Comece a usar a coleta de arquivos que correspondem às políticas de prevenção contra perda de dados de dispositivos

Este artigo orienta você sobre os pré-requisitos e as etapas de configuração da coleção de evidências para atividades de arquivo em dispositivos e apresenta como exibir os itens copiados e salvos.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Aqui estão as etapas de alto nível para configurar e usar a coleção de evidências para atividades de arquivo em dispositivos.

1. Integrar dispositivos
2. Entenda seus requisitosCreate sua conta de armazenamento gerenciada do Azure
3. Adicionar um blob de armazenamento do Azure à sua conta
4. Habilitar e configurar a coleção de evidências em uma conta de armazenamento gerenciada pela Microsoft (versão prévia)
5. Configurar sua política DLP
6. Visualizar a evidência

Antes de começar

Antes de iniciar esses procedimentos, você deve examinar Saiba mais sobre a coleta de evidências para atividades de arquivo em dispositivos.

Licenciamento e assinaturas

Antes de começar a usar políticas DLP, confirme sua assinatura do Microsoft 365 e quaisquer complementos.

Para obter informações sobre licenciamento, consulte Assinaturas do Microsoft 365, Office 365, Enterprise Mobility + Security e Windows 11 para Empresas.

Consulte os requisitos de licenciamento de pré-requisitos para Microsoft Entra ID P1 ou P2 necessários para criar o RBAC (controle de acesso baseado em função) personalizado.

Permissões

Permissões de DLP (Prevenção Contra Perda de Dados do Microsoft Purview padrão) são necessárias. Para saber mais, consulte Permissões.

Integração de dispositivos

Antes de poder usar itens compatíveis com cópia, você precisa integrar dispositivos Windows 10/11 no Purview, consulte Integrar dispositivos Windows na visão geral do Microsoft 365.

Entender seus requisitos

Importante

Cada contêiner herda as permissões da conta de armazenamento em que está. Você não pode definir permissões diferentes por contêiner. Se você precisar configurar permissões diferentes para diferentes regiões, você deve criar várias contas de armazenamento, não vários contêineres.

Você deve ter respostas para a pergunta a seguir antes de configurar o armazenamento do Azure e examinar o recurso para os usuários.

Você precisa compartimentalizar itens e acessar as linhas de função ou departamental?

Por exemplo, se sua organização quiser ter um conjunto de administradores ou investigadores de eventos DLP que possam exibir arquivos salvos de sua liderança sênior e outro conjunto de administradores ou investigadores de eventos DLP para itens salvos de recursos humanos, você deve criar uma conta de armazenamento do Azure para a liderança sênior da sua organização e outra para o departamento de Recursos Humanos. Isso garante que os administradores de armazenamento do Azure ou os investigadores de eventos DLP só possam ver os itens que correspondem às políticas DLP de seus respectivos grupos.

Deseja usar contêineres para organizar itens salvos?

Você pode criar vários contêineres de evidências na mesma conta de armazenamento para classificar arquivos salvos. Por exemplo, um para arquivos salvos do departamento de RH e outro para aqueles do departamento de TI.

Qual é a sua estratégia para proteger contra exclusão ou modificação de item salvo?

No Armazenamento do Azure, a proteção de dados refere-se às estratégias para proteger a conta de armazenamento e os dados dentro dela de serem excluídos ou modificados e restaurar dados depois de excluídos ou modificados. O armazenamento do Azure também oferece opções para recuperação de desastres, incluindo vários níveis de redundância, para proteger seus dados contra interrupções de serviço devido a problemas de hardware ou desastres naturais. Ele também pode proteger seus dados usando failover gerenciado pelo cliente se o data center na região primária ficar indisponível. Para obter mais informações, confira Visão geral da proteção de dados.

