Júlio César Gonçalves VasconcelosNa Parte 4 desta série sobre Prevenção contra Perda de Dados (DLP) com o Microsoft Purview, exploramos como impedir vazamentos de informações sensíveis através de endpoints, focando em serviços como Gmail e Google Drive. Agora, na Parte 5, direcionaremos nossa atenção para duas plataformas de comunicação amplamente utilizadas: WhatsApp Web e Telegram Web.
A popularidade dessas aplicações no ambiente corporativo traz desafios significativos para a segurança da informação, especialmente no que tange à prevenção de vazamentos de dados. Funcionários podem, inadvertidamente ou não, compartilhar informações confidenciais por meio dessas plataformas, tornando essencial a implementação de políticas eficazes de DLP.
O Microsoft Purview oferece recursos robustos para monitorar e controlar o compartilhamento de dados no WhatsApp e Telegram, em suas versões web. Ao configurar adequadamente as políticas de DLP, é possível detectar e, quando necessário, bloquear tentativas de transferência de informações sensíveis por meio dessas aplicações.
Além disso, a integração do Microsoft Purview com navegadores modernos, como o Microsoft Edge for Business, permite a aplicação de proteções de dados em tempo real, prevenindo que informações confidenciais sejam inseridas ou compartilhadas em aplicativos de inteligência artificial generativa e outras plataformas online.
Ao longo deste artigo, discutiremos as melhores práticas e configurações necessárias para utilizar o Microsoft Purview na prevenção de vazamentos de dados através do WhatsApp Web e Telegram Web, fortalecendo a postura de segurança da sua organização e garantindo a proteção das informações críticas.
Para essa Parte 5, vamos usar como base a Parte 4 que você pode ler clicando aqui.
Observação: Aqui, levaremos em consideração um ambiente onde temos o bloqueio da instalação dos apps WhatsApp e Telegram Desktop. Contudo o acesso ao WhatsApp Web e ao Telegram Web é permitido para troca de mensagens, mas com uma diretriz clara: não é permitido o envio de arquivos que contenham dados sensíveis. Com esse desafio em mente, mostraremos como o Microsoft Purview pode ser utilizado para aplicar políticas de Data Loss Prevention (DLP) diretamente nos endpoints, monitorando e prevenindo tentativas de vazamento de informações por meio dessas plataformas.
Para a prevenção nos apps WhatsApp Desktop e Telegram Desktop, irei abordar esse assunto em um próximo artigo bem completo.
O que você irá precisar para isso:
Licenças:
- Microsoft 365 E5
- Microsoft 365 A5 (EDU)
- Microsoft 365 E5 compliance
- Microsoft 365 A5 compliance
- Microsoft 365 E5 information protection and governance
- Microsoft 365 A5 information protection and governance
Permissões:
- Compliance administrator
- Compliance data administrator
- Information Protection
- Information Protection Admin
- Security administrator
Atenção: As implementações apresentadas em nossos artigos foram desenvolvidas com base em documentações oficiais e nas boas práticas recomendadas pela Microsoft. Entretanto, enfatizamos que qualquer implementação deve ser previamente testada em ambientes de homologação ou testes para garantir a segurança e a estabilidade do ambiente de produção.
Passo a passo – Hands On
1. Vamos acessar o portal do Purview.
2. No menu lateral esquerdo, clique em “Settings” e, em seguida, em “Data Loss Prevention”. No menu que se abrir, procure por “Browser and domain restrictions to sensitive data”.
Selecione a opção “On” em “Full URL for File copied to cloud”. Depois, em “Unallowed browsers”, clique em “+ Add or edit unallowed browsers”.
No menu que se abrir, digite os domínios “web.telegram.org” e “web.whatsapp.com”, clique no botão “+” para adicioná-los e, em seguida, clique em “Save”. Em “Service domains”, mantenha a opção “Block” selecionada.
3. Agora, clique em “Solutions”, depois em “Data Loss Prevention” e, em seguida, em “+ Create policy”.
4. Em “Template or custom policy”, vá até a seção “Categories” e selecione “Custom”. Em seguida, em “Regulations”, escolha “Custom policy” e clique em “Next”.
5. Em “Name” selecione um nome para politica e clique em “Next”.
6. Em “Assign admin units”, deixe por default “Full directory” em Admin Units e clique em “Next”.
7. Em “Locations” selecione somente “Devices” e clique em “Next”.
8. Em “Policy settings” selecione “Create or customize advanced DLP rules” e clique em “Next”.
9. Em “Advanced DPL rules” defina um nome para a regra e vamos clicar em “+ Add condition” e depois selecionar “File type is”.
