Checklist do Administrador do OneDrive: Alertas de DLP não detectam arquivos do OneDrive para descoberta legal
🔍 WiseChecker

Checklist do Administrador do OneDrive: Alertas de DLP não detectam arquivos do OneDrive para descoberta legal

Como administrador do OneDrive, você pode descobrir que os alertas de Prevenção contra Perda de Dados (DLP) não sinalizam arquivos confidenciais armazenados no OneDrive for Business durante uma revisão de descoberta legal. Esse problema geralmente ocorre porque as políticas de DLP não estão configuradas para verificar locais do OneDrive ou porque tipos de arquivo e cenários de compartilhamento específicos são excluídos do escopo padrão da política. Este artigo explica as causas raiz da falta de alertas de DLP para arquivos do OneDrive e fornece um checklist passo a passo para verificar e ajustar sua configuração de DLP. Você aprenderá a confirmar se as políticas de DLP cobrem o OneDrive, auditar as regras da política para lacunas comuns e garantir que os fluxos de trabalho de descoberta legal recebam dados completos de alertas.

Principais Conclusões: Lacunas de Alertas de DLP para Descoberta Legal no OneDrive

  • Microsoft 365 Defender > Políticas de DLP > Locais: Confirme que as contas do OneDrive estão selecionadas no escopo da política, não apenas Exchange ou SharePoint.
  • Política de DLP > Regras avançadas de DLP > Condições: Verifique se as regras de inspeção de extensão de arquivo e conteúdo incluem arquivos do Office, PDFs e outros formatos comuns em descoberta legal.
  • Central de conformidade do Microsoft 365 > Log de auditoria: Cruze os eventos de alerta de DLP com o log de auditoria unificado para identificar lacunas na aplicação da política para arquivos do OneDrive.

ADVERTISEMENT

Por que os Alertas de DLP Não Detectam Arquivos do OneDrive na Descoberta Legal

As políticas de Prevenção contra Perda de Dados no Microsoft 365 são aplicadas separadamente para cada carga de trabalho. Uma política de DLP criada para email do Exchange não cobre automaticamente o OneDrive for Business. Quando um administrador cria uma política de DLP e seleciona apenas locais do Exchange ou SharePoint, os arquivos do OneDrive ficam sem monitoramento. Esta é a causa raiz mais comum da falta de alertas durante a descoberta legal.

Uma segunda causa é o escopo padrão das regras de DLP. Os modelos de DLP prontos para uso geralmente excluem certos tipos de arquivo, como .msg ou .zip, que podem conter documentos legais confidenciais. Além disso, as políticas de DLP não verificam arquivos compartilhados externamente por meio de links anônimos, a menos que a política inclua explicitamente a detecção de compartilhamento externo. Quando uma solicitação de descoberta legal visa arquivos compartilhados com partes externas, essas lacunas levam a dados de alerta incompletos.

Uma terceira causa é o modo de teste da política. Políticas de DLP em modo de teste com dicas de política habilitadas não geram alertas no painel de alertas de DLP. Os administradores podem presumir que os alertas estão funcionando quando estão apenas exibindo dicas de política para os usuários. Para descoberta legal, os alertas devem ser gerados e armazenados no log de auditoria do Microsoft 365.

Checklist: Verificar e Corrigir a Cobertura de DLP para o OneDrive

Use este checklist para confirmar que suas políticas de DLP cobrem arquivos do OneDrive para descoberta legal. Cada etapa inclui o caminho exato do menu e a configuração a ser verificada.

