Checklist do Administrador do OneDrive: Alertas de DLP bloqueiam uploads legítimos para investigações de RH
🔍 WiseChecker

Checklist do Administrador do OneDrive: Alertas de DLP bloqueiam uploads legítimos para investigações de RH

Como administrador do OneDrive, você pode receber alertas de Prevenção contra Perda de Dados (DLP) quando funcionários de RH fazem upload de arquivos confidenciais de investigação. Esses alertas podem bloquear ou colocar em quarentena arquivos legítimos, causando interrupções no fluxo de trabalho e atrasos. Isso ocorre porque as políticas de DLP são configuradas para detectar tipos de informações confidenciais, como números de CPF ou dados financeiros, que os documentos de RH frequentemente contêm. Este artigo fornece um checklist para identificar alertas de DLP falso-positivos, ajustar regras de política e garantir que as investigações de RH prossigam sem bloqueios desnecessários.

Principais conclusões: Resolvendo falsos positivos de DLP para investigações de RH

  • Microsoft 365 Defender > Políticas de DLP > Configurações da política: Ajuste os limites de sensibilidade ou adicione uma substituição de política para grupos específicos de usuários de RH.
  • Central de administração do OneDrive > Compartilhamento > Sincronização: Desabilite a sincronização para sites do SharePoint de RH se a verificação de DLP durante a sincronização causar alertas falsos.
  • Portal de conformidade do Microsoft Purview > DLP > Dicas de política: Ative dicas de política para usuários finais para que os funcionários de RH possam substituir bloqueios com uma justificativa comercial.

ADVERTISEMENT

Por que os alertas de DLP bloqueiam uploads legítimos de RH

As políticas de Prevenção contra Perda de Dados no Microsoft 365 verificam arquivos em busca de tipos de informações confidenciais. Quando um investigador de RH faz upload de um arquivo contendo números de CPF de funcionários, detalhes de contas bancárias ou informações médicas, o DLP pode classificar o arquivo como uma violação. A ação padrão para correspondências de alta confiança é bloquear o upload e notificar o administrador.

A causa raiz é que as políticas de DLP geralmente são criadas com regras amplas que se aplicam a todos os usuários e todos os locais. Os departamentos de RH lidam rotineiramente com arquivos que contêm exatamente os tipos de dados que o DLP foi projetado para proteger. Sem exceções para grupos de usuários ou processos de negócios específicos, esses arquivos disparam alertas e bloqueios.

Níveis de sensibilidade do DLP e falsos positivos

Cada regra de DLP tem um nível de confiança baseado no número e na proximidade das correspondências de dados confidenciais. Um arquivo com 10 ou mais números de CPF, por exemplo, dispara uma correspondência de alta confiança. Arquivos de RH que listam vários funcionários em uma planilha excederão esse limite. O sistema não distingue entre um registro legítimo de RH e uma tentativa não autorizada de exfiltração de dados.

Escopo da política e lacunas de exclusão

Muitas organizações aplicam políticas de DLP a todos os sites do SharePoint e contas do OneDrive. Sites específicos de RH geralmente são incluídos no mesmo escopo da política. Sem exclusões explícitas para coleções de sites de RH ou grupos de usuários, todos os uploads para esses locais estão sujeitos às mesmas regras. Isso cria uma situação em que o trabalho legítimo de RH é bloqueado por controles de segurança projetados para outros departamentos.

Checklist para impedir que o DLP bloqueie uploads legítimos de RH

Use este checklist para auditar e ajustar sua configuração de DLP. Cada item aborda uma causa específica de bloqueios falso-positivos.

