Comece a usar a coleta de arquivos que correspondem às políticas de prevenção contra perda de dados de dispositivos
Este artigo explica-lhe os pré-requisitos e os passos de configuração da recolha de provas para atividades de ficheiros em dispositivos e apresenta como ver os itens que são copiados e guardados.
Dica
Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.
Eis os passos de alto nível para configurar e utilizar a recolha de provas para atividades de ficheiros em dispositivos.
- Integrar dispositivos
- Compreender os requisitosCriar a conta de armazenamento do Azure gerida
- Adicionar um blob de armazenamento do Azure à sua conta
- Ativar e configurar a recolha de provas numa conta de armazenamento gerida pela Microsoft (pré-visualização)
- Configurar a política DLP
- Pré-visualizar as provas
Antes de começar
Antes de iniciar estes procedimentos, deve rever Saiba mais sobre a recolha de provas para atividades de ficheiros em dispositivos.
Licenciamento e Subscrições
Antes de começar a utilizar políticas DLP, confirme a sua subscrição do Microsoft 365 e quaisquer suplementos.
Para obter informações sobre o licenciamento, consulte Microsoft 365, Office 365, Enterprise Mobility + Security e Subscrições Windows 11 para Empresas.
Veja os requisitos de licenciamento dos pré-requisitos para Microsoft Entra ID P1 ou P2 necessários para criar um controlo de acesso baseado em funções (RBAC) personalizado.
Permissões
Standard Prevenção Contra Perda de Dados do Microsoft Purview (DLP) são necessárias permissões. Para saber mais, consulte Permissões.
Integração de dispositivos
Antes de poder utilizar itens com correspondência de cópia, tem de integrar Windows 10/11 dispositivos no Purview, consulte Integrar dispositivos Windows no Microsoft 365.
Compreender os seus requisitos
Importante
Cada contentor herda as permissões da conta de armazenamento em que se encontra. Não pode definir permissões diferentes por contentor. Se precisar de configurar permissões diferentes para regiões diferentes, tem de criar várias contas de armazenamento e não vários contentores.
Deve ter respostas à pergunta seguinte antes de configurar o armazenamento do Azure e definir o âmbito da funcionalidade para os utilizadores.
Precisa de compartimentar os itens e aceder ao longo das linhas de função ou departamental?
Por exemplo, se a sua organização quiser ter um conjunto de administradores ou investigadores de eventos DLP que podem ver ficheiros guardados da sua liderança sénior e outro conjunto de administradores ou investigadores de eventos DLP para itens guardados a partir de recursos humanos, deve criar uma conta de armazenamento do Azure para a liderança sénior da sua organização e outra para o departamento de Recursos Humanos. Isto garante que os administradores de armazenamento do Azure ou os investigadores de eventos DLP só podem ver os itens que correspondam às políticas DLP dos respetivos grupos.
Pretende utilizar contentores para organizar itens guardados?
Pode criar vários contentores de provas na mesma conta de armazenamento para ordenar ficheiros guardados. Por exemplo, um para ficheiros guardados do departamento de RH e outro para os do departamento de TI.
Qual é a sua estratégia para proteger contra a eliminação ou modificação de itens guardados?
No Armazenamento do Azure, a proteção de dados refere-se às estratégias para proteger a conta de armazenamento e os dados dentro da mesma contra serem eliminados ou modificados e para restaurar dados após serem eliminados ou modificados. O armazenamento do Azure também oferece opções para a recuperação após desastre, incluindo vários níveis de redundância, para proteger os seus dados contra falhas de serviço devido a problemas de hardware ou desastres naturais. Também pode proteger os seus dados através da ativação pós-falha gerida pelo cliente se o datacenter na região primária ficar indisponível. Para obter mais informações, veja Descrição geral da proteção de dados.
