Você configurou políticas de Prevenção contra Perda de Dados no Microsoft 365 para auditar o compartilhamento externo de arquivos do OneDrive. Mas os alertas DLP para auditorias de compartilhamento externo estão perdendo arquivos que você sabe que foram compartilhados. Isso acontece porque as políticas DLP para OneDrive dependem de eventos específicos do log de auditoria e configurações de escopo da política que são fáceis de configurar incorretamente. Este artigo explica por que os alertas perdem arquivos e fornece solução de problemas passo a passo para corrigir o problema.
Principais conclusões: corrigir alertas DLP que perdem compartilhamentos externos do OneDrive
- Microsoft 365 Defender > DLP > Políticas > Configurações da política > Locais > Contas do OneDrive: Certifique-se de que o OneDrive esteja incluído no escopo da política e que “Todos os usuários” ou o grupo de usuários correto esteja selecionado.
- Microsoft 365 Defender > DLP > Políticas > Configurações da política > Regras DLP avançadas > Condições > O conteúdo é compartilhado com: Verifique se a condição da regra está definida como “Pessoas fora da minha organização” para auditorias de compartilhamento externo.
- Portal de conformidade do Microsoft 365 > Auditoria > Pesquisa de log de auditoria: Verifique se os eventos “FileSharedExternal” e “SharingInvitationCreated” aparecem para os arquivos ausentes; os alertas DLP dependem desses eventos de auditoria.
Por que os alertas DLP perdem arquivos do OneDrive em auditorias de compartilhamento externo
As políticas DLP no Microsoft 365 verificam arquivos do OneDrive quando são compartilhados externamente. A política verifica o conteúdo do arquivo em busca de tipos de informações confidenciais, como números de cartão de crédito ou IDs de passaporte. Se a política detectar uma correspondência, ela gera um alerta. No entanto, os alertas DLP podem perder arquivos por três motivos principais:
O escopo da política não cobre a conta do OneDrive. As políticas DLP devem ser aplicadas explicitamente aos locais do OneDrive. Se a política cobrir apenas SharePoint ou Exchange, os arquivos do OneDrive não serão verificados. Mesmo se você selecionar “Todos os usuários” na política, também deve selecionar “Contas do OneDrive” como um local.
As condições da regra não correspondem a eventos de compartilhamento externo. As regras DLP têm condições para como o conteúdo é compartilhado. Para auditorias de compartilhamento externo, a condição deve ser definida como “com pessoas fora da minha organização”. Se a condição estiver definida como “apenas com pessoas dentro da minha organização” ou estiver ausente, a regra não será acionada para compartilhamentos externos.
Os eventos de auditoria necessários não são gerados ou estão atrasados. O DLP depende de eventos do log de auditoria como “FileSharedExternal” e “SharingInvitationCreated”. Se o log de auditoria estiver desabilitado ou os eventos ainda não forem processados, o DLP não verá a atividade de compartilhamento. Os eventos de auditoria podem levar até 24 horas para aparecer em alguns casos.
Etapas para solucionar problemas de alertas DLP ausentes para compartilhamento externo do OneDrive
- Verifique se o escopo da política DLP inclui contas do OneDrive
Faça login no Microsoft 365 Defender em security.microsoft.com. Vá para Prevenção contra Perda de Dados > Políticas. Selecione a política DLP que deve auditar o compartilhamento externo. Em “Locais para aplicar a política”, certifique-se de que “Contas do OneDrive” esteja ativado. Se estiver desativado, ative-o e selecione “Escolher grupos de distribuição” ou “Todos os usuários” conforme necessário. Salve a política. Aguarde 15 minutos para a alteração ser aplicada. - Verifique as condições da regra DLP para compartilhamento externo
Na mesma política, clique em “Editar política” ou “Editar regras”. Selecione a regra que deve ser acionada em compartilhamentos externos. Em “Condições”, procure por “O conteúdo é compartilhado do Microsoft 365”. Clique nessa condição. Defina o menu suspenso como “com pessoas fora da minha organização”. Se a condição estiver ausente, adicione-a clicando em “Adicionar condição” e selecionando “O conteúdo é compartilhado do Microsoft 365”. Salve a regra. - Revise o log de auditoria para os eventos de arquivo ausentes
Vá para o portal de conformidade do Microsoft 365 em compliance.microsoft.com. Selecione Auditoria > Pesquisa de log de auditoria. Defina o intervalo de datas para incluir o momento em que o arquivo foi compartilhado. Pesquise por “FileSharedExternal” e “SharingInvitationCreated”. Se esses eventos não aparecerem para o arquivo ausente, o DLP não poderá detectar o compartilhamento. Verifique se o log de auditoria está habilitado no portal de conformidade em Auditoria > Habilitar auditoria. Se a auditoria estiver habilitada, mas os eventos estiverem ausentes, aguarde até 24 horas e pesquise novamente. - Confirme se os tipos de informações confidenciais estão definidos corretamente
