Júlio César Gonçalves VasconcelosNa parte 3 da série sobre Microsoft Purview exploramos como impedir o vazamento de dados sensíveis por e-mail. Agora, na parte 4 vamos ampliar esse conceito para um dos maiores desafios da segurança da informação: a proteção de dados em dispositivos endpoints.
Com o avanço do trabalho híbrido e a crescente mobilidade dos usuários, informações críticas podem ser copiadas para dispositivos não gerenciados, transferidas para mídias removíveis ou até mesmo sincronizadas com serviços em nuvem não autorizados. Para mitigar esses riscos, o Microsoft Purview através do Data Loss Prevention (DLP) permite definir políticas que restringem ou monitoram o uso de dados confidenciais em dispositivos Windows, macOS e, mais recentemente, em navegadores compatíveis.
Neste artigo, veremos como configurar e aplicar políticas de DLP para dispositivos, garantindo que dados sigilosos não sejam expostos indevidamente e que sua organização mantenha o controle sobre informações estratégicas. Vamos explorar casos práticos, melhores práticas e como monitorar atividades suspeitas de forma eficiente.
O que você irá precisar para isso:
Licenças:
- Microsoft 365 E5
- Microsoft 365 A5 (EDU)
- Microsoft 365 E5 compliance
- Microsoft 365 A5 compliance
- Microsoft 365 E5 information protection and governance
- Microsoft 365 A5 information protection and governance
Permissões:
- Compliance administrator
- Compliance data administrator
- Information Protection
- Information Protection Admin
- Security administrator
Atenção: As implementações apresentadas em nossos artigos foram desenvolvidas com base em documentações oficiais e nas boas práticas recomendadas pela Microsoft. Entretanto, enfatizamos que qualquer implementação deve ser previamente testada em ambientes de homologação ou testes para garantir a segurança e a estabilidade do ambiente de produção.
Passo a passo – Hands On
1. Vamos acessar o portal do Purview.
2. No menu lateral esquerdo vamos clicar em “Solutions” e depois em “Data Loss Prevention” ou na página principal, na parte inferior, podemos clicar em “Data Loss Prevention” direto, que irá nos encaminhar para a página de criação das políticas.
3. Agora, vamos selecionar “Policies” e, em seguida, clicar em “+ Create policy”.
4. Em “Template or custom policy”, vá até a seção “Categories” e selecione “Custom”. Em seguida, em “Regulations”, escolha “Custom policy” e clique em “Next”.
5. Em “Name” selecione um nome para politica e clique em “Next”.
6. Em “Assign admin units”, deixe por default “Full directory” em Admin Units e clique em “Next”.
7. Em “Locations” selecione somente “Devices” e clique em “Next”.
8. Em “Policy settings” selecione “Create or customize advanced DLP rules” e clique em “Next”.
9. Em “Advanced DLP rules”, defina um nome para a regra. Agora vamos clicar em “+ Add condition” e depois selecionar “File type is”.
Depois em “File types” vamos selecionar todos o formatos de arquivos e selecionar na lista e depois clique em “Add”.
Agora vamos clicar em “+ Add condition” e depois selecionar “Content contais”.
Depois em “Add” vamos selecionar “Sensitivity info types” e selecionar na lista “HR_Confidential_Infos_or_Salary” e “Credit Card Number” e depois clique em “Add”.
Agora, em “Actions”, selecione “Audit or restrict activities on devices”.
Agora em “Service Domain and browser activities” marque a opção “Upload to a restricted cloud service domain or access from an unallowed browsers”, e selecione “Block”.
Atenção: Upload to a restricted cloud service domain or access from an unallowed browsers aplica-se apenas a arquivos enviados a partir do Microsoft Edge ou Google Chrome (desde que o {0} esteja instalado em seus dispositivos). Detecta quando arquivos protegidos são bloqueados ou permitidos para upload em domínios de serviços em nuvem com base na lista “Permitir/Bloquear domínios de serviços em nuvem” nas configurações do Endpoint DLP.
Os arquivos só serão bloqueados, caso estejam rotulados com informações sensíveis.
Quando essa ação está definida como “Bloquear” ou “Bloquear com substituição”, outros navegadores (definidos na lista de navegadores não permitidos nas configurações do Endpoint DLP) são impedidos de acessar o arquivo. Quando bloqueados, os usuários verão uma notificação solicitando que acessem o arquivo usando o Microsoft Edge.
