Referência da política de Prevenção de Perda de Dados
Prevenção Contra Perda de Dados do Microsoft Purview políticas (DLP) têm muitos componentes para configurar. Para criar uma política eficaz, tem de compreender qual é a finalidade de cada componente e como a respetiva configuração altera o comportamento da política. Este artigo fornece uma anatomia detalhada de uma política DLP.
Dica
Comece a utilizar o Microsoft Copilot para a Segurança para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Copilot para Segurança no Microsoft Purview.
Antes de começar
Se não estiver familiarizado com o DLP do Microsoft Purview, eis uma lista dos artigos principais de que precisa à medida que implementa o DLP:
- Unidades administrativas
- Saiba mais sobre Prevenção Contra Perda de Dados do Microsoft Purview – o artigo apresenta-lhe a disciplina de prevenção de perda de dados e a implementação do DLP pela Microsoft
- Planear a prevenção de perda de dados (DLP) – ao trabalhar neste artigo, irá:
- Referência da política de Prevenção de Perda de Dados – este artigo que está a ler apresenta agora todos os componentes de uma política DLP e como cada um influencia o comportamento de uma política
- Estruturar uma política DLP – este artigo explica-lhe como criar uma instrução de intenção de política e mapeá-la para uma configuração de política específica.
- Criar e Implementar políticas de prevenção de perda de dados – este artigo apresenta alguns cenários de intenções de política comuns que mapeia para as opções de configuração. Também o orienta ao longo da configuração dessas opções.
- Saiba mais sobre como investigar alertas de prevenção de perda de dados – este artigo apresenta o ciclo de vida dos alertas desde a criação até à remediação final e à otimização de políticas. Também apresenta as ferramentas que utiliza para investigar alertas.
Além disso, tem de estar ciente das seguintes restrições da plataforma:
- Número máximo de políticas MIP + MIG num inquilino: 10 000
- Tamanho máximo de uma política DLP (100 KB)
- Número máximo de regras DLP:
- Numa política: limitado pelo tamanho da política
- Num inquilino: 600
- Tamanho máximo de uma regra DLP individual: 100 KB (102 400 carateres)
- Limite de provas do GIR: 100, com cada prova SIT, em proporção de ocorrência
- Tamanho máximo do texto que pode ser extraído de um ficheiro para análise: 2 MB
- Limite de tamanho do Regex para todas as correspondências previstas: 20 KB
- Limite de comprimento do nome da política: 64 carateres
- Limite de comprimento da regra de política: 64 carateres
- Limite de comprimento do comentário: 1024 carateres
- Limite de comprimento da descrição: 1024 carateres
Modelos de política
Os modelos de política DLP estão ordenados em quatro categorias:
- políticas que podem detetar e proteger tipos de Informações financeiras .
- políticas que podem detetar e proteger tipos de informações médicas e de saúde .
- políticas que podem detetar e proteger tipos de informações de Privacidade .
- Um modelo de política personalizada que pode utilizar para criar a sua própria política se nenhuma das outras pessoas atender às necessidades da sua organização.
A tabela seguinte lista todos os modelos de política e os tipos de informações confidenciais (SIT) que abrangem.
Âmbito da Política
Veja Unidades administrativas para se certificar de que compreende a diferença entre um administrador sem restrições e um administrador restrito de unidade administrativa.
As políticas DLP estão confinadas a dois níveis diferentes. O primeiro nível aplica políticas de âmbito de administração sem restrições a todas as seguintes políticas na sua organização (consoante as localizações selecionadas) ou a subgrupos da sua organização, denominados políticas restritas de Unidade Administrativa:
- usuários
- grupos
- grupos de distribuição
- contas
- sites
- instâncias de aplicações na cloud
- repositórios no local
- Recursos de infraestrutura e áreas de trabalho do Power BI
Neste nível, um administrador restrito de unidade administrativa só poderá escolher a partir das unidades administrativas às quais está atribuído.
O segundo nível de âmbito da política DLP é pelas localizações suportadas pelo DLP. Neste nível, os administradores restritos de unidades administrativas e sem restrições veem apenas os utilizadores, grupos de distribuição, grupos e contas incluídos no primeiro nível de âmbito de política e que estão disponíveis para essa localização.
Políticas sem restrições
As políticas sem restrições são criadas e geridas pelos utilizadores nestes grupos de funções:
- Administrador de conformidade
- Administrador de dados de conformidade
- Proteção de Informações
- Administrador de Proteção de Informações
- Administrador de segurança
Veja o artigo Permissões para obter mais detalhes.
Os administradores sem restrições podem gerir todas as políticas e ver todos os alertas e eventos que fluem de correspondências de políticas para o Explorer de Atividade de Dashboard de Alertas e DLP.
Políticas restritas da Unidade Administrativa
As unidades administrativas são subconjunto do seu Microsoft Entra ID e são criadas para fins de gestão de coleções de utilizadores, grupos, grupos de distribuição e contas. Estas coleções são normalmente criadas ao longo de linhas de grupo empresarial ou áreas geopolíticas. As unidades administrativas têm um administrador delegado associado a uma unidade administrativa no grupo de funções. Estes são denominados administradores restritos de unidades administrativas.
O DLP suporta a associação de políticas com unidades administrativas. Veja Unidades administrativas para obter detalhes de implementação no portal de conformidade do Microsoft Purview. Os administradores de unidades administrativas têm de ser atribuídos a uma das mesmas funções ou grupos de funções que os administradores de políticas DLP sem restrições para criar e gerir políticas DLP para a respetiva unidade administrativa.
| Grupo de Funções Administrativas DLP | Pode |
|---|---|
| Administrador sem restrições | - criar e definir o âmbito de políticas DLP para toda a organização - editar todas as políticas DLP - criar e definir o âmbito de políticas DLP para unidades administrativas - ver todos os alertas e eventos de todas as políticas DLP |
| Administrador Restrito da Unidade Administrativa – tem de ser um membro de/atribuído a um grupo/função de função que possa administrar o DLP |
- criar e definir o âmbito de políticas DLP apenas para a unidade administrativa à qual estão atribuídas - editar políticas DLP que estão associadas à respetiva unidade administrativa - ver alertas e eventos apenas a partir das políticas DLP que estão confinadas à respetiva unidade administrativa |
Localizações
Uma política DLP pode localizar e proteger itens que contêm informações confidenciais em várias localizações.
| Local | Suporta Unidades Administrativas | Incluir/Excluir âmbito | Estado dos dados | Pré-requisitos adicionais |
|---|---|---|---|---|
| Exchange Online | Sim | - Grupos de distribuição – Grupos de segurança – Grupos de segurança não ativados por e-mail – Listas de distribuição dinâmica – grupos do Microsoft 365 (apenas membros do grupo, não o grupo como uma entidade) |
data-in-motion | Não |
| SharePoint Online | Não | Sites | dados inativos em utilização |
Não |
| OneDrive | Sim | - Grupos de distribuição – Grupos de segurança – Grupos de segurança não ativados por e-mail – grupos do Microsoft 365 (apenas membros do Grupo, não o grupo como entidade) |
dados inativos em utilização |
Não |
| Bater papo e canal de mensagens do Teams | Sim | - Grupos de distribuição – Grupos de segurança – Grupos de segurança com capacidade de correio – grupos do Microsoft 365 (apenas membros do Grupo, não o grupo como entidade) |
dados em movimento em utilização |
Veja Âmbito da proteção DLP |
| Instâncias | Não | Instância da aplicação na cloud | dados inativos | - Utilizar políticas de prevenção de perda de dados para aplicações na cloud que não sejam da Microsoft |
| Dispositivos | Sim | - Grupos de distribuição – Grupos de segurança – Grupos de segurança não ativados por e-mail – grupos do Microsoft 365 (apenas membros do Grupo, não o grupo como entidade) |
data-in-use data-in-motion |
-
Saiba mais sobre a prevenção de perda de dados do Ponto final - Introdução à prevenção de perda de dados do Ponto final - Configurar as definições de proxy de dispositivos e de ligação à Internet para Proteção de Informações |
| Repositórios no local (partilhas de ficheiros e SharePoint) | Não | Repositório | dados inativos |
-
Saiba mais sobre os repositórios - no local de prevenção de perda de dadosIntrodução aos repositórios no local de prevenção de perda de dados |
| Recursos de Infraestrutura e Power BI | Não | Espaços de trabalho | dados em utilização | Não |
| Aplicativos de terceiros | Nenhum | Não | Não | Não |
Âmbito da localização do Exchange
Se optar por incluir grupos de distribuição específicos no Exchange, a política DLP é confinada apenas aos e-mails enviados pelos membros desse grupo. Da mesma forma, excluir um grupo de distribuição exclui todos os e-mails enviados pelos membros desse grupo de distribuição da avaliação da política.
| O remetente é | O destinatário é | Comportamento resultante |
|---|---|---|
| No âmbito | N/D | A política é aplicada |
| Fora do escopo | No âmbito | A política não é aplicada |
Cálculo do âmbito de localização do Exchange
Eis um exemplo de como o âmbito de localização do Exchange é calculado:
Imagine que tem quatro utilizadores na sua organização e dois grupos de distribuição que irá utilizar para definir âmbitos de inclusão e exclusão de localização do Exchange. A associação a grupos é configurada da seguinte forma:
| Grupo de Distribuição | Associação |
|---|---|
| Grupo1 | Utilizador1, Utilizador2 |
| Grupo2 | Utilizador2, Utilizador3 |
| Sem grupo | User4 |
| Definição incluir | Definição excluir | A política aplica-se a | A política não se aplica a | Explicação do comportamento |
|---|---|---|---|---|
| Todos | Nenhum | Todos os remetentes na organização do Exchange (Utilizador1, Utilizador2, Utilizador3, Utilizador4) | N/D | Quando nenhum dos dois está definido, todos os remetentes são incluídos |
| Grupo1 | Nenhum | Remetentes membros do Grupo1 (Utilizador1, Utilizador2) | Todos os remetentes que não são membros do Grupo1 (Utilizador3, Utilizador4) | Quando uma definição é definida e a outra não é, é utilizada a definição definida |
| Todos | Grupo2 | Todos os remetentes na organização do Exchange que não são membros do Grupo2 (Utilizador1, Utilizador4) | Todos os remetentes que são membros do Grupo2 (Utilizador2, Utilizador3) | Quando uma definição é definida e a outra não é, é utilizada a definição definida |
| Grupo1 | Grupo2 | User1 | Utilizador2, Utilizador3, Utilizador4 | As substituições de exclusão incluem |
Você pode optar por criar uma política para os membros das listas de distribuição, grupos de distribuição dinâmicas e grupos de segurança. Uma política DLP pode conter, no máximo, 50 inclusões e exclusões.
