Checklist do Administrador do OneDrive: Alertas de DLP não detectam arquivos do OneDrive compartilhados externamente
🔍 WiseChecker

Checklist do Administrador do OneDrive: Alertas de DLP não detectam arquivos do OneDrive compartilhados externamente

Ao revisar alertas de Prevenção contra Perda de Dados (DLP) no Microsoft 365, você pode notar que alguns arquivos do OneDrive compartilhados externamente não disparam violações de política de DLP. Essa lacuna pode deixar documentos confidenciais expostos a usuários externos não autorizados, sem trilha de auditoria ou correção automatizada. A causa raiz geralmente é uma configuração de política de DLP que não cobre locais do OneDrive ou que usa condições incorretas para detecção de compartilhamento externo. Este artigo explica por que os alertas de DLP podem não detectar arquivos do OneDrive compartilhados externamente e fornece um checklist passo a passo para o administrador fechar essa lacuna.

Principais Conclusões: Fechando Lacunas de DLP para Arquivos do OneDrive Compartilhados Externamente

  • Portal de conformidade do Microsoft Purview > Prevenção contra Perda de Dados > Políticas > Local da política: Certifique-se de que as contas do OneDrive estejam explicitamente selecionadas como um local para toda política de DLP que deve verificar arquivos compartilhados externamente.
  • Condição da política: O conteúdo é compartilhado com organizações do Microsoft 365 ou usuários fora da minha organização: Use esta condição para corresponder a arquivos compartilhados externamente por meio de links de compartilhamento ou convites diretos.
  • Configuração de limite de alerta: Defina um número mínimo baixo de detecções, como 1, para que o DLP gere um alerta no primeiro arquivo compartilhado externamente que corresponda a um tipo de informação confidencial.

ADVERTISEMENT

Por que os Alertas de DLP Podem Não Detectar Arquivos do OneDrive Compartilhados Externamente

As políticas de DLP no Microsoft Purview verificam conteúdo no Exchange Online, SharePoint Online, OneDrive e Microsoft Teams. Quando uma política não inclui o OneDrive como um local, os arquivos armazenados no OneDrive de um usuário nunca são avaliados. Mesmo quando o OneDrive está incluído, a política deve usar a condição de compartilhamento correta para detectar o compartilhamento externo. A condição padrão “O conteúdo contém tipo de informação confidencial” sozinha não detecta o contexto de compartilhamento. Um arquivo contendo um número de cartão de crédito que é compartilhado apenas internamente não gerará um alerta sob uma política de compartilhamento externo. A peça que falta é a condição que corresponde a arquivos compartilhados com pessoas fora da organização.

Outra causa comum é o limite de alerta. Uma política de DLP pode ser configurada para gerar um alerta somente após um certo número de violações ocorrer dentro de uma janela de tempo. Se o limite for muito alto, os primeiros arquivos compartilhados externamente escapam do alerta. Além disso, se a política estiver em modo de teste sem alertas habilitados, nenhuma notificação é enviada mesmo quando violações são detectadas. A auditoria também deve estar ativada para eventos de compartilhamento do OneDrive no log de auditoria do Microsoft 365, pois o DLP depende desses eventos para disparar alertas.

Checklist do Administrador para Corrigir Alertas de DLP para Arquivos do OneDrive Compartilhados Externamente

Use o checklist a seguir para verificar e corrigir sua configuração de DLP. Cada etapa aborda uma causa específica de alertas perdidos.

