As equipes financeiras da Contoso fazem upload regular de documentos de revisão trimestral para o OneDrive for Business. Esses arquivos contêm dados financeiros confidenciais que disparam políticas de Prevenção contra Perda de Dados. As políticas de DLP bloqueiam o upload e enviam alertas de falso positivo para a equipe de conformidade. Este guia explica por que as regras de DLP detectam revisões financeiras legítimas e mostra como configurar exceções de política para que uploads autorizados ocorram sem alertas.
Principais conclusões: Corrigir falsos positivos de DLP para uploads de revisão financeira
- Microsoft 365 Defender > Prevenção contra Perda de Dados > Políticas: Localize a política de DLP específica que está bloqueando revisões financeiras e revise suas condições e ações.
- Política > Exclusões > Tipos de informações confidenciais: Adicione tipos de informações confidenciais específicos do setor financeiro, como Número de Cartão de Débito da UE ou Número de Conta Bancária dos EUA, à lista de exclusão.
- Política > Exclusões > Grupos ou sites: Exclua o site do OneDrive da equipe financeira ou uma biblioteca de documentos dedicada do SharePoint do escopo da política de DLP.
Por que os alertas de DLP disparam em uploads legítimos de revisão financeira
As políticas de Prevenção contra Perda de Dados no Microsoft 365 examinam arquivos em busca de tipos de informações confidenciais. Documentos de revisão financeira geralmente incluem números de conta bancária, números de cartão de crédito, identificadores fiscais e outros dados financeiros. Políticas de DLP configuradas de forma ampla detectam esses padrões e bloqueiam o upload automaticamente. A política de DLP padrão para dados financeiros, chamada “Dados Financeiros dos EUA”, verifica mais de 20 tipos de informações confidenciais, incluindo números de roteamento ABA, códigos SWIFT e números de cartão de crédito. Quando um analista financeiro faz upload de um arquivo de revisão contendo qualquer um desses padrões, a política dispara um bloqueio e envia um alerta para a equipe de conformidade.
A causa raiz é que as políticas de DLP não distinguem entre uma exfiltração maliciosa de dados e um upload comercial autorizado. As equipes financeiras trabalham rotineiramente com arquivos que contêm dados confidenciais. Sem exclusões de política para usuários, grupos ou sites confiáveis, todo upload que corresponder a um tipo de informação confidencial será bloqueado. A correção exige a criação de exceções de política que permitam uploads legítimos enquanto ainda bloqueiam compartilhamentos não autorizados.
Etapas para configurar exceções de política de DLP para revisões financeiras
As etapas a seguir mostram como modificar uma política de DLP existente para excluir o site do OneDrive da equipe financeira e tipos específicos de informações confidenciais. Execute estas etapas no portal do Microsoft 365 Defender.
- Abra o portal do Microsoft 365 Defender
Acesse security.microsoft.com e faça login com uma conta que tenha a função de Administrador de Conformidade ou Administrador de Segurança. No painel de navegação esquerdo, selecione Prevenção contra Perda de Dados e depois Políticas. - Selecione a política de DLP que bloqueia uploads financeiros
Clique no nome da política, por exemplo “Dados Financeiros dos EUA”. O painel de detalhes da política é aberto. Clique em Editar política. - Navegue até a seção Locais
No editor de políticas, clique em Locais. Revise quais locais estão incluídos. Por padrão, as políticas de DLP se aplicam a todos os emails do Exchange, sites do SharePoint e contas do OneDrive. Para revisões financeiras, você pode manter o OneDrive e o SharePoint incluídos, mas adicionar exclusões. - Adicione uma exclusão para o site do OneDrive da equipe financeira
Clique em Excluir sites específicos nas opções de locais do SharePoint e OneDrive. Cole a URL do site do OneDrive da equipe financeira. O formato é https://contoso-my.sharepoint.com/personal/finance_user_name. Adicione a URL do OneDrive de cada analista financeiro individualmente ou adicione a URL do site do SharePoint financeiro se os documentos estiverem armazenados em um site de equipe. - Adicione exclusões para tipos de informações confidenciais usados em revisões financeiras
Clique em Excluir determinados tipos de informações confidenciais. Pesquise e selecione os tipos que aparecem nos documentos de revisão financeira. Os tipos comuns incluem Número de Conta Bancária dos EUA, Número de Cartão de Crédito, Código SWIFT e Número de Roteamento ABA. Clique em Adicionar para movê-los para a lista de exclusão. - Salve as alterações da política
Clique em Avançar para revisar o resumo da política. Verifique se as exclusões aparecem corretamente. Clique em Enviar para aplicar as alterações. As atualizações da política de DLP levam até uma hora para se propagar por todos os locais.
