Sua organização usa políticas de Prevenção contra Perda de Dados (DLP) do Microsoft 365 para auditar o compartilhamento externo de arquivos do OneDrive. Mas os alertas de DLP não estão sendo disparados para arquivos compartilhados externamente pelo OneDrive for Business. Isso deixa sua equipe de conformidade cega para dados confidenciais saindo do seu locatário.
A causa raiz geralmente é um escopo de regra DLP mal configurado ou uma configuração incompleta do log de auditoria. As políticas de DLP devem ter como alvo a carga de trabalho e os locais corretos, e o log de auditoria deve estar habilitado para eventos de compartilhamento do OneDrive. Sem essas configurações, o DLP não consegue detectar atividades de compartilhamento externo.
Este artigo explica por que os alertas de DLP não detectam eventos de compartilhamento externo do OneDrive e fornece correções passo a passo para configurar políticas de DLP, habilitar o log de auditoria e verificar se os alertas disparam corretamente.
Principais conclusões: Corrigindo alertas de DLP para compartilhamento externo do OneDrive
- Microsoft 365 Defender > Políticas de DLP > Escopo da política > Locais: Deve incluir sites do OneDrive e selecionar todos os usuários ou grupos específicos para monitorar o compartilhamento externo.
- Microsoft 365 Defender > Log de auditoria > Auditoria (Premium): Deve estar habilitado para eventos de compartilhamento do OneDrive, como SharingAdded e SharingRevoked.
- Regra de DLP > Condições > Conteúdo compartilhado com: Defina como “Pessoas fora da minha organização” para disparar alertas especificamente para compartilhamento externo.
Por que os alertas de DLP não detectam eventos de compartilhamento externo do OneDrive
As políticas de Prevenção contra Perda de Dados no Microsoft 365 verificam o conteúdo com base nos locais e condições que você define. Quando uma política de DLP não inclui sites do OneDrive como local, ou quando a condição para compartilhamento externo não está definida, a política ignora todas as atividades de compartilhamento do OneDrive. Outra causa comum é que o log de auditoria do Microsoft 365 não está habilitado para eventos do OneDrive. O DLP depende do log de auditoria para detectar ações de compartilhamento, como adicionar um usuário externo ou compartilhar um link. Se o log de auditoria estiver desligado ou definido para um nível inferior que não capture eventos de compartilhamento, os alertas de DLP não serão disparados.
Além disso, as políticas de DLP podem ser direcionadas a usuários ou grupos específicos. Se o usuário que compartilhou o arquivo não estiver coberto pela política, o alerta não será gerado. Por fim, a regra de DLP deve incluir a condição “Conteúdo compartilhado com” e defini-la como “Pessoas fora da minha organização” para direcionar especificamente o compartilhamento externo. Sem essa condição, a regra pode apenas verificar o conteúdo do arquivo sem considerar as permissões de compartilhamento.
Etapas para configurar políticas de DLP para auditoria de compartilhamento externo do OneDrive
Método 1: Criar ou editar uma política de DLP para o OneDrive
- Abra o portal do Microsoft 365 Defender
Acesse https://security.microsoft.com e faça login com uma conta que tenha a função de Administrador de Conformidade ou Administrador de Segurança. - Navegue até as políticas de DLP
Selecione Prevenção contra Perda de Dados na navegação à esquerda e escolha Políticas. - Crie uma nova política ou edite uma existente
Clique em + Criar política para iniciar uma nova política ou clique no nome de uma política existente para editá-la. - Selecione o modelo de política ou a opção personalizada
Escolha Personalizado se quiser controle total ou selecione um modelo como Dados financeiros ou Dados pessoais e clique em Avançar. - Nomeie a política e defina o escopo
Insira um nome como “Auditoria de Compartilhamento Externo do OneDrive” e uma descrição. Em Escolher onde aplicar esta política, certifique-se de que Sites do OneDrive esteja selecionado. Selecione também Usuários e Grupos se quiser cobrir todos os usuários ou grupos específicos. Clique em Avançar. - Defina a regra da política
Em Regras, clique em + Criar regra. Dê à regra um nome como “Alerta de Compartilhamento Externo”. - Defina as condições para compartilhamento externo
Na seção Condições, clique em + Adicionar condição e selecione Conteúdo compartilhado com. Em seguida, escolha Pessoas fora da minha organização no menu suspenso. Você também pode adicionar outras condições como Conteúdo contém tipos de informações confidenciais. - Configure a ação e o alerta
Em Ações, selecione Restringir acesso ou criptografar o conteúdo se quiser bloquear o compartilhamento. Em Notificações do usuário, habilite notificações por email para o usuário. Em Relatórios de incidente, marque Enviar um alerta para o administrador e insira o email do administrador. Defina a gravidade do alerta como Alta ou Média. - Revise e finalize
Clique em Avançar nas páginas restantes, revise as configurações e clique em Enviar.
