Comece a usar a coleta de arquivos que correspondem às políticas de prevenção contra perda de dados de dispositivos

Este artigo orienta você sobre os pré-requisitos e as etapas de configuração da coleção de evidências para atividades de arquivo em dispositivos e apresenta como exibir os itens copiados e salvos.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Aqui estão as etapas de alto nível para configurar e usar a coleção de evidências para atividades de arquivo em dispositivos.

  1. Integrar dispositivos
  2. Entender seus requisitosCriar sua conta de armazenamento gerenciada do Azure
  3. Adicionar um blob de armazenamento do Azure à sua conta
  4. Configurar configurações de DLP do ponto de extremidade
  5. Configurar sua política DLP
  6. Visualizar a evidência

Antes de começar

Antes de iniciar esses procedimentos, você deve examinar Saiba mais sobre a coleta de evidências para atividades de arquivo em dispositivos.

Licenciamento e assinaturas

Consulte os requisitos de licenciamento para Proteção de Informações para obter detalhes sobre as assinaturas que dão suporte a DLP.

Consulte os requisitos de licenciamento de pré-requisitos para Microsoft Entra ID P1 ou P2 necessários para criar o RBAC (controle de acesso baseado em função) personalizado.

Permissões

Permissões de DLP (Prevenção Contra Perda de Dados do Microsoft Purview padrão) são necessárias. Para saber mais, consulte Permissões.

Integração de dispositivos

Antes de poder usar itens compatíveis com cópia, você precisa integrar dispositivos Windows 10/11 no Purview, consulte Integrar dispositivos Windows na visão geral do Microsoft 365.

Entender seus requisitos

Importante

Cada contêiner herda as permissões da conta de armazenamento em que está. Você não pode definir permissões diferentes por contêiner. Se você precisar configurar permissões diferentes para diferentes regiões, você deve criar várias contas de armazenamento, não vários contêineres.

Você deve ter respostas para a pergunta a seguir antes de configurar o armazenamento do Azure e examinar o recurso para os usuários.

Você precisa compartimentalizar itens e acessar as linhas de função ou departamental?

Por exemplo, se sua organização quiser ter um conjunto de administradores ou investigadores de eventos DLP que possam exibir arquivos salvos de sua liderança sênior e outro conjunto de administradores ou investigadores de eventos DLP para itens salvos de recursos humanos, você deve criar uma conta de armazenamento do Azure para a liderança sênior da sua organização e outra para o departamento de Recursos Humanos. Isso garante que os administradores de armazenamento do Azure ou os investigadores de eventos DLP só possam ver os itens que correspondem às políticas DLP de seus respectivos grupos.

Deseja usar contêineres para organizar itens salvos?

Você pode criar vários contêineres de evidências na mesma conta de armazenamento para classificar arquivos salvos. Por exemplo, um para arquivos salvos do departamento de RH e outro para aqueles do departamento de TI.

Qual é a sua estratégia para proteger contra exclusão ou modificação de item salvo?

No Armazenamento do Azure, a proteção de dados refere-se às estratégias para proteger a conta de armazenamento e os dados dentro dela de serem excluídos ou modificados e restaurar dados depois de excluídos ou modificados. O armazenamento do Azure também oferece opções para recuperação de desastres, incluindo vários níveis de redundância, para proteger seus dados contra interrupções de serviço devido a problemas de hardware ou desastres naturais. Ele também pode proteger seus dados usando failover gerenciado pelo cliente se o data center na região primária ficar indisponível. Para obter mais informações, confira Visão geral da proteção de dados.

Você também pode configurar políticas de imutabilidade para seus dados de blob que protegem contra os itens salvos que estão sendo substituídos ou excluídos. Para obter mais informações, consulte Armazenar dados de blob comercialmente críticos com armazenamento imutável

Tipos de arquivo com suporte para armazenar e visualizar evidências

Pode ser armazenado Pode ser visualizado
Todos os tipos de arquivo monitorados pelo Ponto de Extremidade DLP Todos os tipos de arquivo com suporte para visualização de arquivos no OneDrive, SharePoint e Teams

Salvar itens correspondentes ao armazenamento de blobs do Azure

Para salvar as evidências que o Microsoft Purview detecta quando suas políticas de prevenção contra perda de dados são aplicadas, você precisa configurar o armazenamento de blobs do Azure. Há duas maneiras de fazer isso:

  1. Criar armazenamento gerenciado pelo cliente
  2. Criar armazenamento gerenciado pela Microsoft (versão prévia)

Para obter mais informações e uma comparação desses dois tipos de armazenamento, consulte Armazenando evidências quando informações confidenciais são detectadas (versão prévia).

