Os alertas de prevenção contra perda de dados (DLP) no Microsoft Purview não estão sendo acionados para arquivos do OneDrive em departamentos que lidam com dados regulamentados, como finanças, jurídico ou saúde. Isso ocorre quando o site do OneDrive não está no escopo da política de DLP ou quando a política usa um filtro de local que exclui as coleções de sites do departamento específico. Este artigo explica por que as políticas de DLP perdem arquivos em departamentos regulamentados e fornece as etapas exatas para corrigir o problema.
Principais conclusões: Corrigir alertas de DLP que não disparam em arquivos do OneDrive para departamentos regulamentados
- Portal de conformidade do Microsoft Purview > Prevenção contra perda de dados > Políticas: Verifique se os locais do OneDrive estão incluídos e se o escopo da política cobre todas as coleções de sites dos departamentos regulamentados
- Política de DLP > Locais > Contas do OneDrive: Use “Escolher grupos de distribuição” ou “Escolher sites específicos” para segmentar apenas as coleções de sites do departamento, em vez de todos os usuários
- Política de DLP > Configurações da política > Regras avançadas de DLP: Adicione uma condição para “URL da coleção de sites” ou propriedade “Departamento” para garantir que os alertas sejam acionados apenas para departamentos regulamentados
Por que os alertas de DLP perdem arquivos do OneDrive em departamentos regulamentados
A Prevenção contra perda de dados do Microsoft Purview verifica o conteúdo em Exchange, SharePoint, OneDrive e Teams. Quando uma política de DLP é configurada para ser aplicada a “Todos os usuários” ou “Todos os sites”, ela ainda pode perder arquivos no OneDrive se o filtro de local da política excluir determinadas coleções de sites. Por padrão, o OneDrive for Business cria uma coleção de sites separada para cada usuário. As políticas de DLP usam o local das contas do OneDrive para verificar essas coleções de sites. Se o escopo da política estiver definido como “Todos os usuários”, mas os usuários do departamento pertencerem a um grupo de distribuição excluído, ou se a política usar um escopo personalizado que não inclua as URLs dos sites do departamento, os alertas não serão acionados.
Outra causa comum é que a própria regra da política de DLP contém condições que não correspondem aos arquivos do departamento regulamentado. Por exemplo, uma política pode procurar números de cartão de crédito, mas excluir arquivos rotulados como “Interno” ou armazenados em uma pasta específica. Se os arquivos do departamento estiverem armazenados em uma pasta do OneDrive excluída pela condição da política, os alertas serão perdidos.
Por fim, a política de DLP pode estar em modo de teste ou ter limites de alerta muito altos. O modo de teste registra eventos, mas não envia alertas, e limites altos suprimem notificações para um número pequeno de correspondências. Essas configurações são frequentemente negligenciadas ao implantar DLP para departamentos regulamentados.
Etapas para corrigir alertas de DLP que não disparam para arquivos do OneDrive em departamentos regulamentados
- Abra a política de DLP no Microsoft Purview
Faça login no portal de conformidade do Microsoft Purview emhttps://compliance.microsoft.com. Vá para Prevenção contra perda de dados > Políticas. Encontre a política de DLP que está perdendo alertas e clique no nome da política para abrir seus detalhes. - Verifique se os locais do OneDrive estão incluídos
No editor de políticas, clique em “Locais”. Confirme se “Contas do OneDrive” está ativado. Se estiver desativado, ative-o. Se estiver ativado, mas ainda assim perdendo alertas, clique em “Escolher grupos de distribuição” ou “Escolher sites específicos” para verificar se os usuários do departamento regulamentado ou as coleções de sites estão selecionados. Adicione quaisquer grupos de distribuição ou URLs de sites ausentes. - Verifique o escopo da política
Clique em “Configurações da política” e depois em “Editar escopo”. Certifique-se de que o escopo esteja definido como “Todos os usuários” ou para o grupo de distribuição específico que contém os usuários do departamento regulamentado. Se o escopo excluir o departamento, altere-o para incluí-los. Clique em “Salvar”. - Revise as regras avançadas de DLP para condições no nível do site
Clique em “Configurações da política” e depois em “Editar regras”. Para cada regra, clique em “Condições” e verifique se alguma condição usa “URL da coleção de sites” ou “Departamento”. Se uma condição restringir a regra a determinados sites, certifique-se de que a URL do site do OneDrive do departamento regulamentado esteja incluída. Para encontrar a URL do site, vá para o centro de administração do SharePoint, abra o site do OneDrive do usuário e copie a URL da barra de endereços. Adicione-a como um valor na condição. - Ajuste os limites de alerta e o modo de teste
No editor de regras, clique em “Ações” e depois em “Gerar um alerta”. Defina o limite de alerta para um valor baixo, como 1 correspondência, para garantir que cada violação dispare um alerta. Se a política estiver em modo de teste, altere para “Ativar a política” ou mantenha o modo de teste, mas habilite “Enviar alertas” nas configurações de teste. Clique em “Salvar” e depois em “Salvar” na política. - Teste a política com um arquivo de exemplo
Crie um arquivo no OneDrive do usuário do departamento regulamentado que contenha um tipo de informação confidencial definido na política, como um número de cartão de crédito falso 4111 1111 1111 1111. Salve o arquivo. Aguarde até 15 minutos para a política avaliar. Verifique o Explorador de atividades no Purview em Prevenção contra perda de dados > Explorador de atividades. Se o arquivo aparecer como uma correspondência, a política está detectando. Caso contrário, repita as etapas 2 a 5.
