Saiba mais sobre a coleta de evidências para atividades de arquivos em dispositivos

Quando você está investigando um incidente de Prevenção Contra Perda de Dados do Microsoft Purview (DLP) ou solução de problemas de uma política DLP, pode ser útil ter uma cópia completa do item que correspondia à política a ser referenciada. O DLP pode copiar o item que corresponde a uma política DLP de dispositivos Windows integrados a uma conta de armazenamento do Azure. Investigadores e administradores de incidentes DLP que receberam as permissões apropriadas no blob de armazenamento do Azure podem acessar os arquivos.

Para começar a configurar e usar o recurso, consulte Introdução à coleta de arquivos que correspondam às políticas de prevenção de perda de dados de dispositivos.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Se você for novo no DLP do Microsoft Purview, veja uma lista dos artigos principais necessários ao implementar o DLP:

  1. Unidades administrativas
  2. Saiba mais sobre Prevenção Contra Perda de Dados do Microsoft Purview - Este artigo apresenta a disciplina de prevenção contra perda de dados e a implementação do DLP pela Microsoft.
  3. Planeje a DLP (prevenção contra perda de dados) – trabalhando neste artigo, você fará:
    1. Identificar stakeholders
    2. Descrever as categorias de informações confidenciais para proteger
    3. Definir metas e estratégia
  4. Referência da política de prevenção contra perda de dados – este artigo apresenta todos os componentes de uma política DLP e como cada um influencia o comportamento de uma política.
  5. Criar uma política DLP – este artigo orienta você a criar uma instrução de intenção de política e mapeá-la para uma configuração de política específica.
  6. Criar e Implantar políticas de prevenção contra perda de dados – este artigo apresenta alguns cenários comuns de intenção de política que você mapeará para as opções de configuração e, em seguida, ele orienta você na configuração dessas opções.

Onde a coleção de evidências para atividades de arquivo em dispositivos se encaixa no Purview

O DLP do ponto de extremidade faz parte da maior oferta de DLP e parte da maior gama de serviços oferecidos no Microsoft Purview. Você deve entender como a coleta de evidências para atividades de arquivo em dispositivos se encaixa no conjunto maior de ofertas de serviço.

Coleta de evidências para atividades de arquivo em dispositivos e descoberta eletrônica

Esse recurso faz cópias de itens que correspondem às políticas DLP em dispositivos Windows integrados e coloca essas cópias em uma conta de armazenamento do Azure. Essas cópias não são mantidas em um estado sem alterações e não são evidências no sentido legal do termo. Se você precisar encontrar e manter itens para fins legais, use as soluções Descoberta Eletrônica do Microsoft Purview. A Descoberta Eletrônica, ou eDiscovery, é o processo de identificar e fornecer informações eletrônicas que podem ser usadas como provas.

Coleta de evidências para atividades de arquivo em dispositivos e resumo contextual

Quando um item e a atividade que um usuário assume nesse item correspondem às condições definidas em uma política DLP, um evento DLPRuleMatch aparece no Gerenciador de Atividades. Isso é verdadeiro para cada local que dLP dá suporte. O evento DLPRuleMatch contém uma quantidade limitada do texto que envolve o conteúdo correspondente. Essa quantidade limitada de texto é chamada de resumo contextual.

É importante entender a diferença entre a coleta de evidências para atividades de arquivo em dispositivos e um resumo contextual. A coleção de evidências para atividades de arquivo em dispositivos só está disponível para dispositivos Windows integrados. Ele salva uma cópia de todo o item que correspondia a uma política à conta de armazenamento do Azure. Um resumo contextual é capturado para cada correspondência de regra de política DLP e contém apenas uma quantidade limitada do texto que envolve o texto de destino que desencadeou a correspondência.

Atividades de usuário cobertas

Você pode configurar a coleção de evidências para atividades de arquivo em dispositivos para salvar uma cópia de um item correspondente à conta de armazenamento do Azure quando um usuário tenta fazer uma dessas atividades em um item correspondente:

  • Copiar para um USB removível
  • Copiar para compartilhamento de rede
  • Imprimir
  • Copiar ou mover usando o aplicativo Bluetooth não permitido
  • Copiar ou passar pelo RDP
  • Carregar em domínios de serviço de nuvem ou acesso de um navegador não permitido

A detecção dessas atividades está configurada na política DLP. Para obter mais informações sobre como criar uma política DLP, consulte Criar e Implantar políticas de prevenção contra perda de dados e usar a prevenção contra perda de dados do Ponto de Extremidade.

Ações cobertas

Quando você habilita a coleta de evidências para atividades de arquivo em dispositivos em configurações de DLP do Ponto de Extremidade e configura uma política DLP para usar esse recurso, ele salva uma cópia de um item correspondente para essas ações:

  • Somente Auditoria
  • Bloquear com substituição
  • Bloquear

Essas ações estão configuradas na política DLP. Para obter mais informações sobre como criar uma política DLP, consulte Criar e Implantar políticas de prevenção contra perda de dados e usar a prevenção contra perda de dados do Ponto de Extremidade.

Considerações de design

Regiões para suas contas de Armazenamento do Azure

Para atender aos requisitos regulatórios, verifique se as contas de armazenamento do Azure que você usa estão nos mesmos limites geopolíticos ou regulatórios dos quais os dispositivos dos quais estão sendo copiados. Além disso, esteja ciente da localização geopolítica dos investigadores do DLP que acessarão os itens confidenciais assim que forem salvos. Considere usar unidades administrativas para escopo da administração dos usuários e dispositivos adequadamente para cada política DLP. Para saber como usar a prevenção contra perda de dados para cumprir as regulamentações de privacidade de dados, consulte Implantar a proteção de informações para regulamentos de privacidade de dados com o Microsoft Purview. A coleção de evidências para atividades de arquivo em dispositivos dá suporte a até 10 contas de armazenamento do Azure.