Também pode configurar políticas de imutabilidade para os seus dados de blobs que protegem contra os itens guardados que estão a ser substituídos ou eliminados. Para obter mais informações, veja Armazenar dados de blobs críticos para a empresa com armazenamento imutável
Tipos de ficheiro suportados para armazenar e pré-visualizar provas
Pode ser Armazenado | Pode ser Pré-visualizado |
---|---|
Todos os tipos de ficheiro monitorizados pelo DLP de Ponto Final | Todos os tipos de ficheiro suportados para pré-visualizar ficheiros no OneDrive, SharePoint e Teams |
Guardar itens correspondentes no seu armazenamento preferencial
Para guardar as provas de que o Microsoft Purview deteta quando as políticas de prevenção de perda de dados são aplicadas, tem de configurar o armazenamento. Há duas maneiras de fazer isso:
- Criar armazenamento gerido pelo cliente
- Criar armazenamento gerido pela Microsoft (pré-visualização)
Para obter mais informações e uma comparação destes dois tipos de armazenamento, consulte [Armazenar provas quando são detetadas informações confidenciais (pré-visualização)](dlp-copy-matched-items-learn.md#storing-evidence-when-sensitive-information-is-detected-on-policy match-preview).
Criar armazenamento gerido pelo cliente
Os procedimentos para configurar a conta de armazenamento, o contentor e os blobs do Azure estão documentados no conjunto de documentos do Azure. Seguem-se ligações para artigos relevantes que pode consultar para o ajudar a começar:
- Introdução ao Armazenamento de Blobs do Azure
- Criar uma conta de armazenamento
- Predefinir e autorizar o acesso a blobs com Microsoft Entra ID
- Gerir contentores de blobs com o portal do Azure
- Gerir blobs de blocos com o PowerShell
Observação
Certifique-se de que seleciona Ativar o acesso público a partir de todas as redes ao criar a conta de armazenamento. O suporte para Redes virtuais e endereços IP e a utilização do acesso privado não estão disponíveis
Certifique-se de que guarda o nome e o URL do contentor de blobs do Azure. Para ver o URL, abra asPropriedades doContentor>das Contas> de Armazenamento Doméstica do portal>> de armazenamento do Azure
O formato do URL do contentor de blobs do Azure é:https://storageAccountName.blob.core.windows.net/containerName
.
Adicionar um blob de armazenamento do Azure à sua conta
Existem várias formas de adicionar um blob de armazenamento do Azure à sua conta. Escolha um dos métodos abaixo.
Selecione a guia apropriada para o portal que você está usando. Dependendo do seu plano do Microsoft 365, o portal de conformidade do Microsoft Purview será descontinuado ou será descontinuado em breve.
Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
- Microsoft Purview Portal
- Política DLP no portal do Microsoft Purview
- Portal de Conformidade
- Fluxo de trabalho da Política DLP no portal de conformidade
Para adicionar o armazenamento de blobs do Azure com o portal do Microsoft Purview:
- Inicie sessão no portal do Microsoft Purview e selecione a engrenagem Definições na barra de menus.
- Selecione Prevenção de Perda de Dados.
- Selecione Definições DLP de Ponto Final.
- Expanda a recolha de provas de configuração para atividades de ficheiros em dispositivos.
- Altere o botão de alternar de Desativado para Ativado.
- No campo Definir cache de provas no dispositivo , selecione a quantidade de tempo que as provas devem ser guardadas localmente quando o dispositivo estiver offline. Pode escolher 7, 30 ou 60 dias.
- Selecione um tipo de armazenamento (Arquivo gerido pelo cliente ou Loja gerida pela Microsoft (pré-visualização)) e, em seguida, selecione + Adicionar armazenamento.
- Para o armazenamento gerido pelo cliente:
- Selecione Arquivo gerido pelo cliente: e, em seguida, selecione + Adicionar armazenamento.
- Introduza atribua um nome à conta e introduza o URL do blob de armazenamento.
- Escolha Salvar.
