Compartilhar via

Introdução ao Prevenção Contra Perda de Dados do Microsoft Purview proteção just-in-time

Utilize a proteção just-in-time (JIT) de prevenção de perda de dados de pontos finais (DLP) para detetar e bloquear atividades de saída em ficheiros monitorizados enquanto a avaliação da política é concluída.

Aplicável a

A proteção JIT para Endpoint DLP suporta estes dispositivos:

  • Windows 10
  • Windows 11
  • macOS (as três versões mais recentes)

Melhores práticas para implementar a proteção just-in-time

Observação

Aguarde pelo menos uma hora para as atualizações de definição do JIT, incluindo a desativação do JIT para serem enviadas para dispositivos cliente.

Passo 1: Preparar o ambiente

Antes de poder implementar a proteção just-in-time, primeiro tem de implementar a versão 4.18.23080 ou posterior do Cliente antimalware. A experiência do utilizador final da proteção just-in-time foi melhorada na versão 4.18.25080 ou posterior.

Dica

Para maximizar a configuração da produtividade do utilizador e implementar as políticas DLP do Ponto Final nos seus dispositivos antes de ativar a proteção just-in-time para evitar o bloqueio desnecessário da atividade do utilizador durante a avaliação da política.

Integração page_Defender versão do Mocamp

Observação

Para computadores com uma versão desatualizada do Cliente Antimalware, recomendamos que desative a proteção just-in-time ao instalar um dos seguintes KBs:

  1. Para saber quais os dispositivos que têm o Cliente Antimalware necessário, aceda a Investigação do portal> de segurança& resposta Investigação>avançada e execute esta consulta.
`DeviceRegistryEvents`
| where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe" and Timestamp >= ago(60d)
| summarize arg_max(Timestamp, *) by DeviceId
| distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion
| extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version
| extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement
| project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion
| summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion
// | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version
// | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements
| order by dcount_DeviceId desc

Eis um exemplo do resultado da consulta.

Imagem do resultado da consulta que mostra uma lista de quantos dispositivos têm a versão de cliente antimalware

Também pode aceder àpágina Diagnósticos de Prevenção> de Perda de Dados e selecionar O DLP do Ponto Final não está a funcionar card para marcar se um dispositivo específico cumpriu ou não o pré-requisito do JIT.

Captura de ecrã da lista de opções diagnóstico de revisão que mostra a versão do cliente antimalware para o dispositivo selecionado

Passo 2: Implementar a proteção JIT

  1. Inicie sessão no portal do Microsoft Purview.

  2. Selecione Definições>Proteção just-in-time daPrevenção> de Perda de Dados.

  3. Em Escolher as localizações a monitorizar, selecione a caixa de verificação junto a Dispositivos.

  4. Em Ação de contingência em caso de falha, selecione Permitir que os utilizadores concluam ações. Isto permite que a ação do utilizador seja concluída se a classificação falhar.

Cuidado

NÃO escolha a opção Bloquear utilizadores de concluir ações até que compreenda totalmente o impacto desta funcionalidade.

Selecionar Permitir que os utilizadores concluam ações ou Impedir os utilizadores de concluir ações aqui não irá alterar se o Bloco JIT é acionado ou não. O bloqueio por JIT é aplicado se o utilizador estiver no âmbito. A imposição de DLP de ponto final quando a classificação falha é controlada por Permitir que os utilizadores concluam ações ou Bloquear a conclusão das ações por parte dos utilizadores.

Se selecionar Permitir que os utilizadores concluam as ações, o DLP do Ponto Final permitirá a atividade de saída quando a classificação falhar. Se selecionar Bloquear utilizadores para concluir ações, o DLP do Ponto Final bloqueará a atividade de saída quando a classificação falhar.

Passo 3: Estimar o número de eventos de proteção JIT para a sua implementação

Deve validar as suas definições em cada fase até que o número de eventos seja estável e tenha uma boa compreensão do tamanho possível do grupo de utilizadores no qual pretende impor a política, com base nos seguintes cálculos de telemetria.

Calcule o impacto da implementação da proteção JIT ao realizar o seguinte cálculo com base nos eventos no explorador de atividades:

  • N = O número de máquinas exclusivas a disparar eventos JIT.

  • S = O número total de máquinas no âmbito da implementação.

N/S gera uma percentagem de máquinas virtuais que podem experienciar um evento "bloquear" de proteção JIT.

Com estas informações, deve saber quantas máquinas serão afetadas pela implementação do modo de Bloco JIT quando expandir o âmbito e quantos pedidos de suporte possíveis poderá ver. Em seguida, pode decidir se pretende ou não expandir o âmbito.

Passo 4: otimizar a proteção JIT através de outras definições adicionais

Além de Reverter em caso de falha, conforme descrito no passo 1, também pode utilizar as seguintes definições para ajustar a proteção JIT:

  • Controlar a cópia para a área de transferência: ative esta opção se pretender impedir que os utilizadores copiem conteúdos para a área de transferência enquanto a proteção JIT está a avaliar o ficheiro.

Observação

Ativar a opção Controlar a cópia para a área de transferência pode afetar a produtividade do utilizador. Certifique-se de que testa o impacto na produtividade antes de ativar esta definição.

  • Exclusões de aplicações para Windows: as aplicações que incluir aqui não serão avaliadas pela proteção JIT em dispositivos Windows.
  • Exclusões de aplicações para Mac: as aplicações que incluir aqui não serão avaliadas pela proteção JIT em dispositivos macOS.
  • Exclusões de extensões de ficheiros: Files com extensões adicionadas aqui não serão avaliadas pela proteção JIT.
  • Exclusões de caminhos de ficheiros para Windows: Files nestas localizações não serão avaliadas pela proteção JIT.
  • Exclusões de caminhos de ficheiros para Mac: Files nestas localizações não serão avaliadas pela proteção JIT.

Se quiser alterar o âmbito da proteção JIT depois de ajustar todas estas definições, pode voltar ao passo 2.

Mais detalhes sobre exclusões

As definições de exclusão do caminho de ficheiro no JIT são diferentes das exclusões de Caminho de ficheiro para a definição do Windows encontradasatravés das Definições> de prevenção> de perda de dados Definições> de ponto finalExclusões de caminho de ficheiro para Windows.

  • As exclusões de caminhos de ficheiros no JIT apenas excluem caminhos de ficheiro específicos da proteção JIT. Em todos os outros casos, o Microsoft Purview ainda aplica a proteção e classificação DLP de Ponto Final para ficheiros nessas pastas.

  • As exclusões de caminhos de ficheiros para a definição do Windows impedem o Purview de aplicar a classificação e proteção DLP de Ponto Final para ficheiros nas pastas especificadas.

  • Exclusões de extensões de ficheiros: Files com estas extensões não são avaliadas pela proteção JIT.

Passo 5: Implementar a proteção JIT em "Impedir os utilizadores de concluir ações" para a definição "Ação de contingência em caso de falha"

Esta configuração controla o modo de imposição que o DLP aplica quando a classificação falha. Não controla o Bloco JIT ou a Auditoria JIT para ficheiros candidatos JIT. O Bloco JIT ou a Auditoria JIT são controlados pela forma como a política é confinada. Independentemente do valor que selecionar aqui, a telemetria relevante é apresentada no explorador de atividades.

  • Last updated on