Comece a usar a coleta de arquivos que correspondem às políticas de prevenção contra perda de dados de dispositivos
Este artigo orienta você sobre os pré-requisitos e as etapas de configuração da coleção de evidências para atividades de arquivo em dispositivos e apresenta como exibir os itens copiados e salvos.
Dica
Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.
Aqui estão as etapas de alto nível para configurar e usar a coleção de evidências para atividades de arquivo em dispositivos.
- Integrar dispositivos
- Entenda seus requisitosCreate sua conta de armazenamento gerenciada do Azure
- Adicionar um blob de armazenamento do Azure à sua conta
- Habilitar e configurar a coleção de evidências em uma conta de armazenamento gerenciada pela Microsoft (versão prévia)
- Configurar sua política DLP
- Visualizar a evidência
Antes de começar
Antes de iniciar esses procedimentos, você deve examinar Saiba mais sobre a coleta de evidências para atividades de arquivo em dispositivos.
Licenciamento e assinaturas
Antes de começar a usar políticas DLP, confirme sua assinatura do Microsoft 365 e quaisquer complementos.
Para obter informações sobre licenciamento, consulte Assinaturas do Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 para Empresas.
Consulte os requisitos de licenciamento de pré-requisitos para Microsoft Entra ID P1 ou P2 necessários para criar o RBAC (controle de acesso baseado em função) personalizado.
Permissões
Permissões de DLP (Prevenção Contra Perda de Dados do Microsoft Purview padrão) são necessárias. Para saber mais, consulte Permissões.
Integração de dispositivos
Antes de poder usar itens compatíveis com cópia, você precisa integrar dispositivos Windows 10/11 no Purview, consulte Integrar dispositivos Windows na visão geral do Microsoft 365.
Entender seus requisitos
Importante
Cada contêiner herda as permissões da conta de armazenamento em que está. Você não pode definir permissões diferentes por contêiner. Se você precisar configurar permissões diferentes para diferentes regiões, você deve criar várias contas de armazenamento, não vários contêineres.
Você deve ter respostas para a pergunta a seguir antes de configurar o armazenamento do Azure e examinar o recurso para os usuários.
Você precisa compartimentalizar itens e acessar as linhas de função ou departamental?
Por exemplo, se sua organização quiser ter um conjunto de administradores ou investigadores de eventos DLP que possam exibir arquivos salvos de sua liderança sênior e outro conjunto de administradores ou investigadores de eventos DLP para itens salvos de recursos humanos, você deve criar uma conta de armazenamento do Azure para a liderança sênior da sua organização e outra para o departamento de Recursos Humanos. Isso garante que os administradores de armazenamento do Azure ou os investigadores de eventos DLP só possam ver os itens que correspondem às políticas DLP de seus respectivos grupos.
Deseja usar contêineres para organizar itens salvos?
Você pode criar vários contêineres de evidências na mesma conta de armazenamento para classificar arquivos salvos. Por exemplo, um para arquivos salvos do departamento de RH e outro para aqueles do departamento de TI.
Qual é a sua estratégia para proteger contra exclusão ou modificação de item salvo?
No Armazenamento do Azure, a proteção de dados refere-se às estratégias para proteger a conta de armazenamento e os dados dentro dela de serem excluídos ou modificados e restaurar dados depois de excluídos ou modificados. O armazenamento do Azure também oferece opções para recuperação de desastres, incluindo vários níveis de redundância, para proteger seus dados contra interrupções de serviço devido a problemas de hardware ou desastres naturais. Ele também pode proteger seus dados usando failover gerenciado pelo cliente se o data center na região primária ficar indisponível. Para obter mais informações, confira Visão geral da proteção de dados.
Você também pode configurar políticas de imutabilidade para seus dados de blob que protegem contra os itens salvos que estão sendo substituídos ou excluídos. Para obter mais informações, consulte Armazenar dados de blob comercialmente críticos com armazenamento imutável
Tipos de arquivo com suporte para armazenar e visualizar evidências
Pode ser armazenado | Pode ser visualizado |
---|---|
Todos os tipos de arquivo monitorados pelo Ponto de Extremidade DLP | Todos os tipos de arquivo com suporte para visualização de arquivos no OneDrive, SharePoint e Teams |
Salvar itens correspondentes ao armazenamento de blobs do Azure
Para salvar as evidências que o Microsoft Purview detecta quando suas políticas de prevenção contra perda de dados são aplicadas, você precisa configurar o armazenamento de blobs do Azure. Há duas maneiras de fazer isso:
- Create armazenamento gerenciado pelo cliente
- Create armazenamento gerenciado pela Microsoft (versão prévia)
Para obter mais informações e uma comparação desses dois tipos de armazenamento, consulte Armazenando evidências quando informações confidenciais são detectadas (versão prévia).