- Para o armazenamento gerido pela Microsoft:
- Escolha Loja gerida da Microsoft (pré-visualização)
- Para o armazenamento gerido pelo cliente:
Definir permissões no armazenamento de blobs do Azure
Com Microsoft Entra autorização, tem de configurar dois conjuntos de permissões (grupos de funções) nos blobs:
- Um para os administradores e investigadores para que possam ver e gerir provas
- Um para os utilizadores que precisam de carregar itens para o Azure a partir dos respetivos dispositivos
A melhor prática é impor o menor privilégio a todos os utilizadores, independentemente da função. Ao impor o menor privilégio, garante que as permissões de utilizador estão limitadas apenas às permissões necessárias para a respetiva função. Para configurar permissões de utilizador, crie funções e grupos de funções no Microsoft Defender para Office 365 e no Microsoft Purview.
Permissões no blob do Azure para administradores e investigadores
Depois de criar o grupo de funções para investigadores de incidentes DLP, tem de configurar as permissões descritas nas secções Ações do investigador e Ações de dados do Investigador que se seguem.
Para obter mais informações sobre como configurar o acesso a blobs, veja estes artigos:
- Como autorizar o acesso a dados de blobs no portal do Azure
- Atribuir permissões ao nível da partilha.
Ações do investigador
Configure estas permissões de objeto e ação para a função de investigador:
Objeto | Permissões |
---|---|
Microsoft.Storage/storageAccounts/blobServices | Leia: Listar Serviços de Blobs |
Microsoft.Storage/storageAccounts/blobServices | Leia: Obter as propriedades ou estatísticas do serviço blob |
Microsoft.Storage/storageAccounts/blobServices/containers | Leia: Obter o contentor de blobs |
Microsoft.Storage/storageAccounts/blobServices/containers | Leia: Lista de contentores de blobs |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | Leitura: Ler blob |
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Outro: Gerar uma chave de delegação de utilizador |
Ações de dados do investigador
Objeto | Permissões |
---|---|
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | Leia: Ler Blob |
O seu JSON para o grupo de funções de investigador deve ter o seguinte aspeto:
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
],
"notDataActions": []
}
]
Permissões no blob do Azure para utilizadores
Atribua estas permissões de objeto e ação ao blob do Azure para a função de utilizador:
Ações do usuário
Objeto | Permissões |
---|---|
Microsoft.Storage/storageAccounts/blobServices | Leia: Listar Serviços de Blobs |
Microsoft.Storage/storageAccounts/blobServices/containers | Leia: Obter o contentor de blobs |
Microsoft.Storage/storageAccounts/blobServices/containers | Escrita: Colocar contentor de blobs |
Ações de dados do utilizador
Objeto | Permissões |
---|---|
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | Escrita: Escrever Blob |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs | Outro: Adicionar conteúdo de blob |
O JSON para o grupo de funções de utilizador deve ter o seguinte aspeto:
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
],
"notDataActions": []
}
]
Ativar e configurar a recolha de provas numa conta de armazenamento gerida pela Microsoft (pré-visualização)
Selecione a guia apropriada para o portal que você está usando. Dependendo do seu plano do Microsoft 365, o portal de conformidade do Microsoft Purview será descontinuado ou será descontinuado em breve.
Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
Para ativar e configurar a recolha de provas numa conta de armazenamento gerida pela Microsoft a partir do portal do Microsoft Purview:
- Inicie sessão na engrenagemdefinições do portal > do Microsoft Purviewna barra de menus.
- Selecione Prevenção de Perda de Dados.
- Selecione Definições DLP de Ponto Final.
- Expanda Configurar recolha de provas para atividades de ficheiros em dispositivos e defina o botão de alternar para Ativado.
- Em Selecionar tipo de armazenamento, selecioneArmazenamento gerido pela Microsoft.