  1. Verifique se o OneDrive está selecionado como um local da política
    Acesse o portal de conformidade do Microsoft Purview em https://compliance.microsoft.com. Navegue até Prevenção contra Perda de Dados > Políticas. Selecione a política que deseja verificar. Na guia Locais, confirme se Contas do OneDrive está ativado. Se estiver desativado, ative-o e escolha se deseja incluir todos os usuários ou grupos específicos. Clique em Avançar e salve a política.
  2. Adicione a condição de compartilhamento externo
    No mesmo editor de política, vá para a guia Regras. Edite a regra que deve detectar arquivos compartilhados externamente. Em Condições, adicione O conteúdo é compartilhado com organizações do Microsoft 365 ou usuários fora da minha organização. Esta condição está localizada na categoria Compartilhamento. Selecione a opção que corresponde ao seu cenário: com usuários fora da sua organização ou com usuários externos e não autenticados. Clique em Salvar.
  3. Defina o limite de alerta para 1
    No editor de regras, role até Alertas. Marque a caixa de seleção Enviar alerta quando uma correspondência de regra ocorrer. Nas configurações de limite, defina Número mínimo de detecções como 1 e Janela de tempo como 1 minuto. Isso garante que o primeiro arquivo compartilhado externamente dispare um alerta. Clique em Salvar.
  4. Ative o log de auditoria para eventos de compartilhamento do OneDrive
    No portal de conformidade do Microsoft Purview, vá para Auditoria > Log de auditoria. Verifique o status no topo da página. Se a auditoria estiver desativada, clique em Iniciar gravação de atividade de usuário e administrador. Aguarde até 24 horas para que a configuração entre em vigor. Sem o log de auditoria, o DLP não pode detectar eventos de compartilhamento e não gerará alertas.
  5. Teste a política em modo de simulação primeiro
    Antes de aplicar a política a todos os usuários, altere o modo da política para Teste. No editor de política, em Modo, selecione Testar com notificações ou Testar sem notificações. Compartilhe um arquivo de teste contendo um tipo de informação confidencial, como um número de cartão de crédito falso, com um endereço de e-mail externo. Verifique a página de alertas de DLP para confirmar se um alerta aparece. Se nenhum alerta aparecer, revise as condições da política e as configurações de local novamente.
  6. Revise o painel de alertas de DLP para detecções perdidas
    Vá para Prevenção contra Perda de Dados > Alertas no portal de conformidade. Filtre pelo nome da política e procure por alertas relacionados ao OneDrive. Se você vir zero alertas, mas souber que existem arquivos compartilhados externamente, execute uma Pesquisa de Conteúdo para encontrar arquivos com tipos de informação confidencial compartilhados externamente. Compare os resultados da pesquisa com os alertas de DLP para identificar lacunas.

ADVERTISEMENT

Se o DLP Ainda Não Detectar Arquivos do OneDrive Compartilhados Externamente

Links de compartilhamento do OneDrive com acesso de convidado não são detectados

As políticas de DLP que usam a condição “O conteúdo é compartilhado com organizações do Microsoft 365 ou usuários fora da minha organização” detectam arquivos compartilhados por meio de convites diretos ou links de acesso anônimo. No entanto, se o link de compartilhamento estiver definido como “Pessoas na sua organização” e depois encaminhado manualmente para um usuário externo, o DLP pode não detectar a exposição externa. Nesse caso, ative a expiração do link de compartilhamento e a proteção por senha no centro de administração do SharePoint para reduzir o risco.

Política de DLP está em modo somente auditoria sem alertas

Se o modo da política estiver definido como Testar sem notificações, o DLP detecta violações, mas não envia alertas. Para receber alertas, altere o modo para Ativar imediatamente ou Testar com notificações. Confirme também que o limite de alerta está definido como 1, conforme descrito no checklist.

Tipos de informação confidencial não estão definidos de forma ampla o suficiente

As políticas de DLP exigem pelo menos um tipo de informação confidencial para corresponder. Se a política usar tipos de informação confidencial personalizados que não cobrem os dados nos arquivos compartilhados, nenhuma correspondência ocorre. Revise os tipos de informação confidencial na regra e adicione tipos adicionais, como Número de Cartão de Débito da UE ou Número de Seguro Social dos EUA, se aplicável.

Item Política de DLP com Local do OneDrive Política de DLP sem Local do OneDrive
Cobertura Verifica arquivos em contas do OneDrive for Business Não verifica nenhum conteúdo do OneDrive
Detecção de compartilhamento externo Pode detectar compartilhamento com usuários externos quando a condição é adicionada Não pode detectar nenhum compartilhamento porque o local está ausente
Geração de alertas Gera alertas quando o limite é atingido Nenhum alerta para arquivos do OneDrive
Dependência do log de auditoria Requer log de auditoria para eventos de compartilhamento Nenhuma dependência

Com o checklist concluído, você pode confirmar que suas políticas de DLP cobrem arquivos do OneDrive compartilhados externamente. Em seguida, agende uma revisão mensal dos alertas de DLP e execute uma Pesquisa de Conteúdo para verificar se nenhum arquivo compartilhado externamente passa despercebido. Como etapa avançada, considere usar políticas de rotulagem automática para aplicar rótulos de confidencialidade a arquivos que correspondam às condições de DLP, adicionando uma segunda camada de proteção.

ADVERTISEMENT