Compartilhar via


Saiba mais sobre a coleta de evidências para atividades de arquivos em dispositivos

Quando estiver a investigar um incidente de Prevenção Contra Perda de Dados do Microsoft Purview (DLP) ou a resolver problemas de uma política DLP, pode ser útil ter uma cópia completa do item que corresponda à política a que se refere. O DLP pode copiar o item que corresponde a uma política DLP de dispositivos Windows integrados para uma conta de armazenamento do Azure. Os investigadores e administradores de incidentes DLP aos quais foram concedidas as permissões adequadas no blob de armazenamento do Azure podem aceder aos ficheiros.

Para começar a configurar e utilizar a funcionalidade, veja Introdução à recolha de ficheiros que correspondem a políticas de prevenção de perda de dados a partir de dispositivos.

Dica

Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.

Se não estiver familiarizado com o DLP do Microsoft Purview, eis uma lista dos artigos principais de que precisa à medida que implementa o DLP:

  1. Unidades administrativas
  2. Saiba mais sobre Prevenção Contra Perda de Dados do Microsoft Purview – este artigo apresenta-lhe a disciplina de prevenção de perda de dados e a implementação do DLP pela Microsoft.
  3. Planear a prevenção de perda de dados (DLP) – ao trabalhar neste artigo, irá:
    1. Identificar intervenientes
    2. Descrever as categorias de informações confidenciais a proteger
    3. Definir objetivos e estratégia
  4. Referência da política de Prevenção de Perda de Dados – este artigo apresenta todos os componentes de uma política DLP e como cada um influencia o comportamento de uma política.
  5. Estruturar uma política DLP – este artigo explica-lhe como criar uma instrução de intenção de política e mapeá-la para uma configuração de política específica.
  6. Criar e Implementar políticas de prevenção de perda de dados – este artigo apresenta alguns cenários de intenções de política comuns que irá mapear para as opções de configuração e, em seguida, orienta-o ao longo da configuração dessas opções.

Onde a recolha de provas para atividades de ficheiros em dispositivos se enquadra no Purview

O DLP de ponto final faz parte da oferta DLP maior e faz parte da maior variedade de serviços oferecidos no Microsoft Purview. Deve compreender como a recolha de provas para atividades de ficheiros nos dispositivos se enquadra no conjunto maior de ofertas de serviços.

Recolha de provas para atividades de ficheiros em dispositivos e Deteção de Dados Eletrónicos

Esta funcionalidade faz cópias de itens que correspondem a políticas DLP em dispositivos Windows integrados e coloca essas cópias numa conta de armazenamento do Azure. Estas cópias não são mantidas num estado sem alterações e não são provas no sentido legal do termo. Se precisar de localizar e guardar itens para fins legais, deve utilizar as soluções de Descoberta Eletrônica do Microsoft Purview. A Descoberta Eletrônica, ou eDiscovery, é o processo de identificar e fornecer informações eletrônicas que podem ser usadas como provas.

Recolha de provas para atividades de ficheiros em dispositivos e resumo contextual

Quando um item e a atividade que um utilizador assume nesse item correspondem às condições definidas numa política DLP, é apresentado um evento DLPRuleMatch no Explorador de atividades. Isto aplica-se a todas as localizações suportadas pelo DLP. O evento DLPRuleMatch contém uma quantidade limitada do texto que rodeia o conteúdo correspondente. Esta quantidade limitada de texto é denominada resumo contextual.

É importante compreender a diferença entre a recolha de provas para atividades de ficheiros em dispositivos e um resumo contextual. A recolha de provas para atividades de ficheiros em dispositivos só está disponível para dispositivos Windows integrados. Guarda uma cópia de todo o item que corresponde a uma política à conta de armazenamento do Azure. É capturado um resumo contextual para cada correspondência de regra de política DLP e contém apenas uma quantidade limitada do texto que rodeia o texto de destino que acionou a correspondência.

