Compartilhar via


Comece a usar a coleta de arquivos que correspondem às políticas de prevenção contra perda de dados de dispositivos

Este artigo explica-lhe os pré-requisitos e os passos de configuração da recolha de provas para atividades de ficheiros em dispositivos e apresenta como ver os itens que são copiados e guardados.

Dica

Comece a utilizar o Microsoft Copilot para a Segurança para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Copilot para Segurança no Microsoft Purview.

Eis os passos de alto nível para configurar e utilizar a recolha de provas para atividades de ficheiros em dispositivos.

  1. Integrar dispositivos
  2. Compreender os requisitosCriar a conta de armazenamento do Azure gerida
  3. Adicionar um blob de armazenamento do Azure à sua conta
  4. Ativar e configurar a recolha de provas numa conta de armazenamento gerida pela Microsoft (pré-visualização)
  5. Configurar a política DLP
  6. Pré-visualizar as provas

Antes de começar

Antes de iniciar estes procedimentos, deve rever Saiba mais sobre a recolha de provas para atividades de ficheiros em dispositivos.

Licenciamento e Subscrições

Antes de começar a utilizar políticas DLP, confirme a sua subscrição do Microsoft 365 e quaisquer suplementos.

Para obter informações sobre o licenciamento, consulte Microsoft 365, Office 365, Enterprise Mobility + Security e Subscrições Windows 11 para Empresas.

Veja os requisitos de licenciamento dos pré-requisitos para Microsoft Entra ID P1 ou P2 necessários para criar um controlo de acesso baseado em funções (RBAC) personalizado.

Permissões

São necessárias permissões de Prevenção Contra Perda de Dados do Microsoft Purview Padrão (DLP). Para saber mais, consulte Permissões.

Integração de dispositivos

Antes de poder utilizar itens com correspondência de cópia, tem de integrar Windows 10/11 dispositivos no Purview, consulte Integrar dispositivos Windows no Microsoft 365.

Compreender os seus requisitos

Importante

Cada contentor herda as permissões da conta de armazenamento em que se encontra. Não pode definir permissões diferentes por contentor. Se precisar de configurar permissões diferentes para regiões diferentes, tem de criar várias contas de armazenamento e não vários contentores.

Deve ter respostas à pergunta seguinte antes de configurar o armazenamento do Azure e definir o âmbito da funcionalidade para os utilizadores.

Precisa de compartimentar os itens e aceder ao longo das linhas de função ou departamental?

Por exemplo, se a sua organização quiser ter um conjunto de administradores ou investigadores de eventos DLP que podem ver ficheiros guardados da sua liderança sénior e outro conjunto de administradores ou investigadores de eventos DLP para itens guardados a partir de recursos humanos, deve criar uma conta de armazenamento do Azure para a liderança sénior da sua organização e outra para o departamento de Recursos Humanos. Isto garante que os administradores de armazenamento do Azure ou os investigadores de eventos DLP só podem ver os itens que correspondam às políticas DLP dos respetivos grupos.

Pretende utilizar contentores para organizar itens guardados?

Pode criar vários contentores de provas na mesma conta de armazenamento para ordenar ficheiros guardados. Por exemplo, um para ficheiros guardados do departamento de RH e outro para os do departamento de TI.

Qual é a sua estratégia para proteger contra a eliminação ou modificação de itens guardados?

No Armazenamento do Azure, a proteção de dados refere-se às estratégias para proteger a conta de armazenamento e os dados dentro da mesma contra serem eliminados ou modificados e para restaurar dados após serem eliminados ou modificados. O armazenamento do Azure também oferece opções para a recuperação após desastre, incluindo vários níveis de redundância, para proteger os seus dados contra falhas de serviço devido a problemas de hardware ou desastres naturais. Também pode proteger os seus dados através da ativação pós-falha gerida pelo cliente se o datacenter na região primária ficar indisponível. Para obter mais informações, veja Descrição geral da proteção de dados.

Também pode configurar políticas de imutabilidade para os seus dados de blobs que protegem contra os itens guardados que estão a ser substituídos ou eliminados. Para obter mais informações, veja Armazenar dados de blobs críticos para a empresa com armazenamento imutável

Tipos de ficheiro suportados para armazenar e pré-visualizar provas

Pode ser Armazenado Pode ser Pré-visualizado
Todos os tipos de ficheiro monitorizados pelo DLP de Ponto Final Todos os tipos de ficheiro suportados para pré-visualizar ficheiros no OneDrive, SharePoint e Teams

Guardar itens correspondentes no seu armazenamento preferencial

Para guardar as provas de que o Microsoft Purview deteta quando as políticas de prevenção de perda de dados são aplicadas, tem de configurar o armazenamento. Há duas maneiras de fazer isso:

  1. Criar armazenamento gerido pelo cliente
  2. Criar armazenamento gerido pela Microsoft (pré-visualização)

Para obter mais informações e uma comparação destes dois tipos de armazenamento, consulte [Armazenar provas quando são detetadas informações confidenciais (pré-visualização)](dlp-copy-matched-items-learn.md#storing-evidence-when-sensitive-information-is-detected-on-policy match-preview).

