Alertas de DLP do OneDrive for Business bloqueiam uploads legítimos em auditorias de compartilhamento externo: Guia de correção
🔍 WiseChecker

Alertas de DLP do OneDrive for Business bloqueiam uploads legítimos em auditorias de compartilhamento externo: Guia de correção

Quando você habilita políticas de Prevenção contra Perda de Dados (DLP) para compartilhamento externo no OneDrive for Business, os alertas de DLP podem bloquear uploads legítimos de arquivos, mesmo quando eles não contêm dados confidenciais. Isso acontece porque as regras DLP padrão geralmente aplicam critérios de verificação amplos que sinalizam conteúdo não confidencial durante auditorias de compartilhamento externo. Este artigo explica por que arquivos limpos são bloqueados, como diferenciar falsos positivos de violações reais de política e as etapas exatas para ajustar suas regras DLP para que uploads externos legítimos ocorram sem interrupção.

Principais conclusões: Corrigindo bloqueios de DLP falso positivo em uploads externos do OneDrive

  • Microsoft 365 Defender > Data Loss Prevention > Policies: O local central para revisar, editar ou desabilitar regras DLP que causam bloqueios falso positivo no compartilhamento externo do OneDrive.
  • Política DLP > Locations > OneDrive accounts: A configuração de escopo específica que determina quais sites do OneDrive estão sujeitos à política; reduzir esse escopo diminui alertas falsos.
  • Regra DLP > Conditions > Content contains: A condição da regra que aciona um bloqueio; ajustar os tipos de informações confidenciais ou adicionar condições de exceção evita que uploads legítimos sejam sinalizados.

ADVERTISEMENT

Por que os alertas de DLP bloqueiam uploads legítimos durante auditorias de compartilhamento externo

As políticas de Prevenção contra Perda de Dados no Microsoft 365 verificam arquivos em busca de tipos de informações confidenciais, como números de cartão de crédito, IDs de passaporte ou números de CPF. Quando você habilita uma política DLP para contas do OneDrive e define a ação para bloquear o compartilhamento externo, a política avalia cada arquivo enviado a um compartilhamento externo. Se a política usar condições amplas como “contém qualquer tipo de informação confidencial” sem ajuste fino, ela pode sinalizar arquivos que apenas parecem corresponder a um padrão — por exemplo, um arquivo chamado “Fatura #1234-5678” pode acionar o detector de número de cartão de crédito. O bloqueio então impede o upload e gera um alerta DLP, mesmo que o arquivo não contenha dados confidenciais reais.

Os modelos de regra DLP padrão no Microsoft 365 incluem várias condições pré-construídas que são intencionalmente amplas para capturar todas as violações possíveis. Quando aplicadas ao compartilhamento externo do OneDrive sem personalizar as condições, esses modelos geram um alto número de falsos positivos. Além disso, as políticas DLP configuradas para o modo “Block” interrompem imediatamente o upload sem dar ao usuário a chance de substituir. Esse comportamento interrompe fluxos de trabalho de auditoria onde os usuários precisam compartilhar arquivos não confidenciais com auditores externos.

A causa raiz é uma incompatibilidade entre o escopo de detecção de sensibilidade da política e o conteúdo real sendo compartilhado. A correção exige revisar as condições da regra DLP, restringir os tipos de informações confidenciais, adicionar condições de exceção ou alterar a ação de bloqueio para auditoria em cenários específicos.

Etapas para identificar e corrigir bloqueios de DLP falso positivo em uploads externos do OneDrive

