Configurando DLP (Data Loss Prevention) no Microsoft Purview

Configurando DLP (Data Loss Prevention) no Microsoft Purview

01/04/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na configuração e implementação de políticas de Prevenção de Perda de Dados (DLP) no Microsoft Purview. A DLP é uma estratégia e um conjunto de ferramentas que ajudam as organizações a prevenir a exposição, uso indevido ou perda de dados confidenciais, garantindo que informações críticas permaneçam seguras e em conformidade com regulamentações [1].

Introdução

Em um mundo cada vez mais digital e com regulamentações de privacidade de dados mais rigorosas (como GDPR, LGPD, HIPAA), a proteção de informações sensíveis é uma prioridade máxima. A perda de dados, seja por acidente, erro humano ou intenção maliciosa, pode resultar em danos financeiros significativos, multas regulatórias e sérios prejuízos à reputação. O Microsoft Purview oferece uma solução abrangente de DLP que ajuda as organizações a identificar, monitorar e proteger dados confidenciais em ambientes Microsoft 365, Azure, endpoints, aplicativos em nuvem e outros locais [2].

Este guia prático abordará as etapas essenciais para configurar políticas DLP no Microsoft Purview, desde a identificação de dados sensíveis até a criação e implantação de políticas, validação e melhores práticas. Serão fornecidas instruções passo a passo, exemplos de configurações e métodos de validação para que o leitor possa implementar uma estratégia DLP eficaz, protegendo informações confidenciais e garantindo a conformidade regulatória.

Por que o Microsoft Purview DLP é crucial?

  • Identificação Abrangente: Detecta uma vasta gama de tipos de informações sensíveis (TIS) e pode ser estendido com classificadores treináveis.
  • Cobertura Multi-local: Protege dados em repouso, em uso e em trânsito em Microsoft Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, dispositivos Windows/macOS, e aplicativos de nuvem.
  • Controle Granular: Permite definir políticas com condições e ações específicas para diferentes tipos de dados, usuários e locais.
  • Conformidade Regulatória: Ajuda as organizações a cumprir requisitos de privacidade de dados e regulamentações do setor.
  • Visibilidade e Relatórios: Fornece relatórios detalhados sobre a atividade de dados e detecções de políticas DLP.

Pré-requisitos

Para configurar a DLP no Microsoft Purview, você precisará dos seguintes itens:

  1. Licenciamento: Uma licença que inclua o Microsoft Purview DLP. Isso geralmente faz parte de pacotes como Microsoft 365 E5 Compliance, Microsoft 365 E5, ou pode ser adquirido como um add-on [3].
  2. Acesso Administrativo: Uma conta com permissões de Administrador de Conformidade, Administrador de Dados de Conformidade ou Administrador Global no portal de conformidade do Microsoft Purview (https://compliance.microsoft.com).
  3. Dados no Microsoft 365: Para testar as políticas, é ideal ter alguns dados (e-mails, documentos) que contenham informações sensíveis em seu ambiente Microsoft 365.

Passo a Passo: Configurando Políticas de Prevenção de Perda de Dados (DLP)

Vamos criar uma política DLP para detectar e bloquear o compartilhamento de números de cartão de crédito para usuários externos via e-mail.

1. Acessando o Portal de Conformidade do Microsoft Purview

  1. Abra seu navegador e navegue até https://compliance.microsoft.com.
  2. Faça login com uma conta que tenha as permissões necessárias.

2. Identificando Informações Sensíveis

O Microsoft Purview DLP utiliza Tipos de Informações Sensíveis (TIS) para identificar dados confidenciais. Ele vem com centenas de TIS pré-configurados, mas você também pode criar os seus próprios.

  1. No painel de navegação esquerdo, selecione Classificação de dados > Tipos de informações sensíveis.
  2. Você pode pesquisar por TIS existentes (ex: Número de Cartão de Crédito) para ver suas definições e como eles são detectados.

3. Criando uma Política DLP

Vamos criar uma política DLP usando um modelo pré-definido e personalizá-la.

  1. No painel de navegação esquerdo, selecione Prevenção contra perda de dados > Políticas.
  2. Clique em + Criar política.