Criar armazenamento gerido pelo cliente

Os procedimentos para configurar a conta de armazenamento, o contentor e os blobs do Azure estão documentados no conjunto de documentos do Azure. Seguem-se ligações para artigos relevantes que pode consultar para o ajudar a começar:

  1. Introdução ao Armazenamento de Blobs do Azure
  2. Criar uma conta de armazenamento
  3. Predefinir e autorizar o acesso a blobs com Microsoft Entra ID
  4. Gerir contentores de blobs com o portal do Azure
  5. Gerir blobs de blocos com o PowerShell

Observação

Certifique-se de que seleciona Ativar o acesso público a partir de todas as redes ao criar a conta de armazenamento. O suporte para Redes virtuais e endereços IP e a utilização do acesso privado não estão disponíveis

Certifique-se de que guarda o nome e o URL do contentor de blobs do Azure. Para ver o URL, abra asPropriedades doContentor>das Contas> de Armazenamento Doméstica do portal>> de armazenamento do Azure

O formato do URL do contentor de blobs do Azure é:https://storageAccountName.blob.core.windows.net/containerName.

Adicionar um blob de armazenamento do Azure à sua conta

Existem várias formas de adicionar um blob de armazenamento do Azure à sua conta. Escolha um dos métodos abaixo.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Para adicionar o armazenamento de blobs do Azure com o portal do Microsoft Purview:

  1. Inicie sessão no portal do Microsoft Purview e selecione a engrenagem Definições na barra de menus.
  2. Selecione Prevenção de Perda de Dados.
  3. Selecione Definições DLP de Ponto Final.
  4. Expanda a recolha de provas de configuração para atividades de ficheiros em dispositivos.
  5. Altere o botão de alternar de Desativado para Ativado.
  6. No campo Definir cache de provas no dispositivo , selecione a quantidade de tempo que as provas devem ser guardadas localmente quando o dispositivo estiver offline. Pode escolher 7, 30 ou 60 dias.
  7. Selecione um tipo de armazenamento (Arquivo gerido pelo cliente ou Loja gerida pela Microsoft (pré-visualização)) e, em seguida, selecione + Adicionar armazenamento.
    1. Para o armazenamento gerido pelo cliente:
      1. Selecione Arquivo gerido pelo cliente: e, em seguida, selecione + Adicionar armazenamento.
      2. Introduza atribua um nome à conta e introduza o URL do blob de armazenamento.
      3. Escolha Salvar.
    2. Para o armazenamento gerido pela Microsoft:
      1. Escolha Loja gerida da Microsoft (pré-visualização)

Definir permissões no armazenamento de blobs do Azure

Com Microsoft Entra autorização, tem de configurar dois conjuntos de permissões (grupos de funções) nos blobs:

  1. Um para os administradores e investigadores para que possam ver e gerir provas
  2. Um para os utilizadores que precisam de carregar itens para o Azure a partir dos respetivos dispositivos

A melhor prática é impor o menor privilégio a todos os utilizadores, independentemente da função. Ao impor o menor privilégio, garante que as permissões de utilizador estão limitadas apenas às permissões necessárias para a respetiva função. Para configurar permissões de utilizador, crie funções e grupos de funções no Microsoft Defender para Office 365 e no Microsoft Purview.

Permissões no blob do Azure para administradores e investigadores

Depois de criar o grupo de funções para investigadores de incidentes DLP, tem de configurar as permissões descritas nas secções Ações do investigador e Ações de dados do Investigador que se seguem.

Para obter mais informações sobre como configurar o acesso a blobs, veja estes artigos:

Ações do investigador

Configure estas permissões de objeto e ação para a função de investigador:

Objeto Permissões
Microsoft.Storage/storageAccounts/blobServices Leia: Listar Serviços de Blobs
Microsoft.Storage/storageAccounts/blobServices Leia: Obter as propriedades ou estatísticas do serviço blob
Microsoft.Storage/storageAccounts/blobServices/containers Leia: Obter o contentor de blobs
Microsoft.Storage/storageAccounts/blobServices/containers Leia: Lista de contentores de blobs
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Leitura: Ler blob
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action Outro: Gerar uma chave de delegação de utilizador
Ações de dados do investigador
Objeto Permissões
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Leia: Ler Blob

O seu JSON para o grupo de funções de investigador deve ter o seguinte aspeto:

"permissions": [
            {
                "actions": [
                 "Microsoft.Storage/storageAccounts/blobServices/read",
                 "Microsoft.Storage/storageAccounts/blobServices/containers/read",
                 "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
                ],
                "notActions": [],
                "dataActions": [
                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
                ],
                "notDataActions": []
            }
        ]

Permissões no blob do Azure para utilizadores

Atribua estas permissões de objeto e ação ao blob do Azure para a função de utilizador:

