Série de soluções de Deteção de Dados Eletrónicos: cenário de transposição de dados – Pesquisa e remoção

Dica

A Deteção de Dados Eletrónicos (pré-visualização) está agora disponível no novo portal do Microsoft Purview. Para saber mais sobre como utilizar a nova experiência de Deteção de Dados Eletrónicos, veja Saiba mais sobre a Deteção de Dados Eletrónicos (pré-visualização).

O que é o derrame de dados e por que motivo se deve importar? O vazamento de dados é quando um documento confidencial é liberado em um ambiente não confiável. Quando é detetado um incidente de transposição de dados, é importante avaliar rapidamente o tamanho e as localizações do derrame, examinar as atividades dos utilizadores à sua volta e, em seguida, remover permanentemente os dados derramados do sistema.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Cenário de transposição de dados

É um responsável pela segurança de informações na Contoso. É informado de uma situação de transposição de dados em que um funcionário partilhou, sem saber, um documento altamente confidencial com várias pessoas por e-mail. Quer avaliar rapidamente quem recebeu este documento interna e externamente. Depois de identificado, gostaria de partilhar as conclusões dos casos com outros investigadores para analisar e, em seguida, remover permanentemente os dados de Office 365. Após a conclusão da investigação, é recomendável gerar um relatório com a evidência da remoção permanente e outros detalhes do caso para qualquer referência futura.

Âmbito deste artigo

Este documento fornece uma lista de instruções sobre como remover permanentemente uma mensagem do Microsoft 365 para que não seja acessível ou recuperável. Para eliminar uma mensagem e torná-la recuperável até que o período de retenção do item eliminado expire, consulte Procurar e eliminar mensagens de e-mail na sua organização.

Fluxo de trabalho para gerir incidentes de transposição de dados

Eis como gerir um incidente de transposição de dados:

Passo 1: gerir quem pode aceder ao caso e definir limites de conformidade (Opcional)
Passo 2: Criar um caso de Deteção de Dados Eletrónicos
Passo 3: procurar os dados transbordos
Passo 4: Rever e validar os resultados dos casos
Passo 5: Utilizar o registo de rastreio de mensagens para marcar como os dados transbordos foram partilhados
Passo 6: Preparar as caixas de correio
Passo 7: eliminar permanentemente os dados transbordos
Passo 8: Verificar, fornecer uma prova de eliminação e auditoria

Coisas a saber antes de começar

• O fluxo de trabalho de transposição de dados descrito neste artigo não elimina mensagens de chat no Microsoft Teams. Para procurar e eliminar mensagens de chat do Teams, consulte Procurar e remover mensagens de chat no Teams.
• Quando uma caixa de correio está em espera, uma mensagem eliminada permanece na pasta Itens Recuperáveis até que o período de retenção expire ou a suspensão seja libertada. O passo 6 descreve como remover a suspensão das caixas de correio. Contacte os departamentos legais ou de gestão de registos antes de remover a suspensão. A sua organização pode ter uma política que define se uma caixa de correio em suspensão ou um incidente de derrame de dados tem prioridade.
• Para controlar as caixas de correio de utilizadores que um investigador de transposição de dados pode pesquisar e gerir quem pode aceder ao caso, pode configurar limites de conformidade e criar um grupo de funções personalizado, descrito no Passo 1. Para tal, tem de ser membro do grupo de funções Gestão da Organização ou ser-lhe atribuída a função de gestão de funções. Se o utilizador ou um administrador na sua organização já tiver definido limites de conformidade, pode ignorar o Passo 1.
• Para criar um caso, tem de ser membro do grupo de funções Gestor de Deteção de Dados Eletrónicos ou ser membro de um grupo de funções personalizado que tenha atribuída a função gestão de casos. Se não for membro, peça a um administrador do Microsoft 365 para o adicionar ao grupo de funções do gestor de Deteção de Dados Eletrónicos.
• Para criar e executar uma pesquisa de conteúdo, você precisa ser membro do grupo de funções Gerente de Descoberta Eletrônica ou receber a função de gerenciamento de Pesquisa de Conformidade. Para excluir mensagens, você precisa ser membro do grupo de funções Gerenciamento da Organização ou receber a função de gerenciamento Pesquisa e Limpar. Para obter informações sobre como adicionar usuários a um grupo de função, confira Atribuir permissões de Descoberta Eletrônica.
• Para pesquisar as atividades de Deteção de Dados Eletrónicos do registo de auditoria no Passo 8, a auditoria tem de estar ativada para a sua organização. Pode procurar atividades realizadas nos últimos 90 dias. Para saber mais sobre como ativar e utilizar a auditoria, veja a secção Auditar o processo de investigação de transposição de dados no Passo 8.