Âmbito da localização do OneDrive
Ao definir o âmbito de uma política para localizações do OneDrive, para além de aplicar as suas políticas DLP a todos os utilizadores e grupos na sua organização, pode limitar o âmbito de uma política a utilizadores e grupos específicos. O DLP suporta políticas de âmbito até 100 utilizadores individuais.
Por exemplo, se quiser incluir mais de 100 utilizadores, primeiro tem de colocar esses utilizadores em grupos de distribuição ou grupos de segurança, conforme adequado. Em seguida, pode definir o âmbito da política para até 50 grupos.
Em alguns casos, poderá querer aplicar uma política a um ou dois grupos, mais dois ou três utilizadores individuais que não pertencem a nenhum desses grupos. Aqui, a melhor prática é colocar esses dois ou três indivíduos num grupo próprio. Esta é a única forma de garantir que a política está confinada a todos os utilizadores pretendidos.
O motivo para tal é que, quando lista apenas os utilizadores, o DLP adiciona todos os utilizadores especificados ao âmbito da política. Da mesma forma, quando adiciona apenas grupos, o DLP adiciona todos os membros de todos os grupos ao âmbito da política.
Imagine que tem os seguintes grupos e utilizadores:
| Grupo de Distribuição | Associação |
|---|---|
| Grupo1 | Utilizador1, Utilizador2 |
| Grupo2 | Utilizador2, Utilizador3 |
Se limitar o âmbito de uma política apenas a utilizadores ou apenas grupos, o DLP aplica a política aos utilizadores, conforme ilustrado na tabela seguinte:
| Âmbito especificado | Comportamento de avaliação do Âmbito DLP | Utilizadores no âmbito |
|---|---|---|
|
(Apenas utilizadores) User1 User2 |
DLP assume a união dos utilizadores especificados | Utilizador1, Utilizador2 |
|
(apenas Grupos) Grupo1 Grupo2 |
DLP assume a união dos grupos especificados | Utilizador1, Utilizador2, Utilizador3 |
No entanto, quando os utilizadores e grupos são misturados na configuração de âmbito, as coisas ficam complicadas. Eis o motivo: O DLP apenas define o âmbito das políticas para os utilizadores para a interseção entre os grupos e utilizadores listados.
O DLP utiliza a seguinte ordem de operações ao determinar que utilizadores e grupos deve incluir no âmbito:
- Avaliar a união da associação a grupos
- Avaliar a união de utilizadores
- Avaliar a interseção de membros e utilizadores do grupo, ou seja, onde os resultados se sobrepõem
Em seguida, aplica o âmbito da política à interseção de membros e utilizadores do grupo.
Vamos expandir o nosso exemplo, trabalhar com o mesmo conjunto de grupos e adicionar Utilizador4, que não está num grupo:
| Grupo de Distribuição | Associação |
|---|---|
| Grupo1 | Utilizador1, Utilizador2 |
| Grupo2 | Utilizador2, Utilizador3 |
| Sem grupo | Usuário 4 |
A tabela seguinte explica como funciona o âmbito da política nos casos em que os utilizadores e os grupos estão ambos incluídos nas instruções de âmbito.
| Âmbito especificado | Comportamento de avaliação do Âmbito DLP | Utilizadores no âmbito |
|---|---|---|
| Grupo1 Grupo2 User3 User4 |
Primeira avaliação: União de grupos: (Group1 + Group2) = User1, User2, User3 Segunda avaliação: União de utilizadores: (User3 + User4) = User3, User4 Terceira avaliação: Interseção de grupos e Utilizadores (a sobreposição): (Group1 + Group2) = User1, User2, User3 (User3 + User4) = User3, User4 |
User3 (O Utilizador3 é o único utilizador que aparece nos resultados da primeira e segunda avaliações.) |
| Grupo1 Grupo2 User1 User3 User4 |
Primeira avaliação: União de grupos: (Group1 + Group2) = User1, User2, User3 Segunda avaliação: União de utilizadores: (User1 + User3 + User4) = User1, User3, User4 Terceira avaliação: Interseção de grupos e Utilizadores (a sobreposição): (Group1 + Group2) = User1, User3 (User1 + User3, User4) = User1, User3, User4 |
Utilizador1, Utilizador3 (Estes são os únicos utilizadores que aparecem nos resultados da primeira e segunda avaliações.) |
Suporte de localização para a forma como os conteúdos podem ser definidos
As políticas DLP detetam itens confidenciais ao correspondê-los a um tipo de informação confidencial (SIT) ou a uma etiqueta de confidencialidade ou a uma etiqueta de retenção. Cada localização suporta diferentes métodos de definição de conteúdo confidencial. A forma como os conteúdos podem ser definidos quando combina localizações numa política pode mudar de como pode ser definido quando limitado a uma única localização.
Importante
Quando seleciona várias localizações para uma política, um valor "não" para uma categoria de definição de conteúdo tem precedência sobre o valor "sim". Por exemplo, quando seleciona apenas sites do SharePoint, a política suporta a deteção de itens confidenciais por um ou mais de SIT, por etiqueta de confidencialidade ou por etiqueta de retenção. No entanto , quando seleciona sites do SharePoint e localizações de mensagens de chat e de canal do Teams, a política só suporta a deteção de itens confidenciais por SIT.
| Local | O conteúdo pode ser definido pelo SIT | O conteúdo pode ser definido como etiqueta de confidencialidade | O conteúdo pode ser definido pela etiqueta de retenção |
|---|---|---|---|
| E-mail do Exchange online | Sim | Sim | Não |
| SharePoint em sites do Microsoft 365 | Sim | Sim | Sim |
| OneDrive para contas escolares ou profissionais | Sim | Sim | Sim |
| Mensagens de Chat e Canal do Teams | Sim | Não | Não |
| Dispositivos | Sim | Sim | Não |
| Instâncias | Sim | Sim | Sim |
| Repositórios locais | Sim | Sim | Não |
| Recursos de Infraestrutura e Power BI | Sim | Sim | Não |
O DLP suporta a utilização de classificadores treináveis como uma condição para detetar documentos confidenciais. Os conteúdos podem ser definidos por classificadores treináveis no Exchange, sites do SharePoint, contas do OneDrive, Chat e Canais do Teams e Dispositivos. Para obter mais informações, veja Classificadores Treináveis.
Observação
O DLP suporta a deteção de etiquetas de confidencialidade em e-mails e anexos. Para obter mais informações, veja Utilizar etiquetas de confidencialidade como condições nas políticas DLP.
Regras
As regras são a lógica de negócio das políticas DLP. Consistem em:
- Condições que, quando correspondidas, acionam as Ações da política
- Notificações de utilizador para informar os seus utilizadores quando estão a fazer algo que aciona uma política e ajudar a informá-los sobre como a sua organização quer que as informações confidenciais sejam tratadas
- O utilizador substitui quando configurado por um administrador, permite que os utilizadores substituam seletivamente uma ação de bloqueio
- Relatórios de incidentes que notificam administradores e outros intervenientes principais quando ocorre uma correspondência de regra
- Opções adicionais que definem a prioridade para a avaliação de regras e podem parar o processamento de regras e políticas adicionais.
Uma política contém uma ou mais regras. As regras são executadas sequencialmente, começando pela prioridade mais alta em cada política.
A prioridade pela qual as regras são avaliadas e aplicadas
Localizações de serviço alojadas
Para as localizações de serviço alojadas, como o Exchange, o SharePoint e o OneDrive, é atribuída uma prioridade a cada regra pela ordem em que é criada. Isto significa que a regra criada primeiro tem prioridade, a regra criada em segundo tem segunda prioridade, etc.
Quando o conteúdo é avaliado em relação às regras, estas são processadas na ordem de prioridade. Se o conteúdo corresponder a várias regras, é aplicada a primeira regra avaliada que tem a ação mais restritiva. Por exemplo, se o conteúdo corresponder a todas as regras seguintes, a Regra 3 é imposta porque é a regra mais restritiva e prioritária:
- Regra 1: apenas notifica os usuários
- Regra 2: notifica os usuários, restringe o acesso e permite o usuário substituir
- Regra 3: notifica os utilizadores, restringe o acesso e não permite substituições de utilizadores
- Regra 4: restringe o acesso
As regras 1, 2 e 4 seriam avaliadas, mas não aplicadas. Neste exemplo, as correspondências para todas as regras são registadas nos registos de auditoria e apresentadas nos relatórios DLP, apesar de ser aplicada apenas a regra mais restritiva.
Você pode usar uma regra para atender a um requisito específico de proteção e depois usar uma política DLP para agrupar requisitos de proteção comuns, como todas as regras necessárias para manter a conformidade com uma regulamentação específica.
Por exemplo, você pode ter uma política DLP que ajuda a detectar a presença de informações sujeitas à lei americana HIPAA (Health Insurance Portability Accountability Act). Esta política DLP pode ajudar a proteger os dados HIPAA (o "quê") em todos os sites do SharePoint e em todos os sites do OneDrive (o "onde") ao localizar qualquer documento que contenha estas informações confidenciais que são partilhadas com pessoas fora da sua organização (as condições) e, em seguida, bloquear o acesso ao documento e enviar uma notificação (as ações). Esses requisitos são armazenados como regras individuais e agrupadas como uma política DLP para simplificar o gerenciamento e a geração de relatório.
