Partilhar via


Proteger por predefinição com o Microsoft Purview e proteger contra a partilha excessiva – Fase 3

Este guia está dividido em quatro fases:

Proteger por predefinição com o Microsoft Purview e proteger contra a partilha em excesso - Blueprint

Nas fases anteriores, expusemos a base de segurança e discutimos os sites prioritários. Abordámos as funcionalidades de etiquetagem automática do lado do cliente e do lado do serviço. Para obter uma tabela de comparação, consulte: Aplicar automaticamente uma etiqueta de confidencialidade no Microsoft 365.

Fase 3: Otimizado – Expandir para todo o seu património de dados do Microsoft 365

Nesta fase, explicamos as opções para ajudar a resolver iterativamente todo o seu património de dados do Microsoft 365.

Antes, recomendamos políticas iniciais para familiarizar os utilizadores. Nesta fase, estamos prontos para utilizá-los progressivamente em cenários. A etiquetagem automática é melhor para cenários em que precisa de uma maior sensibilidade do que a etiqueta predefinida.

Também discutimos como etiquetar retroativamente sites existentes e definir etiquetas de biblioteca predefinidas.

Etiquetar automaticamente ficheiros confidenciais em clientes (limiares baixos)

A etiquetagem automática do lado do cliente permite que os utilizadores decidam aplicar uma etiqueta recomendada ou comunicar um falso positivo. Pode fazê-lo com os mais de 300 Tipos de Informações Confidenciais (SITs) disponíveis e classificadores Treináveis.

A um nível elevado, recomendamos a seguinte abordagem. Os limiares são fornecidos apenas como exemplos.

  • Identifique o SIT relevante para a sua indústria.
  • Recomendar uma etiqueta com limiares SIT mais baixos (1-9).
  • Aplique automaticamente uma etiqueta com limiares mais elevados (10+) e/ou Classificadores treináveis.

A etiqueta predefinida do cliente afeta a sua estratégia de etiquetagem automática. Embora este guia recomende defini-lo como Confidencial\Todos os funcionários, também fornecemos alternativas quando o cliente do Office é predefinido para Geral e, em seguida, para Confidencial\Todos os funcionários quando guardados no SharePoint.

Dica

Se a predefinição estiver definida como Confidencial\Todos os funcionários, a sua estratégia de etiquetagem automática é menos complexa e concentrada em etiquetas Altamente Confidenciais .

Pode implementar progressivamente com mais SITs/classificadores treináveis ao longo do tempo, à medida que identifica mais cenários empresariais. Com as predefinições e a etiquetagem automática do lado do cliente, está agora a abordar todos os conteúdos novos e atualizados.

Simular ficheiros confidenciais de etiquetagem automática inativos

Os ficheiros de etiquetagem automática do lado do serviço estão inativos no SharePoint e no OneDrive e fornecem mais condições. Atualmente, suportamos a etiquetagem automática até 100 mil ficheiros por dia na sua organização.

Dica

Saiba mais sobre a etiquetagem automática com o Manual de Procedimentos – Etiquetagem Automática do Lado do Serviço

Embora a etiquetagem automática do lado do cliente esteja limitada a conteúdo confidencial, a etiquetagem automática do lado do serviço adiciona suporte para condições contextuais, tais como:

  • O conteúdo é partilhado
  • A extensão de ficheiro é
  • O nome do documento contém palavras ou expressões
  • A propriedade do documento é
  • O tamanho do documento é igual ou superior a
  • Documento criado por

Estas condições, combinadas com a seleção de sites específicos e/ou o OneDrive do utilizador, permitem que as suas organizações atribuam prioridades aos conteúdos a etiquetar primeiro.

Por exemplo, se a sua organização utilizar modelos com propriedades de documento ou prefixos de nome de documento, pode executar uma política em todos os sites do SharePoint e no OneDrive. Também pode atribuir prioridades com base no tamanho dos ficheiros ou nos documentos criados pelas suas equipas de liderança.

Pode finalizar a etiquetagem de todos os documentos ao utilizar extensões de ficheiros office/PDF em lotes de sites do SharePoint e definir para corresponder à etiqueta do respetivo site, começando por sites de maior confidencialidade, capturando progressivamente sites Gerais .

Por fim, pode implementar mais etiquetagem automática do lado do serviço para conteúdo Altamente Confidencial , muitas vezes com limiares mais elevados do que os utilizados na etiquetagem automática do lado do cliente para reduzir potenciais falsos positivos.

Reduzir falsos positivos com classificadores avançados

Nesta secção, abordamos a base dos classificadores avançados e quando utilizá-los.

