Saiba mais sobre a prevenção contra perda de dados do Ponto de extremidade
Você pode usar Prevenção Contra Perda de Dados do Microsoft Purview (DLP) para monitorar as ações que estão sendo tomadas em itens que você determinou serem confidenciais e para ajudar a evitar o compartilhamento não intencional desses itens.
A DLP (prevenção contra perda de dados do ponto de extremidade) estende os recursos de monitoramento e proteção de atividades do DLP para itens confidenciais que são armazenados fisicamente em dispositivos Windows 10/11 e macOS (as três versões principais mais recentes lançadas). Depois que os dispositivos são integrados às soluções do Microsoft Purview, as informações sobre o que os usuários estão fazendo com itens confidenciais ficam visíveis no gerenciador de atividades. Em seguida, você pode impor ações de proteção nesses itens por meio de políticas DLP.
Dica
Se você estiver procurando controle de dispositivo para repositório removível, consulte Controle de acesso para repositório removível do controle de dispositivo do Microsoft Defender para Ponto de Extremidade.
Dica
Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.
Atividades do ponto de extremidade que você pode monitorar e executar
A DLP de ponto de extremidade permite que você audite e gerencie os seguintes tipos de atividades que os usuários executam em itens confidenciais armazenados fisicamente em dispositivos Windows 10, Windows 11 ou macOS.
Atividade | Descrição | Windows 10 (21H2, 22H2), Windows 11 (21H2, 22H2), Windows Server 2019, Server 2022 (21H2 em diante) para pontos de extremidade (X64) | Windows 11 (21H2, 22H2) para pontos de extremidade (ARM64) | macOS três versões mais recentes lançadas | Auditável/ Restrinível |
---|---|---|---|---|---|
Carregar em um domínio de serviço de nuvem restrito ou acesso de navegadores não permitidos | Detecta quando um usuário tenta carregar um item em um domínio de serviço restrito ou acessar um item por meio de um navegador. Se eles estiverem usando um navegador não permitido, a atividade de upload será bloqueada e o usuário será redirecionado para usar o Microsoft Edge. Em seguida, o Microsoft Edge permite ou bloqueia o upload ou o acesso com base na configuração da política DLP. Você pode bloquear, avisar ou auditar quando arquivos protegidos podem ser carregados ou impedidos de serem carregados em serviços de nuvem com base na lista de domínios permitidos/não permitidos nas configurações de prevenção contra perda de dados. Quando a ação configurada é definida para avisar ou bloquear, outros navegadores (definidos na lista de navegadores não permitidos nas configurações de prevenção contra perda de dados) são impedidos de acessar o arquivo. | Com suporte | Com suporte | Com suporte | Auditável e restrinível |
Colar em navegadores com suporte | Detecta quando um usuário tenta colar conteúdo em um domínio de serviço restrito. A avaliação é realizada no conteúdo que está sendo colado. Essa avaliação é independente de como o item de origem do qual o conteúdo veio é classificado. | Com suporte | Com suporte | Sem suporte | Auditável e restrinível |
Copiar para a área de transferência | Quando um usuário tenta copiar conteúdo de um arquivo protegido, você pode bloquear, bloquear com substituição ou auditar a cópia de arquivos protegidos em uma área de transferência em um dispositivo de ponto de extremidade. Se a regra estiver configurada como Bloquear ou Bloquear com cópia de substituição for bloqueada quando o conteúdo de origem for confidencial, exceto quando o destino estiver dentro do mesmo aplicativo do Microsoft 365 Office. Essa atividade também se aplica a áreas de transferência redirecionadas ao usar a Área de Trabalho Virtual do Azure com Windows 365. | Com suporte | Com suporte | Com suporte | Auditável e restrinível |
Copiar para dispositivo removível USB | Quando essa atividade é detectada, você pode bloquear, avisar ou auditar a cópia ou movimentação de arquivos protegidos de um dispositivo de ponto de extremidade para mídia removível USB. | Com suporte | Com suporte | Com suporte | Auditável e restrinível |
Copiar para um compartilhamento de rede | Quando essa atividade é detectada, você pode bloquear, avisar ou auditar a cópia ou movimentação de arquivos protegidos de um dispositivo de ponto de extremidade para qualquer compartilhamento de rede, incluindo dispositivos USB redirecionados que são exibidos como compartilhamentos de rede em uma Área de Trabalho Virtual do Azure com Windows 365. | Com suporte | Com suporte | Com suporte | Auditável e restrinível |
