Sua equipe de conformidade vê alertas DLP para arquivos enviados ao OneDrive que parecem falsos positivos. Documentos comerciais legítimos, como contratos assinados, materiais de marketing ou planilhas internas, disparam alertas e são bloqueados. Isso acontece quando as políticas DLP têm escopo muito amplo, os tipos de informação confidenciais estão mal configurados ou lacunas de treinamento do usuário causam violações acidentais de política. Este artigo explica por que uploads legítimos são bloqueados, como revisar os detalhes do alerta DLP no portal de conformidade do Microsoft 365 e como refinar as políticas para que ameaças reais sejam detectadas sem interromper o trabalho normal.
Principais conclusões: Resolvendo alertas DLP de falso positivo para OneDrive
- Portal de conformidade do Microsoft 365 > Prevenção contra perda de dados > Políticas: Revise as regras, condições e ações de cada política DLP para identificar escopo excessivamente amplo ou tipos de informação confidenciais mal configurados.
- Explorador de atividades no portal de conformidade: Filtre por carga de trabalho OneDrive para ver todas as atividades correspondentes e determinar se a correspondência foi um verdadeiro positivo ou falso positivo.
- Dicas de política e notificações ao usuário: Ative a substituição pelo usuário final com justificativa para permitir que os usuários enviem arquivos legítimos enquanto registram a ação para auditoria.
Por que o DLP bloqueia uploads legítimos no OneDrive
As políticas de Prevenção contra perda de dados examinam arquivos enviados ao OneDrive em busca de informações confidenciais, como números de cartão de crédito, IDs de passaporte ou dados financeiros confidenciais. Quando uma política encontra uma correspondência, ela pode bloquear o upload, enviar um alerta ou ambos. A causa raiz dos falsos positivos é quase sempre uma incompatibilidade entre as regras de detecção da política e o conteúdo real dos arquivos comerciais legítimos.
Os gatilhos comuns incluem:
- Tipos de informação confidenciais muito amplos: Uma política que visa padrões genéricos como “Número de Seguro Social dos EUA” pode sinalizar acidentalmente um arquivo que contém um código de projeto de 9 dígitos ou um ID de funcionário que segue o mesmo formato.
- Níveis de confiança incorretos: O DLP usa níveis de confiança alto, médio e baixo. Um nível de confiança baixo captura mais arquivos, mas também gera mais falsos positivos.
- Escopo inclui todos os usuários e todos os sites: Quando uma política se aplica a todas as contas do OneDrive e sites do SharePoint sem exceções, ela captura tudo, incluindo dados de teste, documentos arquivados e rascunhos compartilhados.
- Nenhuma regra de exceção para conteúdo aprovado: Políticas que não isentam arquivos de departamentos específicos, aplicativos confiáveis ou tipos de documento seguros conhecidos bloquearão esses arquivos todas as vezes.
- Erro do usuário ou treinamento insuficiente: Um usuário pode incluir um número de cartão de crédito de amostra em um manual de treinamento ou incorporar um SSN de teste em um log de desenvolvimento, acionando a política.
Os alertas DLP são gerados quando a ação da política é definida como “Bloquear” ou “Bloquear com substituição”. O alerta é armazenado no portal de conformidade e pode ser revisado pelos administradores de conformidade. O objetivo da solução de problemas não é desabilitar o DLP, mas ajustar a política para que ela bloqueie a exfiltração real de dados enquanto permite que arquivos comerciais comuns passem.
Etapas para investigar e corrigir alertas DLP de falso positivo
Método 1: Revisar os detalhes do alerta DLP no portal de conformidade
- Abra o portal de conformidade do Microsoft 365
Acesse https://compliance.microsoft.com e faça login com uma conta que tenha a função de Administrador de Conformidade ou Gerenciamento de Conformidade DLP. - Navegue até Alertas > Alertas DLP
No menu de navegação esquerdo, selecione Alertas e depois Alertas DLP. Uma lista de todos os alertas DLP aparece, ordenada por data com os mais recentes primeiro. - Selecione o alerta de falso positivo
Clique no alerta correspondente ao upload legítimo bloqueado. O painel de detalhes do alerta é aberto mostrando o nome do arquivo, o usuário que fez o upload, o tipo de informação confidencial correspondente e a política que o acionou. - Examine o conteúdo correspondente
Role até a seção Conteúdo correspondente. Isso mostra o texto exato que acionou a política. Se o texto correspondente for um código de projeto, dado de teste ou um número benigno, é um falso positivo. - Verifique os detalhes da regra da política
Clique em Ver política para abrir a política DLP que gerou o alerta. Observe o nome da regra, as condições e as ações. Procure o tipo de informação confidencial e o nível de confiança usados.
Método 2: Usar o Explorador de Atividades para auditar o upload
- Abra o Explorador de atividades
No portal de conformidade, vá para Classificação de dados > Explorador de atividades. - Filtre por carga de trabalho OneDrive
Use a barra de filtros na parte superior. Defina Carga de trabalho como OneDrive e defina um intervalo de datas que cubra o momento do alerta de falso positivo. - Localize o evento específico
Role a lista ou use a caixa de pesquisa para encontrar o nome do arquivo. Clique no evento para ver os detalhes, incluindo o tipo de informação confidencial correspondente, o nível de confiança e a regra que acionou a correspondência. - Compare o evento com o alerta
Confirme se o conteúdo correspondente no Explorador de atividades corresponde ao que você viu no alerta DLP. Se o conteúdo for legítimo, prossiga para ajustar a política.