  1. Abra as políticas de DLP no Microsoft 365 Defender
    Vá para Microsoft 365 Defender > Prevenção contra Perda de Dados > Políticas. Selecione cada política que deve se aplicar aos dados de descoberta legal.
  2. Verifique os locais da política
    Em Locais, confirme que Contas do OneDrive está selecionado. Se não estiver, clique em Editar locais, selecione Contas do OneDrive e escolha Todas as contas ou grupos de usuários específicos.
  3. Verifique se a política se aplica a todos os usuários do OneDrive
    No mesmo painel de locais, expanda Contas do OneDrive. Certifique-se de que o escopo esteja definido como Todos os usuários ou inclua os usuários ou grupos específicos relevantes para a descoberta legal.
  4. Revise as regras avançadas de DLP para cobertura de tipos de arquivo
    Em Regras, clique no nome da regra. Em Condições, verifique O conteúdo contém. Adicione tipos de informações confidenciais como Número de Seguro Social dos EUA ou Número de Roteamento ABA que correspondam aos seus critérios de descoberta legal.
  5. Inclua a detecção de compartilhamento externo
    Na mesma regra, em Condições, adicione O conteúdo é compartilhado com e selecione Pessoas fora da minha organização. Isso garante que arquivos compartilhados externamente gerem alertas.
  6. Verifique o modo da política
    Em Configurações da política, confirme que o modo é Ativar política imediatamente ou Modo de teste com dicas de política e alertas. Evite Modo de teste apenas com dicas de política, pois ele não gera alertas.
  7. Habilite alertas de DLP para a política
    Em Ações, role até Enviar alerta para o administrador. Verifique se Enviar alerta quando uma correspondência de regra ocorrer está habilitado e se a gravidade do alerta está definida como Baixa, Média ou Alta, conforme necessário.
  8. Salve e aplique a política
    Clique em Salvar. Aguarde até 24 horas para que a política seja aplicada a todos os arquivos do OneDrive. Para teste imediato, faça upload de um arquivo de teste com conteúdo confidencial para uma conta do OneDrive e compartilhe-o externamente.
  9. Verifique os alertas no painel de alertas de DLP
    Vá para Microsoft 365 Defender > Prevenção contra Perda de Dados > Alertas. Confirme se os alertas aparecem para o arquivo de teste. Se nenhum alerta aparecer, revise as regras da política novamente.
  10. Cruze os alertas no log de auditoria unificado
    Vá para Central de conformidade do Microsoft 365 > Auditoria. Pesquise eventos DLPRuleMatch para o arquivo de teste. Se o evento existir, a política está funcionando. Caso contrário, a política não está verificando arquivos do OneDrive.

ADVERTISEMENT

Se os Alertas de DLP Ainda Não Detectarem Arquivos do OneDrive

Após concluir o checklist, alguns problemas podem persistir. As seções a seguir cobrem padrões de falha específicos e suas correções.

Alertas de DLP aparecem para Exchange, mas não para OneDrive

Isso indica que o local da política está definido apenas para Exchange. Edite a política e adicione contas do OneDrive conforme descrito na etapa 2 do checklist. Se a política usar um escopo personalizado, verifique se o local do OneDrive não está excluído na configuração do escopo.

Alertas de DLP aparecem para compartilhamentos internos, mas não para externos

A condição da regra para compartilhamento externo está ausente. Edite a regra de DLP e adicione a condição O conteúdo é compartilhado com > Pessoas fora da minha organização. Sem essa condição, arquivos compartilhados por meio de links anônimos ou com convidados externos não são sinalizados.

Alertas de DLP não aparecem para arquivos PDF ou imagem

A regra de DLP pode não incluir inspeção de conteúdo para esses tipos de arquivo. Na regra, em Condições, adicione A extensão do arquivo é e inclua .pdf, .jpg, .png e .tiff. O DLP usa reconhecimento óptico de caracteres para digitalizar texto em imagens, mas isso deve estar habilitado na regra. Vá para O conteúdo contém > Adicionar > Classificadores treináveis e selecione um classificador que corresponda aos seus dados.

Alertas de DLP são gerados, mas não visíveis no painel de alertas

Isso ocorre quando o limite de alerta está muito alto. Na regra de DLP, em Ações > Enviar alerta para o administrador, reduza o valor de Número mínimo de correspondências para 1. Verifique também se a gravidade do alerta não está definida como Nenhum.

Cenários de Política de DLP para Descoberta Legal no OneDrive: Principais Diferenças

Item Escopo da política inclui OneDrive Escopo da política exclui OneDrive
Descrição DLP verifica todos os arquivos do OneDrive em busca de conteúdo confidencial DLP verifica apenas arquivos do Exchange e SharePoint
Geração de alertas Alertas aparecem para correspondências em arquivos do OneDrive Nenhum alerta para correspondências em arquivos do OneDrive
Cobertura de descoberta legal Cobertura completa para arquivos do OneDrive Arquivos do OneDrive ficam invisíveis para alertas de DLP
Eventos de log de auditoria Eventos DLPRuleMatch incluem metadados de arquivos do OneDrive Nenhum evento DLP para arquivos do OneDrive
Detecção de compartilhamento externo Detecta arquivos compartilhados com partes externas Não é possível detectar compartilhamento externo no OneDrive

Sua política de DLP deve incluir contas do OneDrive em seu escopo para gerar alertas para descoberta legal. Sem esse escopo, os arquivos do OneDrive são completamente excluídos do monitoramento de DLP.

Agora você pode verificar e ajustar suas políticas de DLP para cobrir arquivos do OneDrive para descoberta legal. Em seguida, revise os limites de alerta de DLP e certifique-se de que o log de auditoria unificado capture todas as correspondências de regras de DLP. Como dica avançada, crie uma política de DLP separada especificamente para dados de descoberta legal e defina sua prioridade como o valor mais alto para que ela substitua políticas mais amplas.

ADVERTISEMENT