Create armazenamento gerenciado pelo cliente
Os procedimentos para configurar sua conta de armazenamento, contêiner e blobs do Azure estão documentados no conjunto de documentos do Azure. Aqui estão links para artigos relevantes que você pode consultar para ajudá-lo a começar:
- Introdução ao Armazenamento de Blobs do Azure
- Create uma conta de armazenamento
- Padrão para e autorizar o acesso a blobs usando Microsoft Entra ID
- Gerenciar contêineres de blob usando o portal do Azure
- Gerenciar blobs de bloco com o PowerShell
Certifique-se de salvar o nome e a URL do contêiner de blob do Azure. Para exibir a URL, abra o portal > de armazenamento do Azure Propriedadesde Contêiner>de> Contas de Armazenamento Doméstico>
O formato da URL do contêiner de blobs do Azure é:https://storageAccountName.blob.core.windows.net/containerName
.
Adicionar um blob de armazenamento do Azure à sua conta
Há várias maneiras de adicionar um blob de armazenamento do Azure à sua conta. Escolheu um dos métodos abaixo.
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
- Microsoft Purview Portal
- Política DLP no portal do Microsoft Purview
- Portal de Conformidade
- Fluxo de trabalho de política DLP no portal de conformidade
Para adicionar o armazenamento de blobs do Azure usando o portal do Microsoft Purview:
- Entre no portal do Microsoft Purview e escolha a engrenagem Configurações na barra de menus .
- Escolha Prevenção contra perda de dados.
- Selecione Configurações de DLP do ponto de extremidade.
- Expanda a coleta de evidências de instalação para atividades de arquivo em dispositivos.
- Altere o alternância de Desativar para Ativado.
- No campo Definir cache de evidências no campo do dispositivo , selecione a quantidade de tempo que as evidências devem ser salvas localmente quando o dispositivo estiver offline. Você pode escolher 7, 30 ou 60 dias.
- Selecione um tipo de armazenamento (repositório gerenciado pelo cliente ou repositório gerenciado pela Microsoft (versão prévia)) e selecione + Adicionar armazenamento.
- Para armazenamento gerenciado pelo cliente:
- Escolha Repositório gerenciado pelo cliente: e escolha + Adicionar armazenamento.
- Insira dar um nome à conta e insira a URL do blob de armazenamento.
- Escolha Salvar.
- Para armazenamento gerenciado pela Microsoft:
- Escolher o repositório gerenciado da Microsoft (versão prévia)
- Para armazenamento gerenciado pelo cliente:
Definir permissões no armazenamento de blobs do Azure
Usando Microsoft Entra autorização, você deve configurar dois conjuntos de permissões (grupos de funções) nos blobs:
- Um para os administradores e investigadores para que eles possam exibir e gerenciar evidências
- Um para usuários que precisam carregar itens no Azure de seus dispositivos
A melhor prática é impor privilégios mínimos para todos os usuários, independentemente da função. Ao impor privilégios mínimos, você garante que as permissões de usuário sejam limitadas apenas às permissões necessárias para sua função. Para configurar permissões de usuário, crie funções e grupos de funções no Microsoft Defender para Office 365 e no Microsoft Purview.
Permissões no blob do Azure para administradores e investigadores
Depois de criar o grupo de funções para investigadores de incidentes DLP, você deve configurar as permissões descritas nas ações do Investigador e nas seções de ações de dados do Investigador a seguir.
Para obter mais informações sobre como configurar o acesso ao blob, confira estes artigos:
- Como autorizar o acesso a dados de blob no portal do Azure
- Atribua permissões no nível do compartilhamento.