Método 2: Habilitar o log de auditoria para eventos de compartilhamento do OneDrive
- Abra o portal de conformidade do Microsoft 365 Purview
Acesse https://compliance.microsoft.com e faça login com uma função de Administrador de Conformidade. - Verifique o status do log de auditoria
Na navegação à esquerda, selecione Auditoria. Se o log de auditoria não estiver habilitado, você verá um banner dizendo “Começar a gravar atividade do usuário e do administrador”. Clique em Começar a gravar. Isso habilita o log de auditoria para todos os serviços do Microsoft 365, incluindo o OneDrive. - Verifique se os eventos de compartilhamento do OneDrive estão sendo capturados
Na página Auditoria, clique em Pesquisar. Defina o filtro Atividades como Solicitações de compartilhamento e acesso e selecione SharingAdded, SharingRevoked e Link anônimo criado. Defina um intervalo de datas e clique em Pesquisar. Se resultados aparecerem, o log de auditoria está funcionando para compartilhamento do OneDrive. - Habilite a Auditoria (Premium) para eventos avançados
Se você precisar de eventos detalhados, como compartilhamento em nível de link, vá para Auditoria > Auditoria (Premium) e habilite-a. Isso fornece dados mais ricos para alertas de DLP.
Método 3: Verificar se o escopo da política de DLP cobre todos os usuários
- Abra a política de DLP que você criou ou editou
Vá para Prevenção contra Perda de Dados > Políticas e clique no nome da política. - Verifique a guia de locais
Clique em Editar ao lado de Locais. Certifique-se de que Sites do OneDrive esteja ativado. Em Escolher grupos de distribuição, selecione Todos os usuários ou grupos específicos que incluam os usuários que compartilham arquivos externamente. - Salve as alterações
Clique em Salvar e depois em Fechar.
Se os alertas de DLP ainda não dispararem para compartilhamento externo do OneDrive
Eventos de compartilhamento do OneDrive não aparecem no log de auditoria
Se a pesquisa do log de auditoria não retornar eventos de compartilhamento do OneDrive, o log de auditoria pode estar desabilitado ou o usuário que está compartilhando pode não ter licença. Verifique se o usuário tem uma licença apropriada do Microsoft 365 que inclua o log de auditoria. Confirme também se o log de auditoria está habilitado no nível do locatário. Se você o habilitou recentemente, aguarde até 24 horas para que os eventos apareçam.
A política de DLP não mostra alertas mesmo com eventos de auditoria existentes
A regra de DLP pode não ter a condição correta para compartilhamento externo. Abra a regra e verifique se Conteúdo compartilhado com está definido como Pessoas fora da minha organização. Verifique também se a política não está em modo de teste. Vá para as configurações da política e certifique-se de que o modo esteja definido como Ativar a política imediatamente.
Alertas de compartilhamento externo são gerados, mas não enviados ao administrador
Verifique as configurações de relatório de incidente na regra de DLP. Em Enviar um alerta para o administrador, confirme se o endereço de email correto foi inserido. Verifique também se a gravidade do alerta está definida em um nível que dispare notificações. Se a caixa de correio do administrador tiver um filtro de spam, verifique a pasta de lixo eletrônico.
Configurações da política de DLP versus configurações do log de auditoria para compartilhamento externo do OneDrive
| Item | Configurações da política de DLP | Configurações do log de auditoria |
|---|---|---|
| Finalidade | Detectar e agir sobre dados confidenciais compartilhados externamente | Registrar todos os eventos de compartilhamento para revisão de conformidade |
| Configuração necessária | A política deve incluir sites do OneDrive e definir a condição “Conteúdo compartilhado com Pessoas fora da minha organização” | O log de auditoria deve estar habilitado e a Auditoria (Premium) para eventos avançados |
| Entrega de alertas | Envia email para o administrador e gera incidente no Microsoft 365 Defender | Eventos aparecem na pesquisa do log de auditoria; sem alerta automático |
| Cobertura | Aplica-se a usuários e grupos definidos no escopo da política | Aplica-se a todos os usuários licenciados no locatário |
| Tempo para efeito | As alterações são aplicadas em minutos após salvar | Eventos aparecem entre 30 minutos e 24 horas |
As políticas de DLP e os logs de auditoria trabalham juntos. O DLP usa eventos de auditoria para disparar alertas. Se o log de auditoria não estiver capturando eventos de compartilhamento, o DLP não conseguirá detectá-los. Certifique-se de que ambos estejam configurados corretamente.
Após aplicar as correções acima, teste compartilhando um arquivo do OneDrive com um endereço de email externo. Em minutos, um alerta de DLP deve aparecer no portal do Microsoft 365 Defender, em Incidentes. Você também pode executar uma pesquisa no log de auditoria para o evento de compartilhamento e confirmar que foi registrado.
Para monitoramento contínuo, crie uma política de alerta de DLP no Microsoft 365 Defender que dispare uma investigação automatizada. Isso reduz verificações manuais e ajuda sua equipe de segurança a responder mais rapidamente ao compartilhamento externo de dados confidenciais.