Se os alertas de DLP ainda perderem arquivos após a correção principal
A política de DLP mostra correspondências no Explorador de atividades, mas nenhum alerta é enviado
Isso significa que a política está detectando violações, mas a ação de alerta não está configurada corretamente. Volte ao editor de regras e verifique se “Gerar um alerta” está habilitado. Verifique também as configurações de e-mail de alerta: em “Ações”, confirme se “Enviar uma notificação por e-mail para o usuário” e “Notificar o administrador de conformidade” estão configurados com os destinatários corretos. Se o limite de alerta estiver definido como um número alto, reduza para 1.
Arquivos do OneDrive não são verificados
Se o local do OneDrive aparecer como “Desativado” na política de DLP, a política não pode verificar esses arquivos. Ative o local das contas do OneDrive. Se o local estiver ativado, mas a verificação ainda falhar, verifique se os usuários têm licenças do OneDrive atribuídas no centro de administração do Microsoft 365. Usuários sem licença do OneDrive não são verificados, mesmo que o local esteja ativado. Confirme também que os usuários não estão excluídos por uma lista de inclusão ou exclusão na política.
Os alertas de DLP disparam para um departamento, mas não para outro departamento regulamentado
Isso geralmente significa que o escopo ou as condições da política não são uniformes entre os departamentos. Abra a política e verifique novamente as configurações de “Locais”. Se você usou “Escolher sites específicos”, certifique-se de que as URLs dos sites do OneDrive do departamento ausente foram adicionadas. Se usou grupos de distribuição, verifique se os usuários do departamento são membros do grupo selecionado. No centro de administração do Microsoft 365, verifique a associação ao grupo para cada departamento regulamentado.
Opções de local da política de DLP para OneDrive: Escopo vs. Sites específicos
| Item | Escopo Todos os Usuários | Escolher Sites Específicos |
|---|---|---|
| Descrição | Verifica o OneDrive de todos os usuários licenciados no locatário | Verifica apenas os sites do OneDrive que você adiciona explicitamente por URL |
| Melhor para | Políticas de todo o locatário que se aplicam a todos os departamentos | Departamentos regulamentados que precisam de verificação direcionada sem afetar outros usuários |
| Confiabilidade do alerta | Alta se nenhuma lista de exclusão for usada | Alta se todas as URLs dos sites do departamento forem adicionadas corretamente |
| Esforço de manutenção | Baixo – nenhuma atualização manual de URL necessária | Médio – é necessário adicionar novos sites de usuários quando funcionários entram no departamento |
| Risco de perder arquivos | Baixo, a menos que uma condição exclua o arquivo | Alto se a URL do site de um novo usuário não for adicionada |
Use o escopo “Todos os Usuários” para políticas de conformidade amplas, como HIPAA ou PCI DSS. Use “Escolher Sites Específicos” quando precisar limitar a verificação a um departamento regulamentado específico e evitar falsos positivos em outras partes da organização. Se você escolher sites específicos, crie um processo para adicionar novas URLs do OneDrive de usuários sempre que um novo funcionário entrar no departamento regulamentado.
Agora você pode verificar se os alertas de DLP disparam corretamente para arquivos do OneDrive em departamentos regulamentados seguindo as verificações de local e condição descritas acima. Em seguida, revise o Explorador de atividades semanalmente para confirmar que todos os usuários do departamento regulamentado aparecem nos logs de eventos. Como dica avançada, use a condição “URL da coleção de sites” em sua regra de DLP combinada com um grupo de associação dinâmica no Azure AD para que novos usuários do departamento sejam incluídos automaticamente, sem atualizações manuais de URL.