Solução de alertas de DLP do OneDrive for Business em revisões financeiras: bloqueio de uploads legítimos
🔍 WiseChecker

Solução de alertas de DLP do OneDrive for Business em revisões financeiras: bloqueio de uploads legítimos

Os revisores financeiros da sua organização estão vendo alertas de Prevenção contra Perda de Dados (DLP) acionados em uploads do OneDrive que são, na verdade, documentos legítimos. Esses falsos positivos interrompem o fluxo de trabalho, geram tickets administrativos desnecessários e podem atrasar revisões financeiras trimestrais ou anuais. A causa raiz geralmente é uma regra de política de DLP muito ampla ou um rótulo de confidencialidade aplicado a um arquivo que corresponde a uma condição de política rigorosa.

Este artigo explica por que as políticas de DLP bloqueiam uploads financeiros legítimos e como ajustar as regras da política, testar alterações e verificar se os dados confidenciais reais permanecem protegidos. Você aprenderá a identificar a regra de política específica que está causando o bloqueio, modificar condições e ações, e usar o modo de simulação para evitar futuras interrupções. O objetivo é interromper falsos alertas em uploads legítimos, mantendo os dados financeiros seguros.

Principais conclusões: Corrigindo falsos positivos de DLP em uploads financeiros

  • Microsoft 365 Defender > Data Loss Prevention > Policies: Localize a regra de política exata que aciona o falso alerta e revise suas condições e ações.
  • Condições da regra da política > Content contains: Restrinja a regra para excluir nomes de arquivos, rótulos ou grupos de usuários específicos que lidam com uploads financeiros legítimos.
  • Modo de teste da política > Simulate: Ative a simulação antes de aplicar as alterações para confirmar que a regra não bloqueia mais arquivos legítimos.

ADVERTISEMENT

Por que o DLP bloqueia uploads financeiros legítimos no OneDrive

As políticas de DLP no Microsoft 365 examinam arquivos enviados ao OneDrive em busca de padrões que correspondam a tipos de informações confidenciais predefinidos, como números de cartão de crédito, números de conta bancária ou IDs fiscais. Um documento de revisão financeira pode conter esses padrões mesmo que o arquivo não seja uma violação de dados. Por exemplo, um relatório trimestral que lista números de conta de amostra para teste ou uma planilha com dados de pagamento de clientes ocultos pode acionar uma regra de política.

A causa mais comum é uma regra de DLP configurada para bloquear qualquer arquivo que contenha um tipo de informação confidencial, sem exceções para usuários confiáveis, pastas específicas ou rótulos de arquivo. Quando um revisor financeiro envia um arquivo legítimo que contém dados de teste ou registros revisados, a ação da política bloqueia o upload e gera um alerta. A política também pode notificar o usuário ou administrador, o que gera confusão e atrasos.

Outra causa é um rótulo de confidencialidade aplicado ao arquivo que corresponde a uma condição de DLP. Se sua organização usa rótulos como “Dados Financeiros” ou “Confidencial”, e a política de DLP tem como alvo esses rótulos, qualquer upload com esse rótulo é bloqueado, mesmo quando o conteúdo é apropriado para o revisor.

Etapas para identificar e modificar a regra da política de DLP

Siga estas etapas para encontrar a regra de política que está bloqueando uploads legítimos, ajustar suas condições e testar a correção.