(Opcional) Passo 1: gerir quem pode aceder ao caso e definir limites de conformidade

Consoante a sua prática organizacional, tem de controlar quem pode aceder ao caso de Deteção de Dados Eletrónicos utilizado para investigar um incidente de transposição de dados e configurar limites de conformidade. A forma mais fácil de o fazer é adicionar investigadores como membros de um grupo de funções existente no portal de conformidade do Microsoft Purview e, em seguida, adicionar o grupo de funções como membro do caso de Deteção de Dados Eletrónicos. Para obter informações sobre os grupos de função de Descoberta Eletrônica internos e como adicionar membros a um caso de Descoberta Eletrônica, confira Atribuir permissões de Descoberta Eletrônica.

Você também pode criar um novo grupo de função que se alinhe às suas necessidades organizacionais. Por exemplo, poderá querer que um grupo de investigadores de transposição de dados na organização aceda e colabore em todos os casos de transposição de dados. Pode fazê-lo ao criar um grupo de funções "Investigador de Transposição de Dados", atribuir as funções adequadas (Exportar, Desencriptar RMS, Rever, Pré-visualização, Pesquisa de Conformidade e Gestão de Casos), adicionar os investigadores de transposição de dados ao grupo de funções e, em seguida, adicionar o grupo de funções como membro do caso de Deteção de Dados Eletrónicos de Transposição de Dados. Veja Configurar limites de conformidade para investigações de Deteção de Dados Eletrónicos no Office 365 para obter instruções detalhadas sobre como fazê-lo.

Passo 2: Criar um caso de Deteção de Dados Eletrónicos

Um caso de Descoberta Eletrônica fornece uma maneira eficaz de gerenciar sua investigação de vazamento de dados. Pode adicionar membros ao grupo de funções que criou no Passo 1, adicionar o grupo de funções como membro de um novo caso de Deteção de Dados Eletrónicos, efetuar pesquisas iterativas para localizar os dados transbordos, exportar um relatório para partilhar, controlar a status do caso e, em seguida, consultar novamente os detalhes do caso, se necessário. Considere estabelecer uma convenção de nomenclatura para casos de Deteção de Dados Eletrónicos utilizados para incidentes de transposição de dados e forneça o máximo de informações possível no nome e descrição do caso para que possa localizar e consultar no futuro, se necessário.

Para criar um novo caso, pode utilizar a Deteção de Dados Eletrónicos no portal de conformidade do Microsoft Purview. Veja "Criar um novo caso" em Introdução à Deteção de Dados Eletrónicos (Standard).

Passo 3: procurar os dados transbordos

Agora que criou um caso e acesso gerido, pode utilizar o caso para procurar iterativamente os dados transbordos e identificar as caixas de correio que contêm os dados transbordos. Irá utilizar a mesma consulta de pesquisa que utilizou para localizar as mensagens de e-mail para eliminar essas mesmas mensagens no Passo 7.

Para criar uma pesquisa de conteúdos associada a um caso de Deteção de Dados Eletrónicos, veja Procurar conteúdo num caso de Deteção de Dados Eletrónicos (Standard).

Importante

As palavras-chave que você usa na consulta de pesquisa podem conter os dados vazados reais que está procurando. Por exemplo, se procurar documentos que contenham um número de segurança social e o utilizar como palavra-chave de pesquisa, terá de eliminar a consulta posteriormente para evitar mais derrames. Consulte Eliminar a consulta de pesquisa no Passo 8.

Passo 4: Rever e validar os resultados dos casos

Depois de criar uma pesquisa de conteúdos, tem de rever e validar os resultados da pesquisa e verificar se consistem apenas nas mensagens de e-mail que têm de ser eliminadas. Em uma pesquisa de conteúdo, você pode visualizar uma amostragem aleatória de 1.000 emails sem exportar os resultados da pesquisa para evitar mais vazamento de dados. Pode ler mais sobre as limitações de pré-visualização em Limites da Pesquisa de Conteúdos.

