Introdução ao Prevenção Contra Perda de Dados do Microsoft Purview proteção just-in-time

Utilize a proteção just-in-time (JIT) de prevenção de perda de dados de pontos finais (DLP) para detetar e bloquear atividades de saída em ficheiros monitorizados enquanto a avaliação da política é concluída.

Aplicável a

A proteção JIT para Endpoint DLP suporta estes dispositivos:

  • Windows 10
  • Windows 11
  • macOS (as três versões mais recentes)

Melhores práticas para implementar a proteção just-in-time

Observação

Aguarde pelo menos uma hora para que as atualizações de definição do JIT, incluindo a desativação do JIT, sejam enviadas para dispositivos cliente.

Passo 1: Preparar o ambiente

Antes de poder implementar a proteção just-in-time, primeiro tem de implementar a versão 4.18.23080 ou posterior do Cliente antimalware. A experiência de utilizador final de proteção just-in-time foi melhorada na versão 4.18.25080 ou posterior.

Dica

Para maximizar a produtividade do utilizador, configure e implemente as políticas DLP do Ponto Final nos seus dispositivos antes de ativar a proteção just-in-time. Esta abordagem impede o bloqueio desnecessário da atividade do utilizador durante a avaliação da política.

Integração page_Defender versão do Mocamp

Observação

Para computadores com uma versão desatualizada do cliente antimalware, desative a proteção just-in-time ao instalar uma das seguintes KBs:

  1. Para saber quais os dispositivos que têm o cliente antimalware necessário, aceda a Investigação do portal> de segurança& resposta> Investigaçãoavançada e execute esta consulta.
`DeviceRegistryEvents`
| where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe" and Timestamp >= ago(60d)
| summarize arg_max(Timestamp, *) by DeviceId
| distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion
| extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version
| extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement
| project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion
| summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion
// | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version
// | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements
| order by dcount_DeviceId desc

Eis um exemplo do resultado da consulta.

Imagem do resultado da consulta que mostra uma lista de quantos dispositivos têm a versão de cliente antimalware

Também pode aceder àpágina Diagnóstico dePrevenção> de Perda de Dados e selecionar O DLP do Ponto Final não está a funcionar card para marcar se um dispositivo específico cumpre os pré-requisitos do JIT.

Captura de ecrã da lista de opções diagnóstico de revisão que mostra a versão do cliente antimalware para o dispositivo selecionado

Passo 2: Implementar a proteção JIT

  1. Inicie sessão no portal do Microsoft Purview.

  2. Selecione Definições>Proteção just-in-time daPrevenção> de Perda de Dados.

  3. Em Escolher as localizações a monitorizar, selecione a caixa de verificação junto a Dispositivos.

  4. Em Ação de contingência em caso de falha, selecione Permitir que os utilizadores concluam ações. Esta opção permite que a ação do utilizador seja concluída se a classificação falhar.

Cuidado

Não escolha a opção Bloquear a conclusão das ações por parte dos utilizadores até que compreenda totalmente o impacto desta funcionalidade.

Selecionar Permitir que os utilizadores concluam ações ou Bloquear a conclusão de ações por parte dos utilizadores não altera se o Bloco JIT é acionado. O bloqueio por JIT é aplicado se o utilizador estiver no âmbito. A definição Permitir que os utilizadores concluam ações ou Impedir os utilizadores de concluir a definição de ações controla a imposição de DLP do Ponto final quando a classificação falha.

Se selecionar Permitir que os utilizadores concluam ações, o DLP de Ponto Final permite a atividade de saída quando a classificação falha. Se selecionar Bloquear utilizadores para concluir ações, o DLP de Ponto Final bloqueia a atividade de saída quando a classificação falha.

Passo 3: Estimar o número de eventos de proteção JIT para a sua implementação

Valide as suas definições em cada fase até que o número de eventos seja estável. Certifique-se de que compreende o tamanho possível do grupo de utilizadores no qual pretende impor a política, com base nos seguintes cálculos de telemetria.

Calcule o impacto da implementação da proteção JIT ao realizar o seguinte cálculo com base nos eventos no explorador de atividades:

  • N = O número de máquinas exclusivas a disparar eventos JIT.

  • S = O número total de máquinas no âmbito da implementação.

N/S gera a percentagem de computadores que podem experienciar um evento de bloqueio de proteção JIT.

Com estas informações, deve saber quantas máquinas serão afetadas pela implementação do modo de Bloco JIT quando expandir o âmbito e quantos pedidos de suporte possíveis poderá ver. Em seguida, pode decidir se pretende ou não expandir o âmbito.

Passo 4: otimizar a proteção JIT através de outras definições adicionais

Além de Reverter em caso de falha, conforme descrito no passo 1, também pode utilizar as seguintes definições para ajustar a proteção JIT:

  • Controlar a cópia para a área de transferência: ative esta definição para impedir que os utilizadores copiem conteúdos para a área de transferência enquanto a proteção JIT está a avaliar o ficheiro.