Para pontos finais
Quando um item corresponde a várias regras DLP, o DLP é utilizado através de um algoritmo complexo para decidir quais as ações a aplicar. O DLP de ponto final aplica a agregação ou soma das ações mais restritivas. O DLP utiliza estes fatores ao fazer o cálculo.
Ordem de prioridade da política Quando um item corresponde a múltiplas políticas e essas políticas têm ações idênticas, as ações da política de prioridade mais alta são aplicadas.
Ordem de prioridade da regra Quando um item corresponde a múltiplas regras numa política e essas regras têm ações idênticas, as ações da regra de prioridade mais alta são aplicadas.
Modo da política Quando um item corresponde a múltiplas políticas e essas políticas têm ações idênticas, as ações de todas as políticas que se encontram no estado Ativar (modo de imposição) são aplicadas preferencialmente sobre as políticas em Executar a política no modo de simulação com sugestões de política e Executar a política no estado do modo de simulação .
ação Quando um item corresponde a várias políticas e essas políticas diferem em ações, é aplicada a agregação ou soma das ações mais restritivas.
Configuração de grupos de autorização Quando um item corresponde a várias políticas e essas políticas diferem em ação, a agregação ou soma das ações mais restritivas são aplicadas.
opções de substituição Quando um item corresponde a várias políticas e essas políticas diferem na opção de substituição, as ações são aplicadas por esta ordem:
Sem substituição>Permitir substituição
Seguem-se cenários que ilustram o comportamento do runtime. Para os três primeiros cenários, tem três políticas DLP configuradas da seguinte forma:
| Nome da política | Condição a corresponder | Ação | Prioridade da política |
|---|---|---|---|
| ABC | O conteúdo contém card número de crédito | Bloquear a impressão, auditar todas as outras atividades de saída do utilizador | 0 |
| MNO | O conteúdo contém card número de crédito | Bloquear a cópia para USB, auditar todas as outras atividades de saída do utilizador | 1 |
| XYZ | O conteúdo contém o número da segurança social dos EUA | Bloquear a cópia para a área de transferência, auditar todas as outras atividades de saída do utilizador | 2 |
Item contém números de card de crédito
Um item num dispositivo monitorizado contém números de card de crédito, pelo que corresponde à política ABC e ao MNO da política. Tanto o ABC como o MNO estão no modo Ativar .
| Política | Ação de saída da cloud | Ação Copiar para a área de transferência | Ação Copiar para USB | Copiar para a ação de partilha de rede | Ação aplicações não permitidas | Ação imprimir | Copiar através da ação Bluetooth | Copiar para a ação de ambiente de trabalho remoto |
|---|---|---|---|---|---|---|---|---|
| ABC | Auditoria | Auditoria | Auditoria | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria |
| MNO | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria | Auditoria | Auditoria | Auditoria |
| Ações aplicadas no runtime | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria |
Item contém números de card de crédito e números de segurança social dos EUA
Um item num dispositivo monitorizado contém números de card de crédito e números de segurança social dos EUA, pelo que este item corresponde à política ABC, MNO de política e XYZ da política. As três políticas estão no modo Ativar .
| Política | Ação de saída da cloud | Ação Copiar para a área de transferência | Ação Copiar para USB | Copiar para a ação de partilha de rede | Ação aplicações não permitidas | Ação imprimir | Copiar através da ação Bluetooth | Copiar para a ação de ambiente de trabalho remoto |
|---|---|---|---|---|---|---|---|---|
| ABC | Auditoria | Auditoria | Auditoria | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria |
| MNO | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria | Auditoria | Auditoria | Auditoria |
| XYZ | Auditoria | Bloquear | Auditoria | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria |
| Ações aplicadas no runtime | Auditoria | Bloquear | Bloquear | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria |
Item contém números de card de crédito, estado de política diferente
Um item num dispositivo monitorizado contém crédito card número, pelo que corresponde à política ABC e ao MNO da política. A política ABC está no modo Ativar e a política MNO está em Executar a política no estado do modo de simulação .
| Política | Ação de saída da cloud | Ação Copiar para a área de transferência | Ação Copiar para USB | Copiar para a ação de partilha de rede | Ação aplicações não permitidas | Ação imprimir | Copiar através da ação Bluetooth | Copiar para a ação de ambiente de trabalho remoto |
|---|---|---|---|---|---|---|---|---|
| ABC | Auditoria | Auditoria | Auditoria | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria |
| MNO | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria | Auditoria | Auditoria | Auditoria |
| Ações aplicadas no runtime | Auditoria | Auditoria | Auditoria | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria |
Item contém números de card de crédito, configuração de substituição diferente
Um item num dispositivo monitorizado contém crédito card número, pelo que corresponde à política ABC e ao MNO da política. A política ABC está em Ativar o estado e a política MNO está no estado Ativar . Têm diferentes ações de Substituição configuradas.
| Política | Ação de saída da cloud | Ação Copiar para a área de transferência | Ação Copiar para USB | Copiar para a ação de partilha de rede | Ação aplicações não permitidas | Ação imprimir | Copiar através da ação Bluetooth | Copiar para a ação de ambiente de trabalho remoto |
|---|---|---|---|---|---|---|---|---|
| ABC | Auditoria | Auditoria | Bloquear com substituição | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria |
| MNO | Auditoria | Auditoria | Bloquear sem substituição | Auditoria | Auditoria | Auditoria | Auditoria | Auditoria |
| Ações aplicadas no runtime | Auditoria | Auditoria | Bloquear sem substituição | Auditoria | Auditoria | Bloquear | Auditoria | Auditoria |
Item contém números de card de crédito, configuração de grupos de autorização diferentes
Um item num dispositivo monitorizado contém crédito card número, pelo que corresponde à política ABC e ao MNO da política. A política ABC está em Ativar o estado e a política MNO está no estado Ativar . Têm diferentes ações do grupo de autorização configuradas.
| Política | Ação de saída da cloud | Ação Copiar para a área de transferência | Ação Copiar para USB | Copiar para a ação de partilha de rede | Ação aplicações não permitidas | Ação imprimir | Copiar através da ação Bluetooth | Copiar para a ação de ambiente de trabalho remoto |
|---|---|---|---|---|---|---|---|---|
| ABC | Auditoria | Auditoria | Grupo de autenticação A - Bloco | Auditoria | Auditoria | Grupo de autenticação A - Bloco | Auditoria | Auditoria |
| MNO | Auditoria | Auditoria | Grupo de autenticação A - Bloquear com substituição | Auditoria | Auditoria | Grupo de autenticação B - bloco | Auditoria | Auditoria |
| Ações aplicadas no runtime | Auditoria | Auditoria | Grupo de autenticação A - Bloco | Auditoria | Auditoria | Grupo de autenticação A – Bloco, Grupo de autenticação B – Bloco | Auditoria | Auditoria |
Condições
As condições são onde define o que pretende que a regra procure e o contexto em que esses itens estão a ser utilizados. Dizem à regra: quando encontra um item com este aspeto e está a ser utilizado desta forma, é uma correspondência e as restantes ações na política devem ser tomadas em conta. Você pode usar condições para atribuir ações diferentes a diferentes níveis de risco. Por exemplo, o conteúdo confidencial compartilhado internamente pode diminuir o risco e exigir menos ações do que o conteúdo confidencial compartilhado com pessoas de fora da organização.
Observação
Os utilizadores que têm contas não convidadas no Active Directory ou no inquilino Microsoft Entra de uma organização anfitriã são considerados pessoas dentro da organização.
O conteúdo contém
Todas as localizações suportam a condição Conteúdo. Pode selecionar múltiplas instâncias de cada tipo de conteúdo e refinar ainda mais as condições com os operadores Qualquer um destes operadores (lógico OU) ou Todos estes (E lógicos):
- tipos de informações confidenciais
- etiquetas de confidencialidade
- etiquetas de retenção
- Classificadores Treináveis
A regra procurará apenas a presença de etiquetas de confidencialidade e etiquetas de retenção que escolher.
Os SITs têm um nível de confiança predefinido que pode alterar, se necessário. Para obter mais informações, veja Mais informações sobre os níveis de confiança.
Importante
Os SITs têm duas formas diferentes de definir os parâmetros máximos de contagem de instâncias exclusivas. Para saber mais, confira Valores com suporte de contagem de instâncias para SIT.
Proteção Adaptável no Microsoft Purview
A proteção adaptável integra Gerenciamento de Risco Interno do Microsoft Purview perfis de risco em políticas DLP para que o DLP possa ajudar a proteger contra comportamentos de risco identificados dinamicamente. Quando configurado na gestão de riscos internos, o nível de risco insider para Proteção Adaptável será apresentado como condição para Exchange Online, Dispositivos e localizações do Teams. Veja Saiba mais sobre a Proteção Adaptável na Prevenção de Perda de Dados para obter mais detalhes.
Condições suportadas pela Proteção Adaptável
- O nível de risco interno da Proteção Adaptável é...
com estes valores:
- Nível de risco elevado
- Nível de risco moderado
- Nível de risco menor
Contexto de condição
As opções de contexto disponíveis mudam consoante a localização que escolher. Se selecionar várias localizações, apenas estão disponíveis as condições que as localizações têm em comum.