Ações do usuário
Objeto Permissões
Microsoft.Storage/storageAccounts/blobServices Leia: Listar Serviços de Blobs
Microsoft.Storage/storageAccounts/blobServices/containers Leia: Obter o contentor de blobs
Microsoft.Storage/storageAccounts/blobServices/containers Escrita: Colocar contentor de blobs
Ações de dados do utilizador
Objeto Permissões
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Escrita: Escrever Blob
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Outro: Adicionar conteúdo de blob

O JSON para o grupo de funções de utilizador deve ter o seguinte aspeto:

"permissions": [
  {
     "actions": [
       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
       "Microsoft.Storage/storageAccounts/blobServices/read"
     ],
     "notActions": [],
     "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
     ],
     "notDataActions": []
    }
 ]

Ativar e configurar a recolha de provas numa conta de armazenamento gerida pela Microsoft (pré-visualização)

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Para ativar e configurar a recolha de provas numa conta de armazenamento gerida pela Microsoft a partir do portal do Microsoft Purview:

  1. Inicie sessão na engrenagemdefinições do portal > do Microsoft Purviewna barra de menus.
  2. Selecione Prevenção de Perda de Dados.
  3. Selecione Definições DLP de Ponto Final.
  4. Expanda Configurar recolha de provas para atividades de ficheiros em dispositivos e defina o botão de alternar para Ativado.
  5. Em Selecionar tipo de armazenamento, selecioneArmazenamento gerido pela Microsoft.

Configurar a política DLP

Crie uma política DLP como faria normalmente. Para obter exemplos de configuração de políticas, veja Criar e Implementar políticas de prevenção de perda de dados.

Configure a política com estas definições:

  • Certifique-se de que Dispositivos é a única localização selecionada.
  • Em Relatórios de incidentes, alterne Enviar um alerta para os administradores quando ocorre uma correspondência de regra para Ativado.
  • Em Relatórios de incidentes, selecione Recolher ficheiro original como prova para todas as atividades de ficheiro selecionadas no Ponto Final.
  • Selecione a conta de armazenamento que pretende.
  • Selecione as atividades para as quais pretende copiar itens correspondentes para o armazenamento do Azure, tais como:
    • Colar em browsers suportados
    • Carregar para domínios de serviço cloud ou aceder a browsers não permitidos
    • Copiar para um dispositivo USB amovível
    • Copiar para uma partilha de rede
    • Print
    • Copiar ou mover com uma aplicação Bluetooth não permitida
    • Copiar ou mover com RDP

Pré-visualizar as provas

Existem diferentes formas de pré-visualizar as suas provas, consoante o tipo de armazenamento que selecionar.

Tipo de Armazenamento Opções de pré-visualização
Gerido pelo cliente - Utilizar o explorador de atividades
- Utilizar o portal de conformidade
Microsoft Managed (pré-visualização) - Utilizar o explorador de atividades
- Utilizar o portal de conformidade

Pré-visualizar provas através do Explorador de atividades

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Inicie sessão no portal > do Microsoft PurviewExplorador de atividades deprevenção> de perdade dados.
  2. Através da lista pendente Data , selecione as datas de Início e Fim do período em que está interessado.
  3. Na lista de resultados, faça duplo clique no item de linha da atividade que pretende investigar.
  4. No painel de lista de opções, a ligação para o blob do Azure onde as provas são armazenadas aparece em Ficheiro de provas.
  5. Selecione a ligação armazenamento de blobs do Azure para apresentar o ficheiro correspondente.

Pré-visualizar provas através da página Alertas do portal de conformidade

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Inicie sessão no portal > do Microsoft PurviewAlertas deprevenção> de perda de dados.
  2. Através da lista pendente Data , selecione as datas de Início e Fim do período em que está interessado.
  3. Na lista de resultados, faça duplo clique no item de linha da atividade que pretende investigar.
  4. No painel de lista de opções, selecione Ver detalhes.
  5. Selecione o separador Eventos .
  6. No painel Detalhes , selecione o separador Origem. É apresentado o ficheiro correspondente.

Observação

Se o ficheiro que foi correspondido já existir no blob de armazenamento do Azure, não será carregado novamente até que sejam efetuadas alterações ao ficheiro e um utilizador efetue uma ação no mesmo.

Comportamentos Conhecidos

  • Os ficheiros armazenados na cache do dispositivo não persistem se o sistema falhar ou reiniciar.
  • O tamanho máximo para ficheiros que podem ser carregados a partir de um dispositivo é de 500 MB.
  • Se a Proteção Just-in-Time for acionada num ficheiro analisado ou se o ficheiro estiver armazenado numa partilha de rede, o ficheiro de provas não será recolhido.
  • Quando vários ficheiros são abertos no mesmo processo (aplicações não office) e um dos ficheiros correspondentes a uma política é removido, os eventos DLP são acionados para todos os ficheiros. Nenhuma prova é capturada.
  • Se forem detetadas várias regras de política num único ficheiro, o ficheiro de provas só será armazenado se a regra de política mais restritiva estiver configurada para recolher provas.