Ações do investigador
Configure essas permissões de objeto e ação para a função de investigador:
Objeto | Permissões |
---|---|
Microsoft.Storage/storageAccounts/blobServices | Leia: Listar Serviços de Blob |
Microsoft.Storage/storageAccounts/blobServices | Leia: Obter propriedades ou estatísticas do serviço de blob |
Microsoft.Storage/storageAccounts/blobServices/containers | Leia: Obter contêiner de blob |
Microsoft.Storage/storageAccounts/blobServices/containers | Leitura: Lista de contêineres de blob |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | Leitura: Ler blob |
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Outro: gerar uma chave de delegação de usuário |
Ações de dados do investigador
Objeto | Permissões |
---|---|
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | Leia: Ler Blob |
O JSON para o grupo de funções de investigador deve ser semelhante a este:
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
],
"notDataActions": []
}
]
Permissões no blob do Azure para usuários
Atribua essas permissões de objeto e ação ao blob do Azure para a função de usuário:
Ações do usuário
Objeto | Permissões |
---|---|
Microsoft.Storage/storageAccounts/blobServices | Leia: Listar Serviços de Blob |
Microsoft.Storage/storageAccounts/blobServices/containers | Leia: Obter contêiner de blob |
Microsoft.Storage/storageAccounts/blobServices/containers | Gravação: colocar contêiner de blob |
Ações de dados do usuário
Objeto | Permissões |
---|---|
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | Gravação: Gravar Blob |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | Outro: Adicionar conteúdo de blob |
O grupo JSON para função de usuário deve ser semelhante a este:
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
],
"notDataActions": []
}
]
Habilitar e configurar a coleção de evidências em uma conta de armazenamento gerenciada pela Microsoft (versão prévia)
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
Para habilitar e configurar a coleta de evidências em uma conta de armazenamento gerenciada pela Microsoft de dentro do portal do Microsoft Purview:
- Entre no equipamento Configurações do portal > do Microsoft Purviewna barra demenus.
- Escolha Prevenção contra perda de dados.
- Selecione Configurações de DLP do ponto de extremidade.
- Expanda a coleta de evidências de instalação para atividades de arquivo em dispositivos e defina o alternância como Ativado.
- Em Selecionar tipo de armazenamento, escolha Armazenamento gerenciado da Microsoft.
Configurar sua Política DLP
Create uma política DLP como normalmente faria. Para obter exemplos de configuração de política, consulte Create e Implantar políticas de prevenção contra perda de dados.
Configure sua política usando estas configurações:
- Verifique se dispositivos são o único local selecionado.
- Em Relatórios de incidentes, alterne Enviar um alerta para os administradores quando ocorrer uma correspondência de regra com Ativado.
- Em Relatórios de incidentes, selecione Coletar arquivo original como evidência para todas as atividades de arquivo selecionadas no Ponto de Extremidade.
- Selecione a conta de armazenamento desejada.
- Selecione as atividades para as quais você deseja copiar itens correspondentes ao armazenamento do Azure, como:
- Copiar para um dispositivo USB removível
- Copiar para um compartilhamento de rede
- Copiar ou mover usando um aplicativo Bluetooth não permitido
- Copiar ou mover usando RDP
Visualizar a evidência
Há diferentes maneiras de visualizar suas evidências, dependendo de qual tipo de armazenamento você selecionar.
Tipo de armazenamento | Opções de visualização |
---|---|
Gerenciado pelo cliente | - Usar o gerenciador de atividades - Usar o portal de conformidade |
Microsoft Managed (versão prévia) | - Usar o gerenciador de atividades |
Visualizar evidências por meio do Gerenciador de Atividades
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
- Entre no portal > do Microsoft PurviewGerenciador de atividades deprevenção> contra perda de dados.
- Usando a lista suspensa Data , selecione as datas iniciar e terminar para o período em que você está interessado.
- Na lista de resultados, clique duas vezes no item de linha da atividade que você deseja investigar.
- No painel de sobrevoo, o link para o blob do Azure em que a evidência é armazenada aparece no arquivo Evidence.
- Selecione o link de armazenamento de blobs do Azure para exibir o arquivo que foi correspondido.
Visualizar evidências por meio da página Alertas do portal de conformidade
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
- Entre no portal > do Microsoft PurviewAlertas de prevenção> contra perdade dados.
- Usando a lista suspensa Data , selecione as datas iniciar e terminar para o período em que você está interessado.
- Na lista de resultados, clique duas vezes no item de linha da atividade que você deseja investigar.
- No painel de sobrevoo, selecione Exibir detalhes.
- Selecione a guia Eventos .
- No painel Detalhes , selecione a guia Origem. O arquivo que foi correspondido é exibido.
Observação
Se o arquivo que foi correspondido já existir no blob de armazenamento do Azure, ele não será carregado novamente até que sejam feitas alterações no arquivo e um usuário faça uma ação sobre ele.
Comportamentos conhecidos
- Os arquivos armazenados no cache do dispositivo não persistem se o sistema falhar ou reiniciar.
- O tamanho máximo para arquivos que podem ser carregados de um dispositivo é de 500 MB.
- Se a Proteção Just-in-Time for disparada em um arquivo verificado ou se o arquivo for armazenado em um compartilhamento de rede, o arquivo de evidência não será coletado.
- Se várias regras de política forem detectadas em um único arquivo, o arquivo de evidência só será armazenado se a regra de política mais restritiva estiver configurada para coletar evidências.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de