Quando essa atividade é detectada, você pode bloquear, avisar ou auditar a impressão de arquivos protegidos de um dispositivo de ponto de extremidade. Essa atividade também se aplica a impressoras redirecionadas ao usar a Área de Trabalho Virtual do Azure junto com Windows 365. | Com suporte | Com suporte | Com suporte | Auditável e restrinível | |
Copiar ou mover usando o aplicativo Bluetooth não permitido | Detecta quando um usuário tenta copiar um item para um aplicativo Bluetooth não permitido (conforme definido na lista de aplicativos Bluetooth não permitidos nas configurações de prevenção contra perda de dados configurações>de ponto de extremidade). | Com suporte | Com suporte | Com suporte | Auditável e restrinível |
Copiar ou mover usando RDP | Detecta quando um usuário tenta copiar um item para uma sessão de área de trabalho remota. | Com suporte | Com suporte | Sem suporte | Auditável e restrinível |
Create um item | Detecta a criação de um item. | Com suporte | Com suporte | Com suporte | Auditável |
Renomear um item | Detecta a renomeação de um item. | Com suporte | Com suporte | Com suporte | Auditável |
Acesso por aplicativos restritos | Detecta quando um aplicativo que está na lista de aplicativos restritos (conforme definido em aplicativos restritos e grupos de aplicativos) tenta acessar arquivos protegidos em um dispositivo de ponto de extremidade. | Com suporte | Com suporte | Com suporte |
Copiar para o comportamento da área de transferência
Quando você configura uma regra para Bloquear ou Bloquear com substituição quando um usuário tenta a atividade Copiar para área de transferência no conteúdo de um arquivo que corresponde à política, os usuários finais veem esse comportamento com essas configurações:
Word arquivo 123 contém informações confidenciais que correspondem à cópia à regra bloco de área de transferência.
O arquivo 123 do Excel contém informações confidenciais que correspondem à cópia à regra bloco de área de transferência.
O arquivo 123 do PowerPoint contém informações confidenciais que correspondem à cópia à regra bloco de área de transferência.
Word arquivo 789 não contém informações confidenciais.
O arquivo 789 do Excel não contém informações confidenciais.
O arquivo 789 do PowerPoint não contém informações confidenciais.
O arquivo XYZ (ou qualquer aplicativo ou processo não baseado no Microsoft Office) contém informações confidenciais que correspondem à cópia à regra bloco de área de transferência.
O bloco de notas (ou qualquer aplicativo ou processo não baseado no Microsoft Office) não contém informações confidenciais.
Origem | Destino | Comportamento |
---|---|---|
Word arquivo 123/Excel arquivo 123/PowerPoint arquivo 123 | Word arquivo 123/Excel arquivo 123/PowerPoint arquivo 123 | copiar e colar são permitidos, em outras palavras, é permitido copiar e colar arquivo intra. |
Word arquivo 123/Arquivo do Excel 123/Arquivo do PowerPoint 123 | Word arquivo 789/Excel arquivo 789/PowerPoint arquivo 789 | copiar e colar são bloqueados, em outras palavras, a cópia e a cola do arquivo intermissão são bloqueadas. |
Word arquivo 789/Excel arquivo 789/PowerPoint arquivo 789 | Word arquivo 123/Arquivo do Excel 123/Arquivo do PowerPoint 123 | copiar e colar são permitidos |
Word arquivo 123/Excel arquivo 123/PowerPoint arquivo 123 | Arquivo de bloco de notas ABC | copiar e colar são bloqueados |
Arquivo de bloco de notas XYZ | qualquer | a cópia está bloqueada |
Arquivo de bloco de notas ABC | qualquer | copiar e colar são permitidos |
Prática recomendada para políticas DLP de ponto de extremidade
Digamos que você queira impedir que todos os itens que contenham números de cartão de crédito deixem os terminais dos usuários do departamento financeiro. Recomendamos:
- Crie uma política e o escopo para pontos de extremidade e para esse grupo de usuários.
- Crie uma regra na política que detecte o tipo de informação que você deseja proteger. Nesse caso, defina o conteúdo comotipo de informações confidenciais*e selecione Cartão de Crédito.
- Defina as ações de cada atividade para Bloquear.
Para obter mais informações sobre como projetar suas políticas DLP, consulte Projetar uma política de prevenção contra perda de dados .
Observação
No Microsoft Purview, a avaliação da política DLP de itens confidenciais ocorre centralmente, portanto, não há nenhum retardo de tempo para que políticas e atualizações de política sejam distribuídas para dispositivos individuais. Quando uma política é atualizada no centro de conformidade, geralmente leva cerca de uma hora para que essas atualizações sejam sincronizadas em todo o serviço. Uma vez sincronizadas as atualizações de políticas, os itens nos dispositivos destino são automaticamente reavaliados na próxima vez em que forem acessados ou modificados. (Versão prévia) Para alterações de Grupos Autorizados, a política precisará de 24 horas para sincronizar.
