecte arquivos contendo informação de identificação de usuário e outros dados confidenciais compartilhados em um aplicativo na nuvem e aplique rótulos de confidencialidade para limitar o acesso apenas aos funcionários da sua empresa.

Pré-requisitos

• É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.

• Habilitar integração da Proteção de Informações do Microsoft Purview.

Etapas

1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de arquivos.

2. Em Método de inspeção, selecione Serviço de Classificação de Dados (DCS) e, em Selecionar tipo, selecione o tipo de informações confidenciais que você deseja que o DCS inspecione.

3. Em Ações de governança, marque Aplicar rótulo de confidencialidade e selecione o rótulo de confidencialidade que sua empresa usa para restringir o acesso aos funcionários da empresa.

4. Crie a política de arquivos.

Observação

Atualmente, a capacidade de aplicar um rótulo de confidencialidade diretamente no Defender para Aplicativos de Nuvem é compatível apenas com o Box, o Google Workspace, o SharePoint online e o OneDrive for Business.

Detectar dados obsoletos compartilhados externamente

Detecte arquivos obsoletos e não utilizados, arquivos que não foram atualizados recentemente, que são acessíveis publicamente por meio de link público direto, pesquisa na Web ou de usuários externos específicos.

Pré-requisitos

É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.

Etapas

1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de arquivos.

2. Selecione e aplique o modelo de política Arquivos obsoletos compartilhados externamente.

3. Personalize o filtro Modificado pela última vez para corresponder à política da sua organização.

4. Opcional: defina ações de Governança a serem executadas nos arquivos quando uma violação for detectada. As ações de governança disponíveis variam entre os serviços. Por exemplo:

   • Google Workspace: tornar o arquivo privado e notificar o último editor do arquivo

   • Box: notificar o último editor do arquivo

   • SharePoint online: tornar o arquivo privado e enviar um resumo de correspondência de política para o proprietário do arquivo

5. Crie a política de arquivos.

Detectar o acesso a dados a partir de um local não autorizado

Detecte quando os arquivos são acessados de uma localização não autorizada, com base nas localizações comuns da sua organização, para identificar um possível vazamento de dados ou acesso mal-intencionado.

Pré-requisitos

É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.

Etapas

1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de atividades.

2. Defina o filtro Tipo de atividade para as atividades de arquivo e pasta de seu interesse, como Exibir, Baixar, Acessar e Modificar.

3. Defina o filtro como Localização diferente de e, em seguida, insira os países/regiões dos quais sua organização espera receber atividade.

   • Opcional: você pode usar a abordagem oposta e definir o filtro como Localização igual a caso sua organização bloqueio o acesso de países/regiões específicos.

4. Opcional: criea ções de Governança a serem aplicadas à violação detectada (a disponibilidade varia entre os serviços), como Suspender usuário.

5. Crie a política de atividade.

Detectar e proteger o armazenamento de dados confidenciais em um site de SP não conforme

Detecte arquivos rotulados como confidenciais e armazenados em um site do SharePoint não conforme.

Pré-requisitos

Os rótulos de confidencialidade são configurados e usados dentro da organização.

Etapas

1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de arquivos.

2. Defina o filtro Rótulo de confidencialidade da Proteção de Informações do Microsoft Purview igual ao rótulo Confidencial ou ao equivalente da sua empresa.

3. Defina o filtro Pasta pai como diferente de e, em seguida, em Selecionar uma pasta, escolha todas as pastas em conformidade na sua organização.

4. Em Alertas, selecione Criar um alerta para cada arquivo correspondente.

5. Opcional: defina as ações de Governança a serem executadas nos arquivos quando uma violação for detectada. As ações de governança disponíveis variam entre os serviços. Por exemplo, configure Box para Enviar resumo de correspondência de política para o proprietário do arquivo e Colocar em quarentena de administrador.

6. Crie a política de arquivos.

Detectar compartilhamento externo de código-fonte

Detecte quando arquivos com conteúdo potencial de código-fonte são compartilhados publicamente ou são compartilhados com usuários fora da sua organização.

Pré-requisitos

É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.

Etapas

1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de arquivos.

2. Selecione e aplique o modelo de política Código-fonte compartilhado externamente

3. Opcional: personalize a lista de Extensões de arquivo para corresponder às extensões de arquivodo código-fonte da sua organização.

