Saiba mais sobre a prevenção contra perda de dados do ponto de extremidade
Artigo
As organizações têm informações confidenciais sob o seu controlo, tais como:
dados financeiros
dados proprietários
números de card de crédito
registos de estado de funcionamento
números de segurança social
Para ajudar a proteger estes dados confidenciais e reduzir o risco de partilha excessiva, precisam de uma forma de ajudar a impedir que os seus utilizadores partilhem dados confidenciais de forma inadequada com pessoas que não os devem ter. Essa prática é chamada de prevenção contra perda de dados (DLP).
No Microsoft Purview, implementa a prevenção de perda de dados ao definir e aplicar políticas DLP. Com uma política DLP, pode identificar, monitorizar e proteger automaticamente itens confidenciais em:
Serviços do Microsoft 365, como contas do Teams, Exchange, SharePoint e OneDrive
Aplicações do Office, como Word, Excel e PowerPoint
pontos finais Windows 10, Windows 11 e macOS (três versões lançadas mais recentes)
aplicações na cloud que não sejam da Microsoft
partilhas de ficheiros no local e SharePoint no local
Recursos de infraestrutura e áreas de trabalho do Power BI
Microsoft 365 Copilot (pré-visualização)
O DLP deteta itens confidenciais através da análise de conteúdo aprofundada e não apenas de uma simples análise de texto. O conteúdo é analisado:
Para correspondências de dados principais com palavras-chave
Pela avaliação de expressões regulares
Por validação da função interna
Por correspondências de dados secundárias que estão próximas da correspondência de dados primários
O DLP também utiliza algoritmos de machine learning e outros métodos para detetar conteúdo que corresponda às suas políticas DLP
Dica
Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre assinatura e termos de avaliação.
Antes de começar
Se não estiver familiarizado com o DLP do Microsoft Purview, eis uma lista dos artigos principais de que precisa à medida que implementa o DLP:
Estruturar uma política DLP – este artigo explica-lhe como criar uma instrução de intenção de política e mapeá-la para uma configuração de política específica.
Criar e Implementar políticas de prevenção de perda de dados – este artigo apresenta alguns cenários de intenções de política comuns que irá mapear para as opções de configuração e, em seguida, orienta-o ao longo da configuração dessas opções.
O DLP faz parte da maior oferta do Microsoft Purview
O DLP é apenas uma das ferramentas do Microsoft Purview que irá utilizar para ajudar a proteger os seus itens confidenciais onde quer que vivam ou viajem. Deve compreender as outras ferramentas no conjunto de ferramentas do Microsoft Purview, como se intercalam e funcionam melhor em conjunto. Veja Ferramentas do Microsoft Purview para saber mais sobre o processo de proteção de informações.
Ações de proteção de políticas DLP
As políticas DLP são a forma como monitoriza as atividades que os utilizadores assumem em itens confidenciais inativos, itens confidenciais em trânsito ou itens confidenciais em utilização e, em seguida, toma medidas de proteção. Por exemplo, quando um utilizador tenta uma ação proibida, como copiar um item confidencial para uma localização não aprovada ou partilhar informações médicas num e-mail, o DLP pode:
mostrar uma sugestão de política de pop-up ao utilizador que o avisa de que poderá estar a tentar partilhar um item confidencial de forma inadequada
bloquear a partilha e, através de uma sugestão de política, permitir que o utilizador substitua o bloco e capture a justificação dos utilizadores
bloquear a partilha sem a opção de substituição
para dados inativos, os itens confidenciais podem ser bloqueados e movidos para uma localização de quarentena segura
no chat do Teams, as informações confidenciais não serão apresentadas
A monitorização e proteção DLP são nativas das aplicações que os utilizadores utilizam todos os dias. Isto ajuda a proteger os itens confidenciais da sua organização contra atividades de risco, mesmo que os seus utilizadores não estejam habituados ao pensamento e práticas de prevenção de perda de dados. Se a sua organização e os seus utilizadores forem novos nas práticas de prevenção de perda de dados, a adoção do DLP poderá exigir uma alteração aos seus processos empresariais e haverá uma mudança de cultura para os seus utilizadores. No entanto, com o planeamento, teste e otimização adequados, as suas políticas DLP protegem os seus itens confidenciais enquanto minimizam eventuais interrupções do processo de negócio.
Planeamento de tecnologia para DLP
Tenha em atenção que o DLP como tecnologia pode monitorizar e proteger os seus dados inativos, dados em utilização e dados em movimento em todos os serviços do Microsoft 365, Windows 10, Windows 11 e dispositivos macOS (três versões lançadas mais recentes), partilhas de ficheiros no local e SharePoint no local. Existem implicações de planeamento para as diferentes localizações, o tipo de dados que pretende monitorizar e proteger e as ações a serem executadas quando ocorre uma correspondência de política.