Você também pode configurar políticas de imutabilidade para seus dados de blob que protegem contra os itens salvos que estão sendo substituídos ou excluídos. Para obter mais informações, consulte Armazenar dados de blob comercialmente críticos com armazenamento imutável

Tipos de arquivo com suporte para armazenar e visualizar evidências

Pode ser armazenado	Pode ser visualizado
Todos os tipos de arquivo monitorados pelo Ponto de Extremidade DLP	Todos os tipos de arquivo com suporte para visualização de arquivos no OneDrive, SharePoint e Teams

Salvar itens correspondentes ao armazenamento de blobs do Azure

Para salvar as evidências que o Microsoft Purview detecta quando suas políticas de prevenção contra perda de dados são aplicadas, você precisa configurar o armazenamento de blobs do Azure. Há duas maneiras de fazer isso:

1. Create armazenamento gerenciado pelo cliente
2. Create armazenamento gerenciado pela Microsoft (versão prévia)

Para obter mais informações e uma comparação desses dois tipos de armazenamento, consulte Armazenando evidências quando informações confidenciais são detectadas (versão prévia).

Create armazenamento gerenciado pelo cliente

Os procedimentos para configurar sua conta de armazenamento, contêiner e blobs do Azure estão documentados no conjunto de documentos do Azure. Aqui estão links para artigos relevantes que você pode consultar para ajudá-lo a começar:

1. Introdução ao Armazenamento de Blobs do Azure
2. Create uma conta de armazenamento
3. Padrão para e autorizar o acesso a blobs usando Microsoft Entra ID
4. Gerenciar contêineres de blob usando o portal do Azure
5. Gerenciar blobs de bloco com o PowerShell

Certifique-se de salvar o nome e a URL do contêiner de blob do Azure. Para exibir a URL, abra o portal > de armazenamento do Azure Propriedadesde Contêiner>de> Contas de Armazenamento Doméstico>

O formato da URL do contêiner de blobs do Azure é:https://storageAccountName.blob.core.windows.net/containerName.

Adicionar um blob de armazenamento do Azure à sua conta

Há várias maneiras de adicionar um blob de armazenamento do Azure à sua conta. Escolheu um dos métodos abaixo.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Microsoft Purview Portal

Para adicionar o armazenamento de blobs do Azure usando o portal do Microsoft Purview:

1. Entre no portal do Microsoft Purview e escolha a engrenagem Configurações na barra de menus .
2. Escolha Prevenção contra perda de dados.
3. Selecione Configurações de DLP do ponto de extremidade.
4. Expanda a coleta de evidências de instalação para atividades de arquivo em dispositivos.
5. Altere o alternância de Desativar para Ativado.
6. No campo Definir cache de evidências no campo do dispositivo , selecione a quantidade de tempo que as evidências devem ser salvas localmente quando o dispositivo estiver offline. Você pode escolher 7, 30 ou 60 dias.
7. Selecione um tipo de armazenamento (repositório gerenciado pelo cliente ou repositório gerenciado pela Microsoft (versão prévia)) e selecione + Adicionar armazenamento.
   1. Para armazenamento gerenciado pelo cliente:
      1. Escolha Repositório gerenciado pelo cliente: e escolha + Adicionar armazenamento.
      2. Insira dar um nome à conta e insira a URL do blob de armazenamento.
      3. Escolha Salvar.
   2. Para armazenamento gerenciado pela Microsoft:
      1. Escolher o repositório gerenciado da Microsoft (versão prévia)

Política DLP no portal do Microsoft Purview

Para adicionar o armazenamento de blobs do Azure usando o fluxo de trabalho de criação de política DLP no portal do Microsoft Purview:

1. Entre no portal do Microsoft Purview e escolha Prevenção contra perda de dados.
2. Siga as etapas para criar uma nova política.
3. Na etapa Locais , verifique se somente o local dispositivos está selecionado e escolha Avançar.
4. Na etapa Configurações de política, selecione Create ou personalize regras de DLP avançadas.
5. Selecione +Create regra e adicione condições, ações, notificações de usuário e substituições de usuário com valores de sua escolha.
6. Na seção Relatórios de incidentes , a opção Enviar um alerta aos administradores quando ocorrer uma correspondência de regra deve estar ativada por padrão. (Se não for, ative-o.)
7. Selecione a caixa de seleção ao lado de Coletar arquivo original como evidência para todas as atividades de arquivo selecionadas no Ponto de Extremidade.
8. Selecione as atividades para as quais você deseja coletar evidências.
9. Selecione Adicionar armazenamento ao lado do item da caixa de seleção.
10. Na página Configurações do Ponto de Extremidade DLP , expanda a coleta de evidências de instalação para atividades de arquivo em dispositivos e verifique se a opção está alternada para Ativar.