Arquivos monitorados
Arquivos monitorados por meio da política
O DLP do ponto de extremidade monitora esses tipos de arquivo por meio da política em Windows 10, 11 e nas três versões mais recentes do macOS:
Windows 10, 11 | macOS |
---|---|
.doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, .zip, .zipx, .rar, .7z, .tar, .war, .gz, .dlp, .txt, .c, .class, .cpp, .cs, .h, .java, .html, .htm, .rtf, .json, .config | .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, .txt, .c, .cpp, .cs, .h, .java, .html, .htm, .rtf, .json, .config |
Observação
Esses tipos de arquivo podem ser monitorados por meio de configurações de política em Windows 10, 11, se o OCR estiver habilitado:
.jpg, .png, .tif, .tiff, .bmp, .jpeg
Arquivos auditados independentemente da correspondência de política
As atividades podem ser auditadas nesses tipos de arquivo em Windows 10, 11 e nas três versões mais recentes do macOS, mesmo que não exista nenhuma correspondência de política:
Windows 10, 11 | macOS |
---|---|
.doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, .zip, .zipx, .rar, .7z, .tar, .war, .gz, .dlp | .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, |
Observação
Esses tipos de arquivo podem ser auditados, independentemente de uma correspondência de política, em Windows 10, 11, desde que o OCR esteja habilitado:
.jpg, .png, .tif, .tiff, .bmp, .jpeg
Importante
Para obter informações sobre os requisitos da Adobe para usar recursos de DLP (Prevenção Contra Perda de Dados do Microsoft Purview) com arquivos PDF, consulte este artigo da Adobe: Proteção de Informações do Microsoft Purview Suporte no Acrobat.
Se você quiser apenas monitorar dados de correspondências de política, poderá desativar a atividade de arquivo de auditoria Always para dispositivos nasconfigurações> de ponto de extremidade de prevenção de perdade dados.
Se a atividade de arquivo de auditoria Always para dispositivos estiver ativada, as atividades em qualquer Word, PowerPoint, Excel, PDF e .csv arquivos serão sempre auditadas, mesmo que o dispositivo não seja alvo de nenhuma política.
Para garantir que as atividades sejam auditadas para todos os tipos de arquivo com suporte, crie uma política DLP personalizada.
O DLP do ponto de extremidade monitora a atividade com base no tipo MIME, portanto, as atividades são capturadas, mesmo que a extensão de arquivo seja alterada, para esses tipos de arquivos:
Depois que a extensão for alterada para qualquer outra extensão de arquivo:
- .doc
- .docx
- .xls
- .xlsx
- .ppt
- .pptx
Se a extensão for alterada apenas para extensões de arquivo com suporte:
- .txt
- .Msg
- .rtf
- .C
- .Cpp
- .H
- .Cs
- .Java
- .Tsv
Tipos de arquivos
Os tipos de arquivo são um agrupamento de formatos de arquivo. Eles são usados para proteger fluxos de trabalho específicos ou áreas de negócios. Você pode usar um ou mais tipos de arquivo como condições em suas políticas DLP.
Tipo de Arquivo | Aplicativos | Extensões de arquivo monitoradas |
---|---|---|
processamento de texto | Word, PDF | .doc, .docx, .docm, .dot, dotx, .dotm, .docb, .pdf |
planilha | Excel, CSV, TSV | .xls, .xlsx, .xlt, .xlm, .xlsm, xltx, xltm, xlsb, .xlw, .csv, .tsv |
apresentação | PowerPoint | .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx |
arquivar | Ferramentas de arquivo e compactação | .zip, .zipx, .rar, .7z, .tar, .gz |
Outlook | .Msg |
Extensões de arquivo
Se os tipos de arquivo não cobrirem as extensões de arquivo que você precisa listar como uma condição em uma política, você poderá usar extensões de arquivo separadas por vírgula.
As opções de condição de política de extensões de arquivo e tipos de arquivo não dão suporte a tipos de arquivo de arquivo ou extensões de arquivo, como .zip.
Importante
As extensões de arquivo e as opções de tipos de arquivo não podem ser usadas como condições na mesma regra. Se você quiser usá-las como condições na mesma política, elas deverão estar em regras separadas.
