Saiba mais sobre a prevenção contra perda de dados do ponto de extremidade

  • Artigo

As organizações têm informações confidenciais sob seu controle, como dados financeiros, dados proprietários, números de cartão de crédito, registros de integridade ou números de segurança social. Para ajudar a proteger esses dados confidenciais e reduzir o risco de compartilhamento excessivo, eles precisam de uma maneira de ajudar a impedir que seus usuários compartilhem dados confidenciais inadequadamente com pessoas que não deveriam tê-los. Essa prática é chamada de prevenção contra perda de dados (DLP).

No Microsoft Purview, você implementa a prevenção contra perda de dados definindo e aplicando políticas DLP. Com uma política DLP, você pode identificar, monitorar e proteger automaticamente itens confidenciais em:

  • Serviços do Microsoft 365, como contas do Teams, Exchange, SharePoint e OneDrive
  • Aplicativos do Office como Word, Excel e PowerPoint
  • pontos de extremidade Windows 10, Windows 11 e macOS (três versões mais recentes)
  • aplicativos de nuvem não Microsoft
  • Compartilhamentos de arquivos locais e SharePoint local
  • Power BI

O DLP detecta itens confidenciais usando uma análise de conteúdo profunda, não apenas por uma simples verificação de texto. O conteúdo é analisado:

  • Para dados primários correspondem a palavras-chave.
  • Pela avaliação de expressões regulares
  • Por validação de função interna
  • Por dados secundários correspondem aos que estão próximos à correspondência de dados primários.
  • O DLP também usa algoritmos de machine learning e outros métodos para detectar conteúdo que corresponda às políticas de DLP.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Antes de começar

Se você for novo no DLP do Microsoft Purview, aqui está uma lista dos artigos principais que você precisará ao implementar o DLP:

  1. Unidades administrativas
  2. Saiba mais sobre Prevenção Contra Perda de Dados do Microsoft Purview - o artigo que você está lendo agora apresenta a disciplina de prevenção contra perda de dados e a implementação do DLP pela Microsoft
  3. Planeje a DLP (prevenção contra perda de dados) – trabalhando neste artigo, você fará:
    1. Identificar stakeholders
    2. Descrever as categorias de informações confidenciais para proteger
    3. Definir metas e estratégia
  4. Referência da política de prevenção contra perda de dados – este artigo apresenta todos os componentes de uma política DLP e como cada um influencia o comportamento de uma política
  5. Criar uma política DLP – este artigo orienta você a criar uma instrução de intenção de política e mapeá-la para uma configuração de política específica.
  6. Criar e Implantar políticas de prevenção contra perda de dados – este artigo apresenta alguns cenários comuns de intenção de política que você mapeará para as opções de configuração e, em seguida, ele orienta você na configuração dessas opções.
  7. Saiba mais sobre como investigar alertas de prevenção contra perda de dados - Este artigo apresenta o ciclo de vida dos alertas desde a criação, até a correção final e o ajuste da política. Ele também apresenta as ferramentas que você usa para investigar alertas.

Licenciamento e assinaturas

Consulte as diretrizes do Microsoft 365 para segurança & conformidade para obter detalhes sobre as assinaturas compatíveis com DLP.

O DLP faz parte da maior oferta do Microsoft Purview

O DLP é apenas uma das ferramentas do Microsoft Purview que você usará para ajudar a proteger seus itens confidenciais onde quer que eles morem ou viajem. Você deve entender as outras ferramentas no conjunto de ferramentas do Microsoft Purview, como elas se interligam e funcionam melhor juntas. Confira, ferramentas do Microsoft Purview para saber mais sobre o processo de proteção de informações.

