Suas políticas de Prevenção contra Perda de Dados (DLP) estão configuradas no Microsoft 365, mas os alertas para arquivos do OneDrive não são acionados quando dados confidenciais são compartilhados. Isso significa que incidentes de segurança envolvendo arquivos armazenados no OneDrive podem passar despercebidos, colocando sua organização em risco. A causa raiz geralmente é uma combinação de escopo de política incompleto, atribuições de licença ausentes e configurações de alerta incorretas. Este artigo fornece um checklist para auditar e corrigir a cobertura de DLP para arquivos do OneDrive, garantindo que nenhum incidente de segurança seja perdido.
Principais Conclusões: Corrigir Alertas de DLP para Arquivos do OneDrive
- Microsoft 365 Defender > Prevenção contra Perda de Dados > Políticas: Verifique se pelo menos uma política inclui os locais do OneDrive no Escopo e se a política não está limitada apenas ao Exchange ou SharePoint.
- Central de administração do Microsoft 365 > Cobrança > Licenças: Confirme que todos os usuários com arquivos no OneDrive possuem uma licença que inclua DLP, como Microsoft 365 E5, A5 ou o complemento DLP.
- Microsoft 365 Defender > Prevenção contra Perda de Dados > Alertas: Garanta que os limites de alerta não estejam muito altos e que as notificações por email estejam configuradas para os níveis de severidade que você deseja monitorar.
Por que os Alertas de DLP Não Detectam Arquivos do OneDrive
A DLP no Microsoft 365 examina conteúdo no Exchange Online, SharePoint Online, OneDrive e Microsoft Teams. Quando uma política é criada, o administrador deve incluir explicitamente o OneDrive no escopo da política. Se o OneDrive não for selecionado, os arquivos armazenados no OneDrive nunca serão avaliados por essa política. Essa é a razão mais comum pela qual os alertas de DLP não detectam arquivos do OneDrive.
Um segundo fator contribuinte é o licenciamento. As políticas de DLP exigem licenças específicas em cada conta de usuário. Sem a licença correta, o mecanismo de política não processa o conteúdo desse usuário, mesmo que o escopo da política inclua o OneDrive. Microsoft 365 E5, A5 e o complemento Microsoft 365 E5 Compliance incluem DLP. E3 e Business Premium não incluem DLP, a menos que um complemento seja adquirido.
Um terceiro fator é a configuração de alerta. Mesmo quando uma política corresponde a conteúdo confidencial no OneDrive, um alerta pode não ser gerado se o limite de alerta estiver definido para um número alto de correspondências ou se a severidade do alerta não atender aos critérios da regra de notificação. Cada política de DLP tem suas próprias configurações de alerta que devem ser revisadas separadamente.
Checklist de Auditoria para Restaurar Alertas de DLP para o OneDrive
Use as etapas a seguir para auditar e corrigir sua configuração de DLP para arquivos do OneDrive. Execute estas etapas na ordem listada para evitar perder qualquer dependência.
Etapa 1: Verificar a Atribuição de Licença DLP
- Abra a Central de administração do Microsoft 365
Vá para Cobrança > Licenças e selecione a guia Assinaturas. - Verifique o nome da assinatura
Procure uma assinatura que inclua DLP. As assinaturas elegíveis incluem Microsoft 365 E5, Microsoft 365 A5, complemento Microsoft 365 E5 Compliance e complemento Information Protection and Governance. Se você tiver apenas Microsoft 365 E3 ou Business Premium, a DLP não está incluída. - Confirme as atribuições de usuário
Selecione a assinatura elegível e clique em Usuários atribuídos. Verifique se todos os usuários que armazenam arquivos no OneDrive estão listados. Se um usuário estiver faltando, atribua a licença agora.
Etapa 2: Revisar o Escopo da Política de DLP
- Abra o Microsoft 365 Defender
Vá para Prevenção contra Perda de Dados > Políticas. - Selecione cada política
Clique no nome de uma política para abrir seus detalhes. Procure em Escopo e verifique se Contas do OneDrive está marcado. Se não estiver marcado, edite a política e adicione o OneDrive. - Verifique exclusões de local
No assistente de edição de política, vá para Locais e confirme que nenhuma conta do OneDrive está excluída. Se algum usuário ou grupo estiver excluído, remova essas exclusões ou crie uma política separada para os usuários excluídos.
