Alertas de DLP do OneDrive for Business bloqueiam uploads legítimos para equipes de conformidade: Guia de correção
🔍 WiseChecker

Alertas de DLP do OneDrive for Business bloqueiam uploads legítimos para equipes de conformidade: Guia de correção

Equipes de conformidade no Microsoft 365 geralmente dependem de políticas de Prevenção contra Perda de Dados para evitar que informações confidenciais saiam da organização. Quando essas políticas de DLP geram alertas falsos positivos no OneDrive for Business, uploads legítimos de arquivos são bloqueados e sinalizados como violações de política. Isso geralmente acontece porque as condições da regra de DLP são muito amplas, o mecanismo de verificação de conteúdo identifica incorretamente padrões de dados ou o escopo da política inclui todos os usuários em vez de grupos específicos. Este guia explica por que o DLP bloqueia uploads legítimos e fornece as etapas exatas para resolver alertas falsos positivos sem enfraquecer sua postura de segurança.

Principais conclusões: Corrigindo alertas falsos positivos de DLP no OneDrive

  • Portal de conformidade do Microsoft Purview > Prevenção contra perda de dados > Políticas: Revise e ajuste as condições, exclusões e escopo da regra de DLP para reduzir falsos positivos.
  • Modo de teste da política de DLP: Execute políticas em modo de teste com dicas de política para validar o comportamento da regra antes da aplicação.
  • Exclusões de tipo de arquivo e padrão de conteúdo: Adicione extensões de arquivo, palavras-chave ou padrões regex específicos para excluir uploads legítimos da verificação de DLP.

ADVERTISEMENT

Por que o DLP do OneDrive for Business bloqueia uploads legítimos

As políticas de Prevenção contra Perda de Dados no Microsoft 365 verificam o conteúdo enviado ao OneDrive em busca de padrões que correspondam a tipos de informações confidenciais. Esses tipos incluem números de cartão de crédito, números de seguro social, IDs de passaporte e padrões regex personalizados definidos pela sua organização. Quando um arquivo contém dados que se parecem com um padrão confidencial, mesmo que os dados não sejam realmente confidenciais, o mecanismo de DLP sinaliza o upload e o bloqueia ou envia um alerta.

As causas comuns de alertas falsos positivos de DLP no OneDrive incluem:

Escopo da política muito amplo

Muitas políticas de DLP são configuradas para se aplicar a todos os usuários ou a todos os sites do OneDrive. Isso captura todos os uploads de arquivos, incluindo aqueles de departamentos que lidam com dados de teste, materiais de treinamento ou documentação interna que contém padrões numéricos semelhantes a informações confidenciais. Restringir o escopo a grupos ou sites específicos reduz verificações irrelevantes.

Limiares de confiança agressivos

O nível de confiança padrão para muitos tipos de informações confidenciais é alto, mas alguns tipos, como números de cartão de crédito ou números de contas bancárias dos EUA, podem corresponder a padrões em códigos de produto, números de fatura ou IDs de funcionários. Quando a política usa uma contagem de instâncias baixa, uma única correspondência em um documento legítimo dispara um alerta.

Regras de exceção mal configuradas

As políticas de DLP suportam exceções que excluem conteúdo que corresponda a condições específicas. Se essas exceções estiverem ausentes ou definidas incorretamente, uploads legítimos que deveriam ser permitidos acabam bloqueados. Por exemplo, uma política direcionada a números de cartão de crédito deve excluir dados de transações de teste ou logs internos de processamento de pagamentos.

Etapas para corrigir alertas falsos positivos de DLP no OneDrive

Siga estas etapas para identificar e resolver alertas falsos positivos de DLP. Você precisa de pelo menos a função de Gerenciamento de Conformidade de DLP ou permissões equivalentes no portal de conformidade do Microsoft Purview.