Essas versões do Windows dão suporte a extensões de arquivo e recursos de tipos de arquivo :
- Pontos de extremidade do Windows (X64):
- Windows 10 (21H2, 22H2)
- Pontos de extremidade do Windows (ARM64):
- Windows 11 (21H2, 22H2)
Importante
Verifique se os pontos de extremidade integrados estão em execução no Windows 10 mais recente, 11 atualizações conforme documentado nos links correspondentes acima.
Recomendamos que você não configure políticas DLP para as seguintes extensões de arquivo:
- .Ost
- .Pst
- .Pf
- .exe
- .dll
- .Mui
O que é diferente no Endpoint DLP
Há alguns conceitos adicionais que você precisa saber antes de mergulhar no Endpoint DLP.
Habilitar o gerenciamento de dispositivos
O gerenciamento de dispositivos é a funcionalidade que habilita a coleta de telemetria de dispositivos e a coloca em soluções do Microsoft Purview, como DLP de ponto de extremidade e o gerenciamento de risco interno. Você precisa integrar todos os dispositivos que deseja usar como locais em suas políticas DLP.
A integração e o offboarding são tratados por meio de scripts que você baixa do centro de gerenciamento de dispositivos. O centro de gerenciamento de dispositivos tem scripts personalizados para cada um dos seguintes métodos de implantação:
- Script local (até 10 máquinas)
- Política de grupo
- System Center Configuration Manager (versão 1610 ou posterior)
- Gerenciamento de dispositivos móveis/Microsoft Intune
- Scripts de integração VDI para máquinas não persistentes
Use os procedimentos no Introdução ao Microsoft 365 Endpoint DLP a dispositivos integrados.
A integração de dispositivos ao Defender também os integra ao DLP. Portanto, se você tiver integrado dispositivos por meio de Microsoft Defender para Ponto de Extremidade, esses dispositivos aparecerão automaticamente na lista de dispositivos. Você só precisa ativar o monitoramento do dispositivo para usar o DLP do ponto de extremidade.
Exibir dados de DLP do Endpoint
Você pode exibir alertas relacionados às políticas DLP impostas em dispositivos de ponto de extremidade acessando o Painel de Gerenciamento de Alertas DLP e Investigar incidentes de perda de dados com Microsoft Defender XDR.
Você também pode exibir detalhes do evento associado, com metadados ricos, no mesmo dashboard
Após a integração de um dispositivo, as informações sobre as atividades auditadas fluem no explorador de atividades mesmo antes de você configurar e implantar as políticas DLP que têm dispositivos como um local.
O Endpoint DLP coleta informações abrangentes sobre atividades auditadas.
Por exemplo, se um arquivo for copiado para uma mídia USB removível, você verá esses atributos nos detalhes da atividade:
- tipo de atividade
- IP do Cliente
- caminho do arquivo de destino
- carimbo de data/hora ocorrido
- nome do arquivo
- usuário
- extensão do arquivo
- tamanho do arquivo
- tipo de informação confidencial (se aplicável)
- valor SHA1
- valor SHA256
- nome do arquivo anterior
- localização
- primário
- FilePath
- Tipo de local de origem
- plataforma
- nome do dispositivo
- Tipo de local de destino
- aplicativo que executou a cópia
- ID de dispositivo do Microsoft Defender para Ponto de Extremidade (se aplicável)
- fabricante do dispositivo de mídia removível
- modelo do dispositivo de mídia removível
- número de série do dispositivo de mídia removível
Dispositivos DLP e offline do ponto de extremidade
Quando um dispositivo de ponto de extremidade do Windows está offline, as políticas existentes continuam a ser impostas em arquivos existentes. Além disso, com a proteção just-in-time habilitada e no modo "bloquear", quando um novo arquivo é criado em um dispositivo offline, o arquivo ainda é impedido de ser compartilhado até que o dispositivo se conecte ao serviço de classificação de dados e à avaliação seja concluído. Se uma nova política for criada no servidor ou uma política existente for modificada, essas alterações serão atualizadas no dispositivo depois que ela se reconectar à Internet.
Considere os seguintes casos de uso.
- As políticas que foram enviadas por push para um dispositivo continuarão a ser aplicadas a arquivos já classificados como confidenciais mesmo depois que o dispositivo ficar offline.
- As políticas atualizadas no portal de conformidade enquanto um dispositivo estiver offline não serão enviadas por push para esse dispositivo. Da mesma forma, essas políticas não serão impostas nesse dispositivo até que o dispositivo esteja novamente online. No entanto, a política desatualizada que existe no dispositivo offline ainda será imposta. Proteção just-in-time
Se as notificações forem configuradas para serem exibidas, elas sempre serão exibidas quando as políticas DLP forem disparadas, independentemente de o dispositivo estar online ou não.
