Camada de Proteção e Conformidade do Microsoft 365: O Centro da Integração, telemetria e visibilidade

Publicado em por chesleysilva

A seguir estão as camadas 4 e 5 da arquitetura do Microsoft Purview, com detalhamento prático, integrações, configurações passo a passo e exemplo técnico aplicável em ambientes corporativos.

  1. 🧩 4. Integração com o Unified DLP e Defender for Cloud Apps
    1. 🔹 Unified DLP (Data Loss Prevention)
    2. ⚙️ Como configurar passo a passo
    3. 🔹 Defender for Cloud Apps (Cloud App Security)
    4. ⚙️ Como configurar passo a passo
    5. 📌 Mensagem técnica
    6. 🧭 Integração visual
  2. 🧠 5. Telemetria e visibilidade centralizada — Logging e SIEM
    1. 🔹 Azure Sentinel e SIEM (SOC)
    2. ⚙️ Como configurar passo a passo
    3. 📌 Exemplo técnico
    4. 📊 Integração visual

🧩 4. Integração com o Unified DLP e Defender for Cloud Apps

🔹 Unified DLP (Data Loss Prevention)

Função:
Centraliza todas as políticas de prevenção contra vazamento de dados (DLP) em um único painel, aplicando regras consistentes em:

  • Exchange Online – controla envio de e-mails com dados sensíveis;
  • SharePoint Online / OneDrive – bloqueia compartilhamentos externos;
  • Microsoft Teams – detecta envio de informações sigilosas em chats;
  • Endpoints (Windows/Mac) – identifica cópias de arquivos confidenciais para dispositivos locais, como USB.

⚙️ Como configurar passo a passo

  1. Acesse: https://compliance.microsoft.comData Loss Prevention
  2. Crie uma nova política DLP:
    • Clique em Create policy → escolha um template (ex: “Financial Data” ou “Brazilian PII”).
    • Adicione os locais: Exchange, SharePoint, OneDrive, Teams, Devices.
  3. Configure as condições:
    • “Detect when content contains CPF or CNPJ”;
    • “When content is shared externally”.
  4. Defina as ações automáticas:
    • Block envio externo;
    • User notification via pop-up no app (Teams, Outlook, File Explorer);
    • Incident report para o administrador.
  5. Ative o Audit mode inicialmente para monitorar antes de bloquear.
  6. Teste com o simulador de políticas DLP (Preview mode).

🔹 Defender for Cloud Apps (Cloud App Security)

Função:
Expande o controle do Purview para aplicativos SaaS de terceiros, como Google Drive, Dropbox, Box e Salesforce.

Principais recursos:

  • Session control (via Entra ID Conditional Access App Control)
  • Cloud Discovery (descobre apps usados fora da política)
  • File policies (aplica rótulos e bloqueia uploads/downloads)
  • Real-time control — detecta e bloqueia cópia de dados para USB ou upload não autorizado

⚙️ Como configurar passo a passo

  1. Acesse: https://portal.cloudappsecurity.com
  2. Conecte os apps SaaS:
    • Em Settings → App connectors → Add app connector
    • Selecione Google Drive, Box, etc.
  3. Ative a integração com o Purview Information Protection:
    • Settings → Information Protection → Enable MIP integration
    • Assim, os rótulos de sensibilidade do Purview serão aplicados nesses apps.
  4. Crie políticas de controle:
    • Exemplo: Block upload of files labeled as Confidential to Google Drive.
    • Configure alertas automáticos e ações corretivas.
  5. Habilite monitoramento em tempo real com o Entra ID:
    • Defender for Cloud Apps → Conditional Access App Control → Session control

📌 Mensagem técnica

“Aqui o Purview se conecta diretamente com o Defender for Cloud Apps — o mesmo rótulo que protege um arquivo no OneDrive também bloqueia o upload para um serviço externo.”

🧭 Integração visual

Purview Unified DLP ──► Defender for Cloud Apps
       │                        │
       ▼                        ▼
 Exchange / SharePoint     SaaS Apps (Google Drive, Box)
       │                        │
       └──────────► Controle unificado via Entra ID e MIP

🧠 5. Telemetria e visibilidade centralizada — Logging e SIEM

🔹 Azure Sentinel e SIEM (SOC)

Função:
Centraliza todos os logs de segurança, atividades e alertas vindos do ecossistema Microsoft 365 (Purview, Defender, Entra ID, etc.) e correlaciona eventos automaticamente.

Eventos coletados:

  • Rotulagem de arquivos (MIP Labeling)
  • Tentativas de descriptografia (RMS)
  • DLP triggers (bloqueios)
  • Uploads suspeitos (Defender for Cloud Apps)
  • Exclusões em massa (SharePoint)
  • Downloads em larga escala

⚙️ Como configurar passo a passo

  1. Acesse o Microsoft Sentinel: https://portal.azure.comMicrosoft Sentinel
  2. Crie um workspace do Log Analytics, se ainda não existir.
  3. Conecte as fontes de dados:
    • Microsoft 365 Defender connector
    • Microsoft Purview (via Activity Explorer / Audit)
    • Entra ID logs (via Azure AD connector)
  4. Habilite diagnóstico:
    • Em cada serviço (Purview, DLP, Defender, Entra ID), vá em Diagnostic settingsSend to Log Analytics.
  5. Crie Analytics Rules no Sentinel:
    • Exemplo: “Detect multiple DLP triggers in short time frame.”
    • Configure alerta automático e playbook (Logic App) para resposta.
  6. Configure dashboards visuais:
    • Use Workbooks do Sentinel com KPIs de rotulagem, alertas e incidentes.

📌 Exemplo técnico

“Se um usuário baixa 200 arquivos confidenciais em 10 minutos, o Sentinel correlaciona esse evento com as políticas do Purview e dispara um alerta no Defender.”

📊 Integração visual

Purview Services (Labeling, Protection, DLP)
          │
          ▼
 Unified Logging (Audit Logs + Activity Explorer)
          │
          ▼
 Microsoft Sentinel (SIEM)
          │
          ├─► Alertas SOC
          ├─► Playbooks automatizados
          └─► Dashboards e Hunting com KQL

Deixe um comentário