Information protection policies (Políticas de proteção de informações)

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

As políticas de ficheiros cloud App Security permitem-lhe impor uma vasta gama de processos automatizados. As políticas podem ser definidas para fornecer proteção de informação, incluindo análises contínuas de conformidade, tarefas legais de eDiscovery e DLP para conteúdo sensível partilhado publicamente.

A Cloud App Security pode monitorizar qualquer tipo de ficheiro com base em mais de 20 filtros de metadados, por exemplo, nível de acesso e tipo de ficheiro. Para obter mais informações, consulte as políticas de Ficheiros.

Detetar e prevenir a partilha externa de dados sensíveis

Detete quando ficheiros com informações de identificação pessoal ou outros dados sensíveis são armazenados num serviço Cloud e partilhados com utilizadores externos à sua organização que violam a política de segurança da sua empresa e criam uma possível violação de conformidade.

Pré-requisitos

Deve ter pelo menos uma aplicação ligada usando conectores de aplicações.

Passos

  1. Na página Políticas, crie uma nova política de Ficheiros.

  2. Definir o nível de acesso do filtro é igual ao público (Internet) / Público / Externo.

  3. No método de Inspeção, selecione o Serviço de Classificação de Dados (DCS) e em tipo Select selecione o tipo de informação sensível que pretende que o DCS inspecione.

  4. Configure as ações de governação a tomar quando um alerta é desencadeado. Por exemplo, pode criar uma ação de governação que executa violações de ficheiros detetadas no Google Workspace, na qual seleciona a opção de remover utilizadores externos e remover o acesso público.

  5. Crie a política de ficheiros.

Detetar dados confidenciais partilhados externamente

Detete quando os ficheiros que são rotulados Confidencial e armazenados num serviço de nuvem são partilhados com utilizadores externos, violando as políticas da empresa.

Pré-requisitos

Passos

  1. Na página Políticas, crie uma nova política de Ficheiros.

  2. Desatado o rótulo de classificação do filtro para Azure Information Protection é igual à etiqueta Confidencial, ou equivalente da sua empresa.

  3. Definir o nível de acesso do filtro é igual ao público (Internet) / Público / Externo.

  4. Opcional: Desaça as ações de Governação a tomar em ficheiros quando for detetada uma violação. As ações de governação disponíveis variam entre serviços.

  5. Crie a política de ficheiros.

Detetar e encriptar dados sensíveis em repouso

Detete ficheiros que contenham informações de identificação pessoal e outros dados sensíveis que partilhem numa aplicação em nuvem e aplique etiquetas de classificação para limitar o acesso apenas aos colaboradores da sua empresa.

Pré-requisitos

Passos

  1. Na página Políticas, crie uma nova política de Ficheiros.

  2. No método de Inspeção, selecione o Serviço de Classificação de Dados (DCS) e em tipo Select selecione o tipo de informação sensível que pretende que o DCS inspecione.

  3. Em Alerta, consulte a governação da etiqueta de classificação e selecione a etiqueta de classificação que a sua empresa utiliza para restringir o acesso aos colaboradores da empresa.

  4. Crie a política de ficheiros.

Nota

Atualmente, a capacidade de aplicar uma etiqueta de classificação diretamente na Cloud App Security é suportada apenas para Box, Google Workspace, SharePoint online e OneDrive para negócios.

Detetar dados compartilhados externamente

Detete ficheiros não reutilizados e velhos, ficheiros que não foram atualizados recentemente, que sejam acessíveis publicamente através de ligações públicas diretas, pesquisa na Web ou a utilizadores externos específicos.

Pré-requisitos

Deve ter pelo menos uma aplicação ligada usando conectores de aplicações.

Passos

  1. Na página Políticas, crie uma nova política de Ficheiros.

  2. Selecione e aplique o modelo de política Ficheiros Stale partilhados externamente.

  3. Personalize o filtro Última modificada para corresponder à política da sua organização.

  4. Opcional: Desaça as ações de governação a serem tomadas em ficheiros quando for detetada uma violação. As ações de governação disponíveis variam entre serviços. Por exemplo:

    • Google Workspace: Tornar o ficheiro privado e notificar o último editor de ficheiros

    • Caixa: Notificar o último editor de ficheiros

    • SharePoint on-line: Tornar o ficheiro privado e enviar uma digestão de correspondência de políticas para o proprietário do ficheiro

  5. Crie a política de ficheiros.

Detetar o acesso de dados a partir de um local não autorizado

Detete quando os ficheiros são acedidos a partir de um local não autorizado, com base nas localizações comuns da sua organização, para identificar uma possível fuga de dados ou acesso malicioso.

Pré-requisitos

Deve ter pelo menos uma aplicação ligada usando conectores de aplicações.

