Como administrador do OneDrive, você pode descobrir que os alertas de Prevenção contra Perda de Dados (DLP) estão bloqueando uploads legítimos de arquivos durante auditorias de compartilhamento externo. Isso acontece quando as políticas de DLP são configuradas de forma muito ampla ou quando tipos de informações confidenciais geram falsos positivos em arquivos que são seguros para compartilhar. Os uploads bloqueados criam lacunas no rastro de auditoria e frustram os usuários que precisam colaborar com parceiros externos. Este artigo explica por que as regras de DLP interferem no compartilhamento externo legítimo, fornece um checklist passo a passo para revisar e refinar suas políticas de DLP e mostra como auditar eventos bloqueados sem sacrificar a segurança.
Principais Conclusões: Bloqueio de Alertas de DLP para Auditorias de Compartilhamento Externo
- Microsoft 365 Defender > DLP > Políticas: Revise o escopo de condições de cada regra de DLP para garantir que ela não bloqueie arquivos sem conteúdo confidencial real.
- Centro de administração do Microsoft 365 > Conformidade > Auditoria: Use o log de Auditoria para identificar quais regras de DLP geraram falsos positivos em uploads legítimos.
- Centro de administração do OneDrive > Compartilhamento > Compartilhamento externo: Verifique se as configurações de compartilhamento externo permitem os domínios de parceiros pretendidos enquanto as políticas de DLP são aplicadas corretamente.
Por que os Alertas de DLP Bloqueiam Uploads Legítimos de Compartilhamento Externo
As políticas de Prevenção contra Perda de Dados no Microsoft 365 examinam arquivos em busca de tipos de informações confidenciais, como números de cartão de crédito, números de passaporte ou detalhes de conta bancária. Quando uma regra de DLP corresponde a um arquivo, ela pode bloquear o upload, enviar um alerta ou ambos. O problema surge quando um arquivo contém dados que parecem um tipo confidencial, mas são inofensivos, como um documento de teste com um número de cartão de crédito falso ou uma planilha contendo um ID de cliente que se assemelha a um Número de Seguro Social. Políticas de DLP que usam regras de detecção amplas sem listas de exceção ou limites de confiança sinalizarão esses arquivos e os bloquearão de serem compartilhados externamente.
Outra causa é a interação entre as políticas de DLP e o processo de auditoria de compartilhamento externo. Quando um auditor revisa a atividade de compartilhamento externo, ele pode solicitar que um usuário faça upload de um arquivo para uma pasta compartilhada para verificação. Se a política de DLP bloquear esse upload, o auditor verá uma falha em vez do arquivo esperado, criando um falso negativo no rastro de auditoria. O alerta de DLP em si pode ser registrado no portal de conformidade, mas o upload bloqueado significa que o arquivo nunca chega ao local externo, então o registro de auditoria fica incompleto.
Checklist para Revisar e Refinar Políticas de DLP para Compartilhamento Externo
Use este checklist para identificar e corrigir políticas de DLP que bloqueiam uploads legítimos. Cada etapa inclui a localização exata nas interfaces de administração do Microsoft 365.
- Abra o portal do Microsoft 365 Defender e vá para políticas de DLP
Navegue até Microsoft 365 Defender > Prevenção contra Perda de Dados > Políticas. Selecione cada política que se aplica a locais do SharePoint e OneDrive. Revise a guia Locais para confirmar que a política cobre apenas os sites e bibliotecas que você pretende. Se uma política incluir todos os sites do SharePoint, ela pode bloquear arquivos em pastas de auditoria de compartilhamento externo que deveriam ser permitidos. - Examine as condições de cada regra de DLP
Clique no nome de uma política e selecione Editar política. Em Regras, clique no nome da regra. Revise a seção Condições. Procure tipos de informações confidenciais que são muito amplos. Por exemplo, se a regra usar Todos os tipos de informações confidenciais, restrinja a tipos específicos relevantes para sua organização. Remova tipos que provavelmente não aparecerão em arquivos legítimos de compartilhamento externo. - Ajuste os limites de nível de confiança e contagem de instâncias
No mesmo editor de regras, role até Contagem de instâncias e Precisão de correspondência. Aumente a contagem mínima de instâncias para 2 ou 3 para que uma única ocorrência de um padrão não dispare um bloqueio. Defina a precisão de correspondência para 75 ou mais para exigir uma correspondência mais forte antes que a regra seja aplicada. Essas alterações reduzem falsos positivos em arquivos que contêm dados incidentais que se assemelham a tipos confidenciais. - Adicione exceções para domínios externos confiáveis
Em Exceções na regra, adicione uma exceção para Compartilhado com e especifique o domínio ou domínios externos usados em suas auditorias. Por exemplo, se seu parceiro de auditoria usar auditpartner.com, adicione esse domínio como exceção. Isso permite uploads para usuários nesse domínio, mesmo que o arquivo contenha dados confidenciais. Certifique-se de que a exceção não entre em conflito com seus requisitos de segurança. - Defina a ação como apenas auditoria em vez de bloqueio