Para saber como usar a prevenção contra perda de dados para cumprir as regulamentações de privacidade de dados, consulte Implantar a proteção de informações para regulamentos de privacidade de dados com o Microsoft Purview.

Armazenamento local e largura de banda

Por padrão, cópias de itens correspondentes são salvas de forma assíncrona na conta de armazenamento do Azure configurada na conexão de rede existente. Se o dispositivo não tiver conectividade, os itens correspondentes serão salvos localmente, até o limite de 500 MB. Você pode salvar itens localmente até 60 dias.

Embora o dispositivo tenha conectividade com a URL da conta de armazenamento do Azure, não há limite para o uso de largura de banda. A largura de banda que a coleção de evidências para atividades de arquivo em dispositivos usa não afeta os limites de largura de banda padrão ou configurados para verificação e proteção de classificação avançada.

Contas de armazenamento do Azure

Os clientes são responsáveis por criar e gerenciar suas próprias contas de armazenamento do Azure. Se você for novo no armazenamento do Azure, confira:

Os itens que correspondem a uma política são copiados do dispositivo dos usuários para o blob da conta de armazenamento do Azure no contexto de segurança do usuário conectado. Portanto, todos os usuários que estão no escopo da política devem ter permissão de leitura e gravação no armazenamento de blobs. Para obter mais informações, consulte Introdução à coleta de arquivos que correspondam às políticas de prevenção de perda de dados de dispositivos

Da mesma forma, todos os administradores que estão revisando os itens salvos devem ter permissão 'read'' para o blob da conta de armazenamento do Azure. Para obter mais informações, consulte Introdução à coleta de arquivos que correspondam às políticas de prevenção de perda de dados de dispositivos.

Armazenar evidências quando informações confidenciais são detectadas (versão prévia)

Tipos de arquivo compatíveis

Para obter mais informações sobre tipos de arquivo com suporte, consulte Tipos de arquivo com suporte para armazenar e visualizar evidências.

Tipos de armazenamento com suporte

Você tem duas opções para armazenar as evidências que o Purview coleta quando detecta informações confidenciais em seu conteúdo. Você pode usar um repositório de dados gerenciado pelo cliente ou um armazenamento de dados gerenciado pela Microsoft (versão prévia). A opção que você deve usar depende dos seus requisitos e dos casos de uso. Para ajudá-lo a decidir, examine a tabela de comparação a seguir.

Comparação de tipo de armazenamento

Os arquivos correspondentes continuam a ser incluídos nos resultados de alerta mesmo depois de alterar o tipo de armazenamento, desde que as permissões de RBAC (controle de acesso baseado em função) permaneçam intactas. Como o armazenamento gerenciado pelo cliente pertence aos clientes, os administradores DLP podem continuar baixando arquivos diretamente do armazenamento por arquivo.

A tabela a seguir identifica as diferenças entre o armazenamento gerenciado pelo cliente e o armazenamento gerenciado pela Microsoft para coletar evidências das informações confidenciais detectadas em seu conteúdo.

Elemento Feature Gerenciado pelo cliente Microsoft Managed (versão prévia)
Retenção de arquivos Você pode manter arquivos o tempo que precisar/desejar. Os arquivos são mantidos por no máximo 120 dias.
Configurações de ponto de extremidade Você deve adicionar o armazenamento de blobs (URLs de contêiner) nas configurações do ponto de extremidade e, em seguida, usar o centro de administração do Microsoft Entra para configurar permissões explícitas do usuário no blob para usuários no escopo. Todas as configurações e permissões são tratadas com um único clique ao configurar as configurações do ponto de extremidade.
Configuração de política e local Você deve adicionar e configurar blobs de armazenamento por política para cada local em que uma política é aplicada. Nenhuma seleção de armazenamento é necessária para locais de política específicos.
Localização/região do armazenamento de dados Escolhido pelo cliente A mesma região que seu locatário do Microsoft Purview.
Encargos Os custos de armazenamento são cobrados além do custo da assinatura do Entra. Durante a visualização, não há custos extras para armazenamento.
Configuração da rede Você deve permitir que as URLs de contêiner para seus blobs de armazenamento passem pelo firewall de rede. Microsoft Defender manipula o acesso ao firewall.

Alterar tipos de armazenamento

Os clientes podem alternar entre tipos de armazenamento a qualquer momento. No entanto, a melhor prática é planejar cuidadosamente o tipo de armazenamento necessário a longo prazo e selecionar a opção apropriada para o caso de uso. Para obter mais informações sobre as diferenças entre os dois tipos de armazenamento, confira a tabela de comparação de tipo de armazenamento.

Observação

Ao alternar tipos de armazenamento, você precisará atualizar suas políticas para garantir que elas sejam aplicadas aos arquivos no novo armazenamento de dados.

Impacto da alteração de tipos de armazenamento em arquivos de evidências

Os arquivos correspondentes continuam a ser incluídos nos resultados do alerta, mesmo depois de você alterar o tipo de gerenciamento de armazenamento, desde que as permissões do RBAC (controle de acesso baseado em função) não sejam alteradas.

Como você possui sua solução de armazenamento gerenciada pelo cliente, seus administradores DLP podem continuar baixando arquivos diretamente por arquivo depois de terem sido movidos para a solução de armazenamento gerenciada pela Microsoft.

Próxima etapa

Sua próxima etapa é configurar a coleção de evidências para atividades de arquivo em dispositivos.

Para obter mais informações, consulte Introdução à coleta de arquivos que correspondam às políticas de prevenção de perda de dados de dispositivos.