Implementar políticas de prevenção de perda de dados no modo de teste
Ao implementar políticas de DLP, pode ser difícil determinar seu impacto total nos usuários do seu ambiente. O modo de teste existe para que os administradores possam criar novas políticas de DLP e monitorar o impacto e a eficácia da política para os usuários finais. Os resultados são entregues a você na forma de e-mails contendo relatórios de incidentes sempre que uma regra dentro da política corresponde ao conteúdo nos locais definidos. A análise desses relatórios ajuda a determinar se a política está funcionando conforme o pretendido ou se você precisa ajustar a política antes de ativá-la.
Por exemplo, você criou uma política que protege os números da carteira de motorista alemã de serem compartilhados. Ao verificar as especificações de classificação de dados, você percebe que os números de produtos internos da sua empresa se assemelham ao padrão dos números de licença que você deseja proteger. Antes de ativar a política, você deseja testar o impacto que ela teria na experiência do usuário. Para criar a política no modo de teste, primeiro você precisa iniciar o processo de criação usual de uma política.
Em seguida, determine se você deseja informar aos usuários que eles estão prestes a compartilhar informações confidenciais. O modo de teste pode ser configurado para ser invisível ou para exibir dicas de política e enviar e-mails para os usuários finais. Se os usuários forem informados da correspondência, eles também podem revisar seu conteúdo em busca de informações confidenciais. Isso permite que os usuários relatem falsos positivos se eles surgirem. Os falsos positivos podem ocorrer quando o conteúdo corresponde a um padrão que não deveria corresponder. Esse feedback ativo do usuário pode ser útil para aumentar a eficácia de uma política de DLP.
Por exemplo, um número de carteira de motorista e um número de telefone podem ter padrões diferentes, mas ainda pode haver uma sequência de números que corresponda aos dois padrões. As Políticas de DLP não só correspondem a esses padrões, mas também exigem outros parâmetros para identificar se o número é uma carteira de motorista ou um número de telefone. Um usuário pode querer enviar seu número de telefone para um cliente, mas a política reconhece o padrão de carteira de motorista na proximidade de um identificador de carteira de motorista, o que resultaria em que o usuário visse uma dica de política para sua política de carteira de motorista.
Para habilitar o modo de teste para sua política de DLP, você precisa editar a política de DLP e ir para a página Modo de política e siga estas etapas:
Selecione Testá-lo primeiro.
Se você quiser mostrar dicas de política para seus usuários, marque Mostrar dicas de política enquanto estiver no modo de teste, caso contrário, desmarque-o.
Selecione Avançar e revise a política.
Selecione Enviar depois de revisar a política.
Em seguida, você pode revisar o conteúdo correspondente à sua política utilizando o Activity explorer.
No portal de conformidade do Microsoft Purview, expanda Prevenção contra perda de dados e selecione Explorador de atividades.
Na página Explorador de atividades, expanda Filtros internos e examine as políticas de DLP que detetaram atividades e as regras de política de DLP que detetaram filtros de atividades.
Gorjeta
Os relatórios da Política de DLP podem demorar até 24 horas a aparecer no seu ecrã!
Depois de ver o impacto de uma política no Activity explorer, você pode modificá-la para ajustar sua sensibilidade e adicionar exceções se identificar palavras que disparem consistentemente falsos positivos. Por exemplo, o uso frequente da palavra número de produto indicaria que as pessoas estão discutindo um número de produto e não um número de licença.
Enquanto uma política é implementada no modo de teste, as ações não são executadas. Você pode usar exceções para limitar o número de falsos positivos.
Depois de monitorar os alertas por algum tempo e ajustar a sensibilidade da sua política, você deve manter a política no modo de teste e ativar as dicas de política por algum tempo. Isso permite que os usuários tenham tempo para ajudar a refinar ainda mais a política, relatando falsos positivos.
Regra de prevenção contra perda de dados: notificações do usuário
As notificações do usuário informam os usuários de que uma política foi acionada. Habilitar essas notificações deve fazer com que os usuários relatem falsos positivos para que você possa ajustar a sensibilidade da política. Você pode habilitar a notificação de usuário em regras de DLP usando as seguintes etapas:
Edite a política de DLP e vá para o painel Personalizar regras avançadas de DLP.
Selecione Editar na regra DLP que deseja configurar.
No painel Editar regras, vá até a seção Notificações do usuário, em Usar notificações para informar seus usuários e ajudar a educá-los sobre o uso adequado de informações confidenciais, selecione Ativado.
Regra de prevenção de perda de dados: relatórios de incidentes
Ao ajustar as políticas no modo de teste, você precisa ser informado sobre as correspondências para poder ajustar a sensibilidade se as correspondências estiverem desencadeando um alto número de falsos positivos. Nesse caso, estamos monitorando cada regra dentro da política por si mesma e não uma correspondência de política geral.
As etapas a seguir descrevem como configurar relatórios de incidentes em suas regras de DLP:
Ao criar as regras de DLP para uma política, no painel Editar regras , na seção Relatórios de incidentes , em Usar este nível de gravidade em alertas e relatórios de administrador, selecione Baixo/Médio/Alto como seu nível de gravidade.
Se você quiser receber um e-mail de notificação, selecione Enviar um alerta aos administradores quando ocorrer uma correspondência de regra, selecione seu endereço de e-mail e selecione Enviar um alerta sempre que uma atividade corresponder à regra.
Decida sobre os vários outros parâmetros disponíveis para ajustar seus relatórios de incidentes.