Etapa 1: Escolher um modelo ou criar uma política personalizada

  1. Categorias: Selecione Financeira.
  2. Modelos: Selecione Dados financeiros dos EUA.
  3. Clique em Avançar.

Etapa 2: Nomear a política

  1. Nome: Bloquear Cartão de Crédito para Externos.
  2. Descrição: Detecta e bloqueia o envio de números de cartão de crédito para destinatários externos via e-mail.
  3. Clique em Avançar.

Etapa 3: Escolher locais para aplicar a política

  1. Locais: Para este exemplo, vamos focar em e-mails. Habilite Caixas de correio do Exchange.
    • (Opcional) Você pode habilitar outros locais como Sites do SharePoint, Contas do OneDrive, Mensagens do Teams e Dispositivos (para DLP de Endpoint) se tiver as licenças e configurações necessárias.
  2. Aplicar a: Selecione Todos os usuários ou Escolher usuários, grupos ou grupos de distribuição específicos para um escopo mais granular.
  3. Clique em Avançar.

Etapa 4: Personalizar as configurações de política

  1. Selecione Personalizar configurações de política avançadas.
  2. Clique em Avançar.

Etapa 5: Configurações avançadas de personalização

Você verá uma regra padrão criada pelo modelo. Vamos editá-la.

  1. Clique na regra existente (ex: Detectar conteúdo financeiro dos EUA).
  2. Condições: Certifique-se de que a condição O conteúdo contém esteja configurada para Número de Cartão de Crédito (com uma contagem mínima de 1 e precisão de Qualquer).
  3. Adicionar condição: Clique em Adicionar condição e selecione O destinatário é > Externo.
  4. Ações: Na seção Ações, configure:
    • Bloquear acesso ou criptografar o conteúdo: Marque Bloquear usuários de acessar o conteúdo (Bloquear todos).
    • Notificações de usuário: Marque Notificar os usuários com uma dica de política e personalize a mensagem, se desejar.
    • Substituições de usuário: (Opcional) Permite que os usuários ignorem o bloqueio com uma justificativa. Para dados de cartão de crédito, geralmente não é recomendado.
    • Relatórios de incidentes: Marque Enviar um alerta para os administradores e Enviar um relatório de incidente para os administradores.
  5. Clique em Salvar.
  6. Clique em Avançar.

Etapa 6: Configurações de política

  1. Modo da política: Selecione Testar primeiro (para monitorar o impacto sem bloquear) ou Ativar agora (para aplicar as ações imediatamente).
    • Dica: Sempre comece com Testar primeiro para avaliar o impacto e ajustar a política antes de aplicar o bloqueio.
  2. Clique em Avançar.

Etapa 7: Concluir

  1. Revise o resumo da política.
  2. Clique em Criar.

4. Configurando DLP de Endpoint (Opcional, mas Recomendado)

Para proteger dados em dispositivos Windows e macOS, você precisa configurar a DLP de Endpoint. Isso permite monitorar e restringir ações como copiar para USB, colar em aplicativos não permitidos, upload para serviços em nuvem, etc.

  1. No portal de conformidade do Microsoft Purview, vá para Prevenção contra perda de dados > Configurações.
  2. Selecione Configurações de DLP de endpoint.
  3. Certifique-se de que a Monitoramento de dispositivo esteja Ativado.
  4. Configure as Restrições para grupos de domínio e serviços de nuvem não permitidos e Restrições para aplicativos não permitidos.
  5. Para que os dispositivos sejam monitorados, eles precisam ser onboarded no Microsoft Defender for Endpoint e ter o conector DLP habilitado [4].

Validação e Teste

Validar as políticas DLP é fundamental para garantir que elas funcionem conforme o esperado e não causem falsos positivos.

1. Testando a Política DLP de E-mail

  1. Crie um e-mail de teste: Em um cliente de e-mail (Outlook Web App ou Outlook Desktop), crie um novo e-mail.
  2. Inclua informações sensíveis: No corpo do e-mail, insira um número de cartão de crédito válido (use um número de teste que não seja real, ou um gerador de números de teste para fins de simulação, como 4111-1111-1111-1111).
  3. Envie para um destinatário externo: Enderece o e-mail para um endereço de e-mail fora da sua organização.
  4. Observe a dica de política: Se a política estiver em modo de teste, o usuário deverá ver uma dica de política informando que o e-mail contém informações confidenciais.
  5. Verifique os relatórios: No portal de conformidade do Microsoft Purview, vá para Prevenção contra perda de dados > Alertas ou Relatórios.
    • Verifique se um alerta foi gerado para a detecção da política DLP.
    • Analise o relatório de correspondências de política DLP para ver os detalhes do e-mail detectado.