Etapa 3: Verificar a Configuração de Alerta por Política
- Abra o assistente de edição de política
No Microsoft 365 Defender, navegue até Prevenção contra Perda de Dados > Políticas. Clique nos três pontos ao lado de uma política e selecione Editar. - Vá para a página de configurações de alerta
No assistente, encontre a seção chamada Configurações de alerta ou Relatórios de incidentes. Ative os alertas para o nível de severidade que você deseja detectar. Por exemplo, ative alertas para Alto, Médio e Baixo. - Defina o limite de alerta
Ajuste o número mínimo de correspondências de política necessárias para acionar um alerta. Para teste, defina como 1. Para produção, defina um valor que equilibre ruído com cobertura. - Adicione destinatários de notificação por email
Insira os endereços de email dos administradores de segurança que devem receber notificações de alerta. Clique em Salvar ou Avançar para aplicar as alterações.
Etapa 4: Testar a Detecção de DLP em um Arquivo do OneDrive
- Crie um arquivo de teste
Em uma conta de usuário de teste, crie um arquivo de texto contendo um tipo de informação confidencial, como um número de cartão de crédito no formato 4111-1111-1111-1111. Salve o arquivo no OneDrive do usuário. - Compartilhe o arquivo externamente
Compartilhe o arquivo com um endereço de email pessoal ou uma conta não corporativa. Isso aciona a ação da política de DLP. - Verifique o alerta
Aguarde até 15 minutos. Vá para Microsoft 365 Defender > Incidentes e alertas > Alertas. Pesquise pelo nome da política. Se nenhum alerta aparecer, volte para a Etapa 2 e Etapa 3 para confirmar o escopo da política e as configurações de alerta.
Se os Alertas de DLP Ainda Não Detectam Arquivos do OneDrive
Arquivos do OneDrive não são examinados devido a conflito de prioridade de política
Quando várias políticas de DLP se aplicam ao mesmo usuário, a política com a prioridade mais alta vence. Se uma política de prioridade mais alta bloquear o compartilhamento de arquivos sem gerar um alerta, a política de prioridade mais baixa nunca será executada. Revise a ordem de prioridade das políticas em Prevenção contra Perda de Dados > Políticas. Mova a política que deve gerar alertas para uma prioridade mais alta.
Alertas de DLP aparecem para o SharePoint, mas não para o OneDrive
Isso indica que o escopo da política inclui o SharePoint, mas exclui o OneDrive. Edite a política no portal do Microsoft 365 Defender e verifique a seção Locais. Certifique-se de que Contas do OneDrive esteja selecionado. Se você tiver várias políticas, repita essa verificação para cada uma.
Alertas são gerados, mas não entregues por email
Verifique as configurações de notificação por email na política. Na etapa de configuração de alerta, confirme se os endereços de email dos destinatários estão corretos. Verifique também se o servidor de email não está bloqueando mensagens do Microsoft 365. Use a opção Enviar email de teste, se disponível no assistente de política.
Escopo da Política de DLP vs. Requisitos de Licença: Principais Diferenças
| Item | Escopo da Política | Requisito de Licença |
|---|---|---|
| Definição | Quais serviços do Microsoft 365 a política monitora | Qual recurso de assinatura é necessário para que a DLP processe o conteúdo |
| Local de configuração | Microsoft 365 Defender > Prevenção contra Perda de Dados > Políticas > Editar > Locais | Central de administração do Microsoft 365 > Cobrança > Licenças > Atribuir usuários |
| Impacto no OneDrive | Se o OneDrive não for selecionado, nenhum arquivo do OneDrive será examinado | Se um usuário não tiver licença DLP, seus arquivos não serão examinados, mesmo que o OneDrive esteja no escopo |
| Erro comum | Administrador seleciona o SharePoint, mas esquece de marcar o OneDrive | Administrador assume que o E3 inclui DLP |
O escopo da política e o requisito de licença trabalham juntos. Ambos devem estar corretos para que os alertas de DLP sejam acionados em arquivos do OneDrive. Corrigir apenas um deles deixa a lacuna aberta.
Seguindo este checklist, você pode fechar a lacuna que faz com que os alertas de DLP não detectem arquivos do OneDrive. Comece confirmando que cada usuário possui uma licença elegível para DLP, depois verifique se cada política inclui o OneDrive em seu escopo e, finalmente, ajuste os limites de alerta conforme as necessidades da sua equipe de segurança. Para monitoramento contínuo, configure uma revisão semanal do escopo da política de DLP usando a guia de relatórios do Microsoft 365 Defender. Como etapa avançada, crie um usuário de teste com um arquivo confidencial conhecido no OneDrive e agende um teste automatizado mensal usando o recurso de detecção simulada de DLP do Microsoft 365.