Referência de prevenção contra perda de dados

Importante

Este é um tópico de referência que não é mais o principal recurso para Prevenção Contra Perda de Dados do Microsoft Purview (DLP). O conjunto de conteúdo DLP está sendo atualizado e reestruturado. Os tópicos abordados neste artigo serão movidos para artigos novos e atualizados. Para obter mais informações sobre DLP, consulte Saiba mais sobre a prevenção contra perda de dados.

Observação

Os recursos de prevenção contra perda de dados foram recentemente adicionados às mensagens de chat e de canal do Microsoft Teams para usuários licenciados para a Conformidade Avançada do Office 365, disponível como uma opção independente e está incluso na Conformidade do Office 365 E5 e no Microsoft 365 E5. Para saber mais sobre os requisitos de licenciamento, confira Diretrizes do Licenciamento de Serviços no Nível de Locatário do Microsoft 365.

Criar e gerenciar políticas DLP

Você cria e gerencia políticas DLP na página de prevenção contra perda de dados no portal de conformidade do Microsoft Purview.

Página de prevenção contra perda de dados no portal de conformidade do Microsoft Purview

Ajustar as regras para que a correspondência seja mais fácil ou mais difícil

Após criar e ativar as políticas de DLP, algumas vezes ocorre esses problemas:

  • Grande parte do conteúdo que não é confidencial corresponde com as regras, ou seja, há muitos falsos positivos.

  • Pequena parte do conteúdo que tem informações confidenciais corresponde com as regras. Em outras palavras, as ações de proteção não estão sendo aplicadas nas informações confidenciais.

Para resolver esses problemas, você pode regular suas regras ajustando a contagem de instância e a precisão da correspondência para dificultar ou facilitar a correspondência do conteúdo às regras. Cada tipo de informação confidencial usado em uma regra tem uma contagem de instância e uma precisão de correspondência.

Contagem de instâncias

A contagem de instâncias se refere à quantidade de ocorrências de um tipo específico de informação confidencial que deve estar presente para que o conteúdo corresponda à regra. Por exemplo, o conteúdo corresponde com a regra mostrada abaixo se entre 1 e 9 passaportes únicos dos EUA ou UE são identificados.

Observação

A contagem de instâncias inclui apenas correspondências exclusivas para palavras-chave e tipos de informações confidenciais. Por exemplo, se um email contém 10 ocorrências do mesmo número de cartão de crédito, as 10 ocorrências são contadas como uma única instância de um número de cartão de crédito.

Para usar a contagem de instâncias para ajustar as regras, a orientação é simples:

  • Para tornar a regra mais fácil para a correspondência, diminua a contagem mín e/ou aumente a contagem máx. Também é possível definir o máx para qualquer excluindo o valor numérico.

  • Para tornar a regra mais difícil para a correspondência, aumente a contagem mín.

Normalmente, você usa menos ações restritivas, como o envio de notificações ao usuário, em uma regra com uma contagem de instâncias inferior (por exemplo, 1-9). E usa ações mais restritivas, como restringir o acesso ao conteúdo sem permitir que o usuário faça substituição, em uma regra com uma contagem de instância superior (por exemplo, 10 – qualquer).

Contagens de instância no editor de regras.

Precisão de correspondência

Conforme descrito acima, o tipo de informação confidencial é definido e detectado usando uma combinação de diferentes tipos de evidências. Em geral, um tipo de informação confidencial é definido por várias dessas combinações, chamadas padrões. Um padrão que requer menos evidências tem uma precisão de correspondência inferior (ou nível de confiança), enquanto um padrão que exige mais evidências tem uma maior precisão de correspondência (ou nível de confiança). Para saber mais sobre os padrões reais e os níveis de confiança usados por todos os tipos de informações confidenciais, consulte Definições da entidade do tipo de informações confidenciais.

Por exemplo, o tipo de informação confidencial chamado Número de Cartão de Crédito é definido por dois padrões:

  • Um padrão com confiança de 65% que exige:

    • Um número no formato de um número de cartão de crédito.

    • Um número que passa na soma de verificação.

  • Um padrão com confiança de 85% que exige:

    • Um número no formato de um número de cartão de crédito.

    • Um número que passa na soma de verificação.

    • Uma palavra-chave ou uma data de validade no formato certo.

