Ajudar a evitar fugas de conteúdo confidencial ao restringir ações de colagem em browsers

Este cenário demonstra como impedir os utilizadores de colarem conteúdos confidenciais em aplicações baseadas no browser com o DLP do Microsoft Purview. Ao avaliar o conteúdo no momento em que é colado, as organizações podem detetar e controlar informações confidenciais em tempo real, independentemente da respetiva origem.

Ao utilizar a opção Colar nos controlos do browser com grupos de domínio do serviço Confidencial, esta abordagem permite a imposição flexível ( como auditoria, aviso ou bloqueio de ações de colagem) com base no site de destino. Isto ajuda a reduzir o risco de exposição acidental de dados, ao mesmo tempo que permite que as políticas sejam adaptadas para diferentes níveis de risco.

A atividade Colar no browser funciona independentemente da classificação do ficheiro de origem e requer regras configuradas com grupos de domínio de serviço confidenciais. Não é suportado com a definição DLP do ponto final de domínios de serviço . Para obter mais informações, veja Atividades de ponto final que pode monitorizar e tomar medidas em

Observação

São suportados os seguintes browsers:

  • Microsoft Edge (Win/macOS)
  • Chrome (Win/macOS)- Extensão do Microsoft Purview apenas para Windows do Chrome
  • Firefox (Win/macOS)- Extensão do Microsoft Purview apenas para o Firefox Windows
  • Safari (apenas macOS)

Importante

  • Se tiver configurado a recolha de provas para atividades de ficheiros em dispositivos e a Versão do Cliente Antimalware no dispositivo for anterior à 4.18.23110, quando implementar este cenário, Restringir a colagem de conteúdos confidenciais num browser, verá carateres aleatórios quando tentar ver o ficheiro de origem em Detalhes do alerta. Para ver o texto real do ficheiro de origem, deve transferir o ficheiro.
  • Se o Documento não puder ser analisado estiver selecionado como a ação da regra correspondente, o ficheiro de provas não será capturado.

Pré-requisitos e suposições

Este artigo utiliza o processo que aprendeu em Estruturar uma política de prevenção de perda de dados para lhe mostrar como criar uma política de Prevenção Contra Perda de Dados do Microsoft Purview (DLP). Trabalhe nestes cenários no seu ambiente de teste para se familiarizar com a IU de criação de políticas.

Importante

Este artigo apresenta um cenário hipotético com valores hipotéticos. É apenas para fins ilustrativos. Substitua os seus próprios tipos de informações confidenciais, etiquetas de confidencialidade, grupos de distribuição e utilizadores.

A forma como implementa uma política é tão importante como um design de política. Este artigo mostra-lhe como utilizar as opções de implementação para que a política atinja a sua intenção, evitando simultaneamente perturbações dispendiosas no negócio.

Este cenário utiliza a etiqueta confidencial confidencial , pelo que requer que crie e publique etiquetas de confidencialidade. Para saber mais, confira:

Este procedimento utiliza um grupo de distribuição hipotético Recursos Humanos e um grupo de distribuição para a equipa de segurança na Contoso.com.

Este procedimento utiliza alertas. Veja: Introdução aos alertas de prevenção de perda de dados

Declaração e mapeamento da intenção da política

A Contoso quer impedir que os utilizadores exponham involuntariamente informações confidenciais ao colá-la em formulários Web ou aplicações baseadas no browser. Os dados confidenciais, como informações pessoais ou outros conteúdos regulados, podem ser copiados de aplicações ou ficheiros locais e colados em sites, o que cria um potencial risco de transferência de dados não autorizada. Para resolver este problema, vamos criar uma política que avalia o conteúdo dinamicamente no momento em que é colado num browser suportado. Com base na sensibilidade do conteúdo colado e do site de destino, iremos auditar, avisar ou bloquear a ação. Também utilizaremos grupos de domínios de serviço Confidenciais para aplicar diferentes níveis de imposição consoante os sites de destino. Isto permite-nos equilibrar a segurança e a usabilidade ao aplicar controlos mais rigorosos a domínios de maior risco, ao mesmo tempo que permite flexibilidade para sites fidedignos.

