Solução de problemas de alertas DLP do OneDrive for Business para investigações de RH: arquivos ausentes
🔍 WiseChecker

Solução de problemas de alertas DLP do OneDrive for Business para investigações de RH: arquivos ausentes

Quando sua equipe de RH usa alertas de Prevenção contra Perda de Dados do Microsoft 365 para investigar dados confidenciais de funcionários armazenados no OneDrive for Business, arquivos ausentes nos detalhes do alerta podem parar uma investigação. Esse problema ocorre quando as políticas DLP estão mal configuradas ou quando o escopo do alerta não cobre todos os locais do OneDrive que a equipe de RH espera. Este artigo explica as causas raiz de arquivos ausentes do OneDrive em alertas DLP, fornece etapas detalhadas de solução de problemas e lista padrões de falha relacionados que você pode encontrar durante investigações de RH.

Principais conclusões: Alertas DLP com arquivos ausentes do OneDrive

  • Microsoft 365 Defender > Políticas e regras > DLP > Locais da política: Certifique-se de que os locais do OneDrive estejam incluídos no escopo da política DLP, caso contrário o alerta nunca verá esses arquivos.
  • Explorador de atividades > Filtrar por Carga de trabalho = OneDrive: Use este filtro para confirmar que o DLP está realmente verificando arquivos do OneDrive para o usuário em questão.
  • Classificação de dados > Tipos de informações confidenciais: Verifique se os tipos de informações confidenciais usados na regra DLP correspondem ao conteúdo dos arquivos ausentes, caso contrário a regra não será acionada.

ADVERTISEMENT

Por que os alertas DLP perdem arquivos do OneDrive durante investigações de RH

As políticas de Prevenção contra Perda de Dados no Microsoft 365 verificam conteúdo em repouso e em trânsito. Quando uma política DLP é criada, um administrador seleciona os locais onde a política se aplica. Os locais incluem email do Exchange, sites do SharePoint e contas do OneDrive. Se o local do OneDrive não for selecionado explicitamente, o DLP nunca avaliará os arquivos armazenados no OneDrive. Esta é a causa mais comum de arquivos ausentes em alertas DLP.

Uma segunda causa é que a regra DLP usa tipos de informações confidenciais que não correspondem aos dados reais nos arquivos ausentes. Por exemplo, se a regra procura por números de Seguro Social dos EUA, mas os arquivos contêm números de contas bancárias, nenhuma correspondência ocorre. Investigações de RH geralmente envolvem tipos personalizados de informações confidenciais para IDs de funcionários, dados salariais ou registros de desempenho. Se esses tipos personalizados não forem publicados ou não forem atribuídos à regra DLP, os arquivos ficarão invisíveis para os alertas DLP.

Uma terceira causa envolve as configurações de limite de alerta DLP. Uma regra DLP pode ser configurada para gerar um alerta somente após um certo número de correspondências ou um volume específico de dados. Se o arquivo em questão acionar apenas uma correspondência e a regra exigir cinco correspondências, nenhum alerta será criado. Para investigações de RH onde mesmo um único arquivo é crítico, o limite deve ser definido para o menor valor possível.

Etapas para solucionar problemas de arquivos ausentes do OneDrive em alertas DLP

Siga estas etapas em ordem. Cada etapa tem como alvo uma causa raiz específica. Após concluir todas as etapas, você deve ser capaz de identificar por que os arquivos estão ausentes e corrigir a configuração.

  1. Verificar locais da política DLP
    Faça login no portal do Microsoft 365 Defender em security.microsoft.com. Vá para Políticas e regras > Prevenção contra perda de dados. Abra a política DLP que deve cobrir dados de RH. Em Locais para aplicar a política, confirme se Contas do OneDrive está selecionado. Se não estiver selecionado, edite a política e adicione contas do OneDrive. Salve a política e aguarde até uma hora para a alteração ser propagada.
  2. Verificar tipos de informações confidenciais na regra DLP
    Na mesma política DLP, clique em Editar regras. Revise a seção Condições. Procure os tipos específicos de informações confidenciais listados em O conteúdo contém. Abra Classificação de dados > Tipos de informações confidenciais no portal de conformidade do Microsoft Purview. Compare os tipos na regra com os dados reais no arquivo ausente. Se o arquivo contiver IDs de funcionários e a regra contiver apenas números de cartão de crédito, adicione o tipo de informação confidencial correto à regra ou crie um tipo personalizado que corresponda ao conteúdo do arquivo.
  3. Revisar limites de alerta
    No editor de regras DLP, role até Relatórios de incidentes e notificações. Clique em Editar ao lado de Enviar um alerta para o administrador quando uma correspondência de regra ocorrer. Defina Número mínimo de correspondências de regra para gerar um alerta para 1. Defina Volume mínimo de dados para gerar um alerta para 1 MB ou a menor unidade disponível. Salve a regra.
  4. Usar o Explorador de atividades para confirmar a verificação
    No portal do Microsoft 365 Defender, vá para Prevenção contra perda de dados > Explorador de atividades. Defina o Intervalo de tempo para a data em que o arquivo foi modificado pela última vez. No filtro Carga de trabalho, selecione OneDrive. Pesquise pelo UPN ou email do usuário. Revise a lista de atividades. Se o arquivo não aparecer nos resultados, o DLP não está verificando esse arquivo. Isso geralmente confirma uma incompatibilidade de local ou regra das etapas anteriores.
  5. Testar com um arquivo conhecido
    Crie um arquivo de teste no OneDrive do usuário que contenha o tipo exato de informação confidencial que a regra DLP deve detectar. Por exemplo, se a regra detecta números de Seguro Social dos EUA, adicione uma linha com um número de teste válido. Aguarde 15 minutos. Verifique a página de alertas DLP. Se o alerta aparecer, a configuração está correta e o arquivo original provavelmente não continha dados correspondentes. Se nenhum alerta aparecer, volte para a etapa 2 e verifique a definição do tipo de informação confidencial.

