Políticas de proteção de informações do Microsoft Defender para Aplicativos em Nuvem comumente usadas
As políticas de arquivo do Defender para Aplicativos de Nuvem permitem que você imponha uma ampla gama de processos automatizados. As políticas podem ser configuradas para fornecer verificações proteção de informações, incluindo verificações de conformidade contínuas, tarefas de Descoberta Eletrônica legais e DLP para conteúdo confidencial compartilhado publicamente.
O Defender para Aplicativos de Nuvem pode monitorar qualquer tipo de arquivo com base em mais de 20 filtros de metadados,por exemplo, nível de acesso e tipo de arquivo. Para mais informações, consulte Políticas de arquivo.
Detectar e impedir o compartilhamento externo de dados confidenciais
Detecte quando arquivos contendo informações de identificação pessoal ou outros dados confidenciais são armazenados em um serviço de nuvem e compartilhados com usuários externos à sua organização e violam a política de segurança da sua empresa e criam uma possível violação de conformidade.
Pré-requisitos
É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Etapas
No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de arquivos.
Defina o filtro Nível de acesso igual a Público (Internet)/Público/Externo.
Em Método de inspeção, selecione Serviço de Classificação de Dados (DCS) e, em Selecionar tipo, selecione o tipo de informação confidencial que você deseja que o DCS inspecione.
Configure as ações de Governança a serem executadas quando um alerta for disparado. Por exemplo, você pode criar uma ação de governança para ser executada em violações de arquivos detectadas no Google Workspace, na qual você seleciona a opção Remover usuários externos e Remover acesso público.
Crie a política de arquivos.
Detectar dados confidenciais compartilhados externamente
Detecte quando os arquivos rotulados como Confidenciais e armazenados em um serviço de nuvem são compartilhados com usuários externos, violando as políticas da empresa.
Pré-requisitos
É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Habilitar integração da Proteção de Informações do Microsoft Purview.
Etapas
No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de arquivos.
Defina o filtro Rótulo de confidencialidade da Proteção de Informações do Microsoft Purview igual ao rótulo Confidencial ou ao equivalente da sua empresa.
Defina o filtro Nível de acesso como igual a Público (Internet) / Público / Externo.
Opcional: defina as ações de Governança a serem executadas nos arquivos quando uma violação for detectada. As ações de governança disponíveis variam entre os serviços.
Crie a política de arquivos.
Detectar e criptografar dados confidenciais inativos
Detecte arquivos contendo informação de identificação de usuário e outros dados confidenciais compartilhados em um aplicativo na nuvem e aplique rótulos de confidencialidade para limitar o acesso apenas aos funcionários da sua empresa.
Pré-requisitos
É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Habilitar integração da Proteção de Informações do Microsoft Purview.
Etapas
No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de arquivos.
Em Método de inspeção, selecione Serviço de Classificação de Dados (DCS) e, em Selecionar tipo, selecione o tipo de informações confidenciais que você deseja que o DCS inspecione.
Em Ações de governança, marque Aplicar rótulo de confidencialidade e selecione o rótulo de confidencialidade que sua empresa usa para restringir o acesso aos funcionários da empresa.
Crie a política de arquivos.
Observação
Atualmente, a capacidade de aplicar um rótulo de confidencialidade diretamente no Defender para Aplicativos de Nuvem é compatível apenas com o Box, o Google Workspace, o SharePoint online e o OneDrive for Business.
Detectar o acesso a dados a partir de um local não autorizado
Detecte quando os arquivos são acessados de uma localização não autorizada, com base nas localizações comuns da sua organização, para identificar um possível vazamento de dados ou acesso mal-intencionado.
Pré-requisitos
É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Etapas
No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de atividades.
Defina o filtro Tipo de atividade para as atividades de arquivo e pasta de seu interesse, como Exibir, Baixar, Acessar e Modificar.
Defina o filtro como Localização diferente de e, em seguida, insira os países/regiões dos quais sua organização espera receber atividade.
- Opcional: você pode usar a abordagem oposta e definir o filtro como Localização igual a caso sua organização bloqueio o acesso de países/regiões específicos.
Opcional: criea ções de Governança a serem aplicadas à violação detectada (a disponibilidade varia entre os serviços), como Suspender usuário.
Crie a política de atividade.
Detectar e proteger o armazenamento de dados confidenciais em um site de SP não conforme
Detecte arquivos rotulados como confidenciais e armazenados em um site do SharePoint não conforme.
Pré-requisitos
Os rótulos de confidencialidade são configurados e usados dentro da organização.
Etapas
No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de arquivos.
Defina o filtro Rótulo de confidencialidade da Proteção de Informações do Microsoft Purview igual ao rótulo Confidencial ou ao equivalente da sua empresa.