No contexto deste esquema seguro por predefinição, focámos a utilização de classificadores com etiquetagem automática para conteúdo altamente confidencial, em que os classificadores avançados estão limitados a classificadores treináveis. Na maioria dos casos, os Tipos de Informações Confidenciais (SITs) são uma combinação de padrões e palavras-chave. Modelos como Informações de Estado de Funcionamento Protegido (PHI) e Informações Pessoais (PII) podem devolver muitos falsos positivos, uma vez que não conseguem determinar o contexto ou podem ser falsos positivos para a sua organização.

Os Administradores do Purview podem reduzir os falsos positivos ao:

Os classificadores treináveis utilizam machine learning para identificar padrões de documentos. O Microsoft Purview fornece vários classificadores pré-preparados, como documentos legais, documentos empresariais estratégicos e informações financeiras. Os classificadores personalizados também podem ser criados e preparados a partir de uma biblioteca de documentos do SharePoint.

Ao utilizar sits e classificadores treináveis, pode restringir o âmbito , por exemplo, contém SITs de cartões de crédito e classificador de informações financeiras treináveis.

A correspondência exata de dados e a identificação digital do documento não estão atualmente disponíveis para etiquetagem automática, mas devem ser consideradas na sua estratégia de Prevenção Contra Perda de Dados do Microsoft Purview geral (DLP). À semelhança dos classificadores treináveis, ambos podem ajudar a reduzir os falsos positivos. Com o EDM, pode, por exemplo, localizar contém SSN fora da caixa SIT e, em seguida, verificar no seu SIT EDM para verificar se é um SSN de um dos seus clientes ou funcionários. O EDM permite-lhe armazenar de forma segura um hash de informações para procurar.

A Impressão Digital em Documentos funciona de forma diferente dos Classificadores Treináveis ao identificar modelos de documentos e utilizá-los em políticas DLP. Isto é mais útil se a sua organização tiver modelos padronizados. Pode utilizar estes modelos para criar impressões digitais precisas.

Automatizar e melhorar a proteção do Microsoft 365 para dados históricos e em utilização

No passo final desta fase, vamos rever as opções para aplicar retroativamente etiquetas nos seus sites do SharePoint existentes e aplicar etiquetas de biblioteca predefinidas em conformidade.

Neste momento, configurámos as predefinições em todo o ambiente e interrompemos a proliferação de sites e documentos sem etiquetas. Começámos a abordar manualmente sites de etiquetagem e bibliotecas em sites prioritários e estamos a analisar o dimensionamento em todo o seu património de conteúdo completo do Microsoft 365.

Existem algumas estratégias a considerar:

  • Utilizar Proprietários de Sites – comunique aos proprietários do site que têm de configurar uma etiqueta no respetivo site e biblioteca predefinida. Se pretender utilizar o n.º 2, inclua menções de que receberá automaticamente uma nova predefinição numa data de destino.
  • Executar scripts de automatização em sites não etiquetados restantes – utilize o API do Graph para identificar sites sem etiquetas e configurar a etiqueta de contentor e a etiqueta de biblioteca predefinida para "Confidencial\Todos os funcionários"
  • Opcionalmente, impedir a partilha de ficheiros não etiquetados apenas – com medidas anteriores, como DLP sobre conteúdo não etiquetado e etiquetagem automática de ficheiros, pode optar por permitir que os sites expirem naturalmente sobre ações retroativas de scripts para todos os sites.
  • Capturar uma linha do tempo de sites não etiquetados – se estiver a planear utilizar a etiquetagem automática do lado do serviço para todos os seus dados históricos com base em etiquetas de contentor, capture quando as etiquetas de contentor são adicionadas e adicione progressivamente sites etiquetados recentemente nas suas políticas de etiquetagem automática.

A sua postura de risco define a melhor abordagem entre todas as estratégias ou, possivelmente, utilizá-las progressivamente. Embora recomendemos proteger todo o seu património de dados, pode ser uma tarefa complexa, consoante o tamanho. Começar pequeno e iterar com frequência.

As Etiquetas de Confidencialidade de Scripting para sites do SharePoint podem ser feitas com "Set-PnPTenantSite" e o parâmetro "SensitivityLabel".

Para a Etiqueta de Biblioteca Predefinida, é necessário definir o parâmetro "DefaultSensitivityLabelForLibrary" com a API REST numa biblioteca. É fornecido um exemplo neste artigo.

Fase 3 - Resumo

Confira também

Continuar para a Fase 4: Estratégia – Operar, expandir e retroativar ações