Partilhar via

Proteger por predefinição com o Microsoft Purview e proteger contra a partilha excessiva – Fase 2

  • Artigo

Este guia está dividido em quatro fases:

Proteger por predefinição com o Microsoft Purview e proteger contra a partilha em excesso - Blueprint

Na primeira fase, explicámos como proteger conteúdos novos e atualizados. Nesta fase, vamos explorar como proteger os seus dados existentes, começando pelos dados mais confidenciais.

Fase 2: Gerido – Resolver ficheiros com maior sensibilidade

Identifique os seus sites prioritários a partir de:

  • Sites bem conhecidos, incluindo sites de equipas de liderança
  • Conteúdo Explorer com um elevado número de documentos confidenciais
  • Reporting
  • API do Graph para sites com elevada quantidade de informações confidenciais

Observação

Se optou pelos ficheiros predefinidos para Confidencial\Todos os funcionários, recomendamos que se concentre nos sites com uma etiqueta de prioridade mais alta.

Configurar manualmente a etiquetagem da biblioteca predefinida de sites prioritários

Atualmente, a configuração requer dois passos separados:

  1. Adicione uma etiqueta de confidencialidade ao Site SharePoint.
  2. Defina uma etiqueta de confidencialidade como a predefinição para ficheiros em bibliotecas do SharePoint.

Os proprietários de sites podem configurar etiquetas de confidencialidade em sites do SharePoint e a etiqueta de biblioteca predefinida nas bibliotecas. Os administradores do SharePoint podem configurar a etiqueta de confidencialidade do site no portal de administrador do SharePoint. Mais tarde, vamos abordar como configurar a etiquetagem de confidencialidade em sites e bibliotecas com o PowerShell.

Etiquetagem automática para credenciais e condições contextuais

O Purview fornece etiquetagem automática do lado do cliente e do lado do serviço.

O lado do cliente oferece a flexibilidade de deteção e tomada de decisões do utilizador final. No contexto da proteção por predefinição, a etiquetagem do lado do cliente é mais útil para recomendar uma etiquetagem de confidencialidade mais elevada para destinatários com limiares mais baixos de informações confidenciais. Os utilizadores podem decidir aceitar ou não aceitar a recomendação e comunicar se a sugestão de etiqueta não for adequada.

A etiquetagem automática do lado do cliente proporciona flexibilidade de deteção e tomada de decisões por parte do utilizador final. Ao proteger por predefinição, a etiquetagem do lado do cliente é mais útil para recomendar etiquetas de confidencialidade mais elevadas para destinatários com limiares mais baixos de informações confidenciais. Em seguida, os utilizadores podem decidir aceitar ou não aceitar a recomendação e denunciá-la se a sugestão de etiqueta não for adequada.

As etiquetas do lado do serviço aplicam-se aos ficheiros existentes no OneDrive e no SharePoint, e no transporte de e-mails e fornecem mais condições, tais como condições contextuais para:

  • Tipo de arquivo
  • Tamanho do arquivo
  • Propriedades do documento

No contexto do guia seguro por predefinição, protegemos primeiro por contexto do site, em vez de apenas por tipo de informação confidencial. Por conseguinte, podemos utilizar condições contextuais, como Definir etiqueta como Confidencial\Todos os Funcionários em todas as extensões de ficheiro do Office/.pdf para estes sites e abordar rapidamente os sites de prioridade existentes. Abordamos mais opções em escala na Fase 3.

Importante

Recomendamos que configure políticas de etiquetagem automática em Todas as credenciais para informações confidenciais, uma vez que estas informações são mais valorizadas por adversários. Para etiquetagem automática do lado do cliente, defina a etiqueta como Altamente Confidencial\Específico Pessoas. Para etiquetagem automática do lado do serviço, defina a etiqueta como Altamente Confidencial\Todos os funcionários.

Ativar a Prevenção de Perda de Dados para conteúdo que não está etiquetado

Nesta fase, a base está bem implementada, as predefinições são seguras e começámos a abordar os dados existentes. Ativar as regras de Prevenção de Perda de Dados (DLP) para não etiquetadas (utilizar a condição Conteúdo não está etiquetado ) no Ponto Final e o Exchange acelera a etiquetagem de conteúdo por parte dos utilizadores e impede a partilha de conteúdo não etiquetado.

Recomendamos que ative esta condição de regra DLP para Endpoint DLP com tipos de ficheiro office/PDF e para ações restritivas relevantes, como carregar para a nuvem. Os utilizadores têm de abrir e etiquetar os respetivos ficheiros antes de carregar ficheiros em sites.

Ativar as regras comportamentais de proteção adaptável e fuga de dados

A Gestão de Riscos Internos (IRM) fornece uma camada de análise e controlo, com base nos comportamentos dos utilizadores. No contexto seguro por predefinição através de etiquetas de confidencialidade, a IRM pode identificar e alertar quando os utilizadores estão a mudar para uma versão inferior das etiquetas ou a transferir, ocultar e/ou exfiltrar esse conteúdo.

Os administradores controlam os acionadores e limiares. Além disso, agora pode utilizar a Proteção Adaptável para reforçar as regras DLP com base no risco do utilizador. Por exemplo, uma regra DLP pode auditar por predefinição ao partilhar ficheiros com a etiqueta Geral. Um utilizador identificado como de alto risco pode ser impedido de partilhar o mesmo ficheiro.

Dica

Recomendamos que ative e teste uma política predefinida com a Proteção Adaptável e itere sempre que aplicável nas regras DLP existentes.

A IRM fornece muitas mais capacidades, configurações e controlos. Reveja as seguintes referências e futuros Esquemas de Implementação do Purview que abrangem a Gestão de Riscos Internos mais detalhadamente.

Fase 2 - Resumo

Confira também

Continuar para a Fase 3: Otimizado – Expandir para todo o seu património de dados do Microsoft 365