Criar, testar e ajustar uma política DLP

Prevenção de Perda de Dados do Microsoft Purview (DLP) ajuda-o a impedir a partilha acidental ou não acidental de informações confidenciais.

O DLP examina as mensagens de e-mail e os ficheiros para obter informações confidenciais, como um número de cartão de crédito. Ao utilizar DLP, pode detetar informações confidenciais e tomar medidas como:

  • Registar o evento para fins de auditoria
  • Apresentar um aviso ao utilizador final que está a enviar o e-mail ou a partilhar o ficheiro
  • Bloquear ativamente o fim do e-mail ou da partilha de ficheiros

Permissões

Os membros da sua equipa de conformidade que criarão políticas DLP precisam de permissões para o Centro de Conformidade. Por predefinição, o administrador do seu inquilino terá acesso que pode dar aos responsáveis pela conformidade e a outras pessoas acesso. Siga estes passos:

  1. Crie um grupo no Microsoft 365 e adicione responsáveis pela conformidade ao mesmo.

  2. Crie um grupo de funções na página Permissões do Portal de Conformidade do Microsoft Purview.

  3. Ao criar o grupo de funções, utilize a secção Escolher Funções para adicionar a seguinte função ao grupo de funções: Gestão de Conformidade DLP.

  4. Utilize a secção Escolher Membros para adicionar o grupo do Microsoft 365 que criou anteriormente ao grupo de funções.

Utilize a função Gestão de Conformidade DLP Apenas de Visualização para criar um grupo de funções com privilégios só de visualização para as políticas DLP e relatórios DLP.

Para obter mais informações, consulte Dar aos utilizadores acesso ao Office 365 de Conformidade.

Estas permissões são necessárias para criar e aplicar uma política DLP não para impor políticas.

Funções e Grupos de Funções na pré-visualização

Existem grupos de funções e funções na pré-visualização que pode testar para ajustar os seus controlos de acesso.

Eis uma lista das funções aplicáveis que estão em pré-visualização. Para saber mais sobre as mesmas, consulte Funções no Centro de Conformidade & Segurança

  • Information Protection Administração
  • Information Protection Analista
  • Information Protection Desvanado
  • Information Protection Leitor

Eis uma lista dos grupos de funções aplicáveis que estão em pré-visualização. Para saber mais, consulte Grupos de funções no Centro de Conformidade & Segurança

  • Information Protection
  • Information Protection Administradores
  • Information Protection Analistas
  • Information Protection intrláveis
  • Information Protection leitores

Como as informações confidenciais são detetadas pelo DLP

A DLP encontra informações confidenciais através da correspondência de padrões de expressão normal (RegEx), em conjunto com outros indicadores, como a proximidade de determinadas palavras-chave aos padrões de correspondência. Por exemplo, um número de cartão de crédito VISA tem 16 dígitos. No entanto, esses dígitos podem ser escritos de formas diferentes, como 1111-1111-1111-1111, 1111 1111 1111 1111 ou 1111111111111111.

Qualquer cadeia de 16 dígitos não é necessariamente um número de cartão de crédito, pode ser um número de um sistema de atendimento ou um número de série de um hardware. Para saber a diferença entre um número de cartão de crédito e uma cadeia de 16 dígitos inofensiva, é efetuado um cálculo (soma de verificação) para confirmar que os números correspondem a um padrão conhecido das várias marcas de cartões de crédito.

Se o DLP encontrar palavras-chave como "VISA" ou "AMEX", valores de data de próxima data que possam ser a data de expiração do cartão de crédito, o DLP também utiliza esses dados para ajudar a decidir se a cadeia é ou não um número de cartão de crédito.

Por outras palavras, o DLP é inteligente o suficiente para reconhecer a diferença entre estas duas cadeias de texto num e-mail:

  • "Pode encomendar-me um novo portátil. Utilize o meu número VISA 1111-1111-1111-1111, expire 22/11 e envie-me a data de entrega prevista para quando a tiver."
  • "O meu número de série do portátil é 2222-2222-2222-2222 e foi comprado a 21/2010. A propósito, o meu visto de viagem já foi aprovado?"

Consulte Definições de entidade de tipo de informação confidencial que explica como cada tipo de informação é detetado.

Onde começar com a prevenção de perda de dados

Quando os riscos de fuga de dados não são completamente óbvios, é difícil descobrir onde deve começar a implementar o DLP. Felizmente, as políticas DLP podem ser executada no "modo de teste", permitindo-lhe avaliar a eficácia e precisão das políticas antes de as ativar.