  1. Abra o portal do Microsoft 365 Defender
    Acesse https://security.microsoft.com e faça login com uma conta que tenha a função de Administrador de Segurança ou Administrador de Conformidade. Na navegação à esquerda, selecione Data Loss Prevention > Policies.
  2. Localize a política DLP que bloqueia o compartilhamento externo do OneDrive
    Na lista de políticas, encontre a política que se aplica às contas do OneDrive. Procure um nome de política que inclua “OneDrive” ou “External sharing”. Clique no nome da política para abrir seus detalhes.
  3. Revise a guia Locations
    Selecione a guia Locations. Em OneDrive accounts, verifique se a política se aplica a todas as contas do OneDrive ou apenas a sites específicos. Se a política cobrir todas as contas, considere restringi-la apenas aos sites que exigem auditorias de compartilhamento externo. Clique em Edit para alterar o escopo.
  4. Examine a seção Rules
    Selecione a guia Rules. Você verá uma ou mais regras que definem as condições e ações. Clique na regra que aciona o bloqueio falso positivo. Um painel lateral será aberto mostrando a configuração da regra.
  5. Ajuste a área Conditions
    Em Conditions, procure por Content contains. Isso lista os tipos de informações confidenciais que a regra verifica. Clique em Edit para remover quaisquer tipos amplos que não sejam relevantes para seus auditores. Por exemplo, remova “Credit Card Number” se os auditores nunca lidarem com dados de pagamento. Mantenha apenas os tipos que correspondem aos dados confidenciais reais em seu ambiente.
  6. Adicione condições de exceção
    Ainda no editor de regras, role até Exceptions. Clique em Add exception e selecione Content contains. Na nova linha de exceção, escolha os mesmos tipos de informações confidenciais que você manteve na condição. Em seguida, defina a contagem de instâncias para um número baixo, como 1. Essa exceção instrui a regra: “Bloqueie apenas se o arquivo contiver mais de 1 instância do tipo confidencial.” Arquivos com zero ou uma instância ignorarão o bloqueio.
  7. Altere a ação de Block para Audit para teste
    Em Actions, encontre a configuração para Restrict access or encrypt content. Para compartilhamento externo do OneDrive, a ação é tipicamente Block users from sharing. Altere para Audit only temporariamente. Isso permite que os uploads prossigam enquanto ainda geram alertas DLP. Após testar por alguns dias, revise os alertas para confirmar quais arquivos são verdadeiros positivos e, em seguida, volte para o modo de bloqueio com as condições refinadas.
  8. Salve e aplique as alterações
    Clique em Save no painel da regra e, em seguida, clique em Save na página da política. Aguarde até uma hora para que as alterações da política sejam propagadas em todos os sites do OneDrive.
  9. Teste a correção com um upload legítimo
    Peça a um usuário que tenha experimentado um bloqueio falso positivo anteriormente que faça o upload do mesmo arquivo para um compartilhamento externo. O upload deve ser concluído sem um alerta DLP. Se o bloqueio persistir, volte ao editor de regras e aumente a contagem de instâncias da exceção ou remova tipos de informações confidenciais adicionais da condição.

ADVERTISEMENT

Se os alertas de DLP ainda bloquearem uploads legítimos após ajustar a regra

A política DLP do OneDrive é aplicada no nível do locatário e não pode ser substituída por administradores de site

Apenas Administradores de Segurança ou Administradores de Conformidade podem modificar políticas DLP. Se um administrador de site relatar um falso positivo, ele deve escalar para a equipe de segurança. A equipe de segurança deve seguir as etapas acima para ajustar a regra. Se o bloqueio for urgente, a equipe de segurança pode desabilitar temporariamente a política alternando o Status para Off na página de detalhes da política e, em seguida, reabilitá-la após corrigir a regra.

O alerta DLP mostra um tipo de informação confidencial diferente do esperado

Abra o alerta DLP no portal do Microsoft 365 Defender em Incidents & alerts > Alerts. Clique no alerta para visualizar a guia Details. Em Sensitive info types, você verá exatamente qual tipo foi correspondido e quantas instâncias foram encontradas. Use essas informações para refinar a condição ou exceção no editor de regras. Por exemplo, se o alerta disser “U.S. Social Security Number (SSN)” correspondeu uma vez, adicione esse tipo à exceção com uma contagem de instâncias de 2 ou mais.

O arquivo contém um padrão que imita um tipo de informação confidencial

Alguns arquivos legítimos contêm sequências numéricas que se assemelham a cartões de crédito ou IDs. Por exemplo, um número de pedido de compra como “4111-1111-1111-1111” acionará o detector de cartão de crédito. Nesse caso, adicione o padrão do nome do arquivo como uma condição de exceção. No editor de regras, em Exceptions, selecione File name contains ou File extension is. Insira o padrão específico ou extensão dos arquivos falso positivo. Salve a regra e teste novamente.

Modo de bloqueio DLP vs. modo de auditoria para compartilhamento externo do OneDrive: Principais diferenças

Item Modo de Bloqueio Modo de Auditoria
Experiência do usuário O upload é interrompido imediatamente; o usuário vê uma mensagem de erro O upload prossegue; o usuário não é notificado
Geração de alerta O alerta DLP é criado e registrado O alerta DLP é criado e registrado
Visibilidade da violação de política O usuário não pode concluir a ação O administrador revisa os alertas posteriormente para decidir a ação
Melhor caso de uso Tipos de dados confidenciais conhecidos com baixa taxa de falso positivo Testar novas políticas ou auditar compartilhamento externo de alto volume
Capacidade de substituição Requer exceção de política ou substituição pelo administrador Nenhuma substituição necessária; apenas monitoramento

Agora você pode identificar e ajustar as condições da regra DLP que causam bloqueios falso positivo em uploads externos do OneDrive. Comece revisando os tipos de informações confidenciais na regra DLP e adicione condições de exceção para contagens baixas de instâncias. Use o modo de auditoria para testar as alterações antes de voltar ao modo de bloqueio. Para gerenciamento contínuo, agende uma revisão mensal dos alertas DLP no portal do Microsoft 365 Defender para detectar novos padrões de falso positivo precocemente.

ADVERTISEMENT