Método 3: Refinar a política DLP para eliminar falsos positivos
- Edite a política DLP
No portal de conformidade, vá para Prevenção contra perda de dados > Políticas. Selecione a política que causou o falso positivo e clique em Editar política. - Ajuste o limite do tipo de informação confidencial
Na regra que acionou o alerta, aumente o nível de confiança exigido de baixo para médio ou alto. Isso reduz o número de arquivos que correspondem ao padrão. - Adicione uma exceção para conteúdo seguro conhecido
Em Regras DLP avançadas, adicione uma condição que exclua arquivos de sites, extensões de arquivo ou rótulos específicos. Por exemplo, exclua arquivos rotulados como “Interno” ou arquivos do site do SharePoint “Marketing”. - Ative a substituição pelo usuário com justificativa
Nas configurações de ação da política, altere a ação de Bloquear para Bloquear com substituição. Isso permite que os usuários enviem o arquivo e insiram uma justificativa comercial. A substituição é registrada e pode ser auditada posteriormente. - Teste a política com um escopo pequeno
Defina o escopo da política para um grupo de teste de usuários ou um site específico do OneDrive. Faça upload de um arquivo que anteriormente acionava um falso positivo para confirmar que a política não o bloqueia mais. - Monitore os alertas após a alteração
Aguarde de 24 a 48 horas para que a política seja aplicada a todos os usuários. Verifique a lista de alertas DLP e o Explorador de atividades em busca de novos falsos positivos. Se nenhum aparecer, expanda gradualmente o escopo da política.
Se os alertas DLP continuarem após o refinamento da política
A política ainda bloqueia um arquivo que contém um ID de cliente legítimo
Alguns tipos de informação confidenciais como “Token de Acesso do Cliente do Azure AD” ou “String de Conexão do Azure SQL” usam padrões que se sobrepõem a IDs comerciais padrão. Para corrigir isso, crie um tipo de informação confidencial personalizado que defina o formato exato dos seus IDs de cliente. Em seguida, modifique a regra DLP para usar seu tipo personalizado em vez do tipo interno. Isso oferece controle total sobre o padrão de detecção.
A política bloqueia uploads de usuários de um departamento específico
Se o departamento de RH envia regularmente arquivos contendo IDs de funcionários que se parecem com números de Seguro Social, adicione uma regra de exceção para o site do SharePoint do RH ou grupo de usuários do RH. Na regra da política DLP, em Exceções, adicione Site é e selecione a URL do site do RH. Isso impede que a regra seja aplicada a arquivos do RH enquanto ainda protege outros departamentos.
Os usuários não podem substituir o bloqueio mesmo com justificativa
A opção de substituição só aparece quando a ação da política está definida como Bloquear com substituição e o usuário vê uma dica de política. Verifique se as dicas de política estão ativadas na regra. Vá para Notificações do usuário na regra da política e certifique-se de que Notificar usuários em aplicativos do Office 365 com uma dica de política esteja marcado. Confirme também se o usuário tem a permissão correta para substituir. A substituição exige a função Administrador de Conformidade ou Administrador de Proteção de Informações por padrão, mas você pode alterar isso nas configurações da política em Substituir a regra.
Ações do alerta DLP: Bloquear vs Bloquear com Substituição vs Apenas Auditoria
| Item | Bloquear | Bloquear com Substituição | Apenas Auditoria |
|---|---|---|---|
| Efeito no upload | O upload do arquivo é impedido, o usuário vê erro | O upload do arquivo é impedido a menos que o usuário substitua com justificativa | O upload do arquivo é bem-sucedido, sem notificação ao usuário |
| Geração de alerta | Alerta gerado para cada bloqueio | Alerta gerado para bloqueio e para substituição | Alerta gerado apenas se configurado |
| Melhor caso de uso | Dados altamente confidenciais que nunca devem sair do locatário | Dados confidenciais que às vezes podem ser legítimos, com trilha de auditoria | Dados de baixo risco que precisam de monitoramento, mas não de bloqueio |
| Experiência do usuário | Frustrante se for falso positivo | Permite uploads legítimos com responsabilidade | Sem atrito para o usuário |
| Auditoria de conformidade | Registro claro de tentativa de exfiltração | Mostra quem substituiu e por quê | Mostra todos os uploads que corresponderam à regra |
Para a maioria das equipes de conformidade, Bloquear com substituição é o padrão recomendado para políticas DLP do OneDrive. Ele equilibra segurança e produtividade. Os usuários podem concluir seu trabalho enquanto a equipe de conformidade revisa as justificativas de substituição no Explorador de atividades. Mude para Bloquear apenas para políticas que visam tipos de dados de altíssimo risco, como documentos governamentais classificados ou resultados financeiros não divulgados.
Agora você pode identificar alertas DLP de falso positivo, refinar políticas para reduzir ruídos e configurar opções de substituição para que uploads legítimos não sejam bloqueados. Em seguida, revise suas políticas DLP existentes e altere aquelas que usam a ação “Bloquear” para “Bloquear com substituição” para o OneDrive. Um próximo passo concreto é criar uma política de teste que tenha como alvo um pequeno grupo de usuários e um único tipo de informação confidencial, depois monitore o Explorador de atividades por 48 horas antes de implementá-la em todo o locatário.