4. Opcional: defina as ações de Governança a serem executadas nos arquivos quando uma violação for detectada. As ações de governança disponíveis variam entre os serviços. Por exemplo, no Box, Enviar resumo de correspondência da política para o proprietário do arquivo e Por em quarentena do administrador.

5. Selecione e aplique o modelo de política.

Detectar acesso não autorizado a dados de grupo

Detecte quando determinados arquivos pertencentes a um grupo de usuários específico estiverem sendo acessados excessivamente por um usuário que não integra o grupo, o que pode ser uma possível ameaça interna.

Pré-requisitos

É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.

Etapas

1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de atividades.

2. Em Agir sobre, selecione Atividade repetida, personalize o Mínimo de atividades repetidas e defina um Período para estar em conformidade com a política da organização.

3. Defina o filtro Tipo de atividade para as atividades de arquivo e pasta de seu interesse, como Exibir, Baixar, Acessar e Modificar.

4. Defina o filtro Usuário como De grupo igual a e, em seguida, selecione os grupos de usuários relevantes.

   Observação

   Os grupos de usuários podem ser importados manualmente de aplicativos compatíveis.

5. Defina o filtro Arquivos e pastas como Arquivos ou pastas específicos igual a e, em seguida, escolha os arquivos e pastas que pertencem ao grupo de usuários auditados.

6. Defina as ações de Governança a serem executadas nos arquivos quando uma violação for detectada. As ações de governança disponíveis variam entre os serviços. Por exemplo, você pode escolher Suspender usuário.

7. Crie a política de arquivos.

Detectar buckets do S3 acessíveis publicamente

Detecte e proteja-se contra possíveis vazamentos de dados de buckets do AWS S3.

Pré-requisitos

Você deve ter uma instância da AWS conectada usando Conectores de aplicativo.

Etapas

1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de arquivos.

2. Selecione e aplique o modelo de política Buckets do S3 acessíveis publicamente (AWS).

3. Defina as ações de Governança a serem executadas nos arquivos quando uma violação for detectada. As ações de governança disponíveis variam entre os serviços. Por exemplo, defina AWS como Tornar privado, o que tornaria os buckets do S3 privados.

4. Crie a política de arquivos.

Detectar e proteger dados relacionados ao RGPD em aplicativos de armazenamento de arquivos

Detecte arquivos compartilhados em aplicativos de armazenamento em nuvem contendo informação de identificação do usuário e outros dados confidenciais vinculados a uma política de conformidade com o GDPR. Em seguida, aplique automaticamente rótulos de confidencialidade para limitar o acesso apenas ao pessoal autorizado.

Pré-requisitos

• É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.

• A Integração do Microsoft Purview Information Protection (AIP) está habilitada e o rótulo GDPR está configurado no AIP.

Etapas

1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de arquivos.

2. Em Método de inspeção, selecione Serviço de Classificação de Dados (DCS) e, em Selecionar tipo, escolha um ou mais tipos de informações que estejam em conformidade com o RGPD; por exemplo: número do cartão de débito da UE, número da carteira de motorista da UE, número de identificação nacional/regional da UE, número do passaporte da UE, SSN UE, número de identificação fiscal SU.

3. Defina as ações de Governança a serem executadas nos arquivos quando uma violação for detectada, selecionando Aplicar rótulo de confidencialidade para cada aplicativo compatível.

4. Crie a política de arquivos.

Observação

Atualmente, Aplicar rótulo de confidencialidade só é compatível com o Box, o Google Workspace, o SharePoint online e o OneDrive for Business.

Bloquear downloads para usuários externos em tempo real

Evite que os dados da empresa sejam exfiltrados por usuários externos, bloqueando downloads de arquivos em tempo real, usando os controles de sessão do Defender para Aplicativos de Nuvem.

Pré-requisitos

• Implantar o Controle de Aplicativos de Acesso Condicional para aplicativos do Microsoft Entra.

• Certifique-se de que seu aplicativo é um aplicativo baseado em SAML que utiliza o Microsoft Entra ID para logon único. Para obter mais informações sobre aplicativos compatíves, confira Aplicativos e clientes com suporte.

Etapas

1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de sessão.