Depois em “File types” vamos selecionar todos o formatos de arquivos e selecionar na lista e depois clique em “Add”.
Agora vamos clicar em “+ Add condition” e depois selecionar “Content contais”.
Depois em “Add” vamos selecionar “Sensitivity info types” e selecionar na lista “HR_Confidential_Infos_or_Salary” e “Credit Card Number” e depois clique em “Add”.
Agora, em “Actions”, selecione “Audit or restrict activities on devices”.
Agora em “Service Domain and browser activities” marque a opção “Upload to a restricted cloud service domain or access from an unallowed browsers”, e selecione “Block”.
Atenção: Upload to a restricted cloud service domain or access from an unallowed browsers aplica-se apenas a arquivos enviados a partir do Microsoft Edge ou Google Chrome (desde que o {0} esteja instalado em seus dispositivos). Detecta quando arquivos protegidos são bloqueados ou permitidos para upload em domínios de serviços em nuvem com base na lista “Permitir/Bloquear domínios de serviços em nuvem” nas configurações do Endpoint DLP.
Os arquivos só serão bloqueados, caso estejam rotulados com informações sensíveis.
Quando essa ação está definida como “Bloquear” ou “Bloquear com substituição”, outros navegadores (definidos na lista de navegadores não permitidos nas configurações do Endpoint DLP) são impedidos de acessar o arquivo. Quando bloqueados, os usuários verão uma notificação solicitando que acessem o arquivo usando o Microsoft Edge.
Nota: Os usuários que tiverem a extensão do Microsoft Purview para Chrome instalada em seus dispositivos não serão bloqueados ao usar o Chrome, mesmo que o Chrome esteja listado como um navegador não permitido. A opção “Bloquear com substituição” não é compatível com o Google Chrome.
Agora, em “User notifications”, configure as opções de acordo com as políticas e diretrizes da sua empresa.
Agora, em “Incident reports”, configure as opções de acordo com as políticas e diretrizes da sua empresa.
Revise a regra e clique em “Next”.
10. Em “Policy mode”, selecione “Turn the policy on immediately”, e clique em “Next”.
11. Em “Review and finish”, revise a regra cuidadosamente e, se estiver tudo correto, clique em “Submit” para finalizar.
12. Na tela de políticas, podemos ver a politica criada e com o Status “On”.
Após a configuração e aplicação, é hora de testarmos a regra de Data Loss Prevention (DLP) para os endpoints que criamos.
Atenção: “A aplicação da regra de Data Loss Prevention (DLP) pode levar de 24 a 48 horas para ser completamente processada, dependendo do tamanho e complexidade do ambiente. Esse tempo é necessário para garantir que todas as configurações sejam corretamente implementadas e que a regra funcione de forma eficiente em todo o sistema.
Quando tentamos fazer o upload de um documento pelo WhatsApp Web contendo informações sensíveis, podemos observar que recebemos um alerta informando que “Your organization prevents you from uploading the file to this location”.
O mesmo ocorre ao tentarmos fazer o upload no Telegram Web.
Também podemos explorar um pouco mais em “Activity explorer” com um gráfico bem detalhado sobre as atividades que aconteceram no dispositivo.
Como podemos ver nas imagens acima, conseguimos alcançar nosso objetivo de bloquear o upload de documentos com conteúdos sensíveis, utilizando o Data Loss Prevention (DLP) no Microsoft Purview.
Bônus: Aqui, podemos ver diversas informações enviadas ao portal do Microsoft Defender devido ao onboarding realizado no início do artigo Parte 3. Com isso, conseguimos centralizar os alertas e incidentes e analisá-los de forma mais fácil e eficiente.
E assim, chegamos ao final de mais uma jornada do conhecimento, na qual aprendemos juntos como criar, e configurar o Data Loss Prevention (DLP) no Microsoft Purview, garantindo a proteção das informações sensíveis e reforçando a segurança dos dados da empresa.
💬 Me conte nos comentários: você já implementou o Microsoft Purview usando o Data Loss Prevention (DLP) no seu ambiente?
Compartilhe sua experiência e faça parte também desta jornada de proteção e governança de dados. ☁️🔐☁️