  1. Abra o portal do Microsoft 365 Defender
    Acesse https://security.microsoft.com e faça login com uma conta que tenha permissões de administrador de conformidade de DLP ou administrador de segurança. Na navegação à esquerda, selecione Data Loss Prevention e depois Policies.
  2. Identifique a política de DLP ativa
    Procure a política que se aplica aos locais do OneDrive. O nome da política geralmente inclui “OneDrive” ou “Finance” no título. Clique no nome da política para abrir a página de detalhes.
  3. Revise as regras da política
    Na página de detalhes da política, role até a seção Rules. Cada regra tem uma condição e uma ação. Clique na regra com maior probabilidade de estar causando o falso positivo. A condição da regra normalmente diz “Content contains sensitive info type”. Anote os tipos exatos de informações confidenciais listados, como “U.S. Bank Account Number” ou “Credit Card Number”. Anote também os grupos de usuários aos quais a regra se aplica.
  4. Edite as condições da regra
    Clique em Edit rule ou no ícone de lápis ao lado da regra. Na seção Conditions, adicione uma exceção para excluir uploads legítimos. Por exemplo, adicione uma condição que diga File name contains any of these words e insira palavras-chave como “test” ou “sample” se esses arquivos forem conhecidos como seguros. Como alternativa, adicione uma exceção para um site do SharePoint ou caminho de pasta do OneDrive específico. Clique em Save.
  5. Reduza o escopo dos tipos de informações confidenciais
    Se a regra for muito ampla, altere a condição de “Content contains any of these sensitive info types” para “Content contains all of these sensitive info types”. Isso exige que vários padrões estejam presentes antes que a regra seja acionada, o que reduz falsos positivos. Para revisões financeiras, você pode exigir tanto um número de conta financeira quanto uma palavra-chave específica como “quarterly review” antes de bloquear o upload.
  6. Ajuste a ação da política
    No mesmo editor de regras, vá para a seção Actions. Altere a ação de Block para Notify user with tip e Send alert to admin sem bloquear. Isso permite que o upload prossiga enquanto ainda notifica a equipe de conformidade. Clique em Save.
  7. Ative o modo de teste
    De volta à página de detalhes da política, clique em Edit policy e vá para a seção Mode. Selecione Simulate para testar as alterações da regra sem bloquear ativamente os uploads. Clique em Next e depois em Submit. Aguarde até uma hora para a política ser aplicada.
  8. Teste a regra com um arquivo legítimo
    Peça a um revisor financeiro que envie o mesmo arquivo que foi bloqueado anteriormente. Após o upload, vá para a guia Alerts na seção DLP do portal do Microsoft 365 Defender. Se o alerta não aparecer, a alteração na regra está funcionando. Se um alerta ainda aparecer, revise as condições novamente e adicione exceções mais específicas.
  9. Ative a aplicação
    Depois de confirmar que a regra não bloqueia mais uploads legítimos, retorne à política e altere o modo de Simulate para Turn on. Clique em Next e Submit para aplicar a regra atualizada.

ADVERTISEMENT

Se o DLP ainda bloquear uploads após a correção principal

A política de DLP se aplica a um grupo de usuários que inclui revisores financeiros

A regra da política pode ter como alvo um grupo de usuários que inclui todos os revisores financeiros. Para corrigir isso, edite a regra e adicione uma exceção para um grupo específico chamado “Finance Reviewers Exempt” ou similar. Crie este grupo no Azure Active Directory, adicione os revisores que lidam com uploads legítimos e, em seguida, adicione o grupo à lista de exceções da regra. Isso permite que a política ainda se aplique a outros usuários do departamento financeiro.

Um rótulo de confidencialidade força o bloqueio

Se o arquivo tiver um rótulo de confidencialidade que corresponda a uma condição de DLP, o bloqueio ocorre mesmo que o conteúdo seja seguro. Para resolver isso, edite a regra de DLP e remova a condição do rótulo. Como alternativa, peça à equipe financeira que aplique um rótulo diferente, como “Internal Use Only”, aos arquivos enviados para revisão. A política de DLP deve ter como alvo apenas rótulos que realmente indiquem dados confidenciais.

Várias políticas de DLP se sobrepõem

Seu locatário pode ter mais de uma política de DLP que se aplica ao OneDrive. Verifique todas as políticas na página Data Loss Prevention > Policies. Se duas políticas bloquearem o mesmo arquivo, a ação mais rigorosa vence. Para corrigir isso, mescle as políticas em uma ou ajuste a prioridade movendo a política mais específica para o topo da lista usando a coluna Priority.

Regra de DLP original vs regra modificada: principais diferenças

Item Regra Original Regra Modificada
Condição Content contains any sensitive info type Content contains all sensitive info types AND file name contains specific keywords
Ação Bloquear upload e enviar alerta Notificar usuário com dica e enviar alerta sem bloquear
Escopo do usuário Todos os usuários do departamento financeiro Todos os usuários, exceto o grupo Finance Reviewers Exempt
Modo de teste Aplicação ativada Simulação primeiro, depois aplicação

Após modificar a regra de DLP, os revisores financeiros podem enviar documentos legítimos sem interrupção. A política ainda bloqueia dados confidenciais reais porque as condições permanecem ativas para usuários não autorizados e padrões de arquivo desconhecidos. Use o modo de simulação para quaisquer alterações futuras na regra para evitar novos falsos positivos. Como dica avançada, crie uma política de DLP separada especificamente para equipes financeiras que use tipos de informações confidenciais personalizados com base nos padrões reais de dados financeiros, em vez dos tipos predefinidos da Microsoft.

ADVERTISEMENT