Portal de Conformidade

Para adicionar o armazenamento de blobs do Azure usando o portal de conformidade:

1. Começando no painel de navegação esquerdo do portal de conformidade, navegue atéa Visão geralde prevenção>> contra perda de dadosConfigurações de prevenção de perdadedados Configurações> de DLP do ponto de extremidade.
2. Expanda a coleta de evidências de instalação para atividades de arquivo em dispositivos e defina o alternância como Ativado.
3. No campo Definir cache de evidências no campo do dispositivo , selecione a quantidade de tempo que as evidências devem ser salvas localmente quando o dispositivo estiver offline. Você pode escolher 7, 30 ou 60 dias.
4. Selecione um tipo de armazenamento (repositório gerenciado pelo cliente ou repositório gerenciado pela Microsoft (versão prévia)) e selecione + Adicionar armazenamento.
   1. Para armazenamento gerenciado pelo cliente:
      1. Escolha Repositório gerenciado pelo cliente: e escolha + Adicionar armazenamento.
      2. Insira dar um nome à conta e insira a URL do blob de armazenamento.
      3. Escolha Salvar.
   2. Para armazenamento gerenciado pela Microsoft:
      1. Escolher o repositório gerenciado da Microsoft (versão prévia)

Fluxo de trabalho de política DLP no portal de conformidade

Para adicionar o armazenamento de blobs do Azure usando o fluxo de trabalho de criação de política DLP no portal de conformidade:

1. No painel de navegação esquerdo, navegue atéPolíticas dePrevenção> contra Perda de Dados.
2. Escolha editar uma política existente ou criar uma nova.
3. Trabalhe no fluxo de trabalho de criação de política. Na página Configurações de política, selecione Create ou personalize regras DLP avançadas.
4. Na página Locais , verifique se apenas o local dos dispositivos está selecionado e escolha Avançar.
5. Na página Definir configurações de política, selecione Create ou personalize regras DLP avançadas.
6. Selecione + Create regra.
7. Trabalhe no construtor de regras como de costume, selecionando as seguintes opções:
   1. Na seção Relatórios de incidentes , selecione uma opção para Usar esse nível de gravidade em alertas de administrador e relatórios*.
   2. Alterne a opção Enviar um alerta aos administradores quando ocorrer uma correspondência de regra para Ativar.
   3. Selecione a caixa de seleção ao lado de Coletar arquivo original como evidência para todas as atividades de arquivo selecionadas no Ponto de Extremidade.
   4. Escolha Adicionar Armazenamento. A página de configurações de DLP do Ponto de Extremidade é aberta em uma nova janela.
   5. Na página Configurações do Ponto de Extremidade DLP , expanda a coleta de evidências de instalação para atividades de arquivo em dispositivos e verifique se a opção está alternada para Ativar.
   6. Para Definir cache de evidências no dispositivo, especifique o número de dias em que os arquivos devem ser mantidos se o dispositivo estiver desconectado do servidor.
   7. Selecione + Adicionar armazenamento.
   8. No flyout Adicionar conta , insira um nome e URL para seu blob.
   9. Escolha Salvar.
   10. De volta ao construtor de regras, selecione Enviar alerta sempre que uma atividade corresponder à regra.
   11. Escolha Salvar.
   12. Termine de criar ou editar sua regra e escolha Enviar.

Definir permissões no armazenamento de blobs do Azure

Usando Microsoft Entra autorização, você deve configurar dois conjuntos de permissões (grupos de funções) nos blobs:

1. Um para os administradores e investigadores para que eles possam exibir e gerenciar evidências
2. Um para usuários que precisam carregar itens no Azure de seus dispositivos

A melhor prática é impor privilégios mínimos para todos os usuários, independentemente da função. Ao impor privilégios mínimos, você garante que as permissões de usuário sejam limitadas apenas às permissões necessárias para sua função. Para configurar permissões de usuário, crie funções e grupos de funções no Microsoft Defender para Office 365 e no Microsoft Purview.