Processos empresariais a planear o DLP
As políticas DLP podem impedir que os utilizadores realizem atividades proibidas, como a partilha inadequada de informações confidenciais por e-mail. À medida que planeia as suas políticas DLP, tem de identificar os processos empresariais que tocam nos seus itens confidenciais. Os proprietários do processo de negócio podem ajudá-lo a identificar comportamentos de utilizador adequados que devem ser permitidos e comportamentos de utilizador inadequados que devem ser protegidos. Deve planear as suas políticas e implementá-las no modo de simulação e avaliar o respetivo impacto antes de as executar em modos mais restritivos.
Planeamento da cultura organizacional para DLP
Uma implementação DLP bem-sucedida depende tanto de preparar e adaptar os seus utilizadores às práticas de prevenção de perda de dados como em políticas bem planeadas e ajustadas. Uma vez que os seus utilizadores estão fortemente envolvidos, certifique-se de que também planeia a formação para os mesmos. Pode utilizar estrategicamente sugestões de política para sensibilizar os seus utilizadores antes de alterar a política status do modo de simulação para modos mais restritivos.
Preparar para DLP
Pode aplicar políticas DLP a dados inativos, dados em utilização e dados em movimento em localizações como:
Exchange Online e-mail
Sites do SharePoint
Contas OneDrive
Bater papo e canal de mensagens do Teams
Instâncias: Microsoft Defender para Aplicativos de Nuvem
Dispositivos: Windows 10, Windows 11 e macOS (três versões lançadas mais recentes)
Repositórios locais
Recursos de infraestrutura e áreas de trabalho do Power BI
Microsoft 365 Copilot (pré-visualização)
Cada um tem pré-requisitos diferentes. Os itens confidenciais em algumas localizações, como o Exchange Online, podem ser colocados sob o guarda-chuva DLP ao configurar apenas uma política que se aplica aos mesmos. Outros, como os repositórios de ficheiros no local, necessitam de uma implementação de Proteção de Informações do Microsoft Purview scanner. Terá de preparar o ambiente, as políticas de rascunho de código e testá-las cuidadosamente antes de ativar quaisquer ações de bloqueio.
Implementar as políticas na produção
Estruturar as suas políticas
Comece por definir os seus objetivos de controlo e como se aplicam em cada carga de trabalho. Redigir uma política que incorpore os seus objetivos. Não hesite em começar com uma carga de trabalho de cada vez ou em todas as cargas de trabalho. Ainda não há impacto. Para obter mais informações, veja Criar e implementar políticas de prevenção de perda de dados.
Implementar a política no modo de simulação
Avalie o impacto dos controlos ao implementá-los com uma política DLP no modo de simulação. As ações definidas numa política não são aplicadas enquanto a política está no modo de simulação. Não há problema em aplicar a política a todas as cargas de trabalho no modo de simulação, para que possa obter toda a amplitude dos resultados, mas pode começar com uma carga de trabalho, se necessário. Para obter mais informações, veja Implementação de Políticas.
Monitorizar os resultados e ajustar a política
No modo de simulação, monitorize os resultados da política e ajuste-os para que cumpra os seus objetivos de controlo, garantindo ao mesmo tempo que não está a afetar negativa ou inadvertidamente fluxos de trabalho e produtividade válidos dos utilizadores. Seguem-se alguns exemplos de coisas a ajustar:
ajustar as localizações e pessoas/locais que estão dentro ou fora do âmbito
ajustar as condições que são utilizadas para determinar se um item e o que está a ser feito com ele correspondem à política
a definição/s de informações confidenciais
adicionar novos controlos
adicionar novas pessoas
adicionar novas aplicações restritas
adicionar novos sites restritos
Observação
Parar o processamento de mais regras não funciona no modo de simulação, mesmo quando está ativado.
Ativar o controlo e ajustar as suas políticas
Assim que a política cumprir todos os seus objetivos, ative-a. Continue a monitorizar os resultados da aplicação de política e a ajustar conforme necessário.
Observação
Em geral, as políticas produzem efeito cerca de uma hora depois de terem sido ativadas.
Visão geral da configuração da política de DLP
Você tem flexibilidade na forma como cria e configura suas políticas de DLP. Você pode começar a partir de um modelo predefinido e criar uma política com apenas alguns cliques ou pode criar a sua própria desde o início. Não importa qual você escolha, todas as políticas de DLP exigem as mesmas informações de você.
