Blog do Chesley

Como evitar o envio de dados sensiveis para sites externos, como o web.whatsapp.com? e outros!

Durante o teste, ao tentar enviar um documento classificado como “Confidencial” via web.whatsapp.com, a política foi acionada e exibiu a mensagem:

“Sua organização impede que você carregue o arquivo para este local.
Para proteger as informações confidenciais deste arquivo, sua organização o impede de carregá-la em locais não aprovados.”

Garantir a segurança dos dados corporativos no Microsoft 365 é um processo acessível, graças aos recursos avançados de descoberta, monitoramento, proteção e gerenciamento do ciclo de vida integrados ao ecossistema da plataforma. No entanto, um dos desafios mais críticos é evitar que informações confidenciais sejam compartilhadas inadvertidamente em serviços de nuvem não autorizados.

Muitas organizações enfrentam riscos ao permitir que dados sensíveis sejam carregados para aplicativos SaaS não gerenciados, tornando essencial a implementação de controles eficazes para mitigar essa exposição. Uma abordagem recomendada é o uso do Microsoft Purview Endpoint DLP (Data Loss Prevention), que permite aplicar políticas para impedir o compartilhamento não autorizado de informações a partir de dispositivos gerenciados.

1. 1. Pré-requisitos
   1. 🌟 Benefícios da Configuração
   2. 🛠️ Configuração Passo a Passo – Parte 1
2. Integrar dispositivos ao Defender For Endpoint
3. Integração de Dispositivos com Microsoft Purview
   1. Passo 1: Ative a Integração com o Microsoft Purview
   2. Passo 2: Verifique a Integração com o Defender for Endpoint
4. Classificação da Informação
   1. 2. Criar uma Política de Proteção de Informações
5. 📈 Resultado Esperado
   1. 📑 Documentação Oficial

1. Pré-requisitos

Para usar os recursos que discuto neste blog, você precisará ter o licenciamento para usar o Defender for Endpoint e o Endpoint DLP. Para entender quais serviços suas licenças permitem que você use, recomendo o fantástico M365Maps.com de Aaron Dinnage e sua matriz de licenciamento .

🌟 Benefícios da Configuração

• Prevenção automática de vazamento de dados sensíveis.
• Maior conformidade com regulamentações de proteção de dados.
• Redução de riscos de segurança sem impactar a produtividade dos usuários.
• Monitoramento centralizado via alertas no portal de conformidade.

🛠️ Configuração Passo a Passo – Parte 1

Integrar dispositivos ao Defender For Endpoint

Primeiro, você precisa ter certeza de que seus dispositivos gerenciados estão integrados ao Defender for Endpoint ou diretamente ao Microsoft Purview.

Isso permite que você audite eventos relevantes e aplique controles.

Se você já integrou seus dispositivos ao Defender for Endpoint, ainda precisa realizar a etapa única de ativar a integração ao Purview também. Isso é feito no portal de conformidade, em Configurações > Integração do dispositivo .

Integração de Dispositivos com Microsoft Purview

Passo 1: Ative a Integração com o Microsoft Purview

• Mesmo que os dispositivos já estejam integrados ao Defender for Endpoint, é necessário habilitar a integração com o Purview separadamente.
• Essa etapa é única e garante que os eventos e sinais de atividades dos dispositivos possam ser utilizados em soluções como:
  • Auditoria Avançada (Advanced Audit)
  • DLP (Data Loss Prevention)
  • Políticas de Insiders
  • Investigação e Resposta de Conformidade (Microsoft Purview eDiscovery)

Passo 2: Verifique a Integração com o Defender for Endpoint

• Antes de mais nada, certifique-se de que seus dispositivos estão integrados ao Microsoft Defender for Endpoint.
• Essa integração permite a coleta de eventos de segurança e conformidade diretamente dos dispositivos, fornecendo visibilidade aprofundada para análise e auditoria.
• No meu caso eu executei o script, mas você tem outras opções, mostro ao lado, veja aquela que é melhor para o teu ambiente.
  

Classificação da Informação

Criar e Configurar Rótulos de Sensibilidade no Microsoft Purview Information Protection

1. Acesse o portal de conformidade do Microsoft Purview.
2. No menu lateral, selecione Classificações > Rótulos de Sensibilidade.
3. Clique em Criar rótulo e configure:
   • Nome: “Confidencial”.
   • Descrição: Indica arquivos contendo dados sensíveis.
   • Proteção: Ative criptografia e defina permissões (por exemplo, apenas usuários internos podem visualizar).
4. Publique o rótulo para que possa ser aplicado automaticamente ou manualmente nos documentos.

2. Criar uma Política de Proteção de Informações

1. No portal de conformidade do Purview, acesse Gerenciamento de Políticas.
2. Selecione Criar política e escolha Proteção de informações.
3. Atribua a política aos usuários ou grupos desejados.
4. Configure para que os documentos contendo dados sensíveis (exemplo: CPF, dados financeiros) sejam automaticamente rotulados.

📈 Resultado Esperado

Com as configurações realizadas até o momento, já conseguimos implementar cerca de 50% da proteção necessária contra o envio não autorizado de informações sensíveis. Tanto a configuração dos dispositivos quanto a classificação da informação foram concluídas com sucesso.

Nos próximos passos, abordaremos a configuração do DLP (Data Loss Prevention) e do DLP for Endpoint, etapas essenciais para alcançar a proteção completa e garantir que os dados da sua organização estejam totalmente seguros.

Quando um usuário tentar enviar um documento classificado como “Confidencial” via web.whatsapp.com, ele verá a seguinte mensagem:

“Sua organização impede que você carregue o arquivo para este local. Para proteger as informações confidenciais deste arquivo, sua organização o impede de carregá-lo em locais não aprovados.”

Fique atento à nossa próxima postagem, onde exploraremos em detalhes as configurações de DLP e DLP for Endpoint, essenciais para completar o ciclo de proteção de dados na sua organização.

📑 Documentação Oficial

Para mais detalhes, consulte a documentação da Microsoft.