Defina o filtro Pasta pai como diferente de e, em seguida, em Selecionar uma pasta, escolha todas as pastas em conformidade na sua organização.
Em Alertas, selecione Criar um alerta para cada arquivo correspondente.
Opcional: defina as ações de Governança a serem executadas nos arquivos quando uma violação for detectada. As ações de governança disponíveis variam entre os serviços. Por exemplo, configure Box para Enviar resumo de correspondência de política para o proprietário do arquivo e Colocar em quarentena de administrador.
Crie a política de arquivos.
Detectar compartilhamento externo de código-fonte
Detecte quando arquivos com conteúdo potencial de código-fonte são compartilhados publicamente ou são compartilhados com usuários fora da sua organização.
Pré-requisitos
É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Etapas
No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de arquivos.
Selecione e aplique o modelo de política Código-fonte compartilhado externamente
Opcional: personalize a lista de Extensões de arquivo para corresponder às extensões de arquivodo código-fonte da sua organização.
Opcional: defina as ações de Governança a serem executadas nos arquivos quando uma violação for detectada. As ações de governança disponíveis variam entre os serviços. Por exemplo, no Box, Enviar resumo de correspondência da política para o proprietário do arquivo e Por em quarentena do administrador.
Selecione e aplique o modelo de política.
Detectar acesso não autorizado a dados de grupo
Detecte quando determinados arquivos pertencentes a um grupo de usuários específico estiverem sendo acessados excessivamente por um usuário que não integra o grupo, o que pode ser uma possível ameaça interna.
Pré-requisitos
É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.
Etapas
No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de atividades.
Em Agir sobre, selecione Atividade repetida, personalize o Mínimo de atividades repetidas e defina um Período para estar em conformidade com a política da organização.
Defina o filtro Tipo de atividade para as atividades de arquivo e pasta de seu interesse, como Exibir, Baixar, Acessar e Modificar.
Defina o filtro Usuário como De grupo igual a e, em seguida, selecione os grupos de usuários relevantes.
Observação
Os grupos de usuários podem ser importados manualmente de aplicativos compatíveis.
Defina o filtro Arquivos e pastas como Arquivos ou pastas específicos igual a e, em seguida, escolha os arquivos e pastas que pertencem ao grupo de usuários auditados.
Defina as ações de Governança a serem executadas nos arquivos quando uma violação for detectada. As ações de governança disponíveis variam entre os serviços. Por exemplo, você pode escolher Suspender usuário.
Crie a política de arquivos.
Detectar buckets do S3 acessíveis publicamente
Detecte e proteja-se contra possíveis vazamentos de dados de buckets do AWS S3.
Pré-requisitos
Você deve ter uma instância da AWS conectada usando Conectores de aplicativo.
Etapas
No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de arquivos.
Selecione e aplique o modelo de política Buckets do S3 acessíveis publicamente (AWS).
Defina as ações de Governança a serem executadas nos arquivos quando uma violação for detectada. As ações de governança disponíveis variam entre os serviços. Por exemplo, defina AWS como Tornar privado, o que tornaria os buckets do S3 privados.
Crie a política de arquivos.
Detectar e proteger dados relacionados ao RGPD em aplicativos de armazenamento de arquivos
Detecte arquivos compartilhados em aplicativos de armazenamento em nuvem contendo informação de identificação do usuário e outros dados confidenciais vinculados a uma política de conformidade com o GDPR. Em seguida, aplique automaticamente rótulos de confidencialidade para limitar o acesso apenas ao pessoal autorizado.
Pré-requisitos
É necessário ter pelo menos um aplicativo conectado usando conectores de aplicativo.
A integração da Proteção de Informações do Microsoft Purview está habilitada e o rótulo GDPR está configurado no Microsoft Purview
Etapas
No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de arquivos.
Em Método de inspeção, selecione Serviço de Classificação de Dados (DCS) e, em Selecionar tipo, escolha um ou mais tipos de informações que estejam em conformidade com o RGPD; por exemplo: número do cartão de débito da UE, número da carteira de motorista da UE, número de identificação nacional/regional da UE, número do passaporte da UE, SSN UE, número de identificação fiscal SU.
Defina as ações de Governança a serem executadas nos arquivos quando uma violação for detectada, selecionando Aplicar rótulo de confidencialidade para cada aplicativo compatível.
Crie a política de arquivos.
Observação
Atualmente, Aplicar rótulo de confidencialidade só é compatível com o Box, o Google Workspace, o SharePoint online e o OneDrive for Business.
