Quando sua equipe de conformidade configura políticas de Prevenção contra Perda de Dados no Microsoft 365, os alertas DLP devem ser disparados quando conteúdo confidencial é detectado em arquivos do OneDrive for Business. Mas às vezes os alertas nunca disparam ou perdem arquivos que claramente contêm números de cartão de crédito, CPF ou outros dados confidenciais. Esse problema geralmente vem de uma incompatibilidade entre como a política DLP é definida, como o OneDrive sincroniza metadados de arquivos ou como a política avalia os tipos de arquivo. Este artigo explica as causas raiz por trás de alertas DLP perdidos no OneDrive e fornece à sua equipe de conformidade as etapas exatas para diagnosticar e corrigir as falhas.
Principais conclusões: corrigindo alertas DLP que perdem arquivos do OneDrive
- Portal de conformidade do Microsoft Purview > Prevenção contra Perda de Dados > Políticas: Verifique se sua política DLP inclui locais do OneDrive e o escopo correto de usuário ou grupo.
- Política > Locais > Contas do OneDrive: Confirme se a política tem como alvo as URLs corretas do OneDrive ou coleções de sites, não apenas o SharePoint.
- Política > Regras > Condições > O conteúdo contém: Confirme se os tipos de informações confidenciais estão habilitados e se a ação da regra está configurada para gerar um alerta.
Por que os alertas DLP perdem arquivos do OneDrive
As políticas de Prevenção contra Perda de Dados no Microsoft 365 verificam conteúdo no Exchange, SharePoint, OneDrive e Teams. Quando um alerta DLP perde um arquivo do OneDrive, a causa raiz é quase sempre uma de três coisas: a política não está definida para o local correto do OneDrive, o tipo de arquivo não é suportado pela verificação DLP ou a regra da política não está configurada para disparar um alerta para o tipo específico de informação confidencial. O OneDrive sincroniza metadados e conteúdo de arquivos para o Microsoft 365 em intervalos, portanto, arquivos recém-criados ou modificados podem levar até 24 horas para serem verificados pelo DLP. Além disso, arquivos armazenados apenas localmente no dispositivo de um usuário e não sincronizados com a nuvem são invisíveis para as políticas DLP.
Escopo da política e incompatibilidade de local
Uma política DLP deve incluir explicitamente o OneDrive for Business como um local. Muitas equipes de conformidade criam uma política que tem como alvo o SharePoint e o Exchange, mas esquecem de adicionar o OneDrive. Mesmo quando o OneDrive é selecionado, a política pode ser definida para usuários ou grupos específicos. Se um usuário que armazena arquivos confidenciais no OneDrive não estiver incluído no escopo da política, seus arquivos não dispararão alertas.
Tipos de arquivo não suportados
O DLP no Microsoft 365 verifica o conteúdo de tipos de arquivo comuns, como documentos do Word (.docx), planilhas do Excel (.xlsx), apresentações do PowerPoint (.pptx), PDFs e arquivos de texto. Mas alguns tipos de arquivo não são verificados quanto ao conteúdo. Por exemplo, arquivos de imagem (.jpg, .png), arquivos compactados (.zip) e arquivos executáveis (.exe) não são inspecionados pelo DLP. Se um usuário incorporar dados confidenciais dentro de um tipo de arquivo não suportado, nenhum alerta será disparado.
Verificação DLP lenta ou propagação de política
Após a criação ou modificação de uma política DLP, pode levar até 24 horas para que a política se propague para todos os sites do OneDrive. Durante essa janela, arquivos que contêm dados confidenciais não dispararão alertas. Da mesma forma, quando um usuário envia um novo arquivo para o OneDrive, a verificação DLP pode não ser executada imediatamente. O arquivo deve ser indexado pelo Microsoft 365 antes que o DLP o avalie. A indexação pode levar de minutos a horas, dependendo do tamanho do arquivo e da carga do servidor.
