Solução de alertas de DLP do OneDrive for Business para departamentos regulados: bloqueio de uploads legítimos
🔍 WiseChecker

Solução de alertas de DLP do OneDrive for Business para departamentos regulados: bloqueio de uploads legítimos

As políticas de Prevenção contra Perda de Dados (DLP) no OneDrive for Business podem bloquear uploads legítimos em departamentos regulados como finanças, jurídico e saúde. Quando uma regra de DLP sinaliza incorretamente um documento em conformidade, os usuários veem uma mensagem de erro e não conseguem salvar ou compartilhar o arquivo. Isso geralmente acontece porque a política de DLP usa regras de correspondência de conteúdo muito amplas ou não reconhece isenções internas. Este artigo explica por que uploads legítimos são bloqueados, fornece etapas detalhadas de solução de problemas para administradores de TI e aborda padrões de falha relacionados e suas correções.

Principais conclusões: Solução de alertas de DLP para uploads bloqueados no OneDrive

  • Portal do Microsoft 365 Defender > Prevenção contra Perda de Dados > Políticas: Revise e ajuste as condições e ações da regra de DLP para reduzir falsos positivos.
  • Central de conformidade do Microsoft 365 > Classificação de dados > Tipos de informações confidenciais: Verifique se as definições dos tipos de informações confidenciais correspondem aos padrões internos de dados.
  • Modo de teste da política de DLP (simulação): Teste as alterações nas regras antes de aplicá-las para confirmar que os arquivos legítimos não são mais bloqueados.

ADVERTISEMENT

Por que as políticas de DLP bloqueiam uploads legítimos no OneDrive

As políticas de Prevenção contra Perda de Dados monitoram o conteúdo dos arquivos em busca de informações confidenciais, como números de cartão de crédito, dados bancários ou números de identificação pessoal. Quando um arquivo corresponde a uma regra de DLP, o OneDrive bloqueia o upload ou o compartilhamento e envia um alerta ao administrador de conformidade. Em departamentos regulados, muitos arquivos contêm números que parecem dados confidenciais, mas são, na verdade, identificadores internos, números de processos ou códigos de referência. Por exemplo, um número de processo jurídico pode conter nove dígitos que correspondem ao padrão de um número de CPF. O mecanismo de DLP não conhece o contexto — ele apenas vê a correspondência do padrão.

Outra causa comum é que a política de DLP está configurada para bloquear todos os uploads que contenham um tipo de informação confidencial, sem exceção para compartilhamento interno ou para arquivos já criptografados. Algumas organizações usam rótulos de classificação de terceiros que o mecanismo de DLP trata como confidenciais. Se a política não incluir uma exclusão para esses rótulos, todo arquivo com esse rótulo será bloqueado. O resultado é que usuários em departamentos regulados não conseguem fazer upload de documentos rotineiros para o OneDrive, e a equipe de conformidade recebe um grande volume de alertas falsos positivos.

Etapas para identificar e corrigir falsos positivos de DLP em uploads do OneDrive

  1. Abra o alerta de DLP no Microsoft 365 Defender
    Acesse o portal do Microsoft 365 Defender em security.microsoft.com. Selecione Incidentes e alertas > Alertas. Encontre o alerta disparado pelo upload bloqueado. Clique no alerta para visualizar o nome do arquivo, o usuário e o tipo de informação confidencial que foi correspondido.
  2. Revise o tipo de informação confidencial que disparou o alerta
    Nos detalhes do alerta, anote o nome do Tipo de Informação Confidencial, como Número de CPF ou Número de Rota Bancária. Acesse a Central de conformidade do Microsoft 365 em compliance.microsoft.com. Selecione Classificação de dados > Tipos de informações confidenciais. Pesquise o tipo e revise sua definição de padrão. Verifique se o conteúdo interno do seu arquivo corresponde a esse padrão.
  3. Teste o conteúdo do arquivo em relação ao padrão
    Copie uma amostra do conteúdo do arquivo bloqueado que não contenha dados confidenciais reais. Use o recurso Testar na página do Tipo de informação confidencial. Cole o conteúdo e execute o teste. Se o teste mostrar uma correspondência, o padrão é muito amplo para o seu departamento. Você precisa refinar o padrão ou criar um tipo de informação confidencial personalizado com palavras-chave ou regras de proximidade adicionais.
  4. Crie um tipo de informação confidencial personalizado com exceções
    Na Central de conformidade, vá para Classificação de dados > Tipos de informações confidenciais > Criar. Escolha um nome como Número de Processo Interno. No padrão, adicione o elemento principal (o padrão numérico) e uma lista de palavras-chave que devem aparecer próximas, como Processo, Arquivo ou Ref. Defina a proximidade para 300 caracteres. Isso garante que o número só dispare o DLP quando encontrado próximo a uma palavra-chave que indique que é um identificador interno, não um CPF.
  5. Atualize a política de DLP para usar o tipo personalizado ou adicione exceções
    Na Central de conformidade, vá para Prevenção contra perda de dados > Políticas. Selecione a política que bloqueou o upload. Edite a regra. Em Condições, altere o tipo de informação confidencial do tipo amplo para o seu tipo personalizado. Em Ações, adicione uma exceção para arquivos que já estejam rotulados com um rótulo de confidencialidade específico, como Interno ou Geral. Defina a ação para Bloquear apenas ao compartilhar com usuários externos, não para uploads internos.
  6. Ative o modo de teste para a regra atualizada
    Antes de aplicar a alteração, configure a regra para o Modo de teste com notificações. Isso envia alertas sem bloquear uploads. Peça ao usuário do departamento regulado para fazer upload do mesmo arquivo novamente. Se o alerta não aparecer mais, a correção funciona. Se o alerta ainda aparecer, revise o padrão do tipo personalizado novamente.
  7. Monitore os alertas de DLP após a alteração
    Após o período de teste, configure a regra para Ativar imediatamente. Monitore o painel de Alertas nas próximas 48 horas. Verifique se o volume de falsos positivos diminuiu. Se novos falsos positivos aparecerem, repita o processo para o novo tipo de informação confidencial.

