Políticas de arquivos no Microsoft Defender para Aplicativos de Nuvem

  • Artigo

As políticas de arquivos permitem impor uma ampla variedade de processos automatizados usando as APIs do provedor de nuvem. As políticas podem ser configuradas para fornecer verificações de conformidade contínuas, tarefas de Descoberta Eletrônica legais, DLP para conteúdo confidencial compartilhado publicamente e muito mais casos de uso. O Defender para Aplicativos de Nuvem consegue monitorar todos os tipos de arquivo com base em mais de 20 filtros de metadados (por exemplo, nível de acesso, tipo de arquivo).

Para obter uma lista de filtros de arquivo que podem ser aplicados, confira Filtros de arquivo no Microsoft Defender para Aplicativos de Nuvem.

Tipos de arquivo compatíveis

Os mecanismos do Defender para Aplicativos de Nuvem realizam a inspeção de conteúdo extraindo o texto de todos os tipos de arquivo comuns (mais de cem), incluindo Office, Open Office, arquivos compactados, vários formatos Rich Text, XML, HTML e muito mais.

Políticas

O mecanismo combina três aspectos em cada política:

  • Verificação de conteúdo com base em modelos predefinidos ou expressões personalizadas.

  • Filtros de contexto, incluindo funções de usuário, metadados de arquivo, nível de compartilhamento, integração do grupo organizacional, contexto de colaboração e atributos personalizáveis adicionais.

  • Ações automatizadas para governança e correção.

    Observação

    Somente a ação de governança da primeira política disparada tem garantia de aplicação. Por exemplo, se uma política de arquivos já tiver aplicado um rótulo de confidencialidade a um arquivo, uma segunda política de arquivos não poderá aplicar outro rótulo de confidencialidade a ele.

Quando habilitada, a política examina continuamente seu ambiente de nuvem, identifica arquivos que correspondem aos filtros de contexto e conteúdo e aplica as ações automatizadas solicitadas. Essas políticas detectam e corrigem violações de informações em repouso ou quando novo conteúdo é criado. As políticas podem ser monitoradas usando alertas em tempo real ou relatórios gerados do console.

A seguir estão exemplos das políticas de arquivos que podem ser criadas:

  • Arquivos compartilhados publicamente – receba um alerta sobre qualquer arquivo em sua nuvem que esteja compartilhado publicamente selecionando todos os arquivos cujo nível de compartilhamento é público.

  • O nome do arquivo compartilhado publicamente contém o nome da organização: receba um alerta sobre qualquer arquivo que contenha o nome de sua organização e seja compartilhado publicamente. Selecione arquivos com um nome de arquivo que contenha o nome da sua organização e que sejam compartilhados publicamente.

  • Compartilhando com domínios externos – receba um alerta sobre qualquer arquivo compartilhado com as contas pertencentes a domínios externos específicos. Por exemplo, arquivos compartilhados com o domínio de um concorrente. Selecione o domínio externo com o qual você deseja limitar o compartilhamento.

  • Arquivos compartilhados em quarentena não modificados durante o último período – receba um alerta sobre arquivos compartilhados que ninguém modificou recentemente, para colocá-los em quarentena ou optar por ativar uma ação automatizada. Exclua todos os arquivos privados que não foram modificados durante um intervalo de datas especificado. No Google Workspace, você pode optar por colocar esses arquivos em quarentena, usando a caixa de seleção 'arquivo de quarentena' na página de criação de política.

  • Compartilhando com usuários não autorizados – receba um alerta sobre os arquivos compartilhados com um grupo de usuários não autorizados em sua organização. Selecione os usuários para os quais o compartilhamento não é autorizado.

  • Extensão de arquivo confidencial – receba um alerta sobre arquivos com extensões específicas com potencial de alta exposição. Selecione a extensão específica (por exemplo, crt para certificados) ou nome de arquivo e exclua esses arquivos com nível de compartilhamento privado.

Observação

Você tem um limite de 50 políticas de arquivos no Defender para Aplicativos de Nuvem.

Criar uma nova política de arquivos

Para criar uma nova política de arquivos, siga este procedimento:

  1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas. Selecione a guia Proteção de Informações.

  2. Selecione Criar política e Política de arquivos.

    Create a Information Protection policy.

  3. Atribua um nome e uma descrição à sua política. Se desejar, poderá baseá-la em um modelo. Para obter mais informações sobre modelos de política, consulte Controlar aplicativos de nuvem com políticas.

  4. Forneça uma Gravidade de política à sua política. Se você tiver definido o Defender para Aplicativos de Nuvem para enviar notificações sobre correspondências de política para um nível de severidade de política específico, esse nível será usado para determinar se as correspondências da política disparam uma notificação.