Se os alertas de DLP ainda aparecerem após configurar as exclusões
A política de DLP ainda bloqueia uploads após adicionar exclusões de site
As exclusões de site se aplicam apenas à URL específica do site do OneDrive ou SharePoint. Se a equipe financeira fizer upload de arquivos para um site diferente, a política ainda será acionada. Verifique se a lista de exclusão contém todos os sites usados para revisões financeiras. Confirme também se o escopo de locais da política inclui OneDrive e SharePoint. Se a política se aplicar a emails do Exchange, usuários financeiros que enviam anexos de revisão por email ainda podem disparar alertas. Adicione os endereços de email dos usuários à lista de exclusão de usuários da política.
A política de DLP bloqueia uploads mesmo após excluir tipos de informações confidenciais
Excluir tipos de informações confidenciais remove apenas esses tipos específicos da verificação da política. Se o arquivo de revisão financeira contiver outros tipos de informações confidenciais não excluídos, a política ainda os detectará. Revise o conteúdo do arquivo e identifique todos os padrões de dados confidenciais. Adicione cada tipo detectado à lista de exclusão. Como alternativa, crie uma política de DLP separada para a equipe financeira com uma severidade de ação mais baixa, como “Somente auditoria” em vez de “Bloquear”.
Usuários financeiros recebem mensagens de bloqueio, mas nenhum alerta é enviado para conformidade
Isso ocorre quando a política de DLP está configurada como “Bloquear com substituição” e o usuário opta por substituir o bloqueio. A ação de substituição envia um alerta para a equipe de conformidade. Se a política estiver configurada como “Bloquear” sem substituição, o arquivo é bloqueado silenciosamente e nenhum alerta é gerado. Verifique as configurações de ação da política na seção Ações do editor de políticas. Para revisões financeiras, defina a ação como “Bloquear com substituição” e permita que o usuário forneça uma justificativa comercial. Isso garante que uploads legítimos possam prosseguir enquanto ainda registram o evento.
Configurações de política de DLP: Bloquear vs Bloquear com Substituição vs Somente Auditoria
| Item | Bloquear | Bloquear com Substituição | Somente Auditoria |
|---|---|---|---|
| Ação do usuário no upload | O upload do arquivo é impedido | O usuário pode substituir o bloqueio com uma justificativa comercial | O upload do arquivo é permitido |
| Geração de alerta | Nenhum alerta é enviado | Alerta é enviado para a equipe de conformidade | Alerta é enviado para a equipe de conformidade |
| Caso de uso | Dados de alto risco que nunca devem ser carregados | Uploads comerciais legítimos que exigem supervisão | Monitoramento sem bloqueio |
Para uploads de revisão financeira, a configuração recomendada é Bloquear com Substituição. Isso permite que os analistas financeiros concluam seu trabalho, garantindo que cada substituição seja registrada e revisada pela equipe de conformidade.
Agora você pode modificar políticas de DLP para permitir uploads legítimos de revisão financeira sem disparar alertas de falso positivo. Comece revisando suas políticas de DLP existentes no portal do Microsoft 365 Defender. Adicione exclusões para os sites do OneDrive da equipe financeira e os tipos de informações confidenciais que aparecem nos documentos de revisão. Para controle contínuo, defina a ação da política como Bloquear com Substituição para que cada substituição seja registrada. Como dica avançada, use a configuração Prioridade da regra de DLP para garantir que a exceção da política financeira seja avaliada antes de políticas mais amplas. Isso evita que uma política de prioridade mais alta bloqueie o upload antes que a regra de exclusão seja aplicada.