Ações de proteção de políticas DLP

As políticas DLP são como você monitora as atividades que os usuários assumem em itens confidenciais em repouso, itens confidenciais em trânsito ou itens confidenciais em uso e, em seguida, tomam ações de proteção. Por exemplo, quando um usuário tenta uma ação proibida, como copiar um item confidencial para um local não aprovado ou compartilhar informações médicas em um email, o DLP pode:

  • mostrar uma dica de política pop-up para o usuário que avisa que ele pode estar tentando compartilhar um item confidencial inapropriadamente
  • bloquear o compartilhamento e, por meio de uma dica de política, permitir que o usuário substitua o bloco e capture a justificativa dos usuários
  • bloquear o compartilhamento sem a opção de substituição
  • para dados em repouso, itens confidenciais podem ser bloqueados e movidos para um local de quarentena seguro
  • para o chat do Teams, as informações confidenciais não serão exibidas

Todas as atividades monitoradas por DLP são registradas no log de auditoria do Microsoft 365 por padrão e roteadas para o Gerenciador de Atividades.

Ciclo de vida DLP

Normalmente, uma implementação DLP segue essas fases principais.

Plano de Prevenção Contra Perda de Dados

O monitoramento e a proteção DLP são nativos dos aplicativos que os usuários usam todos os dias. Isso ajuda a proteger os itens confidenciais da sua organização contra atividades arriscadas, mesmo que seus usuários não estejam desacostumados ao pensamento e práticas de prevenção contra perda de dados. Se sua organização e seus usuários forem novos nas práticas de prevenção contra perda de dados, a adoção do DLP poderá exigir uma alteração nos processos de negócios e haverá uma mudança de cultura para seus usuários. Mas, com o planejamento, o teste e o ajuste adequados, suas políticas DLP protegerão seus itens confidenciais, minimizando possíveis interrupções no processo de negócios.

Planejamento de tecnologia para DLP

Tenha em mente que o DLP como uma tecnologia pode monitorar e proteger seus dados em repouso, dados em uso e dados em movimento em todos os serviços do Microsoft 365, Windows 10, Windows 11 e dispositivos macOS (três versões lançadas mais recentes), compartilhamentos de arquivos locais e SharePoint local. Há implicações de planejamento para os diferentes locais, o tipo de dados que você deseja monitorar e proteger e as ações a serem tomadas quando ocorrer uma correspondência de política.

Planejamento de processos empresariais para DLP

As políticas DLP podem impedir que os usuários realizem atividades proibidas, como o compartilhamento inadequado de informações confidenciais por email. Ao planejar suas políticas de DLP, você deve identificar os processos de negócios que tocam seus itens confidenciais. Os proprietários do processo de negócios podem ajudá-lo a identificar comportamentos de usuário apropriados que devem ser permitidos e comportamentos inadequados do usuário que devem ser protegidos. Você deve planejar suas políticas e implantá-las no modo de simulação e avaliar o impacto delas antes de executá-las em modos mais restritivos.

Planejamento de cultura organizacional para DLP

Uma implementação DLP bem-sucedida depende tanto da forma como os usuários são treinados e aclimatados às práticas de prevenção contra perda de dados como em políticas bem planejadas e ajustadas. Como os usuários estão fortemente envolvidos, planeje o treinamento para eles também. Você pode usar estrategicamente dicas de política para aumentar a conscientização com seus usuários antes de alterar a política status do modo de simulação para modos mais restritivos.

Preparar para DLP

Você pode aplicar políticas DLP a dados em repouso, dados em uso e dados em movimento em locais como:

  • Exchange Online email
  • Sites do SharePoint Online
  • Contas OneDrive
  • Bater papo e canal de mensagens do Teams
  • Microsoft Defender para Aplicativos de Nuvem (Instâncias)
  • Windows 10, Windows 11 e macOS (três versões mais recentes)
  • Repositórios locais
  • Power BI sites

Cada um tem pré-requisitos diferentes. Itens confidenciais em alguns locais, como o Exchange online, podem ser trazidos sob o guarda-chuva DLP apenas configurando uma política que se aplica a eles. Outros, como repositórios de arquivos locais, exigem uma implantação do scanner de proteção de informações do Microsoft Purview. Você precisará preparar seu ambiente, elaborar políticas de rascunho de código e testá-las completamente antes de ativar qualquer ação de bloqueio.