Você pode usar esses níveis de confiança (ou precisão de correspondência) em suas regras. Normalmente, você usa menos ações restritivas, como o envio de notificações ao usuário, em uma regra com uma precisão de correspondência inferior. E usa ações mais restritivas, como restringir o acesso ao conteúdo sem permitir que o usuário faça uma substituição, em uma regra com uma precisão de correspondência superior.

É importante compreender que quando um tipo específico de informação confidencial, como um número de cartão de crédito, é identificado no conteúdo, somente um único nível de confiança é retornado:

  • Se todas as correspondências forem para um único padrão, o nível de confiança para aquele padrão será retornado.

  • Se houver correspondências para mais de um padrão (ou seja, há correspondências com dois níveis de confiança diferentes), o nível de confiança maior do que qualquer um dos padrões únicos sozinhos será retornado. Esta é a parte desafiadora. Por exemplo, para um cartão de crédito, se os padrões de 65% e 85% forem atendidos, o nível de confiança retornado para aquele tipo de informação confidencial será maior que 90%, pois quanto mais evidências, mais confiança.

Portanto, se você quiser criar duas regras mutuamente exclusivas para cartões de crédito, uma para a precisão de correspondência de 65% e outro para a precisão de correspondência de 85%, os intervalos para a precisão de correspondência serão parecidos com isto: A primeira regra pega apenas as correspondências ao padrão de 65%. A segunda regra pega as correspondências com pelo menos uma correspondência de 85% e pode ter outras correspondências de confiança inferiores.

Duas regras com intervalos diferentes para precisão da correspondência.

Por essas razões, a orientação para a criação de regras com diferentes precisões de correspondência é:

  • O menor nível de confiança normalmente usa o mesmo valor para mín e máx (não um intervalo).

  • O nível mais alto de confiança é um intervalo entre o valor logo acima do nível de confiança inferior a 100.

  • Qualquer nível de confiança intermediário normalmente varia de um valor logo acima do nível de confiança inferior para um valor logo abaixo do nível de confiança superior.

Usar um rótulo de retenção como condição em uma política DLP

Ao usar um rótulo de retenção criado e publicado anteriormente como condição em uma política DLP, há algumas coisas a serem observadas:

  • O rótulo de retenção deve ser criado e publicado antes de tentar usá-lo como condição em uma política DLP.

  • Os rótulos de retenção publicados podem levar de um a sete dias para sincronização. Para obter mais informações, confira Quando os rótulos de retenção se tornam disponíveis para aplicar para rótulos de retenção publicados em uma política de retenção e Quanto tempo leva para os rótulos de retenção entrarem em vigor para os rótulos de retenção que são publicados automaticamente.

  • O uso de um rótulo de retenção em uma política só tem suporte para itens do Microsoft Office SharePoint Online e OneDrive*.

    Rótulos como uma condição.

    Talvez você queira usar um rótulo de retenção em uma política DLP se tiver itens que estão sob retenção e descarte, e também aplicar outros controles a eles, por exemplo:

    • Você publicou um rótulo de retenção denominado ano fiscal 2018, que quando aplicado aos documentos fiscais de 2018 armazenados no SharePoint, os retém por dez anos e só após esse prazo os descarta. Use também uma política DLP para impedir que itens sejam compartilhados fora da organização.

    Importante

    Você receberá a seguinte mensagem de erro se especificar um rótulo de retenção como uma condição em uma política DLP e também incluir o Exchange e/ou Teams como um local: "não há suporte para a proteção de conteúdo rotulado em mensagens de email e equipes. Remova a etiqueta a seguir ou desative o Exchange e o Teams como um local." Isso ocorre porque o transporte do Exchange não avalia os metadados do rótulo durante o envio e a entrega da mensagem.

Usar um rótulo de confidencialidade como condição em uma política DLP

Saiba mais sobre como usar o rótulo de confidencialidade como uma condição nas políticas DLP.

Como esse recurso se relaciona a outros recursos

Diversos recursos podem ser aplicados ao conteúdo com informações confidenciais:

  • Um rótulo de retenção e uma política de retenção podem impor ações de retenção nesse conteúdo.

  • Uma política de DLP pode impor ações de proteção nesse conteúdo. E antes de aplicar essas ações, uma política de DLP pode exigir que outras condições sejam atendidas além do conteúdo que contém um rótulo.

Diagrama de recursos que podem ser aplicados a informações confidenciais.

