Checklist do Administrador do OneDrive: Alertas de DLP não detectam arquivos do OneDrive para investigações de RH
🔍 WiseChecker

Checklist do Administrador do OneDrive: Alertas de DLP não detectam arquivos do OneDrive para investigações de RH

Como administrador do OneDrive, você depende de políticas de Prevenção contra Perda de Dados (DLP) para detectar arquivos confidenciais de RH, como contratos de funcionários, avaliações de desempenho e dados salariais. Quando os alertas de DLP não detectam arquivos armazenados no OneDrive, as investigações de RH param e surgem lacunas de conformidade. Esse problema geralmente ocorre porque as políticas de DLP não abrangem todos os locais do OneDrive, tipos de arquivo ou ações do usuário. Este artigo fornece um checklist para auditar e corrigir a cobertura de DLP para o OneDrive, garantindo que os arquivos de investigação de RH nunca sejam perdidos.

Principais conclusões: Corrigir alertas de DLP que não detectam arquivos do OneDrive para RH

  • Portal de conformidade do Microsoft Purview > Prevenção contra Perda de Dados > Políticas: Audite as políticas de DLP existentes para confirmar se os locais do OneDrive estão incluídos e não excluídos por filtros de escopo.
  • Política de DLP > Locais > Contas do OneDrive: Verifique se todos os sites do OneDrive dos usuários de RH foram adicionados explicitamente, especialmente para usuários em grupos dedicados do SharePoint de RH.
  • Política de DLP > Regras > Condições: Garanta que tipos de informações confidenciais como “ID do Funcionário” ou “Informações Salariais” estejam selecionados e que os filtros de extensão de arquivo não bloqueiem formatos de arquivo de RH.

ADVERTISEMENT

Por que os alertas de DLP não detectam arquivos do OneDrive para investigações de RH

As políticas de Prevenção contra Perda de Dados no Microsoft Purview examinam conteúdo no Exchange, SharePoint, OneDrive e Teams. Quando os alertas de DLP não detectam arquivos do OneDrive, a causa raiz é quase sempre uma lacuna na configuração da política. Os locais do OneDrive são tratados como coleções de sites separadas no SharePoint. Se uma política de DLP tiver escopo apenas para o SharePoint, ou se as contas do OneDrive dos funcionários de RH não estiverem incluídas na lista de locais da política, esses arquivos nunca serão examinados.

Outra causa comum é o uso de filtros de exclusão. Os administradores às vezes excluem determinados sites do OneDrive por URL ou por grupo de usuários para reduzir ruídos. Se os sites do OneDrive dos usuários de RH forem excluídos acidentalmente, o DLP não gerará alertas para seus arquivos. Além disso, as políticas de DLP dependem de tipos de informações confidenciais. Se a política usar tipos padrão como “Número do Cartão de Crédito”, mas não tipos específicos de RH como “Número do Documento Nacional” ou “Salário do Funcionário”, os arquivos de RH que contêm esses padrões não acionarão alertas.

Os filtros de extensão de arquivo também podem bloquear a detecção. Se uma regra de DLP for configurada para examinar apenas arquivos .docx e .pdf, mas os funcionários de RH armazenarem dados salariais em arquivos .xlsx ou .csv, esses arquivos serão ignorados. Por fim, as políticas de DLP têm uma latência de detecção de até 15 minutos para novos arquivos. Se os investigadores verificarem imediatamente após o upload de um arquivo, podem não ver nenhum alerta, mesmo que a política esteja funcionando corretamente.

Checklist: Auditar e corrigir a cobertura de DLP para arquivos de RH no OneDrive

Use o checklist a seguir para verificar e corrigir a cobertura da política de DLP para arquivos do OneDrive relacionados a investigações de RH. Execute estas etapas no portal de conformidade do Microsoft Purview.