Implantar suas políticas na produção

Projetar suas políticas

Comece definindo seus objetivos de controle e como eles se aplicam em cada carga de trabalho respectiva. Elaborar uma política que incorpore seus objetivos. Sinta-se à vontade para começar com uma carga de trabalho por vez ou em todas as cargas de trabalho - ainda não há impacto. Para obter mais informações, consulte Criar e implantar políticas de prevenção contra perda de dados.

Implementar política no modo de simulação

Avalie o impacto dos controles implementando-os com uma política DLP no modo de simulação. As ações definidas em uma política não são aplicadas enquanto a política está no modo de simulação. Não há problema em aplicar a política a todas as cargas de trabalho no modo de simulação, para que você possa obter a amplitude completa dos resultados, mas pode começar com uma carga de trabalho se precisar. Para obter mais informações, consulte Implantação de Política.

Monitorar resultados e ajustar a política

Enquanto estiver no modo de simulação, monitore os resultados da política e ajuste-a para que ela atenda aos seus objetivos de controle, garantindo que você não esteja afetando negativamente ou inadvertidamente fluxos de trabalho e produtividade válidos do usuário. Aqui estão alguns exemplos de coisas para ajustar:

  • ajustando os locais e pessoas/locais que estão dentro ou fora do escopo
  • ajustar as condições usadas para determinar se um item e o que está sendo feito com ele correspondem à política
  • a definição/s de informações confidenciais
  • adicionar novos controles
  • adicionar novas pessoas
  • adicionar novos aplicativos restritos
  • adicionar novos sites restritos

Observação

Parar de processar mais regras não funciona no modo de simulação, mesmo quando está ativado.

Habilitar o controle e ajustar suas políticas

Depois que a política atender a todos os seus objetivos, ative-a. Continue monitorando os resultados do aplicativo de política e ajuste conforme necessário.

Observação

Em geral, as políticas entrarão em vigor cerca de uma hora depois de serem ativadas.

Visão geral da configuração da política de DLP

Você tem flexibilidade na forma como cria e configura suas políticas de DLP. Você pode começar a partir de um modelo predefinido e criar uma política com apenas alguns cliques ou pode criar a sua própria desde o início. Não importa qual você escolha, todas as políticas de DLP exigem as mesmas informações de você.

  1. Escolha o que você deseja monitorar – o DLP vem com muitos modelos de política predefinidos para ajudá-lo a começar ou você pode criar uma política personalizada.

  2. Escolha escopo administrativo – O DLP dá suporte à atribuição de Unidades Administrativas a políticas. Os administradores atribuídos a uma unidade administrativa só podem criar e gerenciar políticas para os usuários, grupos, grupos de distribuição e contas às quais são atribuídos. Portanto, as políticas podem ser aplicadas a todos os usuários e grupos por um administrador irrestrito ou podem ser escopo para unidades administrativas. Consulte Escopo de política para obter mais detalhes específicos do DLP. Confira Unidades administrativas para obter os detalhes sobre unidades administrativas em Proteção de Informações do Microsoft Purview.

  3. Escolha onde você deseja monitorar – escolha um ou mais locais que deseja que o DLP monitore para obter informações confidenciais. Você pode monitorar:

    localização incluir/excluir por
    Email do Exchange grupos de distribuição
    Sites do Microsoft Office SharePoint Online sites
    Contas do OneDrive contas ou grupos de distribuição
    Bater papo e canal de mensagens do Teams conta ou grupo de distribuição
    Windows 10, Windows 11 e macOS (três versões mais recentes) usuário ou grupo
    Microsoft Cloud App Security instância
    Repositórios locais caminho do arquivo do repositório
    Power BI (versão prévia) Espaços

  4. Escolha as condições que devem ser correspondidas para que uma política seja aplicada a um item – você pode aceitar condições pré-configuradas ou definir condições personalizadas. Alguns exemplos:

