Saiba mais sobre Prevenção Contra Perda de Dados do Microsoft Purview proteção just-in-time

Utilize a proteção just-in-time (JIT) de prevenção de perda de dados de pontos finais (DLP) para detetar e bloquear atividades de saída em ficheiros monitorizados enquanto a avaliação da política é concluída.

O JIT audita e bloqueia estas atividades de saída do utilizador em itens protegidos:

  • Copiar para um suporte de dados amovível
  • Copiar para um compartilhamento de rede
  • Print
  • Copiar ou mover com o Protocolo RDP (Área de Trabalho Remota Protocol)
  • Copiar ou mover com uma aplicação Bluetooth bloqueada
  • Copiar para a área de transferência: Auditoria JIT por predefinição
  • Carregar para um domínio de serviço cloud restrito

Termos

Os seguintes termos são utilizados ao longo deste artigo:

  • classificação obsoleta: uma classificação que não foi produzida pela versão mais atual de uma política DLP. Se uma política for atualizada depois de um item ter sido avaliado e classificado, esse item tem uma classificação obsoleta até ser reavaliado com a versão mais atual da política.
  • Ficheiro candidato JIT: Files que não foram avaliadas pelo DLP ou têm uma classificação obsoleta.
  • Auditoria JIT: depois de ativar o JIT, o DLP de Ponto Final gera um evento no explorador de atividades para cada ficheiro candidato JIT. No evento do explorador de atividades do JIT, o campo acionado pelo JIT tem o valor truee o valor do Modo de imposição é Audit.
  • Bloco JIT: depois de ativar o JIT, o DLP de Ponto Final bloqueia a atividade e gera um evento no explorador de atividades para cada ficheiro candidato JIT. No evento do explorador de atividades do JIT, o campo acionado pelo JIT tem o valor truee o campo Modo de imposição tem o valor Block.

Observação

O DLP de ponto final não gera um DLPRuleMatch evento ou um alerta.

  • Notificação JIT em curso: quando os utilizadores que estão no âmbito do JIT tentarem uma atividade de saída num ficheiro candidato JIT, o DLP de Ponto Final pode bloquear a atividade de saída e apresentar uma notificação de alerta. Este alerta chama-se JIT em curso.
  • Notificação de conclusão da avaliação JIT: quando o Endpoint DLP termina a avaliação da política para um ficheiro candidato JIT, o DLP de Ponto Final mostra uma notificação de alerta para informar o utilizador. Esta notificação chama-se alerta de avaliação JIT completa.
  • Evento JIT: o DLP de ponto final regista e mostra um evento JIT no explorador de atividades quando a auditoria JIT ou ações de bloco JIT são acionadas. O evento tem o JIT triggered valor definido como true.
  • Ação de contingência em caso de falha: esta configuração especifica o modo de imposição que o DLP deve aplicar quando a avaliação da política não for concluída. Independentemente do valor que selecionar, a telemetria relevante é apresentada no explorador de atividades.

Captura de ecrã do evento do explorador de atividades a mostrar o JIT acionado como verdadeiro e o Modo de imposição definido como Bloquear.

Como funciona a proteção JIT

O JIT bloqueia a atividade de saída quando todas as seguintes condições são verdadeiras:

  • Um utilizador tenta uma atividade de saída num item que nunca foi classificado ou que é classificado com uma política obsoleta. Uma política obsoleto significa que o ficheiro foi classificado com uma política que foi atualizada e que o ficheiro não foi reclassificado com a política atualizada.
  • O utilizador está no âmbito do JIT.
  • Existem políticas de Prevenção Contra Perda de Dados do Microsoft Purview (DLP) que bloqueiam ou bloqueiam com substituição para a atividade de saída.
  • A atividade de saída não está numa localização permitida. Por exemplo, uma impressora, dispositivo USB, URL ou partilha de rede permitidos.
  • A atividade de saída não suporta a pausa e o currículo do JIT.
  • A avaliação da política DLP não é concluída em cinco segundos.

Fluxo de trabalho JIT

Diagrama do fluxo de trabalho de proteção JIT para dLP de ponto final.

  1. Um utilizador tenta uma atividade de saída num dispositivo integrado para um ou mais itens candidatos JIT.

  2. Se a atividade envolvida for de uma lista de aplicações excluídas, a partir de uma localização de caminho de ficheiro excluída, a extensão de ficheiro é excluída e, em seguida, o processo termina.

  3. A avaliação termina e a atividade não é bloqueada pelo JIT. Não é apresentada nenhuma mensagem de notificação ao utilizador e não é registado nenhum evento de auditoria JIT.

  4. O DLP confirma que o utilizador está no âmbito do JIT. Se sim, a avaliação continua. Caso contrário, o processo termina no passo 5.

  5. O JIT não bloqueia a atividade. Não é apresentada nenhuma notificação e é registado um evento de auditoria JIT.

  6. O DLP verifica se existe algum Bloco ou Bloquear com ações de substituição definidas em qualquer regra DLP para a atividade tentada. Se sim, a avaliação continua. Caso contrário, o processo termina com o comportamento indicado no passo 5.

  7. O JIT não bloqueia a atividade. Não é apresentada nenhuma notificação e é registado um evento de auditoria JIT.

  8. O DLP verifica se a atividade se destina a um grupo de impressoras permitido, grupo USB, partilha de rede ou URL. Se sim, o JIT não bloqueia a atividade e a avaliação da política termina.