Atividades de utilizador abrangidas

Pode configurar a recolha de provas para atividades de ficheiros em dispositivos para guardar uma cópia de um item correspondente na conta de armazenamento do Azure quando um utilizador tenta efetuar uma destas atividades num item correspondente:

  • Copiar para um USB amovível
  • Copiar para a partilha de rede
  • Imprimir
  • Copiar ou mover usando o aplicativo Bluetooth não permitido
  • Copiar ou mover através de RDP
  • Carregar para domínios de serviço cloud ou acesso a partir de um browser não permitido
  • Colar em browsers suportados

A deteção destas atividades está configurada na política DLP. Para obter mais informações sobre como criar uma política DLP, veja Criar e Implementar políticas de prevenção de perda de dados e Utilizar a prevenção de perda de dados do Ponto Final.

Ações abrangidas

Quando ativa a recolha de provas para atividades de ficheiros em dispositivos nas definições DLP de Ponto Final e configura uma política DLP para utilizar esta funcionalidade, guarda uma cópia de um item correspondente para estas ações:

  • Somente Auditoria
  • Bloquear com substituição
  • Bloquear

Estas ações são configuradas na política DLP. Para obter mais informações sobre como criar uma política DLP, veja Criar e Implementar políticas de prevenção de perda de dados e Utilizar a prevenção de perda de dados do Ponto Final.

Considerações de design

Regiões das suas contas de Armazenamento do Azure

Para cumprir os requisitos regulamentares, certifique-se de que as contas de armazenamento do Azure que utiliza estão nos mesmos limites geopolíticos ou regulamentares dos dispositivos dos quais estão a ser copiados. Além disso, tenha em atenção a localização geopolítica dos investigadores do DLP que acederão aos itens confidenciais assim que forem guardados. Considere utilizar Unidades administrativas para definir o âmbito da administração dos utilizadores e dispositivos adequadamente para cada política DLP. Para saber como utilizar a prevenção de perda de dados para cumprir as normas de privacidade dos dados, consulte Implementar a proteção de informações para regulamentos de privacidade de dados com o Microsoft Purview. A recolha de provas para atividades de ficheiros em dispositivos suporta até 10 contas de armazenamento do Azure.

Para saber como utilizar a prevenção de perda de dados para cumprir as normas de privacidade dos dados, consulte Implementar a proteção de informações para regulamentos de privacidade de dados com o Microsoft Purview.

Armazenamento local e largura de banda

Por predefinição, as cópias dos itens correspondentes são guardadas de forma assíncrona na conta de armazenamento do Azure configurada através da ligação de rede existente. Se o dispositivo não tiver conectividade, os itens correspondentes são guardados localmente, até ao limite de 500 MB. Pode guardar itens localmente até 60 dias.

Embora o dispositivo tenha conectividade com o URL da conta de armazenamento do Azure, não existe um limite de utilização da largura de banda. A largura de banda que a recolha de provas das atividades de ficheiros nos dispositivos utiliza não afeta os limites de largura de banda predefinidos ou configurados para a Análise e proteção de classificação avançadas.

Contas de armazenamento do Azure

Os clientes são responsáveis por criar e gerir as suas próprias contas de armazenamento do Azure. Se não estiver familiarizado com o armazenamento do Azure, veja:

Os itens que correspondem a uma política são copiados do dispositivo dos utilizadores para o blob da conta de armazenamento do Azure no contexto de segurança do utilizador com sessão iniciada. Assim, todos os utilizadores no âmbito da política têm de ter permissão de leitura e escrita para o armazenamento de blobs. Para obter mais informações, veja Introdução à recolha de ficheiros que correspondem a políticas de prevenção de perda de dados de dispositivos

Da mesma forma, todos os administradores que estão a rever os itens guardados têm de ter read permissão para o blob da conta de armazenamento do Azure. Para obter mais informações, veja Introdução à recolha de ficheiros que correspondem a políticas de prevenção de perda de dados de dispositivos.

Armazenar provas quando são detetadas informações confidenciais (pré-visualização)

Tipos de arquivo compatíveis

Para obter mais informações sobre os tipos de ficheiro suportados, veja Tipos de ficheiro suportados para armazenar e pré-visualizar provas.