Condições suportadas pelo Exchange
- O conteúdo contém
- O nível de risco interno da Proteção Adaptável é
- O conteúdo não está etiquetado
- O conteúdo é partilhado a partir do Microsoft 365
- O conteúdo é recebido de
- O endereço IP do remetente é
- O cabeçalho contém palavras ou expressões
- O Atributo do AD do Remetente contém palavras ou expressões
- Conjunto de carateres de conteúdo contém palavras
- O cabeçalho corresponde aos padrões
- O Atributo do AD do Remetente corresponde aos padrões
- O Atributo AD do Destinatário contém palavras ou expressões
- O Atributo AD do Destinatário corresponde aos padrões
- O destinatário é membro de
- A propriedade do documento é
- Nenhum conteúdo do anexo de email pôde ser verificado
- O documento ou anexo está protegido por palavra-passe
- O remetente substituiu a sugestão de política
- O remetente é membro do
- Nenhum conteúdo do anexo de email concluiu a verificação
- O endereço do destinatário contém palavras
- A extensão de ficheiro é
- O domínio do destinatário é
- O destinatário é
- O remetente é
- O domínio do remetente é
- O endereço do destinatário corresponde aos padrões
- O nome do documento contém palavras ou expressões
- O nome do documento corresponde aos padrões
- Assunto contém palavras ou expressões
- O assunto corresponde aos padrões
- Assunto ou corpo contém palavras ou expressões
- O assunto ou o corpo correspondem aos padrões
- O endereço do remetente contém palavras
- O endereço do remetente corresponde aos padrões
- O tamanho do documento é igual ou superior a
- O conteúdo do documento contém palavras ou expressões
- O conteúdo do documento corresponde aos padrões
- O tamanho da mensagem é igual ou superior a
- O tipo de mensagem é
- A importância da mensagem é
Dica
Para obter mais informações sobre as condições suportadas pelo Exchange, incluindo os valores do PowerShell, veja: Referência de ações e condições do Exchange de prevenção de perda de dados.
Condições suportadas pelo SharePoint
- O conteúdo contém
- O conteúdo é partilhado a partir do Microsoft 365
- A propriedade do documento é
- A extensão de ficheiro é
- O nome do documento contém palavras ou expressões
- O tamanho do documento é igual ou superior a
- Documento criado por
Condições de suporte para contas do OneDrive
- O conteúdo contém
- O conteúdo é partilhado a partir do Microsoft 365
- A propriedade do documento é
- A extensão de ficheiro é
- O nome do documento contém palavras ou expressões
- O tamanho do documento é igual ou superior a
- Documento criado por
- O documento é partilhado
Condições – Suporte de mensagens de chat e de canal do Teams
- O conteúdo contém
- O nível de risco interno da Proteção Adaptável é
- O conteúdo é partilhado a partir do Microsoft 365
- O domínio do destinatário é -O destinatário é
- O remetente é
- O domínio do remetente é
Condições suportadas para Pontos Finais
O conteúdo contém: Especifica o conteúdo a ser detetado. Para obter detalhes sobre os tipos de ficheiro suportados, veja Tipos de ficheiro analisados para obter conteúdo.
O conteúdo não está etiquetado: Deteta conteúdo que não tem uma etiqueta de confidencialidade aplicada. Para ajudar a garantir que apenas os tipos de ficheiro suportados são detetados, deve utilizar esta condição com a extensão Ficheiro ou o Tipo de ficheiro são condições. (Os ficheiros PDF e Office são totalmente suportados).
Não foi possível digitalizar o documento: Aplica-se a ficheiros que não podem ser analisados por um dos seguintes motivos:
- O ficheiro contém um ou mais erros transitórios de extração de texto
- O ficheiro está protegido por palavra-passe
- O tamanho do ficheiro excede o limite suportado (Tamanhos máximos de ficheiro: 64 MB para ficheiros não comprimidos; 256 MB para ficheiros comprimidos)
O nome do documento contém palavras ou expressões: Deteta documentos com nomes de ficheiro que contêm qualquer uma das palavras ou expressões que especificar, por exemplo:
file,credit card,patent, etc.O nome do documento corresponde aos padrões: Deteta documentos em que o nome do ficheiro corresponde a padrões específicos. Para definir os padrões, utilize cartões universais. Para obter informações sobre padrões regex, veja a documentação da Expressão Regular aqui.
O documento ou anexo está protegido por palavra-passe: Deteta apenas os ficheiros protegidos que estão abertos. Os seguintes ficheiros são totalmente suportados:
- Ficheiros de arquivo (ZIP, .7z, RAR)
- Ficheiros do Office
- PDFs
- Ficheiros encriptados do Symantec PGP
O tamanho do documento é igual ou é maior do que: Deteta documentos com tamanhos de ficheiro iguais ou superiores ao valor especificado.
Importante
Recomendamos que defina esta condição para detetar itens com mais de 10 KB
O tipo de ficheiro é: Deteta os seguintes tipos de ficheiro:
Tipo de arquivo Aplicativos Extensões de ficheiro monitorizadas Processamento de texto Word, PDF doc, .docx, .docm, .dot, dotx, .dotm, .docb, .pdf Planilha Excel, CSV, TSV .xls, .xlsx, .xlt, .xlm, .xlsm, xltx, xltm, xlsb, .xlw, .csv, .tsv Apresentação PowerPoint .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx Email Outlook .msg Importante
As extensões de ficheiro e as opções de tipos de ficheironão podem ser utilizadas como condições na mesma regra. Se você quiser usá-las como condições na mesma política, elas deverão estar em regras separadas.
Para utilizar o Tipo de ficheiro é condição, tem de ter uma das seguintes versões do Windows:
Pontos Finais do Windows (X64):
- Windows 10 (21H2, 22H2)
Pontos Finais do Windows (ARM64):
- Windows 11 (21H2, 22H2)
A extensão de ficheiro é: Além de detetar informações confidenciais em ficheiros com as mesmas extensões que as abrangidas pelo Tipo de ficheiro é condição, pode utilizar a condição A extensão Ficheiro é condição para detetar informações confidenciais em ficheiros com qualquer extensão de ficheiro que precise de monitorizar. Para tal, adicione as extensões de ficheiro necessárias, separadas por vírgulas a uma regra na sua política. A condição Extensão de ficheiro é suportada apenas para as versões do Windows que suportam a condição Tipo de ficheiro .
Aviso
Incluir qualquer uma das seguintes extensões de ficheiro nas regras de política pode aumentar significativamente a carga da CPU: .dll, .exe, .mui, .ost, .pf, .pst.
A análise não foi concluída: Aplica-se quando a análise de um ficheiro foi iniciada, mas parou antes de todo o ficheiro ter sido analisado. O principal motivo para uma análise incompleta é que o texto extraído dentro do ficheiro excede o tamanho máximo permitido. (Tamanhos máximos para texto extraído: Ficheiros não comprimidos: 4 MB; Ficheiros comprimidos: N=1000/ Tempo de Extração = 5 minutos.)
A Propriedade do Documento é: Deteta documentos com propriedades personalizadas que correspondem a valores especificados. Por exemplo:
Department = 'Marketing',Project = 'Secret'. Para especificar vários valores para uma propriedade personalizada, utilize aspas duplas. Por exemplo, "Departamento: Marketing, Vendas".O utilizador acedeu a um site confidencial a partir do Microsoft Edge: Para obter mais informações, veja Cenário 6 Monitorizar ou restringir atividades de utilizador em domínios de serviço confidenciais (pré-visualização).
O nível de risco interno da Proteção Adaptável é: Deteta o nível de risco interno.
Consulte também: Atividades de ponto final que pode monitorizar e tomar medidas.
Requisitos do sistema operativo para cinco condições
- Não foi possível digitalizar o documento
- O nome do documento contém palavras ou expressões
- O nome do documento corresponde aos padrões
- O tamanho do documento é igual ou superior a
- A análise não foi concluída
Para utilizar qualquer uma destas condições, os dispositivos de ponto final têm de estar a executar um dos seguintes sistemas operativos:
Windows 11 23H2:4 de dezembro de 2023 — KB5032288 (Compilações 22621.2792 e 22631.2792 do SO) Pré-visualização
Windows 11 22H2:4 de dezembro de 2023 — KB5032288 (Compilações 22621.2792 e 22631.2792 do SO) Pré-visualização - Suporte da Microsoft
Windows 11 21H2:12 de dezembro de 2023 — KB5033369 (Compilação 22000.2652 do SO) - Suporte da Microsoft
Windows 10 22H2:30 de novembro de 2023 — Pré-visualização do KB5032278 (Compilação 19045.3758 do SO) - Suporte da Microsoft
Windows 10 21H2:30 de novembro de 2023 — Pré-visualização do KB5032278 (Compilação 19045.3758 do SO) - Suporte da Microsoft
Windows Server 2022/2019:14 de novembro de 2023 — KB5032198 (Compilação 20348.2113 do SO) - Suporte da Microsoft (ou posterior)
Requisitos do sistema operativo para a Condição "A Propriedade do Documento é"
Windows 11:29 de fevereiro de 2024 — KB5034848 (Compilações 22621.3235 e 22631.3235) pré-visualização do SO – Suporte da Microsoft (ou posterior)
Windows 10:29 de fevereiro de 2024 — Pré-visualização do KB5034843 (Compilação 19045.4123 do SO) - Suporte da Microsoft (ou posterior)
Importante
Para obter informações sobre os requisitos da Adobe para utilizar funcionalidades Prevenção Contra Perda de Dados do Microsoft Purview (DLP) com ficheiros PDF, consulte este artigo da Adobe: Proteção de Informações do Microsoft Purview Support in Acrobat (Suporte do Adobe: Proteção de Informações do Microsoft Purview no Acrobat).
O Conditions Instances suporta
- O conteúdo contém
- O conteúdo é partilhado a partir do Microsoft 365
Condições Suporte para repositórios no local
- O conteúdo contém
- A extensão de ficheiro é
- A propriedade do documento é
Condições Suporte para Recursos de Infraestrutura e Power BI
- O conteúdo contém
Grupos de condição
Por vezes, precisa de uma regra para identificar apenas uma coisa, como todo o conteúdo que contém um Número de Segurança Social dos E.U.A., que é definido por um único SIT. No entanto, em muitos cenários em que os tipos de itens que está a tentar identificar são mais complexos e, portanto, mais difíceis de definir, é necessária mais flexibilidade na definição de condições.
Por exemplo, para identificar conteúdo sujeito à HIPAA (Lei de Seguro de Saúde) dos EUA, você precisa procurar:
Conteúdo que apresente tipos específicos de informações confidenciais, como um Número de Seguro Social dos EUA ou Número da DEA (Agência de Combate às Drogas dos EUA).