  9. A avaliação JIT é acionada.

  10. O JIT verifica se a atividade suporta a pausa e o currículo do JIT.

  11. Se sim, a avaliação continua.

  12. Para todas as atividades que concluam a avaliação da política no prazo de três segundos, a ação de política é aplicada.

  13. Para a ação de auditoria , a atividade é retomada, não é apresentada nenhuma mensagem ao utilizador e é registado um evento de auditoria JIT no registo de auditoria.

  14. Para a ação de bloco, a atividade é bloqueada. É apresentada uma mensagem de atividade bloqueada ao utilizador e é registado um evento de auditoria JIT no registo de auditoria.

  15. O utilizador vê a mensagem de política com o botão Rever ficheiros ou o botão Tomar medidas . A avaliação da política termina.

  16. Para bloquear com a ação de substituição, a atividade é bloqueada, o bloco com a mensagem de substituição é mostrado ao utilizador para que possa substituir o bloco conforme necessário e tanto o evento de auditoria JIT como o bloco com evento de substituição são registados no registo de auditoria.

  17. Para todos os itens que não concluíram a avaliação da política DLP em três segundos OU não suportam o currículo, a avaliação do JIT permite mais dois segundos.

  18. Para todas as atividades que concluam a avaliação da política DLP nos dois segundos atribuídos, a ação de política é aplicada.

  19. Para uma ação de política de auditoria , a atividade é bloqueada porque a atividade não suporta o currículo e um evento de bloqueio JIT é registado no registo de auditoria.

  20. O utilizador vê a mensagem de avaliação da política concluída e é-lhe dito para tentar novamente. A avaliação da política termina.

  21. Para a ação de política de bloqueio, a atividade é bloqueada, é apresentada uma mensagem de atividade bloqueada e é registado um evento de bloqueio JIT no registo de auditoria e termina a avaliação.

  22. Para bloquear com a ação de política de substituição, a atividade é bloqueada, o bloco com a mensagem de substituição é apresentado para que o utilizador possa substituir o bloco conforme necessário e tanto o evento de bloco JIT como o bloco com evento de substituição são registados no registo de auditoria e termina a avaliação.

  23. Para todos os itens que não concluíram a avaliação da política DLP no total de cinco segundos, a atividade é bloqueada, a mensagem Just-in-time em curso é apresentada ao utilizador. É registado um evento de bloco JIT no registo de auditoria.

  24. O JIT em curso permite mais 30 segundos para a avaliação da política ser concluída enquanto a atividade está bloqueada.

  25. Se a avaliação da política DLP for concluída nestes 30 segundos, é apresentada ao utilizador a mensagem Avaliação just-in-time concluída e é pedido ao utilizador para repetir a atividade.

  26. Se a avaliação da política DLP não for concluída nos 30 segundos, será aplicada a ação de contingência do JIT.

  27. A mensagem de conclusão da avaliação da política JIT é apresentada ao utilizador e termina a avaliação. É pedido ao utilizador que tente a atividade novamente.

Experiência do utilizador de proteção just-in-time

Esta secção descreve a experiência do utilizador com a versão 4.18.25080 ou posterior do cliente antimalware.

Retomar o suporte para cada atividade

O DLP de ponto final retoma automaticamente estas atividades se a avaliação da política for concluída dentro de 3 segundos:

  • Copiar para um suporte de dados amovível
  • Copiar para um compartilhamento de rede

Se a avaliação da política demorar mais de 3 segundos, terá de repetir a atividade após a avaliação da política JIT ser apresentada.

Repita estas atividades depois de o Endpoint DLP concluir a avaliação da política:

  • Print
  • Copiar ou mover com o Protocolo RDP (Área de Trabalho Remota Protocol)
  • Copiar ou mover usando o aplicativo Bluetooth não permitido
  • Copiar para a área de transferência: Auditoria JIT por predefinição

Efetuar uma atividade num único ficheiro

Quando um utilizador efetua uma atividade num único ficheiro, o DLP do Ponto Final executa a ação de auditoria JIT quando:

  • o utilizador não está na definição Âmbito JIT
  • não existe Bloquear ou Bloquear com substituição para a atividade
  • a atividade destina-se a uma impressora permitida, suporte de dados amovível, partilha de rede ou site
  • A avaliação da política para o ficheiro é concluída dentro de 5 segundos para as atividades que suportam o currículo do JIT ou é concluída em segundos para atividades que não suportam o currículo JIT.

O DLP de ponto final bloqueia a atividade com uma notificação (sem alerta) e aplica o bloco JIT apenas quando a avaliação da política demora mais de 5 segundos.

Efetuar uma atividade em vários ficheiros

Quando um utilizador efetua uma atividade em vários ficheiros em simultâneo, o DLP do Ponto Final executa a ação de auditoria JIT quando:

  • o utilizador não está na definição Âmbito JIT
  • não existe Nenhum Bloco ou Bloco com substituição para a atividade executada
  • a atividade destina-se a uma impressora permitida, a um suporte de dados amovível permitido ou a uma partilha de rede permitida

Para ficheiros candidatos JIT, o Endpoint DLP aciona a avaliação da política, consolida as notificações para ficheiros que terminam dentro de 5 segundos para atividades que suportam o currículo e retoma automaticamente a atividade. Se a atividade não suportar o currículo, o Endpoint DLP aciona a avaliação da política e consolida as notificações para ficheiros que terminam dentro de 2 segundos. Em ambos os casos, o DLP de Ponto Final não gera um alerta JIT em curso. Só mostra o veredicto final da política no brinde consolidado.

  • Last updated on