Passos

  1. Na página Políticas, crie uma nova política de Atividades.

  2. Desfie o tipo de atividade do filtro para as atividades de ficheiros e pastas que lhe interessam, tais como Ver, Baixar, Aceder e Modificar.

  3. Definir o filtro A localização não é igual e, em seguida, entrar nos países/regiões a partir dos quais a sua organização espera atividade.

    1. Opcional: Pode utilizar a abordagem oposta e definir o filtro para Localização igual se a sua organização bloquear o acesso de países/regiões específicos.
  4. Opcional: Criar ações de governação a aplicar à violação detetada (a disponibilidade varia entre serviços), tais como utilizador suspenso.

  5. Criar a política de Atividades.

Detetar e proteger a loja de dados confidenciais num site SP não conforme

Detete ficheiros que sejam rotulados como confidenciais e armazenados num site sharePoint não conforme.

Pré-requisitos

As etiquetas de proteção de informação Azure são configuradas e utilizadas dentro da organização.

Passos

  1. Na página Políticas, crie uma nova política de Ficheiros.

  2. Desatado o rótulo de classificação do filtro para Azure Information Protection é igual à etiqueta Confidencial, ou equivalente da sua empresa.

  3. Desatrei a pasta do pai do filtro não é igual e, em seguida, em Seleção de uma pasta escolha todas as pastas compatíveis na sua organização.

  4. Em Alertas selecione Criar um alerta para cada ficheiro correspondente.

  5. Opcional: Desaça as ações de Governação a tomar em ficheiros quando for detetada uma violação. As ações de governação disponíveis variam entre serviços. Por exemplo, set Box para enviar a digestão de correspondência de políticas para o proprietário do ficheiro e colocar em quarentena de administração.

  6. Crie a política de ficheiros.

Detetar código fonte partilhado externamente

Detete quando os ficheiros que contêm conteúdo que possam ser código fonte são partilhados publicamente ou são partilhados com utilizadores fora da sua organização.

Pré-requisitos

Deve ter pelo menos uma aplicação ligada usando conectores de aplicações.

Passos

  1. Na página Políticas, crie uma nova política de Ficheiros.

  2. Selecione e aplique o modelo de política Código fonte partilhado externamente

  3. Opcional: Personalize a lista de extensões de ficheiros para corresponder às extensões de ficheiros de código fonte da sua organização.

  4. Opcional: Desaça as ações de Governação a tomar em ficheiros quando for detetada uma violação. As ações de governação disponíveis variam entre serviços. Por exemplo, em Box, Envie a digestão de correspondência de políticas para o proprietário do ficheiro e coloque em quarentena de administração.

  5. Selecione e aplique o modelo de política

Detetar acesso não autorizado aos dados do grupo

Detete quando certos ficheiros pertencentes a um grupo de utilizadores específicos estão a ser acedidos excessivamente por um utilizador que não faz parte do grupo, o que pode ser uma potencial ameaça interna.

Pré-requisitos

Deve ter pelo menos uma aplicação ligada usando conectores de aplicações.

Passos

  1. Na página Políticas, crie uma nova política de Atividades.

  2. De acordo com a Act on select Repeated activity and customized the Minimum repeated activities and set a Timeframe to act with your organization's policy.

  3. Desfie o tipo de atividade do filtro para as atividades de ficheiros e pastas que lhe interessam, tais como Ver, Baixar, Aceder e Modificar.

  4. Desatrei o filtro O utilizador é igual a de grupo e, em seguida, selecione os grupos de utilizador relevantes.

    Nota

    Os grupos de utilizadores podem ser importados manualmente a partir de aplicações suportadas.

  5. Descoda os ficheiros e pastas do filtro para ficheiros ou pastas específicos é igual e, em seguida, escolha os ficheiros e pastas que pertencem ao grupo de utilizador auditado.

  6. Desente as ações de Governação a tomar em ficheiros quando for detetada uma violação. As ações de governação disponíveis variam entre serviços. Por exemplo, pode optar por suspender o utilizador.

  7. Crie a política de ficheiros.

Detetar baldes S3 acessíveis ao público

Detetar e proteger contra possíveis fugas de dados a partir de baldes AWS S3.

Pré-requisitos

Deve ter uma instância AWS ligada utilizando conectores de aplicações.

Passos

  1. Na página Políticas, crie uma nova política de Ficheiros.

  2. Selecione e aplique o modelo de política Baldes S3 acessíveis ao público (AWS).

  3. Desente as ações de Governação a tomar em ficheiros quando for detetada uma violação. As ações de governação disponíveis variam entre serviços. Por exemplo, coloque a AWS para tornar privado o que tornaria os baldes S3 privados.

  4. Crie a política de ficheiros.

Detete ficheiros que sejam partilhados em aplicações de armazenamento em nuvem e contenha informações de identificação pessoal e outros dados sensíveis que estejam ligados a uma política de conformidade do RGPD. Em seguida, aplique automaticamente etiquetas de classificação para limitar o acesso apenas a pessoal autorizado.