  5. Em Categoria, vincule a política ao tipo de risco mais apropriado. Este campo é somente informativo e ajuda você a pesquisar políticas e alertas específicos posteriormente, com base no tipo de risco. O risco já pode estar pré-selecionado de acordo com a categoria para a qual você optou por criar a política. Por padrão, as políticas de arquivos são definidas para DLP.

  6. Crie um filtro para os arquivos em que esta política atuará para definir quais aplicativos descobertos disparam essa política. Restrinja os filtros de política até chegar a um conjunto preciso de arquivos nos quais deseja agir. Seja o mais restritivo possível para evitar falsos positivos. Por exemplo, se quiser remover as permissões públicas, lembre-se de adicionar o filtro Público; se quiser remover um usuário externo, use o filtro "Externo" etc.

    Observação

    Ao usar os filtros de política, Contém pesquisa apenas palavras completas: separadas por vírgulas, pontos, espaços ou sublinhados. Por exemplo, se você pesquisar malware ou vírus, ele localizará virus_malware_file.exe, mas não localizará malwarevirusfile.exe. Se você pesquisar por malware.exe, encontrará TODOS os arquivos com malware ou exe no nome do arquivo, enquanto se pesquisar por "malware.exe" (com aspas) você encontra apenas arquivos que contêm exatamente "malware.exe". É igual a pesquisa apenas a cadeia de caracteres completa, por exemplo, se você pesquisar malware.exe, ele localizará malware.exe, mas não malware.exe.txt.

    Para obter mais informações sobre filtros para política de arquivos, confira Filtros de arquivo no Microsoft Defender para Aplicativos de Nuvem.

  7. No primeiro filtro Aplicar a, selecione todos os arquivos, exceto pastas selecionadas ou pastas selecionadas do Box, SharePoint, Dropbox ou OneDrive, onde você pode impor a política de arquivos a todos os arquivos no aplicativo ou a pastas específicas. Você será redirecionado para entrar no aplicativo de nuvem e, em seguida, adicionar as pastas relevantes.

  8. No segundo filtro Aplicar a, selecione todos os proprietários de arquivos, proprietários de arquivo de grupos de usuários selecionados ou todos os proprietários de arquivos, excluindo grupos selecionados. Em seguida, selecione os grupos de usuários relevantes para determinar quais usuários e grupos devem ser incluídos na política.

  9. Selecione o Método de inspeção de conteúdo. Você pode selecionar a DLP interna ou os Serviços de Classificação de Dados. É recomendado usar os Serviços de Classificação de Dados.

    Depois que a inspeção for habilitada, você poderá optar por usar expressões predefinidas ou pesquisar outras expressões personalizadas.

    Além disso, você pode especificar uma expressão regular para excluir um arquivo dos resultados. Essa opção será altamente útil se você tiver um padrão de palavra-chave de classificação interna que deseja excluir da política.

    Você pode definir o número mínimo de violações de conteúdo que deseja corresponder antes de o arquivo ser considerado uma violação. Por exemplo, você pode escolher 10 se quiser ser alertado sobre arquivos com pelo menos 10 números de cartão de crédito encontrados em seu conteúdo.

    Quando o conteúdo é correspondido com a expressão selecionada, o texto de violação é substituído por caracteres "X". Por padrão, as violações são mascaradas e mostradas em seu contexto exibindo 100 caracteres antes e depois da violação. Os números no contexto da expressão são substituídos por caracteres "#" e nunca são armazenados no Defender para Aplicativos de Nuvem. Você pode selecionar a opção para Remover a máscara dos últimos quatro caracteres de uma violação para remover a máscara dos últimos quatro caracteres da própria violação. É necessário definir quais tipos de dados a expressão regular pesquisa: conteúdo, metadados e/ou nome do arquivo. Por padrão, ele pesquisa o conteúdo e os metadados.

  10. Escolha as ações de Governança que você deseja que o Defender para Aplicativos de Nuvem realize ao detectar uma correspondência.

  11. Depois de criar a política, você poderá exibi-la filtrando pelo tipo Política de arquivos. Você sempre pode editar uma política, calibrar seus filtros ou alterar as ações automatizadas. A política é habilitada automaticamente no momento da criação e inicia a verificação de seus arquivos de nuvem imediatamente. Tenha muito cuidado ao definir as ações de controle, elas podem causar uma perda irreversível de permissões de acesso para seus arquivos. É recomendável restringir os filtros para representar exatamente os arquivos nos quais você deseja agir usando vários campos de pesquisa. Quanto mais restritos forem os filtros, melhor. Para obter diretrizes, você pode usar o botão Editar e visualizar resultados próximo aos filtros.