E
Conteúdo que é mais difícil de identificar, como comunicações sobre cuidados de um paciente ou descrições de serviços médicos fornecidos. Identificar esse conteúdo requer a combinação de palavras-chave de listas de palavras-chave muito extensas, como a Classificação Internacional de Doenças (ICD-9-CM ou ICD-10-CM).
Pode identificar este tipo de dados ao agrupar condições e utilizar operadores lógicos (E, OU) entre os grupos.
Para a Lei de Seguro de Saúde dos E.U.A. (HIPAA), as condições são agrupadas da seguinte forma:
O primeiro grupo contém os SITs que identificam um indivíduo e o segundo grupo contém os SITs que identificam o diagnóstico médico.
As condições podem ser agrupadas e associadas por operadores booleanos (E, OU, NÃO) para que defina uma regra ao indicar o que deve ser incluído e, em seguida, definir exclusões num grupo diferente associado ao primeiro por NÃO. Para saber mais sobre como o DLP do Purview implementa booleanos e grupos aninhados, veja Estrutura de regras complexas.
Limitações da Plataforma DLP para Condições
| Predicado | Workload | Limite | Custo da Avaliação |
|---|---|---|---|
| Conteúdo Contém | EXO/SPO/ODB | 125 SITs por regra | Alto |
| O conteúdo é partilhado a partir do Microsoft 365 | EXO/SPO/ODB | - | Alto |
| O endereço IP do remetente é | EXO | Comprimento do intervalo <individual = 128; Contagem <= 600 | Baixo |
| O remetente substituiu a sugestão de política | EXO | - | Baixo |
| O remetente é | EXO | Comprimento <do e-mail individual = 256; Contagem <= 600 | Médio |
| O remetente é membro do | EXO | Contagem <= 600 | Alto |
| O domínio do remetente é | EXO | Comprimento do nome de domínio <= 67; Contagem <= 600 | Baixo |
| O endereço do remetente contém palavras | EXO | Comprimento de palavra <individual = 128; Contagem <= 600 | Baixo |
| O endereço do remetente corresponde aos padrões | EXO | Comprimento do regex <= 128 carateres; Contagem <= 600 | Baixo |
| O atributo Do AD do Remetente contém palavras | EXO | Comprimento de palavra <individual = 128; Contagem <= 600 | Médio |
| O atributo do AD do Remetente corresponde aos padrões | EXO | Comprimento do regex <= 128 carateres; Contagem <= 600 | Médio |
| Não é possível digitalizar o conteúdo dos anexos de e-mail | EXO | Tipos de arquivos compatíveis | Baixo |
| Análise incompleta do conteúdo do anexo de e-mail | EXO | Tamanho > 1 MB | Baixo |
| O anexo está protegido por palavra-passe | EXO | Tipos de ficheiro: ficheiros do Office, .PDF, .ZIP e 7z | Baixo |
| A extensão de arquivo do anexo é | EXO/SPO/ODB | Contagem <= 600 por regra | Alto |
| O destinatário é um membro do | EXO | Contagem <= 600 | Alto |
| O domínio do destinatário é | EXO | Comprimento do nome de domínio <= 67; Contagem <= 5000 | Baixo |
| O destinatário é | EXO | Comprimento <do e-mail individual = 256; Contagem <= 600 | Baixo |
| O endereço do destinatário contém palavras | EXO | Comprimento de palavra <individual = 128; Contagem <= 600 | Baixo |
| O endereço do destinatário corresponde aos padrões | EXO | Contagem <= 300 | Baixo |
| O nome do documento contém palavras ou expressões | EXO | Comprimento de palavra <individual = 128; Contagem <=600 | Baixo |
| O Nome do Documento corresponde aos padrões | EXO | Comprimento do regex <= 128 carateres; Contagem <= 300 | Baixo |
| A propriedade do documento é | EXO/SPO/ODB | - | Baixo |
| O tamanho do documento é igual ou superior a | EXO | - | Baixo |
| Assunto contém palavras ou expressões | EXO | Comprimento de palavra <individual = 128; Contagem <= 600 | Baixo |
| O cabeçalho contém palavras ou expressões | EXO | Comprimento de palavra <individual = 128; Contagem <= 600 | Baixo |
| Assunto ou corpo contém palavras ou expressões | EXO | Comprimento de palavra <individual = 128; Contagem <= 600 | Baixo |
| Conjunto de carateres de conteúdo contém palavras | EXO | Contagem <= 600 | Baixo |
| O cabeçalho corresponde aos padrões | EXO | Comprimento do regex <= 128 carateres; Contagem <= 300 | Baixo |
| O assunto corresponde aos padrões | EXO | Comprimento do regex <= 128 carateres; Contagem <= 300 | Baixo |
| O assunto ou o corpo correspondem aos padrões | EXO | Comprimento do regex <= 128 carateres; Contagem <= 300 | Baixo |
| O tipo de mensagem é | EXO | - | Baixo |
| Tamanho da mensagem superior | EXO | - | Baixo |
| Com importância | EXO | - | Baixo |
| O atributo Do AD do Remetente contém palavras | EXO | Cada par de valores de chave de atributo: tem comprimento <Regex = 128 carateres; Contagem <= 600 | Médio |
| O atributo do AD do Remetente corresponde aos padrões | EXO | Cada par de valores de chave de atributo: tem comprimento <Regex = 128 carateres; Contagem <= 300 | Médio |
| O documento contém palavras | EXO | Comprimento de palavra <individual = 128; Contagem <= 600 | Médio |
| O documento corresponde aos padrões | EXO | Comprimento do regex <= 128 carateres; Contagem <= 300 | Médio |
Ações
Qualquer item que o faça através do filtro de condições terá todas as ações definidas na regra aplicada ao mesmo. Terá de configurar as opções necessárias para suportar a ação. Por exemplo, se selecionar Exchange com a ação Restringir acesso ou encriptar o conteúdo na ação de localizações do Microsoft 365 , tem de escolher entre estas opções:
- Impedir que os utilizadores acedam a conteúdos partilhados do SharePoint, OneDrive e Teams
- Bloquear todas as pessoas. Apenas o proprietário do conteúdo, o último modificador e o administrador do site continuarão a ter acesso
- Bloquear apenas pessoas de fora da sua organização. Os utilizadores dentro da sua organização continuarão a ter acesso.
- Criptografar mensagens de email (aplica-se somente ao conteúdo do Exchange)
As ações que estão disponíveis numa regra dependem das localizações que foram selecionadas. As ações disponíveis para cada localização individual estão listadas abaixo.
Importante
Para as localizações do SharePoint e do OneDrive, os documentos serão bloqueados proativamente logo após a deteção de informações confidenciais (independentemente de o documento ser partilhado ou não) para todos os utilizadores externos; os utilizadores internos continuarão a ter acesso ao documento.
Ações suportadas: Exchange
Quando as regras de política DLP são aplicadas no Exchange, podem estar a ser interrompidas, sem interrupções ou nenhuma delas. A maioria das regras suportadas pelo Exchange não são interrompidas. As ações sem interrupção são avaliadas e aplicadas imediatamente antes de processar as regras e políticas subsequentes, conforme descrito nas Localizações de serviço alojadas anteriormente neste artigo.
No entanto, quando uma ação de paragem é acionada por uma regra de política DLP, o Purview deixa de processar quaisquer regras subsequentes. Por exemplo, quando a ação Restringir o acesso ou encriptar o conteúdo nas localizações do Microsoft 365 é acionada, não são processadas mais regras ou políticas.
Caso uma ação não seja interrompida nem interrompida, o Purview aguarda que o resultado da ação ocorra antes de continuar. Assim, quando um e-mail enviado aciona a ação Reencaminhar a mensagem para aprovação para o gestor do remetente , o Purview aguarda para obter a decisão do gestor sobre se o e-mail pode ou não ser enviado. Se o gestor aprovar, a ação comporta-se como uma ação sem interrupção e as regras subsequentes são processadas. Por outro lado, se o gestor rejeitar o envio do e-mail, reencaminhar a mensagem para aprovação para o gestor do remetente comporta-se como uma ação de paragem e bloqueia o envio do e-mail; não são processadas regras ou políticas subsequentes.
A tabela seguinte lista as ações suportadas pelo Exchange e indica se estão a parar ou não a parar.
| Ação | Parar/Sem parar |
|---|---|
| Restringir o acesso ou encriptar o conteúdo em localizações do Microsoft 365 | A parar |
| Definir cabeçalhos | Sem interrupções |
| Remover cabeçalho | Sem interrupções |
| Redirecionar a mensagem para utilizadores específicos | Sem interrupções |
| Reencaminhar a mensagem para aprovação para o gestor do remetente | Nenhum |
| Reencaminhar a mensagem para aprovação para aprovadores específicos | Nenhum |
| Adicionar destinatário à caixa Para | Sem interrupções |
| Adicionar destinatário à caixa Cc | Sem interrupções |
| Adicionar destinatário à caixa Bcc | Sem interrupções |
| Adicionar o gestor do remetente como destinatário | Sem interrupções |
| Remover encriptação de mensagens e proteção de direitos | Sem interrupções |
| Assunto do Email de Pré-Email | Sem interrupções |
| Adicionar Exclusão de Responsabilidade HTML | Sem interrupções |
| Modificar Assunto Email | Sem interrupções |
| Entregar a mensagem na quarentena alojada | A parar |
| Aplicar imagem corporativa a mensagens encriptadas | Sem interrupções |
Dica
Para a ação Aplicar imagem corporativa a mensagens encriptadas, se já tiver Criptografia de Mensagens do Microsoft Purview implementado, os modelos aparecem automaticamente na lista pendente. Se quiser implementar Criptografia de Mensagens do Microsoft Purview, consulte Adicionar a marca da sua organização à sua Criptografia de Mensagens do Microsoft Purview mensagens encriptadas para obter informações sobre a encriptação de mensagens e como criar e configurar a sua imagem corporativa modelos.