Escolha o que pretende monitorizar – o DLP inclui muitos modelos de política predefinidos para ajudá-lo a começar ou pode criar uma política personalizada.
Um modelo de política predefinido, como Dados financeiros, Dados médicos e de saúde, Dados de privacidade para vários países e regiões.
Escolher âmbito administrativo – o DLP suporta a atribuição de Unidades Administrativas a políticas. Os administradores atribuídos a uma unidade administrativa só podem criar e gerir políticas para os utilizadores, grupos, grupos de distribuição e contas às quais estão atribuídos. Assim, as políticas podem ser aplicadas a todos os utilizadores e grupos por um administrador sem restrições ou podem ser confinadas a unidades administrativas. Veja Âmbito da Política para obter mais detalhes específicos de DLP. Veja Unidades administrativas para obter detalhes sobre unidades administrativas em Proteção de Informações do Microsoft Purview.
Escolha onde pretende monitorizar – selecione uma ou mais localizações que pretende que o DLP monitorize para obter informações confidenciais. Você pode monitorar:
localização
incluir/excluir por
Email do Exchange
grupos de distribuição
Sites do Microsoft Office SharePoint Online
sites
Contas do OneDrive
contas ou grupos de distribuição
Bater papo e canal de mensagens do Teams
conta ou grupo de distribuição
Windows 10, Windows 11 e dispositivos macOS (três versões mais recentes)
usuário ou grupo
Microsoft Cloud App Security
instância
Repositórios locais
caminho do arquivo do repositório
Recursos de Infraestrutura e Power BI
áreas de trabalho
Microsoft 365 Copilot (pré-visualização)
conta ou grupo de distribuição
Escolha as condições que têm de ser correspondidas para que uma política seja aplicada a um item – pode aceitar condições pré-configuradas ou pode definir condições personalizadas. Alguns exemplos:
item contém um tipo especificado de informações confidenciais que estão a ser utilizados num determinado contexto. Por exemplo, 95 números de seguro social sendo enviados por email para destinatários fora de sua organização.
item tem uma etiqueta de confidencialidade especificada
item com informações confidenciais é partilhado interna ou externamente
Escolha a ação a tomar quando as condições da política forem cumpridas – as ações dependem da localização onde a atividade está a ocorrer. Alguns exemplos:
SharePoint/Exchange/OneDrive: impeça que as pessoas fora da sua organização acedam aos conteúdos. Mostre uma sugestão ao utilizador e envie-lhe uma notificação por e-mail de que está a tomar uma ação proibida pela política DLP.
Chat e Canal do Teams: bloqueie a partilha de informações confidenciais no chat ou canal.
Windows 10, Windows 11 e macOS (três versões lançadas mais recentes): audite ou restrinja a cópia de um item confidencial para um dispositivo USB amovível.
Aplicações do Office: mostrar um pop-up a notificar o utilizador de que está a praticar um comportamento de risco e bloquear ou bloquear, mas permitir a substituição.
Partilhas de ficheiros no local: mova o ficheiro do local onde está armazenado para uma pasta de quarentena.
Observação
As condições e as ações a tomar são definidas num objeto denominado regra.
Depois de criar uma política DLP no portal de conformidade, esta é armazenada num arquivo de políticas central e, em seguida, sincronizada com as várias origens de conteúdo, incluindo:
Trocar e de lá para Outlook na Web e Outlook
OneDrive
Sites do SharePoint
Programas da área de trabalho do Office (Excel, PowerPoint e Word)
Mensagens de canais e de chats do Microsoft Teams
Depois de sincronizar a política com as localizações certas, começa a avaliar o conteúdo e a impor ações.
Ver os resultados da aplicação de política
O DLP comunica uma grande quantidade de informações ao Microsoft Purview, desde a monitorização de ações e correspondências de políticas até atividades de utilizador. Terá de consumir e agir sobre essas informações para ajustar as políticas e as ações de triagem executadas em itens confidenciais. A telemetria entra primeiro nos Registos de auditoria do Microsoft 365 , é processada e faz o seu caminho para diferentes ferramentas de relatórios. Cada ferramenta de relatórios tem um objetivo diferente.
Elevado volume de informações confidenciais partilhadas ou guardadas externamente
O Microsoft 365 dá-lhe visibilidade sobre as atividades de utilizadores de risco fora das políticas DLP. O elevado volume de informações confidenciais partilhadas ou guardadas externamente card na home page DLP mostra uma contagem de itens confidenciais que os utilizadores têm:
carregado para os domínios suspeitos
acedido com uma aplicação suspeita
copiado para uma unidade amovível
O Microsoft 365 analisa os registos de auditoria relativamente a atividades de risco e executa-os através de um motor de correlação para encontrar atividades que estão a ocorrer num volume elevado. Não são necessárias políticas DLP.