ADVERTISEMENT

Se os alertas DLP ainda tiverem problemas após a correção principal

A política DLP se aplica a todos os usuários, mas algumas contas do OneDrive ainda estão ausentes

Isso acontece quando a política DLP tem escopo para grupos ou usuários específicos em vez de todos os usuários. Abra a política DLP e verifique a seção Usuários, grupos e domínios nos locais do OneDrive. Certifique-se de que Todos os usuários esteja selecionado ou que o usuário alvo da investigação de RH esteja incluído. Se o usuário for um convidado ou colaborador externo, o DLP do OneDrive for Business não cobre contas de convidados por padrão. Adicione o domínio do usuário convidado ao escopo da política, se necessário.

O alerta aparece, mas o conteúdo do arquivo não é mostrado nos detalhes do alerta

Os detalhes do alerta DLP incluem um resumo do conteúdo correspondente, mas o arquivo completo não é anexado por questões de privacidade. Para visualizar o arquivo, o investigador precisa de acesso direto ao OneDrive do usuário. Atribua a função Gerente de Descoberta Eletrônica ao investigador de RH e use a Descoberta Eletrônica do Microsoft Purview para pesquisar o OneDrive do usuário em busca do arquivo. O alerta DLP fornece o nome e o caminho do arquivo, que podem ser usados na consulta de pesquisa da Descoberta Eletrônica.

Alertas DLP são gerados, mas chegam horas após o arquivo ter sido modificado

A latência de processamento do DLP pode ser de até 45 minutos para arquivos do OneDrive. Se o atraso for maior, verifique a configuração de Prioridade da política DLP. Políticas com números de prioridade mais baixos são processadas primeiro. Certifique-se de que a política DLP de RH tenha a prioridade mais alta entre todas as políticas DLP que se aplicam aos mesmos locais. Verifique também se o OneDrive do usuário não está bloqueado por uma retenção ou suspensão de litígio que impeça a verificação.

Configurações de política DLP para OneDrive: escopo baseado em local vs. baseado em regra

Item Escopo baseado em local Escopo baseado em regra (usuário/grupo)
Descrição A política se aplica a todas as contas do OneDrive no locatário A política se aplica apenas a usuários ou grupos específicos selecionados na regra
Caminho de configuração Política DLP > Locais > Contas do OneDrive > Todos os usuários Política DLP > Locais > Contas do OneDrive > Escolher usuários/grupos
Melhor para investigações de RH Use quando precisar verificar todos os funcionários em busca de dados confidenciais de RH Use quando a investigação tiver como alvo um funcionário ou equipe específica
Erro comum Selecionar OneDrive, mas deixar o escopo do usuário vazio, o que não se aplica a ninguém Selecionar apenas um grupo que não inclui o usuário alvo
Geração de alertas Alertas são gerados para qualquer usuário que acionar a regra Alertas são gerados apenas para os usuários selecionados ou membros do grupo

Depois de identificar o tipo de escopo correto para sua investigação, sempre verifique a lista de usuários na política antes de concluir que o DLP está perdendo arquivos.

Agora você pode verificar sistematicamente os locais da política DLP, tipos de informações confidenciais, limites de alerta e o Explorador de atividades para descobrir por que os arquivos do OneDrive estão ausentes dos alertas DLP. Em seguida, teste a correção com um arquivo conhecido conforme descrito na etapa 5. Para investigações mais aprofundadas, atribua a função de Gerente de Descoberta Eletrônica à equipe de RH e use a Descoberta Eletrônica do Microsoft Purview para pesquisar o conteúdo do OneDrive diretamente. Uma dica concreta: exporte o histórico de alertas DLP para um arquivo CSV e cruze os caminhos dos arquivos com o log de auditoria do OneDrive para confirmar quais arquivos foram realmente verificados.

ADVERTISEMENT