    • o item contém um tipo especificado de informações confidenciais que estão sendo usadas em um determinado contexto. Por exemplo, 95 números de seguro social sendo enviados por email para destinatários fora de sua organização.
    • item tem um rótulo de confidencialidade especificado
    • item com informações confidenciais é compartilhado internamente ou externamente

  5. Escolha a ação a ser executada quando as condições da política forem atendidas – as ações dependem do local em que a atividade está acontecendo. Alguns exemplos:

    • SharePoint/Exchange/OneDrive: bloqueie as pessoas que estão fora da sua organização de acessar o conteúdo. Mostre uma dica ao usuário e envie uma notificação por email de que ele está tomando uma ação proibida pela política DLP.
    • Chat e Canal do Teams: impedir que informações confidenciais sejam compartilhadas no chat ou canal.
    • Windows 10, Windows 11 e macOS (três versões mais recentes lançadas) Dispositivos: auditar ou restringir a cópia de um item confidencial para um dispositivo USB removível.
    • Aplicativos do Office: mostrar um pop-up notificando o usuário de que ele está envolvido em um comportamento arriscado e bloquear ou bloquear, mas permitir substituição.
    • Compartilhamentos de arquivos locais: mova o arquivo de onde ele é armazenado para uma pasta de quarentena.

    Observação

    As condições e as ações a serem executadas são definidas em um objeto chamado regra.

Criar e implantar uma política DLP

Todas as políticas DLP são criadas e mantidas no portal de conformidade do Microsoft Purview. Consulte Criar e Implantar políticas de prevenção contra perda de dados para obter mais informações.

Depois de criar uma política DLP no portal de conformidade, ela é armazenada em um repositório de políticas central e sincronizada com as várias fontes de conteúdo, incluindo:

  • Exchange e de lá para Outlook na Web e Outlook
  • OneDrive
  • Sites do SharePoint
  • Programas da área de trabalho do Office (Excel, PowerPoint e Word)
  • Mensagens de canais e de chats do Microsoft Teams

Depois que a política é sincronizada com os locais certos, ela começa a avaliar o conteúdo e impor ações.

Exibindo os resultados do aplicativo de política

O DLP relata uma grande quantidade de informações ao Microsoft Purview, desde o monitoramento até as correspondências e ações da política até as atividades do usuário. Você precisará consumir e agir sobre essas informações para ajustar suas políticas e ações de triagem tomadas em itens confidenciais. A telemetria entra primeiro nos Logs de auditoria do Microsoft 365 , é processada e abre caminho para diferentes ferramentas de relatório. Cada ferramenta de relatório tem uma finalidade diferente.

Alto volume de informações confidenciais compartilhadas ou salvas externamente

O Microsoft 365 fornece visibilidade sobre atividades de usuário arriscadas fora das políticas de DLP. O alto volume de informações confidenciais compartilhadas ou salvas externamente cartão na página inicial do DLP mostra uma contagem de itens confidenciais que os usuários têm:

  • carregado nos domínios suspeitos
  • acessado com um aplicativo suspeito
  • copiado para uma unidade removível

O Microsoft 365 verifica os logs de auditoria em busca de atividades arriscadas e executa-os por meio de um mecanismo de correlação para encontrar atividades que estão ocorrendo em um volume alto. Nenhuma política DLP é necessária.

Para obter mais detalhes sobre os itens que os usuários estão copiando ou movendo para fora da sua organização (chamadas atividades de saída ou exfiltração), selecione o link Saiba mais no cartão para abrir um painel de detalhes. Você pode investigar incidentes de Prevenção Contra Perda de Dados do Microsoft Purview (DLP) do Microsoft Defender portal Incidentes & alertas Incidentes>. Consulte Investigar incidentes de perda de dados com Microsoft Defender XDR e Investigar alertas em Microsoft Defender XDR.