Tipos de armazenamento suportados

Tem duas opções para armazenar as provas que o Purview recolhe quando deteta informações confidenciais nos seus conteúdos. Pode utilizar um arquivo de dados gerido pelo cliente ou um arquivo de dados gerido pela Microsoft (pré-visualização). A opção que deve utilizar depende dos seus requisitos e dos seus casos de utilização. Para o ajudar a decidir, reveja a tabela de comparação que se segue.

Comparação do tipo de armazenamento

Os ficheiros correspondentes continuam a ser incluídos nos resultados do alerta, mesmo depois de alterar o tipo de armazenamento, desde que as permissões de controlo de acesso baseado em funções (RBAC) permaneçam intactas. Uma vez que o armazenamento gerido pelo cliente pertence aos clientes, os administradores de DLP podem continuar a transferir ficheiros diretamente a partir do armazenamento por ficheiro.

A tabela seguinte identifica as diferenças entre o armazenamento gerido pelo cliente e o armazenamento gerido pela Microsoft para recolher provas das informações confidenciais detetadas no seu conteúdo.

Elemento de Funcionalidade Gerido pelo Cliente Microsoft Managed (pré-visualização)
Retenção de ficheiros Pode manter os ficheiros enquanto precisar/quiser. Os ficheiros são retidos durante um máximo de 120 dias.
Definições de ponto final Tem de adicionar armazenamento de blobs (URLs de contentor) nas definições do ponto final e, em seguida, utilizar o centro de administração do Microsoft Entra para configurar permissões de utilizador explícitas no blob para utilizadores no âmbito. Todas as configurações e permissões são processadas com um único clique ao configurar as definições do ponto final.
Configuração de política e localização Tem de adicionar e configurar blobs de armazenamento por política para cada localização onde é aplicada uma política. Não é necessária nenhuma seleção de armazenamento para localizações de política específicas.
Localização/região do arquivo de dados Escolhido pelo cliente A mesma região que o seu inquilino do Microsoft Purview.
Encargos Os custos de armazenamento são cobrados para além do custo da sua subscrição do Entra. O custo de armazenamento atualmente está incluído no E5. No entanto, a Microsoft monitorizará a utilização do armazenamento e poderá cobrar adicionalmente com base na utilização excessiva. Esta ação será comunicada aos clientes separadamente caso haja uma alteração no modelo de negócio.
Configuração da rede Tem de permitir que os URLs de contentor dos blobs de armazenamento passem pela firewall de rede. Tem de incluir compliancedrive.microsoft.com numa lista "permitir", para que possa passar pela firewall de rede.

Alterar tipos de armazenamento

Os clientes podem alternar entre tipos de armazenamento em qualquer altura. No entanto, a melhor prática é planear cuidadosamente o tipo de armazenamento de que irá precisar a longo prazo e selecionar a opção adequada para o seu caso de utilização. Para obter mais informações sobre as diferenças entre os dois tipos de armazenamento, veja a tabela Comparação de tipos de armazenamento.

Observação

Ao mudar de tipos de armazenamento, terá de atualizar as suas políticas para garantir que são aplicadas aos ficheiros no novo arquivo de dados.

Impacto da alteração dos tipos de armazenamento em ficheiros de provas

Os ficheiros correspondentes continuam a ser incluídos nos resultados do alerta, mesmo depois de alterar o tipo de gestão de armazenamento, desde que as permissões de controlo de acesso baseado em funções (RBAC) não sejam alteradas.

Uma vez que é o proprietário da sua solução de armazenamento gerida pelo cliente, os administradores do DLP podem continuar a transferir ficheiros diretamente por ficheiro depois de terem sido movidos para a solução de armazenamento gerida pela Microsoft.

Próxima etapa

O próximo passo é configurar a recolha de provas para atividades de ficheiros em dispositivos.

Para obter mais informações, veja Introdução à recolha de ficheiros que correspondem a políticas de prevenção de perda de dados de dispositivos.