ADVERTISEMENT

Se o OneDrive ainda bloquear uploads legítimos após a correção principal

OneDrive exibe um erro de DLP para arquivos que não contêm dados confidenciais

Isso pode acontecer quando a política de DLP verifica os metadados do arquivo, não apenas o conteúdo do corpo. Nomes de arquivo, propriedades do documento ou colunas personalizadas no SharePoint podem conter números que correspondem a um padrão de informação confidencial. Para corrigir, abra a regra de DLP e vá para a seção Local. Certifique-se de que a regra se aplica apenas a Documentos no OneDrive e SharePoint, e não a mensagens do Exchange ou Teams. Em seguida, nas condições da regra, adicione uma condição de que o conteúdo contém tipo de informação confidencial, não a propriedade contém.

A política de DLP bloqueia arquivos que já estão criptografados ou têm um rótulo de confidencialidade

Algumas políticas de DLP não distinguem entre conteúdo criptografado e não criptografado. Se o seu departamento usa rótulos de confidencialidade do Microsoft Information Protection, a regra de DLP ainda pode verificar o conteúdo do arquivo criptografado. Para evitar isso, edite a regra de DLP. Em Regras de DLP avançadas, adicione uma exceção: Arquivo não está rotulado. Em seguida, selecione o rótulo específico que seu departamento usa para arquivos confidenciais, mas em conformidade. Isso instrui o DLP a ignorar a verificação para esse rótulo.

Os usuários veem uma mensagem de erro genérica sem o nome da política de DLP

Isso ocorre quando a política de DLP está configurada para Bloquear com substituição, mas o usuário não tem o direito de substituir. O usuário vê uma mensagem como Sua organização não permite que você compartilhe este arquivo. Para corrigir, vá para as configurações da regra de DLP. Em Notificações do usuário, habilite Notificar usuários com uma dica de política e personalize o texto da dica. Inclua o nome da política e o motivo do bloqueio. Além disso, em Substituir a regra, selecione Permitir substituição com uma justificativa comercial. Isso permite que os usuários enviem um motivo e façam upload do arquivo, o que cria um alerta de DLP para revisão.

Opções de ajuste da política de DLP: Padrões amplos vs Padrões personalizados vs Exceções

Item Padrão Amplo (Padrão) Tipo de Informação Confidencial Personalizado Exceções de Regra
Descrição Usa padrões definidos pela Microsoft que correspondem a números como CPF ou cartão de crédito em todo o conteúdo Define seu próprio padrão com proximidade de palavras-chave para reduzir falsos positivos Adiciona condições que excluem arquivos rotulados ou criptografados da verificação
Taxa de falsos positivos Alta em departamentos regulados com identificadores numéricos internos Baixa quando as palavras-chave são escolhidas cuidadosamente Média — depende da adoção de rótulos
Tempo de configuração Nenhum — já configurado 30-60 minutos por tipo personalizado 10-15 minutos por regra de exceção
Manutenção Nenhuma Atualizar palavras-chave quando os padrões internos mudarem Adicionar novos rótulos à medida que forem criados
Melhor para Implantação inicial de DLP ou departamentos não regulados Departamentos financeiro, jurídico e de saúde com identificadores exclusivos Organizações que usam rótulos de confidencialidade de forma consistente

Todas as três opções podem ser combinadas. Comece com padrões amplos em modo de teste para ver o que dispara alertas. Em seguida, crie tipos personalizados para os falsos positivos mais comuns. Por fim, adicione exceções para arquivos já rotulados. Essa abordagem em camadas reduz os falsos positivos sem desabilitar a proteção DLP.

Após aplicar as alterações, peça aos usuários dos departamentos regulados que tentem fazer upload novamente. Monitore o painel de alertas de DLP por pelo menos uma semana para confirmar que uploads legítimos não estão mais sendo bloqueados. Para gerenciamento contínuo, agende uma revisão mensal dos alertas de DLP e atualize os tipos de informações confidenciais personalizados quando os padrões internos dos documentos mudarem. Use o modo de teste da política de DLP para qualquer nova regra antes da aplicação para evitar interrupções nos fluxos de trabalho de negócios.

ADVERTISEMENT