Declaração Perguntas de configuração respondidas e mapeamento de configuração
"Queremos impedir que dados confidenciais sejam colados em formulários Web ou campos do browser..." - Âmbito administrativo: diretório completo
- Onde monitorizar: apenas dispositivos
- Âmbito da política: Todos os utilizadores/dispositivos ou utilizadores visados
"Queremos avaliar o conteúdo no momento em que é colado, independentemente da origem..." - Condição: o conteúdo contém tipos de informações confidenciais selecionados
- Avaliação: classificação em tempo real no evento de colagem (independente da classificação de ficheiros de origem)
"Queremos controlar as ações de colagem com base na sensibilidade do conteúdo..." - Ação: Auditar ou restringir atividades em dispositivos
- Tipo de atividade: colar em browsers suportados
"Queremos diferentes níveis de imposição consoante o site de destino..." - Definições de ponto final: Criar grupos de domínio de serviço confidenciais
- Estrutura da regra: associar restrições de colagem a grupos de domínio específicos
"Queremos auditar, avisar ou bloquear ações de colagem com base no nível de risco..." - Configuração da ação: definido como Auditoria, Bloquear com substituição ou Bloquear consoante as necessidades de imposição
"Queremos flexibilidade para personalizar restrições em diferentes categorias de sites..." - Estrutura da política: vários grupos de URL/domínio (por exemplo, sites fidedignos vs. não fidedignos)
- Utilizar exceções ou várias regras para controlo granular
"Queremos garantir que a imposição ocorre de forma consistente nos browsers suportados..." - Suporte do browser: Microsoft Edge, Chrome, Firefox (com extensões), Safari
- A integração do DLP de ponto final garante a imposição de políticas nos browsers suportados
"Queremos que os utilizadores sejam informados quando as ações de colagem são avaliadas ou restritas..." - Experiência do utilizador: sugestões de política ou notificações acionadas durante a avaliação de colagem
- Nota de comportamento: possível breve atraso durante a conclusão da classificação
"Queremos implementar e testar a política com o nível de imposição adequado..." - Modo de política: Configurável (teste, auditoria ou imposição)
- Implementação: Submeter política e validar o comportamento com cenários de teste

Passos para criar a política

Pode configurar diferentes níveis de imposição quando se trata de bloquear a colagem de dados num browser. Para tal, crie grupos de URL diferentes. Por exemplo, pode criar uma política que avisa os utilizadores contra a publicação de Números de Segurança Social (SSN) dos EUA em qualquer site e que aciona uma ação de auditoria para sites no Grupo A. Pode criar outra política que bloqueie completamente a ação colar sem dar um aviso para todos os sites no Grupo B.

Criar um grupo de URL

  1. Inicie sessão no portal > do Microsoft PurviewDefinições deprevenção> de perda de dados (ícone de engrenagem no canto superior esquerdo) >Definições de Ponto Final de Prevenção> de Perda de Dados e desloque-se para baixo até Browser e restrições de domínio para dados confidenciais. Expanda a secção.

  2. Desloque-se para baixo até Grupos de domínios de serviço confidenciais.

  3. Selecione Criar grupo de domínio de serviço confidencial.

    1. Introduza um Nome do grupo.
    2. No campo Domínio de serviço confidencial , introduza o URL do primeiro site que pretende monitorizar e, em seguida, selecione Adicionar site.
    3. Continue a adicionar URLs para os restantes sites que pretende monitorizar neste grupo.
    4. Quando terminar de adicionar todos os URLs ao seu grupo, selecione Guardar.

  4. Crie o número de grupos separados de URLs de que precisar.

Restringir a colagem de conteúdos num browser

  1. Inicie sessão no portal > do Microsoft PurviewPolíticas deprevenção> de perda de dados.

  2. Dados armazenados em origens ligadas.

  3. Crie uma política DLP no âmbito de Dispositivos. Para obter informações sobre como criar uma política DLP, veja Criar e Implementar políticas de prevenção de perda de dados.

  4. Na página Definir definições de política no fluxo de criação de políticas DLP, selecione Criar ou personalizar regras DLP avançadas e, em seguida, selecione Seguinte.

  5. Na página Personalizar regras DLP avançadas , selecione Criar regra.

  6. Introduza um nome e uma descrição para a regra.

  7. Expanda Condições, selecione Adicionar condição e, em seguida, selecione os Tipos de informações confidenciais.

  8. Em Conteúdo Contém, desloque-se para baixo e selecione o novo tipo de informações confidenciais que escolheu ou criou anteriormente.

  9. Desloque-se para baixo até à secção Ações e selecione Adicionar uma ação.

  10. Escolher Auditar ou restringir atividades em dispositivos

  11. Na secção Ações , em Domínio do serviço e atividades do browser, selecione Colar em browsers suportados.

  12. Defina a restrição como Auditoria, Bloquear com substituição ou Bloquear e, em seguida, selecione Adicionar.

  13. Escolha Salvar.

  14. Selecione Avançar

  15. Escolha se pretende testar a sua política, ativá-la imediatamente ou mantê-la desativada e, em seguida, selecione Seguinte.

  16. Choose Submit.

Importante

Pode haver um breve desfasamento de tempo entre quando o utilizador tenta colar texto numa página Web e quando o sistema termina a classificação e responde. Se esta latência de classificação acontecer, poderá ver notificações de avaliação de políticas e marcar concluídas no Edge ou alertas de avaliação de políticas no Chrome e no Firefox. Seguem-se algumas sugestões para minimizar o número de notificações:

  1. As notificações são acionadas quando a política do site de destino está configurada para Bloquear ou Bloquear com a substituição de colar no browser para esse utilizador. Pode configurar a definição da ação geral como Auditoria e, em seguida, listar os sites de destino com as exceções como Bloquear. Em alternativa, pode definir a ação geral como Bloquear e, em seguida, listar sites seguros através das exceções como Auditoria.
  2. Utilize a versão mais recente do cliente Antimalware.
  3. Utilize a versão mais recente do browser Edge, especialmente o Edge 120.
  4. Instalar estes KBs do Windows
  • Last updated on