As políticas DLP para Exchange Online podem ser geridas através do centro de administração do Exchange. No entanto, pode configurar políticas DLP para todas as cargas de trabalho através do Portal de Conformidade do Microsoft Purview, por isso é o que vou utilizar para demonstrações neste artigo. Na Portal de Conformidade do Microsoft Purview, encontrará as políticas DLP em Política de Prevenção de perda de > dados. Selecionar Criar uma política para começar.

O Microsoft 365 fornece um conjunto de modelos de políticas DLP que pode utilizar para criar políticas. Digamos que é uma empresa australiana. Pode filtrar os modelos na Austrália e selecionar Financeira, Médica e Saúde e Privacidade.

Opção para escolher país ou região.

Para esta demonstração, selecionarei Dados de Informação Pessoal da Austrália (PII), que incluem os tipos de informações número de ficheiro de impostos australiano (TFN) e Número de Carta de Condução.

Opção para escolher um modelo de política.

Dê um nome à sua nova política DLP. O nome predefinido corresponderá ao modelo de política DLP, mas deve escolher um nome mais descritivo, uma vez que podem ser criadas múltiplas políticas a partir do mesmo modelo.

Opção para dar um nome à sua política.

Selecionar as localizações a que a política será aplicada. As políticas DLP podem aplicar-se a Exchange Online, SharePoint Online e OneDrive para Empresas. Vou deixar esta política configurada para aplicar a todas as localizações.

Opção para escolher todas as localizações.

No primeiro passo de Definições de Política , basta aceitar as predefinições por agora. Pode personalizar as políticas DLP, mas as predefinições são um bom local para começar.

Opções para personalizar o tipo de conteúdo a proteger.

Depois de clicar em Seguinte,** ser-lhe-ão apresentadas uma página mais Definições de Política com mais opções de personalização. Para uma política que está apenas a testar, eis onde pode começar a fazer alguns ajustes.

  • Desligei as sugestões de políticas por agora, que é um passo razoável a tomar se estiver apenas a testar tudo e não quiser mostrar nada aos utilizadores. As sugestões de política apresentam avisos aos utilizadores que estão prestes a violar uma política DLP. Por exemplo, um utilizador do Outlook irá ver um aviso de que o ficheiro anexado contém números de cartão de crédito e fará com que o e-mail seja rejeitado. O objetivo das sugestões de políticas é parar o comportamento não compatível antes que aconteça.
  • Também diminuí o número de instâncias de 10 para 1, para que esta política detete qualquer partilha de dados PII da Austrália, não apenas a partilha em massa dos dados.
  • Também adicionei outro destinatário ao e-mail do relatório de incidentes.

Definições de políticas adicionais.

Por fim, configuei esta política para ser executada inicialmente no modo de teste. Repare que existe também uma opção aqui para desativar as sugestões de política no modo de teste. Isto dá-lhe a flexibilidade de ter as sugestões de política ativadas na política, mas decidir se as quer mostrar ou suprimir durante o teste.

Opção para testar primeiro a política.

No ecrã de revisão final, clique em Criar para concluir a criação da política.

Testar uma política DLP

Pode esperar que a política seja ativada pela atividade normal do utilizador ou pode tentar acioná-la você mesmo. Anteriormente, aligei a definições de entidade de tipo de informação sensível, que lhe fornece informações sobre como ativar correspondências DLP.

Por exemplo, a política DLP que criei para este artigo irá detetar números de ficheiros fiscais australianos (TFN). De acordo com a documentação, a correspondência baseia-se nos seguintes critérios.

Documentação sobre o Número de Ficheiro Fiscal da Austrália.

Para demonstrar a deteção de TFN de uma forma bastante desfocada, será enviado um e-mail com as palavras "Número do ficheiro fiscal" e uma cadeia de nove dígitos em proximidade sem problemas. A razão pela qual não aciona a política DLP é que a cadeia de nove dígitos tem de passar na soma de verificação que indica que é um TFN válido e não apenas uma cadeia de números inofensiva.

Número de ficheiro de impostos da Austrália que não é apresentado na soma de verificação.

Em comparação, um e-mail com as palavras "Número do ficheiro de imposto" e uma TFN válida que passe na soão de verificação irá acioná-la. Para o registo aqui, o TFN que estou a utilizar foi retirado de um site que gera TFNs válidos, mas não genuínos. Estes sites são úteis porque um dos erros mais comuns ao testar uma política DLP está a utilizar um número falso que não é válido e que não passará à soma de verificação (pelo que não aciona a política).

Número de ficheiro de impostos da Austrália que ultrapassa a somar de verificação.

O e-mail do relatório de incidentes inclui o tipo de informações confidenciais que foram detetadas, quantas instâncias foram detetadas e o nível de confiança da deteção.

