Quando um investigador de RH faz upload de um arquivo confidencial de funcionário para o OneDrive for Business, uma política de Prevenção contra Perda de Dados pode bloquear incorretamente o upload e gerar um alerta falso positivo de DLP. Isso acontece quando a regra de DLP corresponde a tipos de informação confidenciais, como números de CPF ou contas bancárias, presentes em documentos legítimos de RH. Este artigo explica por que o DLP bloqueia uploads legítimos durante investigações de RH e fornece as etapas exatas para solucionar o alerta, isentar o investigador e evitar futuros falsos positivos sem enfraquecer sua postura de segurança.
Principais conclusões: Corrigir falsos positivos de DLP para uploads de RH
- Portal de conformidade do Microsoft Purview > Prevenção contra Perda de Dados > Políticas: Localize a política de DLP ativa que disparou o alerta e revise suas regras e condições.
- Explorador de atividades > Filtrar por usuário e caminho do arquivo: Confirme o arquivo e o usuário exatos que dispararam o alerta de DLP durante a investigação de RH.
- Política de DLP > Exclusões > Lista de usuários/grupos permitidos: Adicione a conta do investigador de RH ou um grupo de segurança dedicado para ignorar a verificação de DLP em uploads legítimos de RH.
Por que o DLP bloqueia uploads legítimos de RH no OneDrive for Business
As políticas de Prevenção contra Perda de Dados no Microsoft 365 usam análise de conteúdo para detectar tipos de informação confidenciais, como números de cartão de crédito, CPF e números de passaporte. Quando um investigador de RH faz upload de uma avaliação de desempenho, carta de demissão ou formulário de benefícios, esse arquivo geralmente contém um ou mais desses tipos de dados confidenciais. O mecanismo de DLP não consegue distinguir entre uma tentativa maliciosa de exfiltração de dados e uma operação legítima de RH, a menos que você configure isenções explícitas.
O comportamento padrão da política de DLP para o OneDrive é bloquear o upload e enviar um alerta para a equipe de conformidade. Isso cria um falso positivo que desperdiça o tempo do investigador e atrasa o caso de RH. A causa raiz não é um bug, mas a falta de uma regra de exclusão para funções confiáveis. O Microsoft 365 não isenta automaticamente os investigadores de RH da verificação de DLP porque não pode inferir a função do trabalho apenas com base nos atributos da conta.
Além disso, as políticas de DLP que usam o limite de detecção Alto volume podem ser acionadas por um único arquivo se ele contiver várias instâncias confidenciais, como uma planilha com 100 CPFs de funcionários. Os investigadores de RH costumam fazer upload em lote desses arquivos, o que aumenta a chance de um falso positivo.
Etapas para solucionar e resolver falsos positivos de DLP em uploads de RH
Siga estas etapas em ordem. Você precisa de permissões de Administrador Global ou Administrador de Conformidade no Microsoft 365.
- Identifique a política de DLP que disparou o alerta
Abra o portal de conformidade do Microsoft Purview emhttps://compliance.microsoft.com. Vá para Prevenção contra Perda de Dados > Alertas. Encontre o alerta relacionado ao upload de RH bloqueado. Clique no alerta para abrir seus detalhes. O nome da política aparece no campo Política. Anote o nome da política. - Revise os tipos de informação confidenciais correspondentes
No mesmo painel de detalhes do alerta, role até Itens correspondentes. Expanda a entrada do arquivo para ver quais tipos de informação confidenciais foram detectados. Correspondências comuns em arquivos de RH incluem CPF, Número de Roteamento ABA e Número de Conta Bancária. Anote o tipo exato de informação confidencial. - Confirme que o arquivo é conteúdo legítimo de RH
Abra o Explorador de atividades no portal de conformidade. Filtre por Usuário e insira o nome do investigador de RH. Filtre por Caminho do arquivo e cole o caminho completo do OneDrive do alerta. Verifique se o nome e o local do arquivo correspondem ao fluxo de trabalho esperado da investigação de RH. Se o arquivo for realmente relacionado a RH, prossiga para criar uma exclusão. - Crie uma exclusão de política de DLP para investigadores de RH
No portal de conformidade, vá para Prevenção contra Perda de Dados > Políticas. Selecione a política identificada na etapa 1. Clique em Editar política. Na página Locais, certifique-se de que Contas do OneDrive esteja selecionado. Na página Regras, selecione a regra que disparou o alerta. Clique em Editar regra. Role até Exclusões. Em Excluir determinados usuários e grupos, clique em Adicionar um usuário ou grupo. Insira a conta do investigador de RH ou um grupo de segurança que contenha todos os investigadores de RH. Clique em Adicionar. Salve a regra e a política. - Teste a exclusão refazendo o upload do arquivo
Peça ao investigador de RH para fazer upload novamente do mesmo arquivo para a mesma pasta do OneDrive. O upload deve ser concluído sem bloqueio de DLP. Se o bloqueio persistir, aguarde 15 minutos para a replicação da política e tente novamente. Se ainda assim bloquear, verifique se o usuário foi adicionado corretamente à lista de exclusão e se nenhuma outra política de DLP está correspondendo ao arquivo. - Reduza o ruído de alertas com um limite de gravidade mais baixo
Se quiser manter a verificação de DLP ativa para RH, mas reduzir o volume de alertas falsos, edite a regra e altere Gravidade de Alta para Baixa ou Média. Isso impede que o alerta apareça na fila de alertas de alta prioridade, mas ainda registra o evento no Explorador de atividades para fins de auditoria.