Observação

Ativar a opção Controlar a cópia para a área de transferência pode afetar a produtividade do utilizador. Certifique-se de que testa o impacto na produtividade antes de ativar esta definição.

  • Exclusões de aplicações para Windows: pode excluir o máximo de 50 aplicações aqui da proteção JIT em dispositivos Windows.

  • Exclusões de aplicações para Mac: pode excluir o máximo de 50 aplicações aqui da proteção JIT em dispositivos Mac.

  • Exclusões de extensões de ficheiros: Files com extensões que adicionar aqui não são avaliadas pela proteção JIT.

  • Exclusões de caminhos de ficheiros para Windows: Files nestas localizações não são avaliadas pela proteção JIT.

  • Exclusões de caminhos de ficheiros para Mac: Files nestas localizações não são avaliadas pela proteção JIT.

Se quiser alterar o âmbito da proteção JIT depois de ajustar todas estas definições, volte ao passo 2.

Mais detalhes sobre exclusões

As definições de exclusão do caminho de ficheiro no JIT são diferentes das exclusões de Caminho de ficheiro para a definição do Windows encontradasatravés das Definições> de prevenção> de perda de dados Definições> de ponto finalExclusões de caminho de ficheiro para Windows.

  • As exclusões de caminhos de ficheiros no JIT apenas excluem caminhos de ficheiro específicos da proteção JIT. Em todos os outros casos, o Microsoft Purview ainda aplica a proteção e classificação DLP de Ponto Final para ficheiros nessas pastas.

  • As exclusões de caminhos de ficheiros para a definição do Windows impedem o Purview de aplicar a classificação e proteção DLP de Ponto Final para ficheiros nas pastas especificadas.

  • Exclusões de extensões de ficheiros: Files com estas extensões não são avaliadas pela proteção JIT.

Passo 5: Implementar a proteção JIT em "Impedir os utilizadores de concluir ações" para a definição "Ação de contingência em caso de falha"

Esta configuração controla o modo de imposição que o DLP aplica quando a classificação falha. Não controla o Bloco JIT ou a Auditoria JIT para ficheiros candidatos JIT. O Bloco JIT ou a Auditoria JIT são controlados pela forma como a política é confinada. Independentemente do valor que selecionar aqui, a telemetria relevante é apresentada no explorador de atividades.

Proteção de ficheiros não guardada

A proteção de ficheiros não guardada (pré-visualização) expande a proteção JIT (auditoria ou bloqueio) em atividades de saída em ficheiros que ainda não foram guardados. Um ficheiro não guardado é:

  • Um ficheiro novo que nunca foi guardado no disco.
  • Um ficheiro existente que foi modificado, mas que ainda não foi guardado, incluindo a janela antes da conclusão da gravação automática.

Quando guarda um ficheiro - manualmente ou através da gravação automática - deixa o estado não guardado e o fluxo de trabalho de proteção JIT padrão avalia-o.

Observação

A proteção de ficheiros não guardada e a proteção de ficheiros não classificadas são duas funcionalidades separadas. Não precisa de ativar a proteção de ficheiros não classificados para utilizar a proteção de ficheiros não guardada.

Configurar a proteção de ficheiros não guardada

Pré-requisitos

  • A versão 4.18.26040 ou posterior do cliente antimalware é necessária para proteção de ficheiros não guardada. Utilize a mesma consulta no Passo 1 deste artigo para marcar que dispositivos têm a versão de cliente antimalware necessária para proteção de ficheiros não guardada.

Para configurar a proteção de ficheiros não guardada:

  1. Inicie sessão no portal do Microsoft Purview.
  2. Selecione Definições>Proteção just-in-time daPrevenção> de Perda de Dados.
  3. Para auditar atividades de saída em ficheiros não guardados, ative Auditar atividades de impressão e transferência de ficheiros não guardados e selecione os utilizadores a incluir no âmbito.
  4. Para bloquear atividades de saída em ficheiros não guardados, ative Bloquear atividades de impressão e transferência para ficheiros não guardados e selecione os utilizadores a incluir no âmbito.

Observação

Para Copiar para um suporte de dados amovível e Copiar para cenários de partilha de rede , ative a quarentena automática para intercetar conteúdo confidencial e movê-lo para uma localização protegida em vez de o escrever no destino externo. Para obter mais informações, veja Configurar definições de quarentena automática.

Dica

Comece por ativar a opção Auditoria e controlo do âmbito para alguns utilizadores. Esta abordagem ajuda-o a compreender o volume de eventos de proteção de ficheiros não guardados na sua organização antes de ativar o Bloqueio. Pode expandir continuamente o âmbito à medida que ganha confiança. Quando estiver familiarizado com o volume, ative Bloquear no âmbito do mesmo ou conjunto expandido de utilizadores.

Para obter informações sobre os conceitos subjacentes à proteção de ficheiros não guardados, veja Saiba mais sobre a proteção de ficheiros não guardada.

  • Last updated on