Observe que uma política de DLP tem um recurso de detecção mais avançado do que um rótulo ou política de retenção aplicada a informações confidenciais. Uma política de DLP pode impor ações de proteção ao conteúdo que contiver informações confidenciais e se as informações confidenciais forem removidas do conteúdo, essas ações de proteção serão desfeitas da próxima vez que o conteúdo for verificado. Mas se uma política ou rótulo de retenção for aplicado ao conteúdo com informações confidenciais, essa será uma ação única que não será desfeita, mesmo se as informações confidenciais forem removidas.

Usando um rótulo como uma condição em uma política de DLP, você pode aplicar ações de retenção e proteção no conteúdo com esse rótulo. Pense no conteúdo com um rótulo exatamente como um conteúdo com informações confidenciais – tanto um rótulo quanto um tipo de informação confidencial são propriedades usadas para classificar o conteúdo, para poder impor ações para esse conteúdo.

Diagrama da política DLP usando o rótulo como uma condição.

Configurações simples versus configurações avançadas

Ao criar uma política DLP, decida entre configurações simples ou avançadas:

  • Configurações simples facilitam a criação do tipo mais comum de política DLP sem usar o editor de regras para criar ou modificar regras.

  • Configurações avançadas usam o editor de regras para oferecer controle completo sobre cada configuração para a sua política DLP.

As configurações simples e as avançadas funcionam exatamente da mesma forma, aplicando regras compostas por condições e ações. A única diferença e que, com as configurações simples, você não ver o editor de regras. Trata-se de uma maneira rápida de criar uma política DLP.

Configurações simples

Sem dúvida, o cenário mais comum de DLP é criar uma política para ajudar a evitar que um conteúdo com informações confidenciais seja compartilhado com pessoas fora da sua organização e realizar uma ação corretiva automática, como restringir quem pode acessar o conteúdo, enviar notificações ao usuário final ou ao administrador e auditar o evento para investigação posterior. As pessoas usam a DLP para ajudar a evitar a divulgação acidental de informações confidenciais.

Para simplificar essa meta, ao criar uma política DLP, você pode escolher Usar configurações simples. Essas configurações fornecem todos os elementos necessários para implementar a política DLP mais comum, sem precisar acessar o editor de regras.

Opções de DLP para configurações simples e avançadas.

Configurações avançadas

Se você precisa criar políticas DLP mais personalizadas, pode escolher Usar configurações avançadas.

As configurações avançadas apresentam o editor de regras, no qual você tem controle total sobre todas as opções possíveis, incluindo a contagem de instâncias e a precisão de correspondência (nível de confiança) de cada regra.

Para acessar rapidamente uma seção, clique em um item na navegação superior do editor de regras para ir até essa seção abaixo.

Menu de navegação superior do editor de regras DLP.

Modelos de política DLP

A primeira etapa na criação de uma política DLP é escolher quais informações serão protegidas. A partir de um modelo DLP, você economiza o trabalho de criar um novo conjunto de regras do zero e descobrir quais tipos de informações devem ser incluídas por padrão. Em seguida, você pode adicionar ou modificar esses requisitos para ajustar a regra para atender aos requisitos específicos da sua organização.

Um modelo de política DLP pré-configurado pode ajudar a detectar tipos específicos de informações confidenciais, como dados de HIPAA, dados de PCI-DSS, dados da Lei Gramm-Leach-Bliley ou até informações de identificação pessoal (PII) específicas de localidade. Para facilitar a localização e a proteção de tipos comuns de informações confidenciais, os modelos de política incluídos no Microsoft 365 já contêm os tipos mais comuns de informações confidenciais necessários para você começar.

Lista de modelos para políticas de prevenção contra perda de dados com foco no modelo para o Ato Patriota dos EUA.

Sua organização também pode ter suas próprias exigências específicas e, nesse caso, você pode criar uma política DLP do zero, escolhendo a opção Política personalizada. Uma política personalizada é vazia e não contém regras pré-criadas.

Relatórios DLP

Após criar e ativar as políticas de DLP, verifique se elas estão funcionando conforme esperado e se estão ajudando a manter a conformidade. Com os relatórios de DLP, você pode exibir rapidamente o número de correspondências de regra e política de DLP ao longo do tempo e o número de falsos positivos e substituições. Para cada relatório, você pode filtrar as correspondências por local, intervalo de tempo e até mesmo restringi-lo a uma diretiva, regra ou ação específica.