Alertas DLP

O DLP gera um alerta quando um usuário executa uma ação que atende aos critérios de uma política DLP e você tem relatórios de incidentes configurados para gerar alertas. O DLP posta o alerta para investigação no dashboard de Alertas DLP. Use os alertas DLP dashboard para exibir alertas, triá-los, definir status de investigação e controlar a resolução. Os alertas também são roteado para Microsoft Defender portal onde você pode fazer todas as tarefas de alerta dashboard mais.

Dica

Os alertas DLP estão disponíveis no portal Microsoft Defender por seis meses. Eles só estão disponíveis nos alertas DLP do Microsoft Purview dashboard por 30 dias.

Observação

Se você for um administrador restrito de unidade administrativa, verá apenas os alertas DLP para sua unidade administrativa.

Aqui está um exemplo de alertas gerados por correspondências de políticas e atividades de dispositivos Windows 10.

Informações de alerta.

Você também pode exibir os detalhes do evento associado com metadados avançados no mesmo painel

informações do evento.

Observação

Os alertas são gerados de forma diferente para emails do que para itens do SharePoint ou do OneDrive. No SharePoint e no OneDrive, o DLP examina itens existentes, bem como novos e gera um alerta sempre que uma correspondência é encontrada. No Exchange, novas mensagens de email são examinadas e um alerta é gerado se houver uma correspondência de política. O DLP não verifica nem corresponde a itens de email existentes anteriormente armazenados em uma caixa de correio ou arquivo.

Para obter mais detalhes sobre alertas, confira:

Relatórios e Explorer de atividade DLP

A guia Gerenciador de atividades na página DLP tem vários filtros que você pode usar para exibir eventos DLP. Use essa ferramenta para revisar a atividade relacionada ao conteúdo que contém informações confidenciais ou tem rótulos aplicados, como quais rótulos foram alterados, arquivos foram modificados e correspondidos a uma regra.

Você pode exibir os últimos 30 dias de informações de DLP no Activity Explorer usando esses filtros pré-configurados:

  • Atividades de DLP do ponto de extremidade
  • Arquivos que contêm tipos de informações confidenciais
  • Atividades de saída
  • Políticas DLP que detectaram atividades
  • Regras de política DLP que detectaram atividades
Para ver essas informações Selecione essa atividade
Substituições do usuário Desfazer regra DLP
Itens que correspondem a uma regra DLP Regra DLP correspondida

Você também pode acessar o relatório DLP usando esses cmdlets no PowerShell de Conformidade do & de Segurança.

  1. Conectar-se ao PowerShell de Segurança e Conformidade

Use esses cmdlets:

No entanto, os relatórios DLP precisam extrair dados de todo o Microsoft 365, incluindo o Exchange. Por esse motivo, os cmdlets a seguir para relatórios DLP estão disponíveis no Exchange Powershell. Para usar os cmdlets para esses relatórios DLP, siga as seguintes etapas:

  1. Conectar ao Exchange PowerShell

Use esses cmdlets:

Resumo contextual

Você pode ver o texto que envolve o conteúdo correspondente, como um número de cartão de crédito em um evento DLPRuleMatch no Gerenciador de Atividades.

Os eventos DLPRuleMatch são emparelhados com atividades de saída do usuário, como "CopyToClipboard" ou "CloudEgress". Eles devem estar ao lado (ou pelo menos muito próximos) uns dos outros no Explorador de Atividades. Você vai querer examinar ambos porque a atividade do usuário contém detalhes sobre a política correspondente e o evento DLPRuleMatch contém os detalhes sobre o texto que envolve o conteúdo correspondente.

Para ponto de extremidade, verifique se você aplicou KB5016688 para dispositivos Windows 10 e KB5016691 para dispositivos Windows 11 ou superior

Para obter mais informações, consulte Introdução ao gerenciador de atividades

Para saber mais sobre o DLP do Microsoft Purview, confira:

Para saber como usar a prevenção contra perda de dados para cumprir as regulamentações de privacidade de dados, confira Implantar proteção de informações para regulamentos de privacidade de dados com o Microsoft Purview (aka.ms/m365dataprivacy).