Políticas de prevenção contra perda de dados no Fabric
Este artigo descreve as políticas de DLP (Prevenção Contra Perda de Dados) do Microsoft Purview no Fabric. O público-alvo são administradores do Fabric, equipes de segurança e conformidade e proprietários de dados do Fabric.
Visão geral
Para ajudar as organizações a detectar e proteger seus dados confidenciais, o Fabric dá suporte às políticas de DLP (Prevenção Contra Perda de Dados) do Microsoft Purview. Quando uma política DLP para Fabric detecta um tipo de item com suporte que contém informações confidenciais, uma dica de política pode ser anexada ao item que explica a natureza do conteúdo confidencial e um alerta pode ser registrado na página Alertas de prevenção contra perda de dados no portal de conformidade do Microsoft Purview para monitoramento e gerenciamento por administradores. Além disso, alertas de email podem ser enviados para os administradores e usuários especificados.
Este artigo descreve como o DLP no Fabric funciona, lista considerações e limitações, bem como requisitos de licenciamento e permissões, e explica como o uso da CPU DLP é medido. Para saber mais, veja:
- Configure uma política DLP para o Fabric para ver como configurar políticas DLP para o Fabric.
- Responda a uma violação de política DLP no Fabric para ver como responder quando uma dica de política informar que seu lakehouse ou modelo semântico tem uma violação de política DLP.
- Monitore as violações de política DLP no Fabric para ver como entrar no portal do Microsoft Purview para ver detalhes sobre os alertas de violação DLP.
Considerações e limitações
As políticas DLP para Fabric são definidas no portal de conformidade do Microsoft Purview.
As políticas DLP se aplicam aos workspaces. Há suporte apenas para workspaces hospedados em capacidades Fabric ou Premium. Para obter mais informações, consulte Licenças e conceitos do Microsoft Fabric.
As cargas de trabalho de avaliação DLP afetam a capacidade. Atualmente, o DLP para Fabric está disponível sem custo adicional, mas isso está sujeito a alterações. Verifique este documento e o blog do Fabric para atualizações.
Os modelos de política DLP ainda não têm suporte para políticas DLP do Fabric. Ao criar uma política DLP para o Fabric, escolha a opção "política personalizada".
Atualmente, as regras de política DLP do Fabric dão suporte a rótulos de confidencialidade e tipos de informações confidenciais como condições.
Não há suporte para políticas DLP para Fabric para modelos semânticos de exemplo, conjuntos de dados de streaming ou modelos semânticos que se conectam à fonte de dados por meio do DirectQuery ou da conexão dinâmica. Isso inclui modelos semânticos com armazenamento misto, em que alguns dos dados vêm por meio do modo de importação e alguns vêm por meio do DirectQuery.
As políticas DLP para Fabric se aplicam somente aos dados em Tabelas/pasta do Lakehouse armazenadas no formato Delta.
As políticas DLP para Fabric oferecem suporte a todos os tipos Delta primitivos, exceto timestamp_ntz.
As políticas DLP para Fabric não têm suporte para os seguintes tipos de dados Delta Parquet:
- Binário, timestamp_ntz, Struct, Matriz, Lista, Mapa, Json, Enum, Intervalo, Vazio.
- Dados com codecs de compactação LZ4, Zstd e Gzip.
Os classificadores EDM (correspondência exata de dados) e os classificadores treináveis não são compatíveis com o DLP para Fabric. Se você selecionar um EDM ou classificador treinável na condição de uma política, a política não produzirá resultados, mesmo que o modelo semântico ou lakehouse de fato contenha dados que satisfaçam o EDM ou o classificador treinável. Outros classificadores especificados na política retornarão resultados, se houver.
As políticas DLP para Fabric não têm suporte na região Norte da China. Confira Como encontrar a região padrão da sua organização para saber como encontrar a região de dados padrão da sua organização.
Não há suporte para capacidades do Azure para DLP no Fabric nos seguintes clusters:
- WUS3
- WUS2
- SCUS
A integração de um novo locatário à DLP pode levar algumas horas, dependendo do número de workspaces com suporte que estão sendo integrados.