Relatório de incidente que mostra o número do ficheiro de imposto detetado.

Se deixar a sua política DLP no modo de teste e analisar os e-mails do relatório de incidentes, pode começar a obter uma noção da precisão da política DLP e da eficácia com que será aplicada. Além dos relatórios de incidentes, pode utilizar os relatórios DLP para ver uma vista agregada das correspondências de políticas no seu inquilino.

Ajustar uma política DLP

À medida que analisa os resultados da sua política, poderá querer fazer alguns ajustes à forma como as políticas se comportam. Por exemplo, pode determinar que um TFN num e-mail não é um problema (acho que ainda é, mas vamos se lembrar da experiência de demonstração), mas duas ou mais instâncias são um problema. Várias instâncias podem ser um cenário arriscado, como um funcionário enviar por e-mail uma exportação CSV da base de dados de RH para uma parte externa, por exemplo um serviço de contabilidade externa. Definitivamente algo que preferiria detetar e bloquear.

No Centro de Conformidade, pode editar uma política existente para ajustar o comportamento.

Opção para editar política.

Pode ajustar as definições de localização para que a política seja aplicada apenas a cargas de trabalho específicas ou a sites e contas específicas.

Opções para escolher localizações específicas.

Também pode ajustar as definições da política e editar as regras para que se ajustem melhor às suas necessidades.

Opção para editar regra.

Ao editar uma regra numa política DLP, pode alterar:

  • As condições, incluindo o tipo e o número de instâncias de dados confidenciais que acionam a regra.
  • As ações tomadas, tais como restringir o acesso ao conteúdo.
  • Notificações de utilizador, que são sugestões de políticas que são apresentadas ao utilizador no respetiva cliente de e-mail ou browser.
  • Mesmo assim, o utilizador substitui a escolha de se os utilizadores podem optar por continuar a partilha de e-mails ou de ficheiros.
  • Relatórios de incidentes, para notificar os administradores.

Opções para editar partes de uma regra.

Para esta demonstração adicionei notificações de utilizador à política (tenha cuidado com esta ação sem uma formação adequada de sensibilização para os utilizadores) e permitia aos utilizadores sobrecarregar a política com uma justificação empresarial ou sinalizar a mesma como um falso positivo. Também pode personalizar o texto da sugestão de e-mail e política se quiser incluir informações adicionais sobre as políticas da sua organização ou pedir aos utilizadores que contactem o suporte se tiver dúvidas.

Opções para notificações de utilizador e substituições.

A política contém duas regras para o manuseamento do volume elevado e de volume baixo, por isso certifique-se de que edita ambas com as ações que pretende. Esta é uma oportunidade para tratar os casos de forma diferente consoante as respetivas características. Por exemplo, poderá permitir substituições por violações de volume baixo, mas não permitir substituições de violações de volume elevado.

Uma regra para o grande volume e uma regra para o volume baixo.

Além disso, se pretender bloquear ou restringir o acesso a conteúdo que está a violar uma política, tem de configurar uma ação na regra para o fazer.

Opção para restringir o acesso ao conteúdo.

Depois de guardar essas alterações nas definições de política, também tenho de regressar à página de definições principal da política e ativar a opção de mostrar sugestões de política aos utilizadores enquanto a política estiver no modo de teste. Esta é uma forma eficaz de apresentar políticas DLP aos seus utilizadores finais e efetivamente formação de sensibilização para os utilizadores, sem correr o risco de demasiados falsos positivos que afetam a sua produtividade.

Opção para mostrar sugestões de política no modo de teste.

Do lado do servidor (ou do lado da nuvem, se preferir), a alteração poderá não ser efetuada imediatamente, devido a vários intervalos de processamento. Se estiver a fazer uma alteração de política DLP que irá apresentar novas sugestões de políticas a um utilizador, o utilizador poderá não ver as alterações entrarem em vigor imediatamente no respetivo cliente do Outlook, que verifica as alterações de políticas a cada 24 horas. Se quiser acelerar o teste, pode utilizar esta correção do registo para limpar o carimbo de data e hora da última transferência da chave PolicyNudges. O Outlook irá transferir as informações de política mais recentes da próxima vez que as reiniciar e começar a compor uma mensagem de e-mail.

Se tiver as sugestões de política ativadas, o utilizador começará a ver as sugestões no Outlook e poderá comunicar-lhe falsos positivos quando ocorrerem.

Sugestão de política com opção para denunciar falso positivo.

Investigar falsos positivos

Os modelos de políticas DLP não são perfeitos diretamente na caixa. É provável que descubra alguns falsos positivos que ocorrem no seu ambiente, pelo que é tão importante facilitar o processo para uma implementação DLP, levando tempo a testar e ajustar de forma adequada as suas políticas.