Para obter mais informações sobre as ações suportadas pelo Exchange, incluindo valores do PowerShell, veja: Referência de ações e condições do Exchange de prevenção de perda de dados.
Ações suportadas: SharePoint
- Restringir o acesso ou encriptar o conteúdo em localizações do Microsoft 365
Ações suportadas: OneDrive
- Restringir o acesso ou encriptar o conteúdo em localizações do Microsoft 365
Ações suportadas: Chat do Teams e Mensagens de Canal
- Restringir o acesso ou encriptar o conteúdo em localizações do Microsoft 365
Ações suportadas: Dispositivos
Pode indicar ao DLP para Auditar apenas, Bloquear com substituição ou Bloquear (as ações) estas atividades de utilizador para dispositivos integrados.
- Restringir o acesso ou encriptar conteúdo em localizações do Microsoft 365
- Auditar ou restringir atividades quando os utilizadores acedem a sites confidenciais nos browsers Microsoft Edge em dispositivos Windows
- Auditar ou restringir atividades em dispositivos
- Atividades de domínio de serviço e browser
- Atividades de arquivo para todos os aplicativos
- Atividades de aplicativo restrito
- Atividades de arquivos para aplicativos em grupos de aplicativos restritos (visualização)
Restringir o acesso ou encriptar conteúdo em localizações do Microsoft 365
Utilize esta opção para impedir que os utilizadores recebam e-mails ou acedam a itens partilhados do SharePoint, OneDrive, Teams e Power BI. Esta ação pode bloquear todas as pessoas ou bloquear apenas as pessoas fora da sua organização.
Auditar ou restringir atividades quando os utilizadores acedem a sites confidenciais nos browsers Microsoft Edge em dispositivos Windows
Utilize esta ação para controlar quando os utilizadores tentam:
| Atividade | Descrição/opções |
|---|---|
| Imprimir o site | Deteta quando os utilizadores tentam imprimir um site protegido a partir de um dispositivo integrado. |
| Copiar dados do site | Deteta quando os utilizadores tentam copiar dados de um site protegido a partir de um dispositivo integrado. |
| Guardar o site como ficheiros locais (Guardar Como) | Deteta quando os utilizadores tentam guardar um site protegido como ficheiros locais de um dispositivo integrado. |
Auditar ou restringir atividades em dispositivos
Utilize esta opção para restringir as atividades de utilizador por domínio de serviço e atividades do browser, Atividades de ficheiros para todas as aplicações, Atividades de aplicações restritas. Para utilizar a opção Auditar ou restringir atividades em dispositivos, tem de configurar opções nas definições de DLP e na política em que pretende utilizá-las. Veja Aplicações restritas e grupos de aplicações para obter mais informações.
As regras DLP com a ação Auditar ou restringir atividades nos dispositivos podem ter a opção Bloquear com substituição configurada. Quando esta regra é aplicada a um ficheiro, qualquer tentativa de efetuar uma ação restrita no ficheiro é bloqueada. É apresentada uma notificação com a opção para substituir a restrição. Se o utilizador optar por substituir, a ação é permitida durante um período de 1 minuto, durante o qual o utilizador pode repetir a ação sem restrições. A exceção a este comportamento é quando um ficheiro confidencial é arrastado e largado no Edge, que anexará imediatamente o ficheiro se a regra for substituída.
Atividades de domínio de serviço e browser
Quando configurar os domínios do serviço cloud Permitir/Bloquear e a lista Browsers não permitidos (consulte Restrições de browser e domínio para dados confidenciais) e um utilizador tenta carregar um ficheiro protegido para um domínio de serviço cloud ou aceder ao mesmo a partir de um browser não permitido, pode configurar a ação de política para Audit only, Block with overrideou Block a atividade.
| Atividade | Descrição/opções |
|---|---|
| Carregar para um domínio de serviços cloud restrito ou acesso a partir de uma aplicação não permitida | Deteta quando os ficheiros protegidos são bloqueados ou podem ser carregados para domínios de serviço cloud. Veja Restrições de browser e domínio a dados confidenciais e Cenário 6 Monitorizar ou restringir atividades de utilizador em domínios de serviço confidenciais). |
| Colar em browsers suportados | Deteta quando os utilizadores colam informações confidenciais num campo de texto ou formulário Web com o Microsoft Edge, o Google Chrome (com a extensão do Microsoft Purview) ou o Mozilla Firefox (com a extensão do Microsoft Purview). A avaliação é independente da classificação do ficheiro de origem. Para obter mais informações, consulte: Atividades de ponto final que pode monitorizar e tomar medidas. |
Atividades de arquivo para todos os aplicativos
Com a opção Atividades de ficheiro para todas as aplicações , selecione Não restringir atividades de ficheiros ou Aplicar restrições a atividades específicas. Quando seleciona Aplicar restrições a atividades específicas, as ações que selecionar aqui são aplicadas quando um utilizador acede a um item protegido por DLP.
| Atividade | Descrição/opções |
|---|---|
| Copiar para a área de transferência | Deteta quando os ficheiros protegidos são copiados para a área de transferência num dispositivo integrado. Para obter mais informações, veja Atividades de ponto final que pode monitorizar e tomar medidas nocomportamento e Copiar para a área de transferência |
| Copiar para um dispositivo amovível | Deteta quando os ficheiros protegidos são copiados ou movidos de um dispositivo integrado para um dispositivo USB amovível. Para obter mais informações, veja Grupos de dispositivos USB amovíveis. |
| Copiar para uma partilha de rede | Deteta quando os ficheiros protegidos são copiados ou movidos de um dispositivo integrado para qualquer partilha de rede. Para obter mais informações, veja Cobertura e exclusões da partilha de rede. |
| Deteta quando um ficheiro protegido é impresso a partir de um dispositivo integrado. Para obter mais informações, veja Grupos de impressoras. | |
| Copiar ou mover usando o aplicativo Bluetooth não permitido | Deteta quando um ficheiro protegido é copiado ou movido de um dispositivo Windows integrado através de uma aplicação Bluetooth não permitida. Para obter mais informações, veja Aplicações Bluetooth Não Permitidas (Restritas). Isto não é suportado para macOS. |
| Copiar ou mover com RDP | Deteta quando os utilizadores copiam ou movem ficheiros protegidos de um dispositivo Windows integrado para outra localização com RDP. Isto não é suportado para macOS. |
Atividades de aplicativo restrito
Anteriormente denominadas aplicações não permitidas, as atividades de aplicações restritas são aplicações nas quais pretende aplicar restrições. Pode definir estas aplicações numa lista nas definições DLP do Ponto Final. Quando um utilizador tenta aceder a um ficheiro protegido por DLP com uma aplicação que está na lista, pode Audit only, Block with overrideou Block a atividade. As ações DLP definidas em Atividades de aplicações restritas são substituídas se a aplicação for membro de um grupo de aplicações restrito. Em seguida, as ações definidas no grupo de aplicações restritas são aplicadas.
| Atividade | Descrição/opções |
|---|---|
| Acesso por aplicações restritas | Deteta quando as aplicações não permitidas tentam aceder a ficheiros protegidos num dispositivo Windows integrado. Para obter mais informações, veja Aplicações restritas e grupos de aplicações. |
Atividades de arquivos para aplicativos em grupos de aplicativos restritos (visualização)
Pode definir os grupos de aplicações restritos nas definições DLP do Ponto Final e adicionar grupos de aplicações restritos às suas políticas. Quando adiciona um grupo de aplicações restrito a uma política, tem de selecionar uma destas opções:
- Não restringir a atividade do arquivo
- Aplicar restrições a todas as atividades
- Aplicar restrições a atividades específicas
Quando seleciona uma das opções Aplicar restrições e um utilizador tenta aceder a um ficheiro protegido por DLP através de uma aplicação que se encontra no grupo de aplicações restrito, pode Audit only, Block with overrideou Block por atividade. As ações DLP que definir aqui substituem as ações definidas em Atividades de aplicações restritas e Atividades de ficheiro para todas as aplicações para a aplicação.
Para obter mais informações, veja Aplicações restritas e grupos de aplicações.
Observação
A localização dos dispositivos fornece muitas subproduções (condições) e ações. Para saber mais, veja Atividades de ponto final que pode monitorizar e tomar medidas.
Importante
A condição Copiar para a área de transferência deteta quando um utilizador copia informações de um ficheiro protegido para a área de transferência. Utilize Copiar para a área de transferência para bloquear, bloquear com substituição ou auditar quando os utilizadores copiarem informações de um ficheiro protegido.
A condição Colar em browsers suportados deteta quando um utilizador tenta colar texto confidencial num campo de texto ou formulário Web com o Microsoft Edge, o Google Chrome com a extensão do Microsoft Purview ou o Mozilla Firefox com a extensão do Microsoft Purview , independentemente da origem dessas informações. Utilize Colar para browsers suportados para bloquear, bloquear com substituição ou auditar quando os utilizadores colarem informações confidenciais num campo de texto ou formulário Web.
Ações de instâncias
- Restringir o acesso ou encriptar o conteúdo em localizações do Microsoft 365
- Restringir Aplicações de Terceiros
Ações de repositórios no local
- Restringir o acesso ou remover ficheiros no local.
- Impedir que as pessoas acedam a ficheiros armazenados em repositórios no local
- Definir permissões no ficheiro (permissões herdadas da pasta principal)
- Mover o ficheiro de onde está armazenado para uma pasta de quarentena
Veja DLP On-premises repository actions (Ações do repositório no local do DLP ) para obter detalhes completos.
Recursos de infraestrutura e ações do Power BI
- Notificar usuários com dicas de política e email
- Enviar alertas para o Administrador
Ações disponíveis quando combina localizações
Se selecionar Exchange e qualquer outra localização única para a política a ser aplicada, o
- Restrinja o acesso ou encripte o conteúdo nas localizações do Microsoft 365 e todas as ações para as ações de localização não exchange estão disponíveis.