Se os alertas de DLP ainda aparecerem após a correção principal
Várias políticas de DLP correspondem ao mesmo upload
Seu locatário pode ter mais de uma política de DLP aplicada ao OneDrive. A exclusão adicionada a uma política não afeta as outras. Use o Explorador de atividades para identificar todas as políticas que corresponderam ao arquivo. Execute o seguinte comando do PowerShell como Administrador Global para listar todas as políticas de DLP aplicadas ao OneDrive:
Get-DlpCompliancePolicy | Where-Object {$_.ExchangeLocation -ne $null -or $_.OneDriveLocation -ne $null}
Adicione a exclusão do investigador de RH a cada política correspondente usando as mesmas etapas descritas acima.
A política de DLP usa um tipo de informação confidencial personalizado muito amplo
Se sua organização criou um tipo de informação confidencial personalizado para números de identificação de funcionários ou códigos de folha de pagamento, ele pode corresponder a arquivos legítimos de RH. Abra o tipo de informação confidencial personalizado em Classificação de dados > Tipos de informação confidenciais. Revise o padrão e o nível de confiança. Aumente o nível mínimo de confiança de 75 para 85 ou 90 para reduzir correspondências falsas. Como alternativa, adicione uma exclusão de palavra-chave como “Investigação de RH” ou “RH Confidencial” à regra de DLP.
O investigador de RH está usando um dispositivo compartilhado ou não gerenciado
As políticas de DLP podem ser configuradas para bloquear uploads de dispositivos não gerenciados, independentemente do usuário. Verifique a condição da regra Dispositivo não gerenciado pelo Microsoft Intune ou Dispositivo não está em conformidade. Se o investigador usar um laptop pessoal, o upload será bloqueado mesmo que o usuário esteja excluído. A solução é exigir que o investigador use um dispositivo gerenciado ou remover a condição de dispositivo da regra de DLP para o escopo de exclusão de RH.
Exclusão de política de DLP vs. Substituição de política de DLP: principais diferenças
| Item | Exclusão de política de DLP | Substituição de política de DLP |
|---|---|---|
| Descrição | Isenta permanentemente um usuário ou grupo da verificação de DLP para uma política específica | Permite que um usuário ignore um bloqueio de DLP no momento do upload com uma justificativa comercial |
| Local de configuração | Regra da política de DLP > Exclusões > Excluir determinados usuários e grupos | Regra da política de DLP > Notificações ao usuário > Notificar usuários quando uma ação for tomada |
| Interação do usuário necessária | Nenhuma após a configuração | O usuário deve selecionar um motivo em uma lista suspensa no momento do upload |
| Trilha de auditoria | Nenhum evento gerado para uploads excluídos | Motivo da substituição registrado no Explorador de atividades |
| Melhor para investigações de RH | Sim, quando os mesmos usuários fazem upload repetidamente de arquivos confidenciais de RH | Não, porque exige ação do usuário e cria uma lacuna de auditoria se o usuário ignorar o prompt |
Use o método de exclusão para investigadores de RH que lidam com arquivos confidenciais como parte de seu fluxo de trabalho diário. Use o método de substituição para cenários pontuais em que um funcionário não-RH precisa fazer upload temporário de um arquivo confidencial.
Após configurar a exclusão, verifique a correção fazendo com que o investigador de RH faça upload de um arquivo de teste contendo dados confidenciais de amostra, como um CPF falso do conjunto de dados de teste da Microsoft. Confirme se o upload é bem-sucedido e se nenhum novo alerta aparece na fila de alertas de DLP em até 30 minutos.
Para monitoramento contínuo, crie uma política de alerta de DLP personalizada que seja acionada apenas quando um usuário não excluído fizer upload de um arquivo com dados confidenciais de RH. Isso mantém a equipe de RH produtiva enquanto mantém a cobertura de DLP para o restante da organização. Use o filtro Usuário não está no grupo de segurança do Explorador de atividades para criar esse alerta.