Nota: Os usuários que tiverem a extensão do Microsoft Purview para Chrome instalada em seus dispositivos não serão bloqueados ao usar o Chrome, mesmo que o Chrome esteja listado como um navegador não permitido. A opção “Bloquear com substituição” não é compatível com o Google Chrome.
Agora em “File activities for all apps” marque as opção “Copy to clipboard”, “Copy to a removable UBS device“, “Copy to a network share”, “Print”, “Copy or move using unallowed Bluetooth app”, “Copy or move using RDP“, e selecione “Block” para todos.
Agora em “App Access restrictions” vamos selecionar “Access by apps that aren’t on the Unallowed apps list” e selecionar “Audit only” para monitorarmos apps que estão fora da lista e que estão acessando os arquivos corporativos.
Agora, em “User notifications”, configure as opções de acordo com as políticas e diretrizes da sua empresa.
Agora, em “Incident reports”, configure as opções de acordo com as políticas e diretrizes da sua empresa.
Revise a regra e clique em “Next”.
10. Em “Policy mode”, deixe selecionadas as opções “Run the policy in simulation mode” e “Show policy tips while in simulation mode”, e clique em “Next”.
11. Em “Review and finish”, revise a regra cuidadosamente e, se estiver tudo correto, clique em “Submit” para finalizar.
12. Na tela de políticas, selecione a política recém-criada. Em seguida, clique nos ⋮ (três pontos verticais) ao lado da política e escolha a opção ↑ “Move to top (highest priority)” para elevar a política à prioridade mais alta.
13. Agora em “Settings”, vamos configurar duas opções muito importantes que são o “Setup evidence colleciton for file activities on devices” para coleta de evidencias dos arqvuios e o “Service Domains” para o bloqueio dos domínios que iremos tentar fazer o upload dos arquivos.
“Após a configuração e aplicação, é hora de testarmos a regra de Data Loss Prevention (DLP) para os endpoints que criamos.”
Atenção: “A aplicação da regra de Data Loss Prevention (DLP) pode levar de 24 a 48 horas para ser completamente processada, dependendo do tamanho e complexidade do ambiente. Esse tempo é necessário para garantir que todas as configurações sejam corretamente implementadas e que a regra funcione de forma eficiente em todo o sistema.”
Quando transferimos um documento pela rede contendo informações sobre salários e dados relacionados ao nome ‘HR’, podemos observar que recebemos um alerta informando que não e recomendado mas que se você permitir ele será copiado.
Isso acontece pois estamos rodando a politica como modo de simulação.
A mesma coisa acontece para o RDP.
A mesma coisa para o Google Drive.
No entanto, como já confirmamos que a regra está funcionando corretamente, podemos alterá-la para o modo de produção. Para isso, vamos selecionar a política que criamos e clicar em “View simulation”, onde podemos analisar os matches e algumas informações adicionais.
Também podemos explorar um pouco mais em “Activity explorer” com um gráfico bem detalhado sobre as atividades que aconteceram no dispositivo.
Aqui podemos ver mais algumas informações, e já podemos clicar em “Turn the policy on”.
Como podemos ver nas imagens abaixo, conseguimos alcançar nosso objetivo de bloquear a cópia e o upload de documentos com conteúdos sensíveis, utilizando o Data Loss Prevention (DLP) no Microsoft Purview.
Bônus: Aqui, podemos ver diversas informações enviadas ao portal do Microsoft Defender devido ao onboarding realizado no início do artigo Parte 3. Com isso, conseguimos centralizar os alertas e incidentes e analisá-los de forma mais fácil e eficiente.
E assim, chegamos ao final de mais uma jornada do conhecimento, na qual aprendemos juntos como criar, e configurar o Data Loss Prevention (DLP) no Microsoft Purview, garantindo a proteção das informações sensíveis e reforçando a segurança dos dados da empresa.
💬 Me conte nos comentários: você já implementou o Microsoft Purview usando o Data Loss Prevention (DLP) no seu ambiente?
Compartilhe sua experiência e faça parte também desta jornada de proteção e governança de dados. ☁️🔐☁️