Na regra DLP, revise os tipos de informações confidenciais listados em “O conteúdo contém”. Por exemplo, se você espera alertas para números de cartão de crédito, certifique-se de que “Número do Cartão de Crédito” esteja selecionado. Abra o tipo de informação confidencial para verificar o nível de confiança e a contagem mínima. Se o arquivo contiver um número de cartão de crédito, mas a contagem estiver abaixo do mínimo, o DLP não será acionado. Reduza a contagem mínima, se necessário. - Teste com um arquivo confidencial conhecido
Crie um arquivo no OneDrive que contenha um padrão de dados confidenciais de teste, como um número de cartão de crédito falso 4111 1111 1111 1111. Compartilhe o arquivo com um usuário externo usando o botão “Compartilhar” e inserindo um endereço de e-mail externo. Aguarde 30 minutos. Verifique o Microsoft 365 Defender em busca de um alerta em Incidentes ou Alertas. Se nenhum alerta aparecer, repita as etapas 1 a 4 com este arquivo específico para isolar o problema. - Verifique a licença e as permissões do usuário
Os alertas DLP exigem que o usuário que compartilhou o arquivo tenha uma licença apropriada do Microsoft 365, como Microsoft 365 E5 ou Microsoft 365 E5 Conformidade. Vá para o centro de administração do Microsoft 365 > Usuários > Usuários ativos. Selecione o usuário que compartilhou o arquivo. Em Licenças e aplicativos, confirme se ele possui uma licença que inclui DLP. Além disso, certifique-se de que o usuário tenha permissões para compartilhar arquivos externamente; isso é controlado no centro de administração do SharePoint > Políticas > Compartilhamento.
Se os alertas DLP ainda perderem arquivos do OneDrive após a solução de problemas
A política DLP está no modo de teste e não está gerando alertas
Verifique o modo da política no Microsoft 365 Defender. Vá para Prevenção contra Perda de Dados > Políticas. Selecione a política e observe “Modo da política”. Se estiver definido como “Testar sem dicas de política”, os alertas são gerados, mas nenhuma notificação ao usuário aparece. Se estiver definido como “Testar com dicas de política”, os usuários veem notificações e os alertas são gerados. Se estiver definido como “Desativar política”, nenhuma verificação ocorre. Altere o modo para “Testar com dicas de política” ou “Ativar política imediatamente”, se necessário.
O arquivo foi compartilhado por meio de link anônimo em vez de compartilhamento externo direto
As políticas DLP para compartilhamento externo só são acionadas quando um arquivo é compartilhado com um usuário externo específico por convite por e-mail. Se o arquivo foi compartilhado usando um link “Qualquer pessoa” ou um link de convidado anônimo, o DLP pode não detectá-lo como um compartilhamento externo. Verifique o método de compartilhamento no OneDrive. Vá para o arquivo, selecione Compartilhar e observe o tipo de link. Se disser “Qualquer pessoa com o link”, a condição da regra DLP para “com pessoas fora da minha organização” pode não se aplicar. Para auditar links anônimos, use políticas de compartilhamento do SharePoint e Acesso Condicional do Azure AD.
O limite de alertas DLP está definido muito alto
As regras DLP têm um limite de alertas que restringe quantos alertas são gerados em uma janela de tempo. No Microsoft 365 Defender, vá para Prevenção contra Perda de Dados > Políticas > Editar política > Regras > Editar regra > Configurações de alerta. O limite padrão é de 10 alertas por 24 horas. Se o limite for atingido, nenhum alerta adicional será criado até que a janela seja redefinida. Aumente o limite ou desabilite-o para teste.
Escopo da política DLP vs. Eventos do log de auditoria: principais diferenças
| Item | Escopo da política DLP | Eventos do log de auditoria |
|---|---|---|
| Finalidade | Define quais locais e usuários são verificados em busca de conteúdo confidencial | Registra todas as atividades de compartilhamento e acesso para revisão de conformidade |
| Local de configuração | Microsoft 365 Defender > DLP > Políticas > Locais | Portal de conformidade do Microsoft 365 > Auditoria > Pesquisa de log de auditoria |
| Efeito nos alertas | Se o OneDrive não estiver selecionado, nenhum alerta DLP para esse local | Se os eventos de auditoria estiverem ausentes, o DLP não poderá detectar o compartilhamento |
| Configuração incorreta comum | Selecionar apenas SharePoint e esquecer as contas do OneDrive | Log de auditoria desabilitado ou filtrado por intervalo de datas |
Agora você pode verificar o escopo da política DLP, as condições da regra e os logs de auditoria para descobrir por que os arquivos do OneDrive estão ausentes nos alertas de compartilhamento externo. Comece verificando se a política inclui contas do OneDrive e se a condição da regra está definida como “com pessoas fora da minha organização”. Para uma dica avançada concreta, use os cmdlets PowerShell Get-DlpCompliancePolicy e Get-DlpComplianceRule para exportar todas as configurações da política e compará-las com os eventos de auditoria em massa.