  1. Abra o portal de conformidade do Microsoft Purview
    Acesse compliance.microsoft.com e faça login como Administrador de Conformidade ou Administrador Global. Selecione Prevenção contra Perda de Dados na navegação à esquerda e clique em Políticas.
  2. Revise cada política de DLP quanto ao escopo de local
    Clique no nome de uma política para abri-la. Em Locais, confirme se Contas do OneDrive está ativado. Se estiver desativado, clique em Editar e ative as contas do OneDrive. Se a política usar locais específicos, clique em Escolher locais e verifique se todas as URLs do OneDrive dos usuários de RH estão listadas. Para encontrar as URLs do OneDrive dos usuários de RH, execute o comando do SharePoint Online Management Shell Get-SPOSite -IncludePersonalSite $true -Filter "Url -like '-my.sharepoint.com/personal/'" e filtre pelo departamento de RH.
  3. Verifique as exclusões de local
    Na mesma política, role até Excluir locais específicos. Se alguma URL do OneDrive estiver listada lá, remova-a, a menos que pertença a usuários que não são de RH. Clique em Salvar.
  4. Verifique os tipos de informações confidenciais para dados de RH
    Em Regras, clique na regra que deve detectar arquivos de RH. Na seção Condições, confirme se tipos de informações confidenciais como ID do Funcionário, Número do Documento Nacional, Informações Salariais e Número da Conta Bancária estão selecionados. Caso contrário, clique em Editar condição e adicione-os a partir da lista de tipos internos. Você também pode criar tipos de informações confidenciais personalizados para padrões específicos de RH, como códigos de funcionário.
  5. Audite os filtros de extensão de arquivo
    Na mesma regra, verifique Condições avançadas. Se houver uma condição como Extensão do arquivo é igual, verifique se ela inclui .xlsx, .csv, .docx, .pdf e .txt. Os funcionários de RH costumam usar planilhas para dados salariais. Adicione as extensões ausentes e clique em Salvar.
  6. Teste a política com um arquivo de RH de amostra
    Crie um arquivo de teste contendo dados confidenciais de RH, como um arquivo de texto com “ID do Funcionário: 12345, Salário: 75000”. Faça upload para o OneDrive de um usuário de RH monitorado. Aguarde 15 minutos. Na política de DLP, clique em Alertas e verifique se um alerta aparece. Caso contrário, use o recurso Teste de política de DLP em Prevenção contra Perda de Dados > Políticas > Teste para simular o arquivo.
  7. Ative o log de auditoria para correspondências de regras de DLP
    Vá para Auditoria no portal do Purview e confirme se o log de auditoria está ativado. Sem logs de auditoria, você não pode ver qual regra de DLP correspondeu ou por que um arquivo foi perdido. Se a auditoria estiver desativada, clique em Iniciar gravação de atividade de usuário e administrador.

ADVERTISEMENT

Se os alertas de DLP ainda não detectarem arquivos do OneDrive para RH

Arquivos do OneDrive não são examinados

Se as políticas de DLP estiverem configuradas corretamente, mas nenhum alerta aparecer para nenhum arquivo do OneDrive, verifique a integridade do serviço. Vá para Centro de administração do Microsoft 365 > Integridade > Integridade do serviço e procure incidentes em Microsoft Purview ou Prevenção contra Perda de Dados. Um problema conhecido em alguns locatários faz com que a verificação de DLP pare para o OneDrive após uma atualização de política. Nesse caso, crie uma nova política de teste com configurações mínimas e veja se os alertas aparecem. Se aparecerem, recrie a política original do zero.

Alertas de DLP aparecem para alguns usuários do OneDrive, mas não para usuários de RH

Isso indica um problema de exclusão de local ou filtragem de grupo. Abra a política de DLP e verifique se ela usa Grupos de distribuição ou Grupos de segurança para incluir ou excluir usuários. Os funcionários de RH podem estar em um grupo de segurança separado que está excluído. Remova a exclusão do grupo ou adicione o grupo de RH à lista de grupos incluídos. Verifique também se os usuários de RH têm licenças do OneDrive atribuídas. O DLP não pode examinar sites do OneDrive de usuários que não possuem uma licença do SharePoint Online.

Alertas de DLP não detectam arquivos com dados de RH em formatos específicos

Se os arquivos de RH usarem padrões não padronizados, crie um tipo de informação confidencial personalizado. Por exemplo, se os IDs de funcionário seguirem o formato “RH-XXXXX”, vá para Prevenção contra Perda de Dados > Classificadores > Tipos de informações confidenciais > Criar e defina um padrão. Adicione esse tipo personalizado à regra de DLP. Em seguida, teste com um arquivo de amostra contendo esse padrão.

Escopo da política de DLP vs. Cobertura de local do OneDrive: Comparação

Item Escopo da política (Todos os locais) Escopo da política (Locais específicos)
Descrição O DLP examina automaticamente todas as contas do OneDrive O DLP examina apenas as contas do OneDrive que você listar
Esforço de configuração Nenhuma entrada manual de URL necessária Requer listar a URL do OneDrive de cada usuário de RH
Risco de perder arquivos de RH Baixo, a menos que filtros de exclusão sejam usados Alto se novos usuários de RH não forem adicionados à lista
Melhor para Locatários com uma equipe de RH pequena e poucas exceções de política Locatários que precisam excluir sites do OneDrive que não são de RH

Use o escopo Todos os locais para políticas de DLP de RH sempre que possível. Se precisar usar locais específicos, automatize a adição de novos usuários de RH com um script do PowerShell executado semanalmente para adicionar novas URLs do OneDrive de usuários de RH à política.

Agora você pode auditar suas políticas de DLP e garantir que os arquivos de investigação de RH no OneDrive estejam sempre cobertos. Em seguida, revise os alertas de DLP quanto a falsos positivos verificando os detalhes de correspondência da regra de DLP no log de auditoria. Uma dica avançada: use o cmdlet do PowerShell Set-DlpComplianceRule para atualizar em massa as condições de extensão de arquivo em várias regras de uma só vez.

ADVERTISEMENT