  1. Revise os detalhes do alerta de DLP no portal do Microsoft Purview
    Entre no portal de conformidade do Microsoft Purview em compliance.microsoft.com. Vá para Prevenção contra perda de dados > Alertas. Clique no alerta que bloqueou o upload legítimo. Anote o nome da política, o nome da regra, o nome do arquivo e o tipo de informação confidencial que acionou a correspondência. Isso informa qual condição da regra causou o falso positivo.
  2. Alterne a política de DLP para o modo de teste
    Navegue até Prevenção contra perda de dados > Políticas. Selecione a política que gerou o falso positivo. Clique em Editar política. Em Modo da política, selecione Testar primeiro. Escolha Mostrar dicas de política durante o modo de teste. Isso permite que os usuários vejam avisos sem bloquear uploads. Clique em Avançar e Enviar. Aguarde 15 minutos para a alteração ser propagada.
  3. Ajuste as condições da regra para reduzir falsos positivos
    Dentro da mesma política, clique em Editar regras. Selecione a regra que acionou o alerta. Em Condições, revise os tipos de informações confidenciais. Clique em Adicionar condição > O conteúdo contém e escolha Nome do grupo ou Nível de confiança. Aumente o nível mínimo de confiança para 85 ou mais. Por exemplo, defina a detecção de número de cartão de crédito para exigir pelo menos 2 correspondências com 85% de confiança. Clique em Salvar.
  4. Adicione exceções para padrões de conteúdo legítimos
    No mesmo editor de regras, role até Exceções. Clique em Adicionar exceção > O conteúdo contém. Defina uma condição que exclua arquivos contendo palavras-chave específicas como “TESTE”, “AMOSTRA” ou “SOMENTE INTERNO”. Você também pode excluir extensões de arquivo como .log, .csv ou .txt se esses tipos de arquivo causarem falsos positivos com frequência. Clique em Salvar e depois em Salvar novamente na página da política.
  5. Teste a política atualizada com um upload controlado
    Peça a um membro da equipe de conformidade que faça upload de uma cópia do arquivo anteriormente bloqueado para uma pasta do OneDrive. Monitore a página Prevenção contra perda de dados > Alertas. Se nenhum alerta aparecer, a correção funcionou. Se um alerta ainda aparecer, volte à etapa 3 e ajuste o nível de confiança para um valor mais alto ou adicione exceções mais específicas.
  6. Ative a política no modo de aplicação após validação
    Após confirmar que o falso positivo foi resolvido, volte para Prevenção contra perda de dados > Políticas. Selecione a política e clique em Editar política. Em Modo da política, selecione Ativar imediatamente. Clique em Avançar e Enviar. A política agora bloqueia apenas conteúdo realmente confidencial.

ADVERTISEMENT

Se os alertas de DLP ainda bloquearem uploads legítimos

O OneDrive mostra uma dica de política de DLP, mas não bloqueia o arquivo

Isso acontece quando a política está em modo de teste ou a ação da regra está definida como apenas notificar. Para alterar isso, edite a regra e, em Ações, defina Restringir acesso ou criptografar o conteúdo como Bloquear apenas quando desejar a aplicação real. Para triagem de falsos positivos, mantenha a ação como Notificar até que as condições da regra estejam corretas.

O alerta de DLP mostra um tipo de informação confidencial diferente do esperado

Abra o alerta no portal do Purview e clique em Ver detalhes. Em Itens correspondentes, veja o conteúdo exato que acionou a correspondência. Se o conteúdo for um código de produto ou ID interno, adicione esse padrão à lista de exceções. Por exemplo, se um arquivo contiver “INV-1234-5678” e o mecanismo de DLP o corresponder como um número de cartão de crédito, adicione o padrão regex INV-\d{4}-\d{4} como uma exceção na regra.

A política de DLP se aplica a todos os sites do OneDrive, mas deveria se aplicar apenas ao financeiro

Edite a política e, em Locais, altere Todos os sites para Escolher sites específicos. Insira as URLs dos sites do OneDrive pertencentes à equipe financeira. Isso impede que a política verifique uploads em outros departamentos. Clique em Salvar e aguarde 30 minutos para a alteração entrar em vigor.

Modos de política de DLP e seu impacto nos uploads do OneDrive

Item Modo de teste com dicas de política Modo de aplicação
Experiência do usuário Os usuários veem um aviso, mas podem fazer upload do arquivo Os usuários veem uma mensagem de bloqueio e não podem fazer upload do arquivo
Geração de alertas Alertas são gerados para revisão de conformidade Alertas são gerados e incidentes são criados
Melhor caso de uso Validar a precisão da regra antes da aplicação Proteção em produção após resolução de falsos positivos
Impacto no desempenho Sem atrasos no upload para os usuários finais O upload pode ser atrasado enquanto o conteúdo é verificado

Após ajustar a política de DLP, as equipes de conformidade podem permitir uploads legítimos com confiança, mantendo a proteção contra vazamentos reais de dados. Revise o painel de alertas de DLP semanalmente para identificar novos padrões de falsos positivos precocemente. Para problemas persistentes, considere criar um tipo de informação confidencial personalizado que use proximidade de palavras-chave e limites de confiança adaptados aos dados da sua organização. Use o recurso de modo de teste de DLP do Microsoft 365 antes de implantar qualquer alteração de política em produção.

ADVERTISEMENT