Eis um exemplo de um falso positivo. Este e-mail é inofensivo. O utilizador está a fornecer o respetivo número de telemóvel a alguém, incluindo a respetivo assinatura de e-mail.

E-mail a mostrar informações falsas positivas.

No entanto, o utilizador vê uma sugestão de política a avisá-lo de que o e-mail contém informações confidenciais, especificamente um número de carta de condução australiana.

Opção para denunciar falso positivo na sugestão de política.

O utilizador pode comunicar o falso positivo e o administrador pode ver o motivo pelo qual ocorreu. No e-mail do relatório de incidentes, o e-mail é sinalizado como um falso positivo.

Relatório de incidente a mostrar falso positivo.

Este caso de carta de condução é um bom exemplo para procurar. Este falso positivo ocorreu porque o tipo "Carta de Controlador australiana" será ativado por qualquer cadeia de 9 dígitos (mesmo que uma que faz parte de uma cadeia de 10 dígitos), até 300 carateres de proximidade das palavras-chave "Sidney nsw" (não sensível às maiúsculas e minúsculas). Por isso, é ativada pelo número de telefone e pela assinatura de e-mail, apenas porque o utilizador está em Sidney.

Uma opção é remover o tipo de informações de carta de condução australiana da política. Está aí porque faz parte do modelo de política DLP, mas não somos obrigados a usá-lo. Se estiver interessado apenas em Números do Ficheiro de Impostos e não nas licenças de controlador, basta removê-los. Por exemplo, pode removê-la da regra de volume baixo na política, mas deixá-la na regra de volume elevado para que as listas de múltiplas licenças de controle sejam detetadas.

Outra opção é aumentar a contagem de instâncias, de modo a que um volume baixo de licenças de controlador só seja detetado quando existem múltiplas instâncias.

Opção para editar a contagem de instâncias.

Além de alterar a contagem de instâncias, também pode ajustar a precisão da correspondência (ou nível de confiança). Se o seu tipo de informações confidenciais tiver vários padrões, pode ajustar a precisão da correspondência na sua regra, para que a regra corresponda apenas a padrões específicos. Por exemplo, para ajudar a reduzir os falsos positivos, pode definir a precisão da correspondência da regra para que corresponda apenas ao padrão com o nível de confiança mais elevado. Para obter mais informações sobre níveis de confiança, consulte Como utilizar o nível de confiança para ajustar as suas regras.

Por fim, se quiser ser ainda mais avançado, pode personalizar qualquer tipo de informações confidenciais. Por exemplo, pode remover "Sydney NSW" da lista de palavras-chave para o número de carta de condução da Austrália, para eliminar o falso positivo acionar acima. Para saber como fazê-lo através do XML e do PowerShell, consulte Personalizar um tipo de informações confidenciais incorporado.

Ativar uma política DLP

Quando estiver satisfeito com a política DLP estar correta e eficazmente a detetar tipos de informações confidenciais e de que os seus utilizadores finais estão prontos para lidar com as políticas em vigor, pode ativar a política.

Opção para ativar a política.

Se estiver à espera de saber quando é que a política entrará em vigor, ligue ao PowerShell de Conformidade do & Security & e execute o cmdlet Get-DlpCompliancePolicy para ver o DistributionStatus.

Get-DlpCompliancePolicy "Testing -Australia PII" -DistributionDetail | Select distributionstatus

Após ativar a política DLP, deve executar alguns testes finais seus para se certificar de que as ações de política esperadas estão a ocorrer. Se estiver a tentar testar coisas como os dados do cartão de crédito, existem sites online com informações sobre como gerar exemplos de cartões de crédito ou outras informações pessoais que passarão em somares de verificação e ativar as suas políticas.

As políticas que permitem que as substituições dos utilizadores irão apresentar essa opção ao utilizador como parte da sugestão de política.

Sugestão de política que permite a sobrescisão do utilizador.

As políticas que restringem o conteúdo irão apresentar o aviso ao utilizador como parte da sugestão de política e impedirão que este envie o e-mail.

Sugestão de política de restrição de conteúdos.

Resumo

As políticas de prevenção de perda de dados são úteis para organizações de todos os tipos. Testar algumas políticas DLP é um exercício de baixo risco devido ao controlo que tem sobre coisas como sugestões de políticas, substituições por parte do utilizador final e relatórios de incidentes. Pode testar discretamente algumas políticas DLP para ver que tipo de violações já estão a ocorrer na sua organização e, em seguida, elaborar políticas com taxas falsas positivas, instruir os utilizadores sobre o que é permitido e não permitido e, em seguida, dar as suas políticas DLP à organização.