Se selecionar duas ou mais localizações que não sejam do Exchange para a política a ser aplicada, o
- Restringir o acesso ou encriptar o conteúdo nas localizações do Microsoft 365 e todas as ações para ações que não sejam do Exchange estarão disponíveis.
Por exemplo, se selecionar as localizações exchange e dispositivos, estas ações estarão disponíveis:
- Restringir o acesso ou encriptar o conteúdo em localizações do Microsoft 365
- Auditar ou restringir atividades em dispositivos Windows
Se selecionar Dispositivos e Instâncias, estas ações estarão disponíveis:
- Restringir o acesso ou encriptar o conteúdo em localizações do Microsoft 365
- Auditar ou restringir atividades em dispositivos Windows
- Restringir Aplicações de Terceiros
Se uma ação entra em vigor ou não depende da forma como configura o modo da política. Pode optar por executar a política no modo de simulação com ou sem mostrar a sugestão de política ao selecionar a opção Executar a política no modo de simulação . Pode optar por executar a política logo uma hora depois de ter sido criada ao selecionar a opção Ativar imediatamente ou pode optar por guardá-la e voltar à mesma mais tarde ao selecionar a opção Manter desativada .
Limitações da Plataforma DLP para Ações
| Nome da Ação | Workload | Limites |
|---|---|---|
| Restringir o acesso ou encriptar conteúdo no Microsoft 365 | EXO/SPO/ODB | |
| Definir cabeçalhos | EXO | |
| Remover cabeçalho | EXO | |
| Redirecionar a mensagem para utilizadores específicos | EXO | Total de 100 em todas as regras DLP. Não pode ser DL/SG |
| Reencaminhar a mensagem para aprovação para o gestor do remetente | EXO | O gestor deve ser definido no AD |
| Reencaminhar a mensagem para aprovação para aprovadores específicos | EXO | Grupos não são suportadas |
| Adicionar destinatário à caixa Para | EXO | Contagem de destinatários <= 10; Não pode ser DL/SG |
| Adicionar destinatário à caixa Cc | EXO | Contagem de destinatários <= 10; Não pode ser DL/SG |
| Adicionar destinatário à caixa Bcc | EXO | Contagem de destinatários <= 10; Não pode ser DL/SG |
| Adicionar o gestor do remetente como destinatário | EXO | O atributo manager deve ser definido no AD |
| Aplicar exclusão de responsabilidade HTML | EXO | |
| Assunto de pré-acréscimo | EXO | |
| Aplicar encriptação de mensagens | EXO | |
| Remover encriptação de mensagens | EXO |
Notificações de utilizador e sugestões de política
Quando um utilizador tenta uma atividade num item confidencial num contexto que cumpre as condições de uma regra (por exemplo, conteúdos como um livro do Excel num site do OneDrive que contém informações pessoais identificáveis (PII) e é partilhado com um convidado), pode informá-lo através de e-mails de notificação de utilizador e pop-ups de sugestões de políticas em contexto. Estas notificações são úteis porque aumentam a consciencialização e ajudam a educar as pessoas sobre as políticas DLP da sua organização.
Importante
- Os e-mails de notificação são enviados desprotegidos.
- Email notificações só são suportadas para os serviços do Microsoft 365.
Email o suporte de notificações por localização selecionada
| Localização selecionada | Email notificações suportadas |
|---|---|
| Dispositivos | - Não suportado |
| Exchange + Dispositivos | - Suportado para o Exchange - Não suportado para Dispositivos |
| Exchange | - Suportado |
| SharePoint + Dispositivos | - Suportado para o SharePoint - Não suportado para Dispositivos |
| SharePoint | - Suportado |
| Exchange + SharePoint | - Suportado para o Exchange - Suportado para o SharePoint |
| Dispositivos + SharePoint + Exchange | - Não suportado para Dispositivos - Suportado para o SharePoint Suportado para o Exchange |
| Teams | - Não suportado |
| OneDrive | - Suportado para o OneDrive para trabalho ou escola - Não suportado para Dispositivos |
| Recursos de Infraestrutura e Power-BI | - Não suportado |
| Instâncias | - Não suportado |
| Repositórios locais | - Não suportado |
| Exchange + SharePoint + OneDrive | - Suportado para o Exchange – Suportado para o SharePoint – Suportado para o OneDrive |
Também pode dar às pessoas a opção de substituir a política, para que não sejam bloqueadas se tiverem uma necessidade comercial válida ou se a política estiver a detetar um falso positivo.
As notificações de utilizador e as opções de configuração de sugestões de política variam consoante as localizações de monitorização que selecionou. Se tiver selecionado:
- Exchange
- SharePoint
- OneDrive
- Chat e Canal do Teams
- Instâncias
Pode ativar/desativar notificações de utilizador para várias aplicações Da Microsoft. Veja Referência de sugestões de políticas de Prevenção de Perda de Dados.
Também pode ativar/desativar notificações com uma sugestão de política.
- notificações por email ao utilizador que enviou, partilhou ou modificou o conteúdo pela última vez OU
- notificar pessoas específicas
Além disso, pode personalizar o texto do e-mail, o assunto e o texto da sugestão de política.
Para obter informações detalhadas sobre a personalização de e-mails de notificação do utilizador final, veja Custom notificações por email (Notificações por email Personalizadas).
Se tiver selecionado Dispositivos apenas, obterá todas as mesmas opções disponíveis para o Exchange, SharePoint, OneDrive, Chat e Canal do Teams e Instâncias, bem como a opção para personalizar o título e o conteúdo de notificação apresentados no dispositivo Windows 10/11.
Pode personalizar o título e o corpo do texto com os seguintes parâmetros.
| Nome comum | Parâmetro | Exemplo |
|---|---|---|
| nome do arquivo | %%FileName%% | Documento 1 da Contoso |
| nome do processo | %%ProcessName%% | Word |
| nome da política | %%PolicyName%% | Contoso altamente confidencial |
| ação | %%AppliedActions%% | colar conteúdo do documento da área de transferência para outra aplicação |
Pop-ups de limites de carateres de mensagens personalizadas
As notificações do utilizador estão sujeitas aos seguintes limites de carateres:
| Variável | Limite de Carateres |
|---|---|
DLP_MAX-SIZE-TITLE |
120 |
DLP_MAX-SIZE-CONTENT |
250 |
DLP_MAX-SIZE-JUSTIFICATION |
250 |
%%AppliedActions%% substitui estes valores pelo corpo da mensagem:
| nome comum da ação | valor substituído no para o parâmetro %%AppliedActions%% |
|---|---|
| copiar para armazenamento removevel | escrever no armazenamento amovível |
| copiar para a partilha de rede | escrever numa partilha de rede |
| imprimir | impressão |
| colar a partir da área de transferência | colar a partir da área de transferência |
| copiar através de bluetooth | transferir através de Bluetooth |
| abrir com uma aplicação não permitida | abrir com esta aplicação |
| copiar para um ambiente de trabalho remoto (RDP) | transferir para o ambiente de trabalho remoto |
| carregar para um site não permitido | a carregar para este site |
| aceder ao item através de um browser não permitido | abrir com este browser |
Utilizar este texto personalizado
%%AppliedActions%% Nome de ficheiro %%FileName%% via %%ProcessName%% não é permitido pela sua organização. Selecione "Permitir" se quiser ignorar a política %%PolicyName%%
produz este texto na notificação personalizada:
Colar a partir da área de transferência Nome do Ficheiro: a Contoso doc 1 via WINWORD.EXE não é permitida pela sua organização. Selecione o botão "Permitir" se pretender ignorar a política altamente confidencial da Contoso
Pode localizar as sugestões de política personalizadas com o cmdlet Set-DlpComplianceRule -NotifyPolicyTipCustomTextTranslations.
Observação
As notificações de utilizador e as sugestões de política não estão disponíveis para a Localização no local
Apenas a dica de política da prioridade mais alta e restritiva será exibida. Por exemplo, uma dica de política de uma regra que bloqueia o acesso ao conteúdo será mostrada em detrimento de uma dica de política de uma regra que simplesmente envia uma notificação. Isso impede que as pessoas vejam uma cascata de dicas de política.
Para saber mais sobre a configuração e utilização da sugestão de política e notificação do utilizador, incluindo como personalizar o texto da notificação e da sugestão, consulte Enviar notificações por email e mostrar sugestões de políticas para políticas DLP.
Referências de sugestões de política
Pode encontrar detalhes sobre o suporte para sugestões de políticas e notificações para diferentes aplicações aqui:
- Referência de dicas da política de prevenção contra perda de dados do Outlook para Microsoft 365
- Referência de dicas da política de prevenção contra perda de dados do Outlook na Web
- Sugestão de política de prevenção de perda de dados: referência do SharePoint no Microsoft 365 e no OneDrive. cliente Web
Bloqueio e notificações no SharePoint no Microsoft 365 e no OneDrive
A tabela seguinte mostra o comportamento de bloqueio e notificação de DLP para políticas que estão confinadas ao SharePoint no Microsoft 365 e no OneDrive. Tenha em atenção que esta não se destina a ser uma lista exaustiva e que existem definições adicionais que não estão no âmbito deste artigo.