2. Em Tipo de controle de sessão, selecione Controlar download de arquivo (com inspeção).

3. Em Filtros de atividade, selecione Usuário e o defina como Do grupo igual a Usuários externos.

   Observação

   Não é necessário definir nenhum filtro de aplicativo para habilitar a aplicação dessa política a todos os aplicativos.

4. Você pode usar o Filtro de arquivo para personalizar o tipo de arquivo. Isso oferece um controle mais granular sobre os tipos de arquivos que a política de sessão controlará.

5. Em Ações, selecione Bloquear. Você pode selecionar Personalizar mensagem de bloqueio para definir uma mensagem personalizada a ser enviada aos usuários, para que eles entendam o motivo pelo qual o conteúdo está bloqueado e como podem habilitá-lo aplicando o rótulo de confidencialidade correto.

6. Selecione Criar.

Impor o modo somente leitura para usuários externos em tempo real

Evite que os dados da empresa sejam exfiltrados por usuários externos, bloqueando atividades de impressão e copiar/colar em tempo real, usando os controles de sessão do Defender para Aplicativos de Nuvem.

Pré-requisitos

• Implantar o Controle de Aplicativos de Acesso Condicional para aplicativos do Microsoft Entra.
• Certifique-se de que seu aplicativo é um aplicativo baseado em SAML que usa o Microsoft Entra ID para logon único. Para obter mais informações sobre aplicativos compatíves, confira Aplicativos e clientes com suporte.

Etapas

1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de sessão.

2. Em Tipo de controle de sessão, selecione Bloquear atividades.

3. No filtro Fonte da atividade:

   1. Selecione Usuário e configure Do grupo como Usuários externos.

   2. Selecione Tipo de atividade igual a Imprimir e Cortar/copiar item.

   Observação

   Não é necessário definir nenhum filtro de aplicativo para habilitar a aplicação dessa política a todos os aplicativos.

4. Opcional: em Método de inspeção, selecione o tipo de inspeção a ser aplicada e defina as condições necessárias para a verificação do DLP.

5. Em Ações, selecione Bloquear. Você pode selecionar Personalizar mensagem de bloqueio para definir uma mensagem personalizada a ser enviada aos usuários, para que eles entendam o motivo pelo qual o conteúdo está bloqueado e como podem habilitá-lo aplicando o rótulo de confidencialidade correto.

6. Selecione Criar.

Bloquear o upload de documentos não classificados em tempo real

Impeça que os usuários carreguem dados desprotegidos para a nuvem usando os controles de sessão do Defender para Aplicativos de Nuvem.

Pré-requisitos

• Implantar o Controle de Aplicativos de Acesso Condicional para aplicativos do Microsoft Entra.

• Certifique-se de que seu aplicativo é um aplicativo baseado em SAML que usa o Microsoft Entra ID para logon único. Para obter mais informações sobre aplicativos compatíves, confira Aplicativos e clientes com suporte.

• Os rótulos de confidencialidade da Proteção de Informações do Microsoft Purview devem ser configurados e usados dentro da sua organização.

Etapas

1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de sessão.

2. Em Tipo de controle de sessão, selecione Controlar upload de arquivo (com inspeção) ou Controlar download arquivo (com inspeção).

   Observação

   Não é necessário configurar nenhum filtro para permitir que essa política seja aplicada a todos os usuários e aplicativos.

3. Selecione o filtro de arquivo Rótulo de confidencialidade diferente de e, em seguida, selecione os rótulos que sua empresa usa para rotular arquivos classificados.

4. Opcional: em Método de inspeção, selecione o tipo de inspeção a ser aplicada e defina as condições necessárias para a verificação do DLP.

5. Em Ações, selecione Bloquear. Você pode selecionar Personalizar mensagem de bloqueio para definir uma mensagem personalizada a ser enviada aos usuários, para que eles entendam o motivo pelo qual o conteúdo está bloqueado e como podem habilitá-lo aplicando o rótulo de confidencialidade correto.

6. Selecione Criar.

Observação

Para obter a lista de tipos de arquivo para os quais o Defender para Aplicativos de Nuvem fornece suporte a rótulos de confidencialidade da Proteção de Informações do Microsoft Purview atualmente, consulte Pré-requisitos de integração da Proteção de Informações do Microsoft Purview.

Próximas etapas

Melhores práticas para proteger sua organização

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.