Se tiver mais de 1000 caixas de correio ou mais de 100 mensagens de e-mail por caixa de correio para rever, pode dividir a pesquisa inicial em múltiplas pesquisas ao utilizar palavras-chave ou condições adicionais, como intervalo de datas ou remetente/destinatário, e rever os resultados de cada pesquisa individualmente. Certifique-se de que anota todas as consultas de pesquisa a utilizar ao eliminar mensagens no Passo 7.

Quando você encontrar um email que contenha dados vazados, verifique os destinatários do email para determinar se ele foi compartilhado externamente. Para rastrear ainda mais uma mensagem, pode recolher informações do remetente e intervalos de datas para poder utilizar os registos de rastreio de mensagens. Este processo é descrito no Passo 5.

Depois de verificar os resultados da pesquisa, convém compartilhar suas descobertas com outras pessoas para uma revisão secundária. As pessoas que você atribuiu ao caso na Etapa 1 podem examinar seu conteúdo na Descoberta Eletrônica e na Descoberta Eletrônica do Microsoft Purview (Premium) e aprovar as conclusões desse caso. Você também pode gerar um relatório sem exportar o conteúdo real. Também pode utilizar este mesmo relatório como uma prova de eliminação, que é descrita no Passo 8.

Para gerar um relatório estatístico:

1. Aceda à página Pesquisa no caso de Deteção de Dados Eletrónicos e selecione a pesquisa para a qual pretende gerar um relatório.

2. Na página de lista de opções, selecione Mais > Exportar relatório.

   A página Exportar relatório é apresentada.

   

3. Selecione Todos os itens, incluindo os que têm formato não reconhecido, são encriptados ou não foram indexados por outros motivos e, em seguida, selecione Gerar relatório.

4. No caso de Deteção de Dados Eletrónicos, selecione Exportar para apresentar a lista de tarefas de exportação. Poderá ter de selecionar Atualizar para atualizar a lista para apresentar a tarefa de exportação que criou.

5. Selecione a tarefa de exportação e, em seguida, selecione Transferir relatório na página de lista de opções.

   

O relatório Resumo da Exportação contém o número de localizações encontradas com resultados e o tamanho dos resultados da pesquisa. Pode utilizá-lo para comparar com o relatório gerado após a eliminação e fornecer como prova de eliminação. O relatório Resultados contém um resumo mais detalhado dos resultados da pesquisa, incluindo o assunto, remetente, destinatários, se o e-mail foi lido, datas e tamanho de cada mensagem. Se algum dos detalhes neste relatório contiver esses dados transbordos reais, certifique-se de que elimina permanentemente o ficheiro de Results.csv quando a investigação estiver concluída.

Para obter mais informações sobre a exportação de relatórios, veja Exportar um relatório de Pesquisa de Conteúdos.

Passo 5: Utilizar o registo de rastreio de mensagens para marcar como os dados transbordos foram partilhados

Para investigar se o e-mail com dados transbordos foi partilhado, opcionalmente, pode consultar os registos de rastreio de mensagens com as informações do remetente e as informações do intervalo de datas que recolheu no Passo 4. O período de retenção do rastreamento de mensagem é de 30 dias para dados em tempo real e 90 dias para dados históricos.

Pode utilizar o Rastreio de mensagens na portal de conformidade do Microsoft Purview ou utilizar os cmdlets correspondentes no Exchange Online PowerShell. É importante observar que o rastreamento de mensagens não oferece garantias completas sobre a integridade dos dados retornados. Para obter mais informações sobre como utilizar o Rastreio de mensagens, consulte:

• Rastreamento de mensagens no Centro de Conformidade e Segurança
• Novo Rastreio de Mensagens no Centro de Conformidade do & de Segurança

Passo 6: Preparar as caixas de correio

Depois de rever e validar que os resultados da pesquisa contêm apenas as mensagens que têm de ser eliminadas, tem de recolher uma lista dos endereços de e-mail das caixas de correio afetadas a utilizar no Passo 7 quando eliminar os dados transbordos. Também poderá ter de preparar as caixas de correio antes de poder eliminar permanentemente as mensagens de e-mail, dependendo se a recuperação de itens únicos está ativada nas caixas de correio que contêm os dados transbordos ou se alguma dessas caixas de correio está em espera.