Para obter mais detalhes sobre os itens que os utilizadores estão a copiar ou a mover para fora da sua organização (denominados atividades de saída ou exfiltração), selecione a ligação Saiba mais no card para abrir um painel de detalhes. Pode investigar incidentes de Prevenção Contra Perda de Dados do Microsoft Purview (DLP) no portal do Microsoft Defender Incidentes & alertas Incidentes>. Veja Investigar incidentes de perda de dados com Microsoft Defender XDR e Investigar alertas no Microsoft Defender XDR.
Alertas DLP
O DLP gera um alerta quando um utilizador executa uma ação que cumpre os critérios de uma política DLP e tem os Relatórios de incidentes configurados para gerar alertas. O DLP publica o alerta para investigação no dashboard Alertas DLP. Utilize os Alertas DLP dashboard para ver alertas, triá-los, definir status de investigação e controlar a resolução. Os alertas também são encaminhados para Microsoft Defender portal, onde pode efetuar todos os alertas dashboard tarefas, além de mais.
Dica
Os alertas DLP estão disponíveis no portal do Microsoft Defender durante seis meses. Só estão disponíveis nos alertas DLP do Microsoft Purview dashboard durante 30 dias.
Observação
Se for um administrador restrito de unidade administrativa, só verá os alertas de DLP para a sua unidade administrativa.
Eis um exemplo de alertas gerados por correspondências de políticas e atividades de dispositivos Windows 10.
Também pode ver detalhes do evento associado com metadados avançados no mesmo dashboard.
Observação
Os alertas são gerados de forma diferente para os e-mails do que para os itens do SharePoint ou do OneDrive. No SharePoint e no OneDrive, o DLP analisa os itens existentes, bem como os novos, e gera um alerta sempre que for encontrada uma correspondência. No Exchange, as novas mensagens de e-mail são analisadas e é gerado um alerta se existir uma correspondência de política. O DLP não analisa nem corresponde a itens de e-mail existentes anteriormente armazenados numa caixa de correio ou arquivo.
Para obter mais informações sobre Alertas, consulte:
O separador Explorador de atividades na página DLP tem vários filtros que pode utilizar para ver eventos DLP. Utilize esta ferramenta para rever a atividade relacionada com conteúdo que contém informações confidenciais ou que tem etiquetas aplicadas, como as etiquetas que foram alteradas, os ficheiros foram modificados e correspondem a uma regra.
Pode ver os últimos 30 dias de informações DLP no Activity Explorer com estes filtros pré-configurados:
Atividades DLP de ponto final
Ficheiros que contêm tipos de informações confidenciais
Atividades de saída
Políticas DLP que detetaram atividades
Regras de política DLP que detetaram atividades
Para ver estas informações
Selecionar esta atividade
Substituições do usuário
Anular regra DLP
Itens que correspondem a uma regra DLP
A regra DLP correspondeu
Também pode aceder ao relatório DLP através destes cmdlets no PowerShell de Conformidade do & de Segurança.
No entanto, os relatórios DLP têm de extrair dados do Microsoft 365, incluindo o Exchange. Por este motivo, os seguintes cmdlets para relatórios DLP estão disponíveis no Exchange PowerShell. Para utilizar os cmdlets para estes relatórios DLP, siga os seguintes passos:
Pode ver o texto que rodeia o conteúdo correspondente, como um card número de crédito num evento DLPRuleMatch no Explorador de atividades.
Os eventos DLPRuleMatch são emparelhados com atividades de saída do utilizador, como "CopyToClipboard" ou "CloudEgress". Devem estar ao lado (ou, pelo menos, muito próximos) uns dos outros no Explorador de atividades. Vai querer ver ambos porque a atividade do utilizador contém detalhes sobre a política correspondente e o evento DLPRuleMatch contém os detalhes sobre o texto que rodeia o conteúdo correspondente.
Para o ponto final, certifique-se de que aplicou KB5016688 para dispositivos Windows 10 e KB5016691 para dispositivos Windows 11 ou superior.
Microsoft Purview Data Loss Prevention (DLP) helps safeguard sensitive information by monitoring and preventing accidental data leaks across your organization's digital platforms. In this module, you'll learn how to plan, deploy, and adjust DLP policies to protect sensitive data in your organization, ensuring security without disrupting daily work.
Demonstre os conceitos básicos de segurança de dados, gerenciamento do ciclo de vida, segurança da informação e conformidade para proteger uma implantação do Microsoft 365.