2. Testando a Política DLP de Endpoint (se configurada)

  1. Em um dispositivo Windows onboarded para DLP de Endpoint, crie um documento (ex: Word, Notepad) e insira um número de cartão de crédito de teste.
  2. Tente copiar o número do cartão de crédito para um dispositivo USB ou tentar colar em um aplicativo não permitido.
  3. A política DLP de Endpoint deve bloquear a ação e/ou notificar o usuário, dependendo das configurações.
  4. Verifique os relatórios de DLP de Endpoint no portal do Microsoft Purview.

Dicas de Segurança e Melhores Práticas

  • Implementação Gradual: Comece com políticas em modo de auditoria (Testar primeiro) para entender o impacto e refinar as regras antes de aplicar o bloqueio.
  • Educação do Usuário: Treine os usuários sobre o que são dados confidenciais, por que as políticas DLP existem e como evitar violações. As dicas de política são ferramentas valiosas para a educação em tempo real.
  • Classificação de Dados: Combine a DLP com a classificação e rotulagem de dados (Microsoft Information Protection) para uma proteção mais eficaz. As políticas DLP podem ser acionadas por rótulos de sensibilidade.
  • Revisão e Ajuste Contínuos: O ambiente de dados e as regulamentações mudam. Revise e ajuste suas políticas DLP regularmente para garantir que permaneçam relevantes e eficazes.
  • Monitoramento de Incidentes: Monitore ativamente os alertas e relatórios de DLP para identificar padrões de violação, usuários de alto risco e lacunas na proteção.
  • Escopo da Política: Seja granular no escopo da política. Aplique políticas mais restritivas a grupos de usuários ou dados de alto risco.

Troubleshooting Comum

  • Falsos Positivos (Bloqueios Indevidos): Se e-mails ou ações legítimas estão sendo bloqueados, revise as condições da política. Ajuste a contagem de instâncias ou a precisão dos TIS. Considere adicionar exceções para remetentes ou domínios confiáveis (com cautela).
  • Falsos Negativos (Dados Sensíveis Passando): Se dados sensíveis não estão sendo detectados, verifique se o TIS está configurado corretamente e se a contagem de instâncias e a precisão são adequadas. Certifique-se de que a política está aplicada aos locais e usuários corretos.
  • Dicas de Política Não Aparecem: Verifique se as notificações de usuário estão habilitadas na política. Certifique-se de que o cliente de e-mail (Outlook) está atualizado e suporta dicas de política.
  • DLP de Endpoint Não Funciona: Verifique se os dispositivos estão onboarded no Microsoft Defender for Endpoint e se o conector DLP de Endpoint está habilitado no portal do Purview. Verifique os logs de eventos no dispositivo para erros.
  • Atrasos na Aplicação da Política: Pode levar algum tempo para que as políticas DLP sejam propagadas e aplicadas em todos os serviços. Aguarde algumas horas e teste novamente.

Conclusão

A configuração de políticas de Prevenção de Perda de Dados (DLP) no Microsoft Purview é um passo fundamental para proteger as informações confidenciais de uma organização e garantir a conformidade regulatória. Ao identificar, monitorar e controlar o fluxo de dados sensíveis em diversos locais, o Microsoft Purview DLP capacita as empresas a mitigar riscos de vazamento de dados, acidentais ou intencionais. A implementação bem-sucedida de uma estratégia DLP exige um planejamento cuidadoso, testes rigorosos e um compromisso contínuo com a educação dos usuários e o refinamento das políticas. Com as ferramentas e orientações fornecidas neste artigo, as equipes de segurança podem construir uma defesa robusta que protege os ativos de informação mais valiosos da organização.

Referências:

[1] Microsoft Learn. Saiba mais sobre a prevenção contra perda de dados. Disponível em: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp [2] Microsoft Learn. O que é o Microsoft Purview?. Disponível em: https://learn.microsoft.com/pt-br/purview/overview [3] Microsoft Learn. Requisitos de licenciamento para prevenção contra perda de dados. Disponível em: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp#licensing-requirements-for-data-loss-prevention [4] Microsoft Learn. Introdução à prevenção contra perda de dados de ponto de extremidade. Disponível em: https://learn.microsoft.com/pt-br/purview/endpoint-dlp-getting-started