Etapas para diagnosticar e corrigir alertas DLP perdidos no OneDrive
- Abra o portal de conformidade do Microsoft Purview
Acesse https://compliance.microsoft.com e faça login com uma conta que tenha a função de Administrador de Conformidade ou Gerenciamento de Conformidade DLP. - Navegue até Prevenção contra Perda de Dados > Políticas
Selecione a política DLP que você suspeita estar perdendo arquivos do OneDrive. Se você tiver várias políticas, verifique cada uma que deve se aplicar ao OneDrive. - Verifique a guia Locais
Clique no nome da política e selecione Locais. Certifique-se de que Contas do OneDrive esteja ativado. Se estiver desativado, ative-o. Se estiver ativado, clique em Escolher contas e confirme se as URLs corretas do OneDrive do usuário estão listadas. Você pode adicionar URLs específicas do OneDrive do usuário inserindo a URL completa, por exemplo:https://contoso-my.sharepoint.com/personal/usuario_contoso_com. - Verifique a guia Regras
Role até Regras. Clique na regra que deve detectar dados confidenciais. Em Condições, verifique se O conteúdo contém está definido para os tipos corretos de informações confidenciais, como Número de Cartão de Crédito ou CPF. Verifique também se Ações inclui Gerar um alerta ou Enviar notificação. - Teste com um arquivo confidencial conhecido
Crie um arquivo de teste no OneDrive de um usuário monitorado. Por exemplo, crie um documento do Word que contenha um número de cartão de crédito de teste: 4111 1111 1111 1111. Salve o arquivo e aguarde pelo menos 15 minutos. Em seguida, vá para Prevenção contra Perda de Dados > Alertas no portal do Purview. Filtre pelo nome da política. Se nenhum alerta aparecer, o escopo da política ou a regra ainda estão mal configurados. - Verifique as exclusões de tipo de arquivo na política DLP
Nas condições da regra, procure por O tipo de arquivo não é ou A extensão do arquivo não é. Essas exclusões podem impedir que o DLP verifique determinados tipos de arquivo. Remova quaisquer exclusões que bloqueiem os tipos de arquivo com os quais seus usuários trabalham, como .docx ou .xlsx. - Aguarde a propagação da política
Se você acabou de fazer alterações na política, aguarde 24 horas e execute o teste novamente. Use a coluna Status da política para ver se a política ainda está sendo aplicada. Um status de Aplicando significa que a propagação não foi concluída.
Se os alertas DLP ainda perderem arquivos do OneDrive após a correção principal
Alerta DLP é gerado, mas não está visível no painel de Alertas
Às vezes, o alerta é criado, mas filtrado por gravidade ou status. No portal do Purview, vá para Prevenção contra Perda de Dados > Alertas. Limpe qualquer filtro de gravidade ou status. Procure alertas com status Ativo ou Descartado. Se ainda assim não vir nada, verifique o Log de auditoria no portal do Purview. Pesquise pela atividade do usuário e filtre por DLPRuleMatch. Esse evento aparece somente se a regra DLP correspondeu ao conteúdo, mesmo que nenhum alerta tenha sido configurado.
Arquivo do OneDrive é compartilhado externamente, mas o DLP não detecta
As políticas DLP para o OneDrive podem ser configuradas para detectar quando um arquivo contendo dados confidenciais é compartilhado com usuários externos. Na regra, em Condições, adicione O conteúdo é compartilhado com e selecione Pessoas fora da minha organização. Sem essa condição, o DLP não gerará um alerta para compartilhamento externo de arquivos confidenciais.
Arquivo está armazenado em uma pasta pessoal que não está sincronizada
O DLP verifica apenas arquivos armazenados no local do OneDrive na nuvem do usuário. Se o usuário salvar um arquivo confidencial em uma pasta local que não está sincronizada com o OneDrive, o DLP nunca o verá. Instrua os usuários a salvar arquivos dentro da pasta do OneDrive ou configure o Known Folder Move para fazer backup automático da Área de Trabalho, Documentos e Imagens para o OneDrive.
Escopo da política DLP vs. Condições da regra DLP: principais diferenças
| Item | Escopo da política (Locais) | Condições da regra (Conteúdo) |
|---|---|---|
| O que controla | Quais contas e usuários do OneDrive são monitorados | Quais tipos de dados confidenciais e tipos de arquivo disparam um alerta |
| Exemplo de configuração | Contas do OneDrive = Todos os usuários ou URLs de usuário específicas | O conteúdo contém CPF E A extensão do arquivo é .docx |
| Erro comum | Local do OneDrive está desativado ou o usuário não está incluído | Tipo de informação confidencial está ausente ou a ação de alerta não está habilitada |
| Como verificar | Vá para Política > Locais > Contas do OneDrive | Vá para Política > Regras > Condições > O conteúdo contém |
Sua equipe de conformidade agora pode identificar por que os alertas DLP perdem arquivos do OneDrive verificando o escopo da política, as condições da regra e o suporte a tipos de arquivo. Comece verificando se as contas do OneDrive estão incluídas nos locais da política e se os tipos corretos de informações confidenciais estão habilitados nas condições da regra. Para uma auditoria mais aprofundada, use o Log de auditoria para confirmar correspondências de regras DLP mesmo quando os alertas não são gerados. Lembre-se de que a verificação DLP pode levar até 24 horas após alterações na política ou uploads de arquivos, portanto, sempre aguarde tempo suficiente antes de concluir que uma correção falhou.