Obter uma lista de endereços de caixas de correio com dados transbordos

Observação

Durante um período de tempo limitado, esta experiência de Deteção de Dados Eletrónicos clássica também está disponível no novo portal do Microsoft Purview. Ative a experiência de Deteção de Dados Eletrónicos clássica do Portal de Conformidade nas definições da experiência de Deteção de Dados Eletrónicos (pré-visualização) para apresentar a experiência clássica no novo portal do Microsoft Purview.

Existem duas formas de recolher uma lista de endereços de e-mail de caixas de correio com dados transbordos.

Opção 1: Obter uma lista de endereços de caixas de correio com dados transbordos

1. Abra o caso de Deteção de Dados Eletrónicos, aceda à página Procurar e selecione a pesquisa de conteúdo adequada.

2. Na página de lista de opções, selecione Ver resultados.

3. Na lista pendente Resultados individuais , selecione Estatísticas de pesquisa.

4. Na lista pendente Tipo , selecione Localizações principais.

   

   É apresentada uma lista de caixas de correio que contêm resultados de pesquisa. O número de itens em cada caixa de correio que correspondem à consulta de pesquisa também é apresentado.

5. Copie as informações na lista e guarde-as num ficheiro ou selecione Transferir para transferir as informações para um ficheiro CSV.

Opção 2: Obter localizações da caixa de correio a partir do relatório de exportação

Abra o relatório Exportar Resumo que transferiu no Passo 4. Na primeira coluna do relatório, o endereço de e-mail de cada caixa de correio é listado em Localizações.

Preparar as caixas de correio para que possa eliminar os dados transbordos

Se a recuperação de itens únicos estiver ativada ou se uma caixa de correio for colocada em espera, uma mensagem eliminada permanentemente (removida) será mantida na pasta Itens Recuperáveis. Assim, antes de poder remover os dados transbordos, tem de marcar as configurações da caixa de correio existente e desativar a recuperação de itens únicos e remover qualquer política de retenção ou retenção. Tenha em atenção que pode preparar uma caixa de correio de cada vez e, em seguida, executar o mesmo comando em caixas de correio diferentes ou criar um script do PowerShell para preparar múltiplas caixas de correio ao mesmo tempo.

• Consulte "Passo 1: Recolher informações sobre a caixa de correio" em Eliminar itens na pasta Itens Recuperáveis de caixas de correio baseadas na nuvem em espera para obter instruções sobre como marcar se a recuperação de itens únicos está ativada ou se a caixa de correio está em espera ou está atribuída a uma política de retenção.
• Consulte "Passo 2: Preparar a caixa de correio" em Eliminar itens na pasta Itens Recuperáveis de caixas de correio baseadas na nuvem em espera para obter instruções sobre como desativar a recuperação de itens únicos.
• Consulte "Passo 3: Remover todas as retenções da caixa de correio" em Eliminar itens na pasta Itens Recuperáveis de caixas de correio baseadas na nuvem em espera para obter instruções sobre como remover uma política de retenção ou retenção de uma caixa de correio.
• Consulte "Passo 4: Remover a suspensão de atraso da caixa de correio" em Eliminar itens na pasta Itens Recuperáveis de caixas de correio baseadas na nuvem em espera para obter instruções sobre como remover a suspensão de atraso que é colocada na caixa de correio depois de qualquer tipo de suspensão ser removido.

Importante

Contacte os departamentos legais ou de gestão de registos antes de remover uma política de retenção ou retenção. A sua organização pode ter uma política que define se uma caixa de correio em suspensão ou um incidente de derrame de dados tem prioridade.

Certifique-se de que reverter a caixa de correio para configurações anteriores depois de verificar se os dados transbordos foram eliminados permanentemente. Veja os detalhes no Passo 7.

Passo 7: eliminar permanentemente os dados transbordos

Ao utilizar as localizações da caixa de correio que recolheu e preparou no Passo 6 e a consulta de pesquisa que foi criada e refinada no Passo 3 para localizar mensagens de e-mail que contêm os dados transbordos, pode agora eliminar permanentemente os dados transbordos. Conforme explicado anteriormente, para eliminar mensagens, tem de ser membro do grupo de funções Gestão da Organização ou ser-lhe atribuída a função de gestão Procurar e Remover. Para obter informações sobre como adicionar usuários a um grupo de função, confira Atribuir permissões de Descoberta Eletrônica.

Para eliminar as mensagens transbordas, consulte Procurar e eliminar mensagens de e-mail.