Na mesma regra, em Ações, altere a ação de Bloquear para Apenas auditoria para a regra específica que está causando falsos positivos. Isso mantém o alerta ativo para revisão, mas permite que o upload prossiga. Você pode revisar os alertas posteriormente na guia Alertas e decidir se uma ação adicional é necessária. - Teste a política com um arquivo de amostra
Crie um arquivo de teste que contenha o tipo de informação confidencial que sua regra visa. Faça upload dele para uma pasta do OneDrive compartilhada com o domínio do seu parceiro de auditoria. Verifique se o upload é bem-sucedido e se um alerta aparece na guia Alertas. Se o upload ainda estiver bloqueado, volte ao passo 3 e reduza ainda mais a sensibilidade. - Revise os alertas de DLP no portal de conformidade
Vá para Conformidade do Microsoft 365 > Prevenção contra Perda de Dados > Alertas. Filtre por Status = Ativo e Local = SharePoint Online. Revise cada alerta para confirmar se foi acionado por um arquivo legítimo ou um falso positivo. Para falsos positivos, anote o nome da regra e o nome do arquivo. Use esses dados para refinar as condições da regra. - Ative o log de auditoria para correspondências de regras de DLP
No Portal de conformidade > Auditoria, certifique-se de que o Log de auditoria esteja ativado. Pesquise por eventos DLPRuleMatch. Filtre pelo intervalo de datas dos uploads bloqueados. Isso fornece uma lista de todos os arquivos que acionaram uma regra de DLP. Cruze essa lista com seus registros de auditoria de compartilhamento externo para identificar quais bloqueios foram falsos positivos.
Se os Alertas de DLP Ainda Bloquearem Uploads Legítimos Após as Alterações na Política
A política de DLP se aplica a um conjunto de sites que inclui a pasta de auditoria
Se você restringiu o local da política a sites específicos, mas a pasta de auditoria está dentro de um desses sites, a política ainda se aplica. Crie uma política de DLP separada que exclua essa pasta. No editor de políticas, em Locais, escolha Escolher sites e depois Excluir sites específicos. Adicione a URL do site que contém a pasta de auditoria. Em seguida, crie uma segunda política com limites de sensibilidade mais baixos que se aplique apenas a essa pasta.
A auditoria de compartilhamento externo requer arquivos com dados confidenciais reais
Algumas auditorias exigem o upload de arquivos que contenham informações confidenciais reais para testar os controles de compartilhamento externo. Nesse caso, use uma conta dedicada do OneDrive for Business que seja excluída de todas as políticas de DLP. Crie um site ou pasta separado para fins de auditoria e configure uma substituição de política de DLP para esse local. Use a configuração Prioridade no editor de políticas para garantir que a política de substituição tenha precedência.
Os alertas de DLP não estão aparecendo no portal de conformidade
Se você definiu a ação como apenas auditoria, mas não vê alertas, verifique o Limite de alerta para a regra. No editor de regras, em Notificações do usuário, certifique-se de que Notificar usuários com uma dica de política esteja ativado. Verifique também Relatórios de incidentes e defina a opção Enviar alerta para o administrador para enviar alertas para cada correspondência. Vá para Conformidade > Prevenção contra Perda de Dados > Alertas e atualize a página.
Bloqueio de DLP vs Auditoria de DLP: Principais Diferenças para Compartilhamento Externo
| Item | Ação de Bloqueio de DLP | Ação de Apenas Auditoria de DLP |
|---|---|---|
| Efeito no upload | O upload do arquivo é impedido e o usuário vê uma mensagem de erro | O upload do arquivo é bem-sucedido e o usuário vê um aviso de dica de política |
| Entrada no log de auditoria | O evento DLPRuleMatch mostra a correspondência, mas nenhuma transferência de arquivo | O evento DLPRuleMatch mostra a correspondência e a transferência de arquivo é concluída |
| Geração de alerta | O alerta é gerado e pode ser visualizado na guia Alertas | O alerta é gerado e pode ser visualizado na guia Alertas |
| Notificação do usuário | Mensagem de bloqueio com dica de política opcional | Apenas dica de política, sem bloqueio |
| Caso de uso para auditorias | Não adequado para testar compartilhamento externo porque o arquivo nunca chega ao destino | Adequado para auditoria porque o arquivo chega ao destino e o alerta é registrado |
Após concluir este checklist, você pode identificar quais regras de DLP estão bloqueando uploads legítimos e ajustar suas condições, limites ou ações. Use o log de auditoria e os alertas de DLP para verificar se as alterações permitem que os arquivos necessários cheguem aos destinos de compartilhamento externo, enquanto ainda capturam correspondências de políticas para revisão. Para manter a segurança, considere configurar uma política de DLP separada para pastas de auditoria com exceções para domínios externos confiáveis. Revise os alertas de DLP semanalmente para detectar novos falsos positivos e atualizar as regras conforme necessário.