Permissões no blob do Azure para administradores e investigadores

Depois de criar o grupo de funções para investigadores de incidentes DLP, você deve configurar as permissões descritas nas ações do Investigador e nas seções de ações de dados do Investigador a seguir.

Para obter mais informações sobre como configurar o acesso ao blob, confira estes artigos:

• Como autorizar o acesso a dados de blob no portal do Azure
• Atribua permissões no nível do compartilhamento.

Ações do investigador

Configure essas permissões de objeto e ação para a função de investigador:

Objeto	Permissões
Microsoft.Storage/storageAccounts/blobServices	Leia: Listar Serviços de Blob
Microsoft.Storage/storageAccounts/blobServices	Leia: Obter propriedades ou estatísticas do serviço de blob
Microsoft.Storage/storageAccounts/blobServices/containers	Leia: Obter contêiner de blob
Microsoft.Storage/storageAccounts/blobServices/containers	Leitura: Lista de contêineres de blob
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Leitura: Ler blob
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action	Outro: gerar uma chave de delegação de usuário

Ações de dados do investigador

Objeto	Permissões
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Leia: Ler Blob

O JSON para o grupo de funções de investigador deve ser semelhante a este:

"permissions": [
            {

                "actions": [

                    "Microsoft.Storage/storageAccounts/blobServices/read",

                    "Microsoft.Storage/storageAccounts/blobServices/containers/read",

                 "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"

                ],

                "notActions": [],

                "dataActions": [

                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"

                ],

                "notDataActions": []

            }

        ]

Permissões no blob do Azure para usuários

Atribua essas permissões de objeto e ação ao blob do Azure para a função de usuário:

Ações do usuário

Objeto	Permissões
Microsoft.Storage/storageAccounts/blobServices	Leia: Listar Serviços de Blob
Microsoft.Storage/storageAccounts/blobServices/containers	Leia: Obter contêiner de blob
Microsoft.Storage/storageAccounts/blobServices/containers	Gravação: colocar contêiner de blob

Ações de dados do usuário

Objeto	Permissões
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Gravação: Gravar Blob
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Outro: Adicionar conteúdo de blob

O grupo JSON para função de usuário deve ser semelhante a este:

"permissions": [
  {
     "actions": [
       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
       "Microsoft.Storage/storageAccounts/blobServices/read"
     ],
     "notActions": [],
     "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
     ],
     "notDataActions": []
    }
 ]

Habilitar e configurar a coleção de evidências em uma conta de armazenamento gerenciada pela Microsoft (versão prévia)

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

Para habilitar e configurar a coleta de evidências em uma conta de armazenamento gerenciada pela Microsoft de dentro do portal do Microsoft Purview:

1. Entre no equipamento Configurações do portal > do Microsoft Purviewna barra demenus.
2. Escolha Prevenção contra perda de dados.
3. Selecione Configurações de DLP do ponto de extremidade.
4. Expanda a coleta de evidências de instalação para atividades de arquivo em dispositivos e defina o alternância como Ativado.
5. Em Selecionar tipo de armazenamento, escolha Armazenamento gerenciado da Microsoft.

Portal de Conformidade

Para habilitar e configurar a coleta de evidências em uma conta de armazenamento gerenciada pela Microsoft de dentro do portal de conformidade:

1. Abra portal de conformidade do Microsoft Purview>Data loss prevention>Configurações de prevenção contra perdade dados Configurações >de DLP do ponto de extremidade.
2. Expanda a coleta de evidências de instalação para atividades de arquivo em dispositivos e defina o alternância como Ativado.
3. No campo Definir cache de evidências no campo do dispositivo , selecione a quantidade de tempo que as evidências devem ser salvas localmente quando o dispositivo estiver offline. Você pode escolher 7, 30 ou 60 dias.
4. Em Selecionar tipo de armazenamento, escolha Armazenamento gerenciado da Microsoft (versão prévia).

Configurar sua Política DLP

Create uma política DLP como normalmente faria. Para obter exemplos de configuração de política, consulte Create e Implantar políticas de prevenção contra perda de dados.