Bloquear downloads para usuários externos em tempo real
Evite que os dados da empresa sejam exfiltrados por usuários externos, bloqueando downloads de arquivos em tempo real, usando os controles de sessão do Defender para Aplicativos de Nuvem.
Pré-requisitos
Verifique se seu aplicativo é baseado em SAML que usa o Microsoft Entra ID para logon único ou se está implantado no Defender para Aplicativos de Nuvem para Controle de Aplicativos de Acesso Condicional.
Para obter mais informações sobre aplicativos compatíves, confira Aplicativos e clientes com suporte.
Etapas
No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de sessão.
Em Tipo de controle de sessão, selecione Controlar download de arquivo (com inspeção).
Em Filtros de atividade, selecione Usuário e o defina como Do grupo igual a Usuários externos.
Observação
Não é necessário definir nenhum filtro de aplicativo para habilitar a aplicação dessa política a todos os aplicativos.
Você pode usar o Filtro de arquivo para personalizar o tipo de arquivo. Isso oferece um controle mais granular sobre os tipos de arquivos que a política de sessão controlará.
Em Ações, selecione Bloquear. Você pode selecionar Personalizar mensagem de bloqueio para definir uma mensagem personalizada a ser enviada aos usuários, para que eles entendam o motivo pelo qual o conteúdo está bloqueado e como podem habilitá-lo aplicando o rótulo de confidencialidade correto.
Selecione Criar.
Impor o modo somente leitura para usuários externos em tempo real
Evite que os dados da empresa sejam exfiltrados por usuários externos, bloqueando atividades de impressão e copiar/colar em tempo real, usando os controles de sessão do Defender para Aplicativos de Nuvem.
Pré-requisitos
Verifique se seu aplicativo é baseado em SAML que usa o Microsoft Entra ID para logon único ou se está implantado no Defender para Aplicativos de Nuvem para Controle de Aplicativos de Acesso Condicional.
Para obter mais informações sobre aplicativos compatíves, confira Aplicativos e clientes com suporte.
Etapas
No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de sessão.
Em Tipo de controle de sessão, selecione Bloquear atividades.
No filtro Fonte da atividade:
Selecione Usuário e configure Do grupo como Usuários externos.
Selecione Tipo de atividade igual a Imprimir e Cortar/copiar item.
Observação
Não é necessário definir nenhum filtro de aplicativo para habilitar a aplicação dessa política a todos os aplicativos.
Opcional: em Método de inspeção, selecione o tipo de inspeção a ser aplicada e defina as condições necessárias para a verificação do DLP.
Em Ações, selecione Bloquear. Você pode selecionar Personalizar mensagem de bloqueio para definir uma mensagem personalizada a ser enviada aos usuários, para que eles entendam o motivo pelo qual o conteúdo está bloqueado e como podem habilitá-lo aplicando o rótulo de confidencialidade correto.
Selecione Criar.
Bloquear o upload de documentos não classificados em tempo real
Impeça que os usuários carreguem dados desprotegidos para a nuvem usando os controles de sessão do Defender para Aplicativos de Nuvem.
Pré-requisitos
- Verifique se seu aplicativo é baseado em SAML que usa o Microsoft Entra ID para logon único ou se está implantado no Defender para Aplicativos de Nuvem para Controle de Aplicativos de Acesso Condicional.
Para obter mais informações sobre aplicativos compatíves, confira Aplicativos e clientes com suporte.
- Os rótulos de confidencialidade da Proteção de Informações do Microsoft Purview devem ser configurados e usados dentro da organização.
Etapas
No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Crie uma Política de sessão.
Em Tipo de controle de sessão, selecione Controlar upload de arquivo (com inspeção) ou Controlar download arquivo (com inspeção).
Observação
Não é necessário configurar nenhum filtro para permitir que essa política seja aplicada a todos os usuários e aplicativos.
Selecione o filtro de arquivo Rótulo de confidencialidade diferente de e, em seguida, selecione os rótulos que sua empresa usa para rotular arquivos classificados.
Opcional: em Método de inspeção, selecione o tipo de inspeção a ser aplicada e defina as condições necessárias para a verificação do DLP.
Em Ações, selecione Bloquear. Você pode selecionar Personalizar mensagem de bloqueio para definir uma mensagem personalizada a ser enviada aos usuários, para que eles entendam o motivo pelo qual o conteúdo está bloqueado e como podem habilitá-lo aplicando o rótulo de confidencialidade correto.
Selecione Criar.
Observação
Para obter a lista de tipos de arquivo para os quais o Defender para Aplicativos de Nuvem fornece suporte a rótulos de confidencialidade da Proteção de Informações do Microsoft Purview atualmente, consulte Pré-requisitos de integração da Proteção de Informações do Microsoft Purview.
Próximas etapas
Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.