Criar armazenamento gerenciado pelo cliente

Os procedimentos para configurar sua conta de armazenamento, contêiner e blobs do Azure estão documentados no conjunto de documentos do Azure. Aqui estão links para artigos relevantes que você pode consultar para ajudá-lo a começar:

  1. Introdução ao Armazenamento de Blobs do Azure
  2. Criar uma conta de armazenamento
  3. Padrão para e autorizar o acesso a blobs usando Microsoft Entra ID
  4. Gerenciar contêineres de blob usando o portal do Azure
  5. Gerenciar blobs de bloco com o PowerShell

Certifique-se de salvar o nome e a URL do contêiner de blob do Azure. Para exibir a URL, abra o portal > de armazenamento do Azure Propriedadesde Contêiner>de> Contas de Armazenamento Doméstico>

O formato da URL do contêiner de blobs do Azure é:https://storageAccountName.blob.core.windows.net/containerName.

Adicionar um blob de armazenamento do Azure à sua conta

Há duas maneiras de adicionar um blob de armazenamento do Azure à sua conta:

  1. De dentro do portal de conformidade do Microsoft Purview
  2. De dentro do fluxo de trabalho de criação de DLP

Adicionar armazenamento de blobs do Azure de dentro do portal de conformidade do Microsoft Purview

  1. Começando no painel de navegação esquerdo do portal de conformidade, navegue atéConfigurações de DLP do Ponto de Extremidade de Prevenção de Perda> de Dados.
  2. Alterne a coleção de evidências de instalação para atividades de arquivo em dispositivos para Ativado.
  3. No campo Definir cache de evidências no campo do dispositivo , selecione a quantidade de tempo que as evidências devem ser salvas localmente quando o dispositivo estiver offline. Você pode escolher 7, 30 ou 60 dias.
  4. Selecione + Adicionar armazenamento.
  5. No painel de sobrevoo, insira um nome para o blob de armazenamento e o cadeia de conexão correspondente e, em seguida, escolha Adicionar.
  6. Repita as etapas 3 e 4 para quaisquer blobs adicionais necessários.

Adicionar o armazenamento de blobs do Azure de dentro do fluxo de trabalho de criação de DLP

  1. No painel de navegação esquerdo, navegue atéPolíticas dePrevenção> contra Perda de Dados.
  2. Escolha editar uma política existente ou criar uma nova.
  3. Trabalhe no fluxo de trabalho de criação de política. Na página Configurações de política , selecione Criar ou personalizar regras de DLP avançadas.
  4. Selecione + Criar regra.
  5. Trabalhe no construtor de regras como de costume, selecionando as seguintes opções:
    1. Na seção Locais , verifique se a regra está no escopo apenas para Dispositivos.
    2. Na seção Relatórios de incidentes , alterne a opção Enviar um alerta aos administradores quando ocorrer uma correspondência de regra para Ativar.
    3. Selecione a caixa de seleção ao lado de Coletar arquivo original como evidência para todas as atividades de arquivo selecionadas no Ponto de Extremidade.
    4. Escolha Adicionar Armazenamento. A página de configurações de DLP do Ponto de Extremidade é aberta em uma nova janela.
    5. Na página Configurações do Ponto de Extremidade DLP , expanda a coleta de evidências de instalação para atividades de arquivo em dispositivos e verifique se a opção está alternada para Ativar.
    6. Para Definir cache de evidências no dispositivo, especifique o número de dias em que os arquivos devem ser mantidos se o dispositivo estiver desconectado do servidor.
    7. Selecione + Adicionar armazenamento.
    8. No flyout Adicionar conta , insira um nome e URL para seu blob.
    9. Escolha Salvar.
    10. De volta ao construtor de regras, selecione Enviar alerta sempre que uma atividade corresponder à regra.
    11. Escolha Salvar.
  6. Termine de criar ou editar sua regra e escolha Enviar.