Configurar a política DLP
Crie uma política DLP como faria normalmente. Para obter exemplos de configuração de políticas, veja Criar e Implementar políticas de prevenção de perda de dados.
Configure a política com estas definições:
- Certifique-se de que Dispositivos é a única localização selecionada.
- Em Relatórios de incidentes, alterne Enviar um alerta para os administradores quando ocorre uma correspondência de regra para Ativado.
- Em Relatórios de incidentes, selecione Recolher ficheiro original como prova para todas as atividades de ficheiro selecionadas no Ponto Final.
- Selecione a conta de armazenamento que pretende.
- Selecione as atividades para as quais pretende copiar itens correspondentes para o armazenamento do Azure, tais como:
- Colar em browsers suportados
- Carregar para domínios de serviço cloud ou aceder a browsers não permitidos
- Copiar para um dispositivo USB amovível
- Copiar para uma partilha de rede
- Copiar ou mover com uma aplicação Bluetooth não permitida
- Copiar ou mover com RDP
Pré-visualizar as provas
Existem diferentes formas de pré-visualizar as suas provas, consoante o tipo de armazenamento que selecionar.
Tipo de Armazenamento | Opções de pré-visualização |
---|---|
Gerido pelo cliente |
-
Utilizar o explorador de atividades - Utilizar o portal de conformidade |
Microsoft Managed (pré-visualização) |
-
Utilizar o explorador de atividades - Utilizar o portal de conformidade |
Pré-visualizar provas através do Explorador de atividades
Selecione a guia apropriada para o portal que você está usando. Dependendo do seu plano do Microsoft 365, o portal de conformidade do Microsoft Purview será descontinuado ou será descontinuado em breve.
Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
- Inicie sessão no portal > do Microsoft PurviewExplorador de atividades deprevenção> de perdade dados.
- Através da lista pendente Data , selecione as datas de Início e Fim do período em que está interessado.
- Na lista de resultados, faça duplo clique no item de linha da atividade que pretende investigar.
- No painel de lista de opções, a ligação para o blob do Azure onde as provas são armazenadas aparece em Ficheiro de provas.
- Selecione a ligação armazenamento de blobs do Azure para apresentar o ficheiro correspondente.
Pré-visualizar provas através da página Alertas do portal de conformidade
Selecione a guia apropriada para o portal que você está usando. Dependendo do seu plano do Microsoft 365, o portal de conformidade do Microsoft Purview será descontinuado ou será descontinuado em breve.
Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
- Inicie sessão no portal > do Microsoft PurviewAlertas deprevenção> de perda de dados.
- Através da lista pendente Data , selecione as datas de Início e Fim do período em que está interessado.
- Na lista de resultados, faça duplo clique no item de linha da atividade que pretende investigar.
- No painel de lista de opções, selecione Ver detalhes.
- Selecione o separador Eventos .
- No painel Detalhes , selecione o separador Origem. É apresentado o ficheiro correspondente.
Observação
Se o ficheiro que foi correspondido já existir no blob de armazenamento do Azure, não será carregado novamente até que sejam efetuadas alterações ao ficheiro e um utilizador efetue uma ação no mesmo.
Comportamentos Conhecidos
- Os ficheiros armazenados na cache do dispositivo não persistem se o sistema falhar ou reiniciar.
- O tamanho máximo para ficheiros que podem ser carregados a partir de um dispositivo é de 500 MB.
- Se a Proteção Just-in-Time for acionada num ficheiro analisado ou se o ficheiro estiver armazenado numa partilha de rede, o ficheiro de provas não será recolhido.
- Quando vários ficheiros são abertos no mesmo processo (aplicações não office) e um dos ficheiros correspondentes a uma política é removido, os eventos DLP são acionados para todos os ficheiros. Nenhuma prova é capturada.
- Se forem detetadas várias regras de política num único ficheiro, o ficheiro de provas só será armazenado se a regra de política mais restritiva estiver configurada para recolher provas.