Observação
O comportamento de notificação descrito nesta tabela pode exigir a ativação das seguintes definições:
Notificações do utilizador:
- Ativado
- Notificar os utilizadores no serviço Office 365 com uma sugestão de política
- Notificar o utilizador que enviou, partilhou ou modificou o conteúdo pela última vez
Relatórios de incidentes:
- Enviar um alerta aos administradores quando ocorrer uma correspondência de regra
- Enviar alerta sempre que uma atividade corresponder à regra é selecionada
- Utilizar relatórios de incidentes de e-mail para notificá-lo quando ocorre uma correspondência de política
| Condições | Restringir definição de acesso | Comportamento de bloqueio e notificação |
|---|---|---|
| - O conteúdo é partilhado a partir do Microsoft 365**- com pessoas fora da minha organização | Não configurado | As notificações de utilizador, os alertas e os relatórios de incidentes só serão enviados quando um ficheiro é partilhado com um utilizador externo e um utilizador externo acede ao ficheiro |
| - O conteúdo é partilhado a partir do Microsoft 365**- apenas com pessoas dentro da minha organização | Não configurado | As notificações do utilizador, os alertas e os relatórios de incidentes são enviados quando um ficheiro é carregado |
| - O conteúdo é partilhado a partir do Microsoft 365**- apenas com pessoas dentro da minha organização |
-
Restringir o acesso ou encriptar o conteúdo em localizações do Microsoft 365 - Impedir que os utilizadores recebam e-mails ou acedam a ficheiros partilhados do SharePoint, do OneDrive e do Teams - Bloquear todas as pessoas |
- O acesso a ficheiros confidenciais é bloqueado assim que são carregados. - As notificações do utilizador, os alertas e os relatórios de incidentes são enviados quando um ficheiro é carregado |
| - O conteúdo é partilhado a partir do Microsoft 365 - com pessoas fora da minha organização |
-
Restringir o acesso ou encriptar o conteúdo em localizações do Microsoft 365 - Impedir que os utilizadores recebam e-mails ou acedam a ficheiros partilhados do SharePoint, do OneDrive e do Teams - Bloquear apenas pessoas fora da sua organização |
- O acesso a um ficheiro confidencial é bloqueado assim que for carregado, independentemente de o documento ser partilhado ou não para todos os utilizadores externos. - Se as informações confidenciais forem adicionadas a um ficheiro depois de serem partilhadas e acedidas por um utilizador fora da organização, serão enviados alertas e relatórios de incidentes. - Se o documento contiver informações confidenciais antes de ser carregado, a partilha externa será bloqueada proativamente. Uma vez que a partilha externa neste cenário é bloqueada quando o ficheiro é carregado, não são enviados alertas ou relatórios de incidentes. A supressão dos alertas e dos relatórios de incidentes foi concebida para evitar uma inundação de alertas ao utilizador para cada ficheiro bloqueado. - O bloqueio proativo será apresentado como evento no Registo de Auditoria e no Explorer de Atividades. |
| - O conteúdo é partilhado a partir do Microsoft 365 - com pessoas fora da minha organização |
-
Restringir o acesso ou encriptar o conteúdo em localizações do Microsoft 365 - Impedir que os utilizadores recebam e-mails ou acedam a ficheiros partilhados do SharePoint, do OneDrive e do Teams - Bloquear todas as pessoas |
- Quando o primeiro utilizador fora da organização aceder ao documento, o evento fará com que o documento seja bloqueado. - Espera-se que, durante um curto período de tempo, o documento seja acessível por utilizadores externos que tenham a ligação para o ficheiro. - As notificações do utilizador, os alertas e os relatórios de incidentes são enviados quando um ficheiro é partilhado com um utilizador externo e um utilizador externo acede a esse ficheiro |
| - O conteúdo é partilhado a partir do Microsoft 365 |
-
Restringir o acesso ou encriptar o conteúdo em localizações do Microsoft 365 - Bloquear apenas as pessoas a quem foi concedido acesso ao conteúdo através da opção "Qualquer pessoa com a ligação" |
As notificações do utilizador, os alertas e os relatórios de incidentes são enviados quando um ficheiro é carregado |
Saiba mais sobre o URL
Os utilizadores podem querer saber por que motivo a atividade está a ser bloqueada. Pode configurar um site ou uma página que explique mais sobre as suas políticas. Quando seleciona Fornecer um URL de conformidade para o utilizador final para saber mais sobre as políticas da sua organização (apenas disponível para o Exchange) e o utilizador recebe uma notificação de sugestão de política no Outlook Win32, a ligação Saiba mais irá apontar para o URL do site que fornecer. Este URL tem prioridade sobre o URL de conformidade global configurado com Set-PolicyConfig -ComplainceURL.
Importante
Tem de configurar o site ou página para o qual Saiba mais aponta do zero. O Microsoft Purview não fornece esta funcionalidade desativada.
Substituições do usuário
A intenção das Substituições de utilizadores é dar aos utilizadores uma forma de ignorar, com justificação, a política DLP a bloquear ações em itens confidenciais no Exchange, SharePoint, OneDrive ou Teams, para que possam continuar o seu trabalho. As substituições de utilizador só são ativadas quando a opção Notificar utilizadores nos serviços Office 365 com uma sugestão de política está ativada, pelo que as substituições de utilizadores são úteis com notificações e sugestões de política.
Observação
As substituições de utilizador não estão disponíveis para a localização dos repositórios no local.
Normalmente, as substituições de utilizadores são úteis quando a sua organização está a implementar uma política pela primeira vez. O feedback que obtém de quaisquer justificações de substituição e identificação de falsos positivos ajuda a otimizar a política.
- Se as dicas de política na regra mais restritiva permitir que as pessoas substituam a regra, substituir essa regra também substitui quaisquer outras regras que o conteúdo correspondeu.
Cabeçalho X de justificação comercial
Quando um utilizador substitui um bloco com a ação de substituição num e-mail, a opção de substituição e o texto fornecido são armazenados no Registo de auditoria e no cabeçalho X do e-mail. Para ver as substituições de justificação comercial, procure no registoExceptionInfo de auditoria o valor dos detalhes. Eis um exemplo dos valores do registo de auditoria:
{
"FalsePositive"; false,
"Justification"; My manager approved sharing of this content",
"Reason"; "Override",
"Rules": [
"<message guid>"
]
}
Se tiver um processo automatizado que utiliza os valores de justificação comercial, o processo pode aceder a essas informações programaticamente nos dados de cabeçalho X de e-mail.
Observação
Os msip_justification valores são armazenados pela seguinte ordem:
False Positive; Recipient Entitled; Manager Approved; I Acknowledge; JustificationText_[free text].
Repare que os valores são separados por ponto e vírgula. O texto livre máximo permitido é de 500 carateres.
Relatórios de incidentes
Quando uma regra é correspondida, pode enviar um e-mail de Alerta ao seu responsável pela conformidade (ou a qualquer pessoa que escolha) com detalhes do evento e pode vê-los no Prevenção Contra Perda de Dados do Microsoft Purview Alertas dashboard e no portal do Microsoft 365 Defender. Um alerta inclui informações sobre o item que foi correspondido, o conteúdo real que correspondeu à regra e o nome da pessoa que modificou o conteúdo pela última vez.
Em pré-visualizar, os e-mails de alerta de administrador incluem detalhes como:
- A gravidade do alerta
- A hora em que o alerta ocorreu
- A atividade.
- Os dados confidenciais que foram detetados.
- O alias do utilizador cuja atividade acionou o alerta.
- A política que foi correspondida.
- O ID do alerta
- A operação de ponto final que foi tentada se a localização dispositivos estiver no âmbito da política.
- A aplicação que estava a ser utilizada.
- O nome do dispositivo, se a correspondência tiver ocorrido num dispositivo de ponto final.
O DLP fornece informações sobre incidentes a outros serviços Proteção de Informações do Microsoft Purview, como a gestão de riscos internos. Para obter informações sobre incidentes para a gestão de riscos internos, tem de definir o nível de gravidade dos Relatórios de incidentes como Elevado.
Tipos de alerta
Os alertas podem ser enviados sempre que uma atividade corresponde a uma regra, que pode ser ruidosa ou pode ser agregada com base no número de correspondências ou volume de itens durante um determinado período de tempo. Existem dois tipos de alertas que podem ser configurados em políticas DLP.
Os alertas de evento único são normalmente utilizados em políticas que monitorizam eventos altamente confidenciais que ocorrem num volume baixo, como um único e-mail com 10 ou mais card números de crédito ao cliente enviados fora da sua organização.
Normalmente, os alertas de eventos agregados são utilizados em políticas que monitorizam eventos que ocorrem num volume mais elevado ao longo de um período de tempo. Por exemplo, um alerta agregado pode ser acionado quando 10 e-mails individuais com um número de card de crédito ao cliente são enviados para fora da sua organização durante mais de 48 horas.
Outras opções de alerta
Quando seleciona Utilizar relatórios de incidentes de e-mail para notificá-lo quando ocorre uma correspondência de política, pode optar por incluir:
- O nome da pessoa que modificou o conteúdo pela última vez.
- Os tipos de conteúdo confidencial que correspondem à regra.
- O nível de gravidade da regra.
- O conteúdo que corresponde à regra, incluindo o texto adjacente.
- O item que contém o conteúdo que corresponde à regra.
Para obter mais informações sobre alertas, consulte:
- Alertas em políticas DLP: descreve alertas no contexto de uma política DLP.
- Introdução aos alertas de prevenção de perda de dados: abrange os detalhes necessários de liscensing, permissões e pré-requisitos para alertas DLP e detalhes de referência de alertas.
- Criar e implementar políticas de prevenção de perda de dados: inclui orientações sobre a configuração de alertas no contexto da criação de uma política DLP.
- Saiba mais sobre como investigar alertas de prevenção de perda de dados: aborda os vários métodos para investigar alertas DLP.
- Investigar incidentes de perda de dados com Microsoft Defender XDR: Como investigar alertas DLP no portal do Microsoft Defender.
Recolha de provas para atividades de ficheiros em dispositivos
Se ativou a Recolha de provas de Configuração para atividades de ficheiros em dispositivos e adicionou contas de armazenamento do Azure, pode selecionar Recolher ficheiro original como prova de todas as atividades de ficheiro selecionadas no Ponto Final e na conta de armazenamento do Azure para a qual pretende copiar os itens. Também tem de escolher as atividades para as quais pretende copiar itens. Por exemplo, se selecionar Imprimir , mas não Copiar para uma partilha de rede, apenas os itens impressos a partir de dispositivos monitorizados serão copiados para a conta de armazenamento do Azure.
Opções adicionais
Se tiver múltiplas regras numa política, pode utilizar as Opções adicionais para controlar o processamento de regras adicionais se existir uma correspondência com a regra que está a editar, bem como definir a prioridade para avaliação da regra.