  1. Identifique a política de DLP que está causando o bloqueio
    Abra o portal de conformidade do Microsoft Purview. Vá para Prevenção contra Perda de Dados > Políticas. Revise a política que disparou o alerta. Anote o nome da política, o nome da regra e os tipos de informações confidenciais que ela verifica. Exemplo: CPF (Brasil) ou Número de Cartão de Débito da UE.
  2. Revise os detalhes do alerta no Microsoft 365 Defender
    Vá para Microsoft 365 Defender > Incidentes e alertas. Localize o alerta para o upload de RH bloqueado. Examine os tipos de dados correspondentes e o nível de confiança. Isso informa qual regra foi acionada e se a correspondência foi de alta ou baixa confiança.
  3. Crie uma política de DLP específica para RH com sensibilidade menor
    No portal de conformidade do Purview, crie uma nova política de DLP. Nomeie-a como Arquivos de Investigação de RH. Defina o escopo para o site do SharePoint de RH e as contas do OneDrive de RH. Escolha um limite mais alto, como 50 instâncias de um tipo confidencial, antes de disparar um bloqueio. Isso permite que arquivos pequenos de RH passem, enquanto ainda detecta vazamentos de dados em massa.
  4. Adicione uma opção de substituição para usuários de RH
    Na mesma política, em Notificações do usuário, ative as dicas de política. Selecione a opção para permitir que os usuários substituam o bloqueio com uma justificativa comercial. Os funcionários de RH podem então fazer upload de arquivos e inserir um motivo como “Arquivo de investigação de funcionário”. Isso cria uma trilha de auditoria sem interromper o trabalho.
  5. Exclua a coleção de sites de RH da política de DLP padrão
    Edite a política de DLP existente que bloqueia uploads. Em Locais, remova o site do SharePoint de RH e as contas do OneDrive de RH. Mantenha a política padrão ativa para todos os outros sites. Os arquivos de RH serão então regidos apenas pela política personalizada que você criou.
  6. Teste a nova política com um arquivo de RH de exemplo
    Peça a um usuário de RH que faça upload de um arquivo de teste contendo dados confidenciais fictícios. Confirme se o arquivo é carregado sem bloqueio. Se o bloqueio persistir, reduza o limite de sensibilidade ou adicione o usuário a um grupo de exceção.
  7. Monitore alertas de DLP para falsos positivos residuais
    Após aplicar as alterações, monitore a guia de alertas no Microsoft 365 Defender por uma semana. Procure por bloqueios contínuos de usuários de RH. Ajuste os limites da política personalizada conforme necessário.

ADVERTISEMENT

Se o DLP ainda bloquear uploads legítimos

As dicas de política de DLP não estão aparecendo para usuários de RH

As dicas de política exigem que o usuário esteja usando a sincronização do OneDrive ou o navegador da web. Se as dicas não estiverem aparecendo, verifique se o usuário está conectado ao OneDrive com uma conta corporativa e se a configuração de dica de política está ativada no nível da regra. Na regra de DLP, em Notificações do usuário, defina Notificar usuários com uma dica de política como Ativado e selecione a regra relevante.

O site de RH ainda está sendo verificado pela política padrão

As políticas de DLP se aplicam a todos os locais, a menos que sejam explicitamente excluídas. Se o site de RH fizer parte de uma coleção de sites mais ampla, adicione uma exclusão para a URL do subsite de RH. Na política, em Locais > Sites do SharePoint, escolha Incluir e depois Excluir sites específicos. Insira a URL do site de RH.

O DLP bloqueia uploads por sincronização, mas não por upload na web

O cliente de sincronização do OneDrive verifica arquivos de forma diferente do upload na web. Se os uploads por sincronização forem bloqueados, mas os uploads na web forem bem-sucedidos, o cliente de sincronização pode estar usando um método de detecção de DLP diferente. Na central de administração do OneDrive, em Sincronização, desabilite a sincronização para o site do SharePoint de RH. Instrua os usuários de RH a fazer upload de arquivos através do navegador da web. Esta é uma solução temporária enquanto você ajusta as regras de DLP.

Ações da política de DLP para arquivos de RH: Bloquear vs. Substituir vs. Auditar

Item Ação de bloqueio Substituir com justificativa Apenas auditar
Descrição O upload do arquivo é impedido e o usuário vê um erro O upload do arquivo é bem-sucedido após o usuário fornecer um motivo O upload do arquivo é bem-sucedido e um alerta é enviado ao administrador
Melhor para Dados de alto risco sem necessidade comercial Investigações de RH onde os dados são confidenciais, mas necessários Dados de baixa sensibilidade que precisam de monitoramento
Experiência do usuário Bloqueado sem opção de prosseguir Solicitado a inserir um motivo Nenhuma interrupção
Trilha de auditoria Alerta no Microsoft 365 Defender Alerta mais texto de justificativa Apenas alerta
Configuração Definir ação como bloquear Ativar dicas de política e definir opção de substituição Definir ação como notificar apenas

Para investigações de RH, a opção Substituir com justificativa oferece o melhor equilíbrio entre segurança e usabilidade. Ela permite que o upload prossiga enquanto registra o motivo para auditorias de conformidade.

Conclusão

Agora você pode identificar qual política de DLP está bloqueando uploads legítimos de RH e ajustá-la usando o checklist. Comece revisando o alerta no Microsoft 365 Defender, depois crie uma política de DLP personalizada para o site de RH com um limite de sensibilidade mais alto e capacidade de substituição. O recurso de substituição por dica de política no Microsoft Purview é a maneira mais direta de permitir que os funcionários de RH justifiquem seus uploads. Para gerenciamento contínuo, monitore os alertas de DLP semanalmente e ajuste os limites à medida que novos tipos de dados confidenciais forem adicionados ao seu ambiente.

ADVERTISEMENT