Com os relatórios de DLP, você pode obter ideias de negócios e:

  • Se concentrar em períodos de tempo específicos e entender os motivos para picos e tendências.

  • Descobrir os processos de negócios que violam as políticas de conformidade da sua organização.

  • Compreender qualquer impacto nos negócios das políticas de DLP.

Além disso, você pode usar os relatórios de DLP para ajustar suas políticas de DLP conforme as executar.

Painel de Relatórios no Centro de Conformidade e Segurança.

Como funcionam as políticas de DLP

A DLP detecta informações confidenciais usando análise profunda de conteúdo (não apenas uma simples verificação de texto). Essa análise profunda de conteúdo usa correspondências de palavra-chave, correspondências de dicionário, a avaliação de expressões regulares, funções internas e outros métodos para detectar conteúdos que violam as políticas de DLP. Possivelmente, apenas uma pequena porcentagem dos seus dados é considerada confidencial. Uma política de DLP pode identificar, monitorar e proteger automaticamente apenas esses dados, sem impedir ou afetar as pessoas que trabalham com o restante do seu conteúdo.

As políticas são sincronizadas

Depois de criar uma política DLP no portal de conformidade do Microsoft Purview, ela é armazenada em um repositório de políticas central e, em seguida, sincronizada com as várias fontes de conteúdo, incluindo:

  • Exchange Online, e de lá para o Outlook na Web e o Outlook.

  • Sites do OneDrive for Business.

  • Sites do SharePoint Online.

  • Programas da área de trabalho do Office (Excel, PowerPoint e Word)

  • Mensagens de canais e de chats do Microsoft Teams.

Após a sincronização da política com os locais corretos, ela começa avaliar o conteúdo e aplicar as ações.

Avaliação da política em sites do OneDrive for Business e do SharePoint Online

Em todos os seus sites do SharePoint Online e sites do OneDrive for Business, os documentos estão em constante mudança — eles estão continuamente sendo criados, editados, compartilhados, movidos e assim por diante. Isso significa que os documentos podem conflitar ou ficar em conformidade com uma política de DLP a qualquer momento. Por exemplo, uma pessoa pode carregar um documento que não contém nenhuma informação confidencial para seus sites de equipe, mas, posteriormente, outra pessoa pode editar o mesmo documento e adicionar informações confidenciais a ele.

Por esse motivo, as políticas de DLP verificam documentos em busca de correspondências de política com frequência em segundo plano. Você pode considerar isso uma avaliação assíncrona da política.

Como funciona

À medida em que as pessoas adicionam ou alteram documentos em seus sites, o mecanismo de pesquisa examina o conteúdo, para que você possa pesquisá-lo posteriormente. Enquanto isso, o conteúdo também será verificado quanto às informações confidenciais e para verificar se ele é compartilhado. Todas as informações confidenciais encontradas serão armazenadas de forma segura no índice de pesquisa, de modo que somente a equipe de conformidade possa acessá-la, mas não usuários comuns. Cada política de DLP ativada é executada em segundo plano (de forma assíncrona), verificando a pesquisa frequentemente por qualquer conteúdo que corresponda a uma política e aplicando ações para protegê-lo contra perdas acidentais.

Diagrama mostrando como a política DLP avalia o conteúdo de forma assíncrona.

Por fim, os documentos podem conflitar uma política de DLP, mas eles também podem ficar em conformidade com ela. Por exemplo, se uma pessoa adicionar números de cartão de crédito a um documento, isso poderá fazer com que uma política de DLP bloqueie o acesso ao documento automaticamente. Mas, se a pessoa remover, mais tarde, as informações confidenciais, a ação (neste caso, bloqueio) será desfeita na próxima vez que se avaliar se o documento está de acordo com a política.

A DLP avalia qualquer conteúdo que pode ser indexado. Para saber mais sobre os tipos de arquivo que são rastreados por padrão, confira Extensões de nomes de arquivos rastreados e tipos de arquivos padrão analisados no SharePoint Server.

Observação

Para impedir que documentos sejam compartilhados antes que as políticas DLP tivessem a oportunidade de analisá-los, o compartilhamento de novos arquivos no SharePoint pode ser bloqueado até que seu conteúdo seja indexado. Confira Marcar novos arquivos como confidenciais por padrão para obter informações detalhadas.