Observação
Embora as políticas que já foram enviadas para um dispositivo offline sejam impostas, os eventos de aplicação não aparecem no gerenciador de atividades até que o dispositivo esteja novamente online.
As políticas DLP são sincronizadas regularmente com dispositivos de ponto de extremidade. Se um dispositivo estiver offline, as políticas não poderão ser sincronizadas. Nesse caso, a lista Dispositivos reflete que o dispositivo está fora de sincronização com as políticas no servidor.
Importante
Essa funcionalidade não tem suporte em dispositivos de ponto de extremidade macOS.
Proteção just-in-time
A proteção just-in-time bloqueia todas as atividades de saída nos seguintes arquivos monitorados até que a avaliação da política seja concluída com êxito:
- Itens que nunca foram avaliados.
- Itens nos quais a avaliação ficou obsoleta. Estes são itens avaliados anteriormente que não foram reavaliados pelas versões atuais e atualizadas da nuvem das políticas.
Antes de implantar a proteção just-in-time, primeiro você deve implantar o Antimalware Client versão 4.18.23080 ou posterior.
Observação
Para computadores com uma versão desatualizada do Cliente Antimalware, recomendamos desabilitar a proteção just-in-time instalando um dos seguintes KBs:
Para habilitar a proteção just-in-time no Portal de Conformidade do Microsoft Purview, selecione Configurações no painel de navegação esquerdo, escolha Proteção just-in-time e configure as configurações desejadas.
Escolha quais locais monitorar
- Selecione Dispositivos.
- Escolha Editar.
- No painel de sobrevoo, selecione o escopo de contas e grupos de distribuição aos quais você deseja aplicar proteção just-in-time. (Tenha em mente que, enquanto a avaliação de política está sendo processada, o DLP do Ponto de Extremidade bloqueará todas as atividades de saída para cada usuário cuja conta está no escopo selecionado. O DLP do ponto de extremidade auditará as atividades de saída de todas as contas de usuário que foram especificamente excluídas (por meio da configuração Excluir) ou não estão no escopo.)
Observação
Tenha em mente que, para todos os usuários selecionados no Escopo, o DLP do Ponto de Extremidade bloqueará todas as atividades de saída enquanto aguarda a conclusão da avaliação da política; para usuários que não estão no Escopo ou estão na configuração Excluir, o DLP do Ponto de Extremidade auditará as atividades de saída.
- Ação de fallback em caso de falha: essa configuração especifica o modo de aplicação que o DLP deve aplicar quando a avaliação da política não for concluída. Não importa qual valor você selecione, a telemetria relevante será exibida no gerenciador de atividades.
Dica
Dicas para maximizar a produtividade do usuário:
- Configure e implante suas políticas de DLP do Ponto de Extremidade em seus dispositivos antes de habilitar a proteção just-in-time para impedir o bloqueio desnecessário da atividade do usuário durante a avaliação da política.
- Configure cuidadosamente suas configurações para atividades de saída. A proteção just-in-time bloqueia uma atividade de saída somente quando essa atividade tem um ou mais blocos ou blocos com políticas de substituição . Isso significa que as atividades de saída que não estão especificamente bloqueadas serão auditadas apenas, mesmo para usuários incluídos no escopo das políticas aplicáveis.
- Como a proteção just-in-time bloqueará a atividade de saída somente quando essa atividade tiver um ou mais Blocos ou Bloquear com política de substituição , o que significa que se o enduser, mesmo no Escopo, não tiver nenhuma política DLP ou apenas política de Auditoria DLP, a proteção just-in-time só auditará a atividade de saída.
Para obter mais informações, consulte Introdução à proteção just-in-time..
Próximas etapas
Agora que você aprendeu sobre o Endpoint DLP, as próximas etapas são:
- Integrar dispositivos Windows 10 e Windows 11 na visão geral do Microsoft Purview
- Integrar dispositivos macOS na visão geral do Microsoft Purview
- Configurar as definições de prevenção contra perda de dados de ponto de extremidade
- Usando a Prevenção contra perda de dados de ponto de extremidade
Confira também
- Introdução à prevenção contra perda de dados do Ponto de extremidade da Microsoft
- Usar a prevenção contra perda de dados do Ponto de extremidade da Microsoft
- Saiba mais sobre prevenção contra perda de dados
- Create e Implantar políticas de prevenção contra perda de dados
- Começar a usar o Explorador de atividades
- Microsoft Defender para Ponto de Extremidade
- Gerenciamento de risco interno
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de