Definir permissões no armazenamento de blobs do Azure

Usando Microsoft Entra autorização, você deve configurar dois conjuntos de permissões (grupos de funções) nos blobs:

  1. Um para os administradores e investigadores para que eles possam exibir e gerenciar evidências
  2. Um para usuários que precisam carregar itens no Azure de seus dispositivos

A melhor prática é impor privilégios mínimos para todos os usuários, independentemente da função. Ao impor privilégios mínimos, você garante que as permissões de usuário sejam limitadas apenas às permissões necessárias para sua função. Para configurar permissões de usuário, crie funções e grupos de funções no Microsoft Defender para Office 365 e no Microsoft Purview.

Permissões no blob do Azure para administradores e investigadores

Depois de criar o grupo de funções para investigadores de incidentes DLP, você deve configurar as permissões descritas nas ações do Investigador e nas seções de ações de dados do Investigador a seguir.

Para obter mais informações sobre como configurar o acesso ao blob, confira estes artigos:

Ações do investigador

Configure essas permissões de objeto e ação para a função de investigador:

Objeto Permissões
Microsoft.Storage/storageAccounts/blobServices Leia: Listar Serviços de Blob
Microsoft.Storage/storageAcccounts/blobServices Leia: Obter propriedades ou estatísticas do serviço de blob
Microsoft.Storage/storageAccounts/blobServices/containers Leia: Obter contêiner de blob
Microsoft.Storage/storageAccounts/blobServices/containers Leitura: Lista de contêineres de blob
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Leitura: Ler blob
Ações de dados do investigador
Objeto Permissões
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Leia: Ler Blob

O JSON para o grupo de funções de investigador deve ser semelhante a este:

"permissions": [
            {

                "actions": [

                    "Microsoft.Storage/storageAccounts/blobServices/read",

                    "Microsoft.Storage/storageAccounts/blobServices/containers/read",

                 "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"

                ],

                "notActions": [],

                "dataActions": [

                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"

                ],

                "notDataActions": []

            }

        ]

Permissões no blob do Azure para usuários

Atribua essas permissões de objeto e ação ao blob do Azure para a função de usuário:

Ações do usuário
Objeto Permissões
Microsoft.Storage/storageAccounts/blobServices Leia: Listar Serviços de Blob
Microsoft.Storage/storageAccounts/blobServices/containers Leia: Obter contêiner de blob
Microsoft.Storage/storageAccounts/blobServices/containers Gravação: colocar contêiner de blob
Ações de dados do usuário
Objeto Permissões
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Gravação: Gravar Blob
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Outro: Adicionar conteúdo de blob

O grupo JSON para função de usuário deve ser semelhante a este:

"permissions": [
  {
     "actions": [
       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
       "Microsoft.Storage/storageAccounts/blobServices/read"
     ],
     "notActions": [],
     "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
     ],
     "notDataActions": []
    }
 ]

Criar armazenamento gerenciado pela Microsoft (versão prévia)

Configurar a coleção de evidências em uma conta de armazenamento gerenciada pela Microsoft (versão prévia)

  1. Começando no painel de navegação esquerdo do portal de conformidade, navegue atéConfigurações de DLP do Ponto de Extremidade de Prevenção de Perda> de Dados.

  2. Alterne a coleção de evidências de instalação para atividades de arquivo em dispositivos para Ativado.

  3. Em Selecionar tipo de armazenamento, escolha Armazenamento gerenciado da Microsoft.

Habilitar a coleta de evidências em uma conta de armazenamento gerenciada pela Microsoft (versão prévia)

  1. Na página Criar regra , em Relatórios de incidentes, selecione Coletar arquivo original como evidência.
  2. Selecione suas atividades de ponto de extremidade desejadas para coletar evidências.