Avaliação de políticas no Exchange Online, Outlook e Outlook na Web

Quando você cria uma política DLP que inclui Exchange Online como um local, a política é sincronizada do portal de conformidade do Microsoft Purview para o Exchange Online e, em seguida, de Exchange Online para Outlook na Web e Outlook.

Quando uma mensagem está sendo redigida no Outlook, o usuário pode ver dicas de política à medida que o conteúdo sendo criado é avaliado em relação às políticas DLP. E depois que uma mensagem é enviada, ela é avaliada em relação às políticas DLP como uma parte normal do fluxo de emails, juntamente com as regras de fluxo de email do Exchange (também conhecidas como regras de transporte) e as políticas DLP criadas no Centro de administração do Exchange. As políticas DLP examinam tanto a mensagem quanto os anexos.

Avaliação de política nos programas da área de trabalho do Office

Excel, PowerPoint e Word incluem os mesmos recursos para identificar informações confidenciais e aplicar políticas de DLP como o SharePoint Online e o OneDrive for Business. Esses programas do Office sincronizam suas políticas DLP diretamente do repositório central de políticas e, em seguida, avaliam continuamente o conteúdo em relação às políticas DLP quando as pessoas trabalham com documentos abertos de um site incluso em uma política DLP.

A avaliação das políticas DLP no Office foi desenvolvida para não afetar o desempenho dos programas ou a produtividade de pessoas que trabalham no conteúdo. Se estiverem trabalhando em um documento grande ou o computador do usuário estiver ocupado, pode demorar alguns segundos para uma dica de política ser exibida.

Avaliação de políticas no Microsoft Teams

Quando você cria uma política DLP que inclui o Microsoft Teams como um local, a política é sincronizada do portal de conformidade do Microsoft Purview para contas de usuário e canais do Microsoft Teams e mensagens de chat. Dependendo da configuração das políticas DLP, quando alguém tentar compartilhar informações confidenciais em uma mensagem de chat ou canal do Microsoft Teams, a mensagem pode ser bloqueada ou revogada. Os documentos com informações confidenciais e que são compartilhados com convidados (usuários externos) não abrirão para esses usuários. Para saber mais, confira Prevenção contra perda de dados no Microsoft Teams.

Permissões

Por padrão, administradores globais, administradores de segurança e administradores de conformidade terão acesso para criar e aplicar uma política DLP. Outros membros da sua equipe de conformidade que criarão políticas DLP precisam de permissões para o portal de conformidade do Microsoft Purview. Por padrão, o administrador do locatário terá acesso a esse local e poderá conceder aos responsáveis pela conformidade e outras pessoas acesso ao portal de conformidade do Microsoft Purview, sem conceder a eles todas as permissões de um administrador de locatários. Para fazer isso, recomendamos que você:

  1. Crie um grupo no Microsoft 365 e adicione os responsáveis pela conformidade.

  2. Crie um grupo de funções na página Permissões do portal de conformidade do Microsoft Purview.

  3. Ao criar o grupo de função, use a seção Escolher funções para adicionar a seguinte função ao Grupo de função: Gerenciamento de conformidade DLP.

  4. Use a seção Escolher membros para adicionar o grupo Microsoft 365 que você criou anteriormente ao grupo de função.

Você também pode criar um grupo de função com privilégios de somente exibição às Políticas DLP e aos Relatórios DLP, concedendo a função Gerenciamento de conformidade DLP somente exibição.

Para saber mais, consulte Conceder aos usuários acesso ao Centro de Conformidade e Segurança do Office 365.

Essas permissões são necessárias somente para criar e aplicar uma política de DLP. A imposição da política não exige acesso ao conteúdo.

Encontre os cmdlets da DLP

Para usar a maioria dos cmdlets para o portal de conformidade do Microsoft Purview, você precisa:

  1. Conectar-se a Segurança e Conformidade do PowerShell.

  2. Usar qualquer um destes policy-and-compliance-dlp cmdlets.

No entanto, os relatórios DLP precisam extrair dados do Microsoft 365, incluindo o Exchange Online. Por esse motivo, os cmdlets para os relatórios DLP estão disponíveis no Exchange Online PowerShell , não no portal de conformidade do Microsoft Purview Powershell. Portanto, para usar os cmdlets para os relatórios DLP, você precisa:

  1. Conectar-se ao Exchange Online PowerShell.

  2. Usar qualquer um destes cmdlets para os relatórios DLP:

Mais informações