Tenha em atenção os seguintes limites ao eliminar dados transbordos:

• O número máximo de caixas de correio numa pesquisa que pode utilizar para eliminar itens ao efetuar uma ação de pesquisa e remoção é de 50 000. Se a pesquisa que criar no Passo 3 procurar mais de 50 000 caixas de correio, a ação de remoção falhará. Pesquisar mais de 50.000 caixas de correio em uma única pesquisa pode normalmente acontecer quando você configura a pesquisa para incluir todas as caixas de correio em sua organização. Essa restrição ainda se aplica mesmo quando menos de 50.000 caixas de correio contiverem itens que correspondam à consulta de pesquisa.

• Só é possível remover no máximo dez itens de cada vez por caixa de correio. Como o recurso de pesquisa e remoção de mensagens tem como objetivo ser uma ferramenta de resposta a incidentes, esse limite ajuda a garantir que as mensagens sejam rapidamente removidas das caixas de correio. Este recurso não tem como objetivo limpar as caixas de correio do usuário.

Importante

Os itens de email em um conjunto de revisão em um caso de Descoberta Eletrônica (Premium) não podem ser excluídos usando os procedimentos neste artigo. Isto acontece porque os itens num conjunto de revisão são cópias de itens no serviço dinâmico que são copiados e armazenados numa localização do Armazenamento do Azure. Isto significa que não serão devolvidas por uma pesquisa de conteúdos que criar no Passo 3. Para excluir itens em um conjunto de revisão, você precisa excluir o caso de Descoberta Eletrônica (Premium) que contém o conjunto de revisão. Para obter mais informações, consulte Fechar ou excluir um caso de Descoberta Eletrônica (Premium).

Passo 8: Verificar, fornecer uma prova de eliminação e auditoria

O passo final no fluxo de trabalho para gerir um incidente de transposição de dados é verificar se os dados transbordos foram removidos permanentemente da caixa de correio ao aceder ao caso de Deteção de Dados Eletrónicos e voltar a executar a mesma consulta de pesquisa que foi utilizada para eliminar esses dados para confirmar que não são devolvidos resultados. Depois de confirmar que os dados vazados foram removidos permanentemente, exporte um relatório e inclua-o (juntamente com o relatório original) como uma prova de exclusão. Em seguida, pode fechar o caso que lhe permitirá abri-lo novamente se tiver de o consultar no futuro. Além disso, também pode reverter caixas de correio para o estado anterior, eliminar a consulta de pesquisa utilizada para localizar os dados transbordos e procurar registos de auditoria de tarefas executadas ao gerir o incidente de transposição de dados.

Reverter as caixas de correio para o estado anterior

Se alterou qualquer configuração da caixa de correio no Passo 6 para preparar as caixas de correio antes de os dados transbordos terem sido eliminados, terá de reverter-las para o estado anterior. Consulte "Passo 6: Reverter a caixa de correio para o estado anterior" em Eliminar itens na pasta Itens Recuperáveis de caixas de correio baseadas na nuvem em suspensão.

Eliminar a consulta de pesquisa

Se as palavras-chave na consulta de pesquisa que criou e utilizou no Passo 3 contiverem alguns dos dados transbordos reais, deve eliminar a consulta de pesquisa para evitar mais transposição de dados.

Observação

Durante um período de tempo limitado, esta experiência de Deteção de Dados Eletrónicos clássica também está disponível no novo portal do Microsoft Purview. Ative a experiência de Deteção de Dados Eletrónicos clássica do Portal de Conformidade nas definições da experiência de Deteção de Dados Eletrónicos (pré-visualização) para apresentar a experiência clássica no novo portal do Microsoft Purview.

1. Na portal de conformidade do Microsoft Purview, abra o caso de Deteção de Dados Eletrónicos, aceda à página Procurar e selecione a pesquisa de conteúdo adequada.

2. Na página de lista de opções, selecione Eliminar.

   

Auditar o processo de investigação de transposição de dados

Pode procurar no registo de auditoria as atividades de Deteção de Dados Eletrónicos que foram realizadas durante a investigação. Também pode procurar no registo de auditoria para devolver os registos de auditoria do comando New-ComplianceSearchAction -Purge que executou no Passo 7 para eliminar os dados transbordos. Para saber mais, confira:

• Pesquisas o log de auditoria
• Procurar atividades de Descoberta Eletrônica no log de auditoria