Pré-requisitos

Passos

  1. Na página Políticas, crie uma nova política de Ficheiros.

  2. No âmbito do método de inspeção, selecione o Serviço de Classificação de Dados (DCS) e, sob o tipo Select, selecione um ou mais tipos de informação que cumpram o cumprimento do RGPD, por exemplo: número do cartão de débito da UE, número de carta de condução da UE, número de identificação nacional da UE, número de passaporte da UE, número de identificação fiscal da UE.

  3. Desaprova as ações de Governação a serem tomadas em ficheiros quando for detetada uma violação, selecionando a governação do rótulo de Classificação aplicada para cada aplicação apoiada.

  4. Criar a política de ficheiros

Nota

Atualmente, a etiqueta de classificação Apply é suportada apenas para Box, Google Workspace, SharePoint online e OneDrive para negócios.

Bloquear transferências para utilizadores externos em tempo real

Impedir que os dados da empresa sejam exfiltrados por utilizadores externos, bloqueando os downloads de ficheiros em tempo real, utilizando os controlosde sessão da Cloud App Security .

Pré-requisitos

Passos

  1. Na página Políticas, crie uma nova política de Sessão.

  2. Sob o tipo de controlo de sessão, selecione Download de ficheiros de controlo (com inspeção).

  3. Nos filtros de atividade, selecione Utilizador e desacione-o para From group equal users .

    Nota

    Não é necessário definir filtros de aplicações para permitir que esta política se aplique a todas as aplicações.

  4. Pode utilizar o filtro Ficheiro para personalizar o tipo de ficheiro. Isto dá-lhe mais controlo granular sobre que tipo de ficheiros a política de sessão controla.

  5. Em Ações, selecione Bloco. Pode selecionar a mensagem de bloqueio personalizada para definir uma mensagem personalizada a enviar aos seus utilizadores para que compreendam a razão pela qual o conteúdo está bloqueado e como podem capacitá-la aplicando a etiqueta de classificação certa.

  6. Clique em Criar.

Impor o modo de leitura apenas para utilizadores externos em tempo real

Impedir que os dados da empresa sejam exfiltrados por utilizadores externos, bloqueando as atividades de impressão e cópia/pasta em tempo real, utilizando os controlosde sessão da Cloud App Security .

Pré-requisitos

Passos

  1. Na página Políticas, crie uma nova política de Sessão.

  2. Sob o tipo de controlo de sessão, selecione as atividades do Bloco.

  3. No filtro de fonte de atividade:

    1. Selecione Utilizador e desateia de grupo para utilizadores externos.

    2. Selecione o tipo de atividade igual a impressão e o item de corte/cópia.

    Nota

    Não é necessário definir filtros de aplicações para permitir que esta política se aplique a todas as aplicações.

  4. Opcional: No método de inspeção, selecione o tipo de inspeção para aplicar e definir as condições necessárias para a varredura DLP.

  5. Em Ações, selecione Bloco. Pode selecionar a mensagem de bloqueio personalizada para definir uma mensagem personalizada a enviar aos seus utilizadores para que compreendam a razão pela qual o conteúdo está bloqueado e como podem capacitá-la aplicando a etiqueta de classificação certa.

  6. Clique em Criar.

Bloquear carregamento de documentos não classificados em tempo real

Impedir que os utilizadores carreguem dados desprotegidos para a nuvem, utilizando os controlos de sessãoda Cloud App Security .

Pré-requisitos

Passos

  1. Na página Políticas, crie uma nova política de Sessão.

  2. Sob o tipo de controlo de sessão, selecione upload de ficheiros de controlo (com inspeção) ou descarregamento de ficheiros de controlo (com inspeção).

    Nota

    Não é necessário definir filtros para que esta política se aplique a todos os utilizadores e aplicações.

  3. Selecione a etiqueta classificação do filtro de ficheiros não é igual e, em seguida, selecione as etiquetas que a sua empresa utiliza para marcar ficheiros classificados.

  4. Opcional: No método de inspeção, selecione o tipo de inspeção para aplicar e definir as condições necessárias para a varredura DLP.

  5. Em Ações, selecione Bloco. Pode selecionar a mensagem de bloqueio personalizada para definir uma mensagem personalizada a enviar aos seus utilizadores para que compreendam a razão pela qual o conteúdo está bloqueado e como podem capacitá-la aplicando a etiqueta de classificação certa.

  6. Clique em Criar.

Nota

Para a lista de tipos de ficheiros que a Cloud App Security suporta atualmente para as etiquetas de classificação da Proteção de Informação Azure, consulte pré-requisitos de integração da Proteção de Informação Azure.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.