    File policy edit and preview results.

  12. Para exibir as correspondências da política de arquivos, os arquivos com suspeita de violar a política, acesse Políticas ->Gerenciamento de políticas. Filtre os resultados para exibir somente as políticas do arquivo usando o filtro Tipo na parte superior. Para obter mais informações sobre as correspondências de cada política, na coluna Contagem, selecione o número de correspondências de uma política. Como alternativa, selecione os três pontos no final da linha de uma política e escolha Exibir todas as correspondências. Isso abrirá o Relatório da política de arquivos. Selecione a guia Correspondência agora para ver os arquivos que correspondem à política no momento. Selecione a guia Histórico para ver um histórico de até seis meses anteriores de arquivos que corresponderam à política.

Melhores práticas para a política de arquivos

  1. Evite restaurar a política de arquivos (usando a caixa de seleção Restaurar resultados e aplicar ações novamente) em ambientes de produção, a menos que seja absolutamente necessário, pois isso iniciará uma verificação completa dos arquivos abrangidos pela política, o que pode ter um impacto negativo no desempenho.

  2. Ao aplicar rótulos a arquivos em uma pasta pai específica e nas suas subpastas, use a opção Aplicar a ->Pastas selecionadas. Em seguida, adicione cada uma das pastas pai.

  3. Ao aplicar rótulos a arquivos somente em uma pasta específica (excluindo as subpastas), use o filtro da política de arquivos Pasta Pai com o operador Equals.

  4. A política de arquivos é mais rápida quando critérios de filtragem restritos são usados (em comparação com critérios amplos).

  5. Consolide várias políticas de arquivos para o mesmo serviço (como SharePoint, OneDrive, Box etc) em uma única política.

  6. Ao habilitar o monitoramento de arquivos (na página Configurações), crie pelo menos uma política de arquivos. Quando nenhuma política de arquivos existir ou estiver desabilitada por sete dias consecutivos, o monitoramento de arquivos é desabilitado automaticamente.

Referência de política de arquivos

Esta seção fornece detalhes de referência sobre as políticas, fornecendo explicações sobre cada tipo de política e os campos que podem ser configurados para cada política.

Uma Política de arquivos é uma política baseada em API que permite que você controle o conteúdo da sua organização na nuvem, considerando mais de 20 filtros de metadados (incluindo o nível de compartilhamento e de proprietário) e resultados de inspeção de conteúdo. Com base nos resultados de política, as ações de governança podem ser aplicadas. O mecanismo de inspeção de conteúdo pode ser estendido por meio de mecanismos DLP de terceiros e soluções antimalware.

Cada política é composta pelas seguintes partes:

  • Filtros de arquivos – permite criar condições granulares com base nos metadados.

  • Inspeção de conteúdo – permite restringir a política, com base nos resultados do mecanismo de DLP. É possível incluir uma expressão personalizada ou uma expressão predefinida. As exclusões podem ser definidas, e é possível escolher o número de correspondências. Também é possível usar a anonimização para mascarar o nome de usuário.

  • Ações – a política fornece um conjunto de ações de governança que podem ser aplicadas automaticamente quando violações são encontradas. Essas ações são divididas em ações de colaboração, ações de segurança e ações de investigação.

  • Extensões – a inspeção de conteúdo pode ser executada por meio de mecanismos de terceiros para funcionalidades aprimoradas de DLP ou antimalware.

Consultas de arquivos

Para simplificar ainda mais a investigação, agora você pode criar consultas personalizadas e salvá-las para uso posterior.

  1. Na página Arquivos, use os filtros, conforme descrito anteriormente, para fazer drill down nos seus aplicativos, conforme necessário.

  2. Após concluir a criação da consulta, selecione o botão Salvar como acima dos filtros.

  3. No pop-up Salvar consulta, dê um nome à consulta.

  4. Para usar essa consulta novamente no futuro, em Consultas, role para baixo até Consultas salvas e selecione a consulta.

Exibir resultados das políticas de arquivos

Você pode acessar o centro de políticas para revisar as violações da política de arquivos.

  1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Políticas ->Gerenciamento de políticas e selecione a guia Proteção de informações.

  2. Para cada política de arquivos, você pode ver as violações da política de arquivos selecionando as correspondências.
    PCI matches.

  3. Você pode selecionar o próprio arquivo para obter informações sobre os arquivos.
    PCI content matches.

  4. Por exemplo, você pode selecionar Colaboradores para ver quem tem acesso a esse arquivo e Correspondências para ver os números do seguro social. Content matches credit card numbers.

Webinar sobre proteção de informações

Próximas etapas

Melhores práticas para proteger sua organização

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.