Configurar configurações de DLP do ponto de extremidade

  1. Entre no portal de conformidade do Microsoft Purview.

  2. No portal de conformidade do Microsoft Purview > navegação > esquerda Soluções> Prevenção > contraperda de dadosDLP configura a>coleção de evidências de instalação para atividades de arquivo em dispositivos.

  3. Defina o alternância como Ativado.

  4. Defina a duração do cache de arquivos em dispositivos se os dispositivos não puderem acessar a conta de armazenamento do Azure. Você pode escolher, 7, 30 ou 60 dias.

  5. Somente para armazenamento gerenciado pelo cliente:

    1. Selecionar + Adicionar armazenamento
    2. Insira o Nome e a URL da sua conta de armazenamento do Azure.
      O formato de URL é: ''conta de armazenamento FQDN/containerName'. Como Microsoft Entra autorização é usada, nenhum token SAS é necessário.

Configurar sua Política DLP

Crie uma política DLP como normalmente faria. Para obter exemplos de configuração de política, consulte Criar e Implantar políticas de prevenção contra perda de dados.

Configure sua política usando estas configurações:

  • Verifique se dispositivos são o único local selecionado.
  • Em Relatórios de incidentes, alterne Enviar um alerta para os administradores quando ocorrer uma correspondência de regra com Ativado.
  • Em Relatórios de incidentes, selecione Coletar arquivo original como evidência para todas as atividades de arquivo selecionadas no Ponto de Extremidade.
  • Selecione a conta de armazenamento desejada.
  • Selecione as atividades para as quais você deseja copiar itens correspondentes ao armazenamento do Azure, como:
    • Copiar para um dispositivo USB removível
    • Copiar para um compartilhamento de rede
    • Print
    • Copiar ou mover usando um aplicativo Bluetooth não permitido
    • Copiar ou mover usando RDP

Visualizar a evidência

Há diferentes maneiras de visualizar suas evidências, dependendo de qual tipo de armazenamento você selecionar.

Tipo de armazenamento Opções de visualização
Gerenciado pelo cliente - Usar o gerenciador de atividades
- Usar o portal de conformidade
Microsoft Managed (versão prévia) - Usar o gerenciador de atividades

Visualizar evidências por meio do Gerenciador de Atividades

  1. A partir do painel de navegação esquerdo do portal de conformidade, navegue até oGerenciador de atividades de prevenção> contra perda de dados.
  2. Usando a lista suspensa Data , selecione as datas iniciar e terminar para o período em que você está interessado.
  3. Na lista de resultados, selecione a atividade que você deseja investigar.
  4. No painel de sobrevoo, o link para o armazenamento de blobs do Azure em que a evidência é exibida no arquivo Evidence.
  5. Selecione o link de armazenamento de blobs do Azure para exibir o arquivo que foi correspondido.

Visualizar evidências por meio da página Alertas do portal de conformidade

  1. A partir do painel de navegação esquerdo do portal de conformidade, navegue atéAlertas de Prevenção> contra Perda de Dados.
  2. Usando a lista suspensa Data , selecione as datas iniciar e terminar para o período em que você está interessado.
  3. Na lista de resultados, selecione a atividade que você deseja investigar.
  4. No painel de sobrevoo, selecione Exibir detalhes.
  5. Selecione a guia Eventos .
  6. No painel Detalhes , selecione a guia Origem . O arquivo que foi correspondido é exibido.

Observação

Se o arquivo que foi correspondido já existir no blob de armazenamento do Azure, ele não será carregado novamente até que sejam feitas alterações no arquivo e um usuário faça uma ação sobre ele.

Comportamentos conhecidos

  • Os arquivos armazenados no cache do dispositivo não persistem se o sistema falhar ou reiniciar.
  • O tamanho máximo para arquivos que podem ser carregados de um dispositivo é de 500 MB.
  • Se a Proteção Just-in-Time for disparada em um arquivo verificado ou se o arquivo for armazenado em um compartilhamento de rede, o arquivo de evidência não será coletado.
  • Se várias regras de política forem detectadas em um único arquivo, o arquivo de evidência só será armazenado se a regra de política mais restritiva estiver configurada para coletar evidências.