Configure sua política usando estas configurações:

• Verifique se dispositivos são o único local selecionado.
• Em Relatórios de incidentes, alterne Enviar um alerta para os administradores quando ocorrer uma correspondência de regra com Ativado.
• Em Relatórios de incidentes, selecione Coletar arquivo original como evidência para todas as atividades de arquivo selecionadas no Ponto de Extremidade.
• Selecione a conta de armazenamento desejada.
• Selecione as atividades para as quais você deseja copiar itens correspondentes ao armazenamento do Azure, como:
  • Copiar para um dispositivo USB removível
  • Copiar para um compartilhamento de rede
  • Print
  • Copiar ou mover usando um aplicativo Bluetooth não permitido
  • Copiar ou mover usando RDP

Visualizar a evidência

Há diferentes maneiras de visualizar suas evidências, dependendo de qual tipo de armazenamento você selecionar.

Tipo de armazenamento	Opções de visualização
Gerenciado pelo cliente	- Usar o gerenciador de atividades - Usar o portal de conformidade
Microsoft Managed (versão prévia)	- Usar o gerenciador de atividades

Visualizar evidências por meio do Gerenciador de Atividades

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal > do Microsoft PurviewGerenciador de atividades deprevenção> contra perda de dados.
2. Usando a lista suspensa Data , selecione as datas iniciar e terminar para o período em que você está interessado.
3. Na lista de resultados, clique duas vezes no item de linha da atividade que você deseja investigar.
4. No painel de sobrevoo, o link para o blob do Azure em que a evidência é armazenada aparece no arquivo Evidence.
5. Selecione o link de armazenamento de blobs do Azure para exibir o arquivo que foi correspondido.

Portal de Conformidade

1. Abra portal de conformidade do Microsoft Purview>Data loss prevention>Activity explorer.
2. Usando a lista suspensa Data , selecione as datas iniciar e terminar para o período em que você está interessado.
3. Na lista de resultados, selecione a atividade que você deseja investigar.
4. No painel de sobrevoo, o link para o blob do Azure em que a evidência é armazenada aparece no arquivo Evidence.
5. Selecione o link de armazenamento de blobs do Azure para exibir o arquivo que foi correspondido.

Visualizar evidências por meio da página Alertas do portal de conformidade

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal > do Microsoft PurviewAlertas de prevenção> contra perdade dados.
2. Usando a lista suspensa Data , selecione as datas iniciar e terminar para o período em que você está interessado.
3. Na lista de resultados, clique duas vezes no item de linha da atividade que você deseja investigar.
4. No painel de sobrevoo, selecione Exibir detalhes.
5. Selecione a guia Eventos .
6. No painel Detalhes , selecione a guia Origem. O arquivo que foi correspondido é exibido.

Portal de Conformidade

1. Abra o portal de conformidade do Microsoft Purview e navegue atéAlertas de Prevenção> contra Perda de Dados.
2. Usando a lista suspensa Data , selecione as datas iniciar e terminar para o período em que você está interessado.
3. Na lista de resultados, selecione a atividade que você deseja investigar.
4. No painel de sobrevoo, selecione Exibir detalhes.
5. Selecione a guia Eventos .
6. No painel Detalhes , selecione a guia Origem . O arquivo que foi correspondido é exibido.

Observação

Se o arquivo que foi correspondido já existir no blob de armazenamento do Azure, ele não será carregado novamente até que sejam feitas alterações no arquivo e um usuário faça uma ação sobre ele.

Comportamentos conhecidos

• Os arquivos armazenados no cache do dispositivo não persistem se o sistema falhar ou reiniciar.
• O tamanho máximo para arquivos que podem ser carregados de um dispositivo é de 500 MB.
• Se a Proteção Just-in-Time for disparada em um arquivo verificado ou se o arquivo for armazenado em um compartilhamento de rede, o arquivo de evidência não será coletado.
• Se várias regras de política forem detectadas em um único arquivo, o arquivo de evidência só será armazenado se a regra de política mais restritiva estiver configurada para coletar evidências.