Licenciamento e permissões
Licenciamento de SKU/assinaturas
Antes de começar a usar o DLP para Fabric, você deve confirmar sua assinatura do Microsoft 365. A conta de administrador que configura as regras DLP deve ser atribuída a uma das seguintes licenças:
- Microsoft 365 E5
- Conformidade do Microsoft 365 E5
- Governança e Proteção de Informações do Microsoft 365 E5
- Capacidades do Purview
Permissões
Os dados do DLP para Fabric podem ser visualizados no Gerenciador de atividades. Há quatro funções que concedem permissão ao Explorador de atividades; A conta que você usa para acessar os dados deve ser membro de qualquer um deles.
Para exibir o Explorador de atividades, a conta que você usa para acessar os dados deve ser membro de qualquer uma das funções a seguir ou superiores.
- Administrador de conformidade
- Administrador de segurança
- Administrador de dados de conformidade
Tipos de item com suporte
As políticas DLP para Fabric atualmente oferecem suporte aos seguintes tipos de item.
- Modelos semânticos
- Lakehouses
Consulte Considerações e limitações para exceções.
Como funcionam as políticas DLP para o Fabric
Você define uma política DLP na seção de prevenção contra perda de dados do portal do Microsoft Purview. Na política, você especifica os rótulos de confidencialidade e/ou tipos de informações confidenciais que deseja detectar. Você também especifica as ações que acontecerão quando a política detectar um modelo semântico ou lakehouse que contenha dados confidenciais do tipo especificado. As políticas DLP para Fabric dão suporte a duas ações:
- Notificação do usuário por meio de dicas de política.
- Alertas. Os alertas podem ser enviados por email aos administradores e usuários. Além disso, os administradores podem monitorar e gerenciar os alertas na guia Alertas no portal de conformidade.
Quando um modelo semântico ou lakehouse é avaliado por políticas DLP, se ele corresponder às condições especificadas em uma política DLP, as ações especificadas na política ocorrerão. As políticas DLP são iniciadas pelas seguintes ações:
Modelos semânticos:
Um modelo semântico é avaliado em relação às políticas DLP sempre que ocorre um dos seguintes eventos:
- Publicação
- Republicar
- Atualização sob demanda
- Atualização agendada
Observação
A avaliação DLP do modelo semântico não ocorrerá se uma das seguintes opções for verdadeira:
- O iniciador do evento (publicar, republicar, atualizar sob demanda, atualização agendada) é uma conta que usa a autenticação da entidade de serviço.
- O proprietário do modelo semântico é uma entidade de serviço.
Casa do lago:
Um lakehouse é avaliado em relação às políticas DLP quando os dados em um lakehouse sofrem uma alteração, como obter novos dados, conectar uma nova fonte, adicionar ou atualizar tabelas existentes e muito mais.
O que acontece quando um item é sinalizado por uma política DLP de malha
Quando uma política DLP detecta um problema com um item:
Se a "notificação do usuário" estiver habilitada na política, o item será marcado no Fabric com um ícone que indica que uma política DLP detectou um problema com o item. Passe o mouse sobre o ícone para exibir um cartão de foco que fornece uma opção para ver todos os detalhes em um painel lateral. Para obter mais informações sobre o que você vê no painel lateral, consulte Responder a uma violação de DLP no Fabric.
Para modelos semânticos, abrir a página de detalhes mostrará uma dica de política que explica a violação da política e como o tipo de informação confidencial detectada deve ser tratada. Selecionar Exibir tudo abre um painel lateral com todos os detalhes da política.
Observação
Se você ocultar a dica de política, ela não será excluída. Ela será exibida na próxima vez que você acessar a página.
Para lakehouses, a indicação aparecerá no cabeçalho no modo de edição, e abrir o fly-out possibilita ver mais detalhes sobre as dicas de política que afetam o lakehouse. Selecionar Exibir tudo abre um painel lateral com todos os detalhes da política.
Se os alertas estiverem habilitados na política, um alerta será registrado na página Alertas de prevenção contra perda de dados no portal do Microsoft Purview e (se configurado) um email será enviado aos administradores e/ou usuários especificados. Para obter mais informações, consulte Monitorar e gerenciar violações de política DLP.