Verificar e proteger arquivos do Drive usando regras da DLP

Este recurso só está disponível no G Suite Enterprise, no Drive Enterprise e no G Suite for Education. Compare as edições

Como administrador do G Suite, você pode impedir que os usuários compartilhem conteúdo confidencial no Google Drive ou nos Drive de equipe com pessoas fora da sua organização. Para identificar os arquivos com conteúdo confidencial, você pode usar as regras da Prevenção contra perda de dados (DLP, na sigla em inglês). Por exemplo, se um usuário compartilhar um arquivo com números de contas bancárias ou de CPF/CNPJ, você poderá enviar um e-mail para os superadministradores sobre o compartilhamento. Também é possível avisar os usuários quando eles tentarem compartilhar um arquivo ou impedir que qualquer pessoa fora da sua organização acesse o arquivo. Somente arquivos compartilhados são verificados. 

Dica: para ver exemplos de conteúdo confidencial ou fazer um teste com seu próprio conteúdo, veja a demonstração da Prevenção contra perda de dados.

Como as regras funcionam

Você pode trabalhar com um modelo predefinido ou criar seu próprio modelo. Você atribui uma regra ao domínio inteiro, a uma unidade organizacional ou a um grupo no Grupos do Google. Para que as regras sejam aplicáveis aos arquivos do Drive de equipe, você precisa aplicar a regra a todos os usuários na sua organização. Se um item confidencial for detectado, você determinará a ação que será executada. Para mais detalhes, consulte Como definir uma regra.

Criar e editar regras

Para executar esta tarefa, é necessário fazer login como superusuário.

Criar regras usando os modelos predefinidos
  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina com @gmail.com).

  2. Na página inicial do Admin console, acesse Regras.

    Para ver "Regras", talvez seja preciso clicar em Mais controles na parte inferior. 

  3. Clique em Adicionar Adicionar ou, na parte superior, clique em Modelos para abrir a lista de modelos.
  4. Em "Prevenção contra perda de dados", selecione um dos modelos na lista predefinida.
  5. (Opcional) Edite o título e a descrição da regra.
  6. (Opcional) Em Acionadores, Condições e Ações, altere ou adicione as configurações e clique em Concluído. Consulte Como definir uma regra para detalhes.
  7. Clique em Criar e ativar
Criar regras usando o modelo em branco
  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina com @gmail.com).

  2. Na página inicial do Admin console, acesse Regras.

    Para ver "Regras", talvez seja preciso clicar em Mais controles na parte inferior. 

  3. Clique em Adicionar Adicionar ou, na parte superior, clique em Modelos para abrir a lista de modelos.
  4. Em "Prevenção contra perda de dados", clique em Modelo em branco.
  5. No campo de título, digite o nome da regra e adicione uma descrição da regra abaixo.
  6. Adicione Acionadores, Condições e Ações e clique em Concluído. Consulte Como definir uma regra para detalhes.
  7. Clique em Criar e ativar
Editar regras
  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina com @gmail.com).

  2. Na página inicial do Admin console, acesse Regras.

    Para ver "Regras", talvez seja preciso clicar em Mais controles na parte inferior. 

  3. Na parte superior, clique em Gerenciar para ver a lista de regras da DLP.
  4. Clique na regra que você pretende modificar.
  5. Em Acionadores, Condições e Ações, edite as configurações e clique em Concluído. Consulte Como definir uma regra para detalhes.
  6. Clique em Salvar e ativar.
Como definir uma regra

Acionadores

Os acionadores são os arquivos de aplicativos que a regra verifica. No momento, eles só estão disponíveis no Drive e nos Drives de equipe. 

Condições

Personalize a forma como você aplica a regra aos usuários e ao conteúdo. 

  • Usuários: você pode aplicar a regra a uma unidade organizacional, a um grupo no Grupos do Google ou a essas duas opções. Para verificar os arquivos no Drive de equipe, você precisa aplicar a regra a todos os usuários na sua organização (organização de nível superior). A regra verifica os arquivos que pertencem aos usuários nas organizações ou nos grupos selecionados. Também é possível isentar grupos. Adicione e isente quantos grupos e organizações você quiser. Se você não especificar nada, a regra será aplicada à organização de nível superior.
  • Conteúdo: a regra poderá ser acionada se corresponder ao conteúdo em uma lista predefinida de detectores de conteúdo. Ela também poderá ser acionada se corresponder a uma lista de palavras personalizada ou regex (expressão regular) que você seleciona ou adiciona. Adicione os conteúdos, as listas de palavras e as expressões regulares que você quiser. Saiba mais sobre seletores de conteúdo predefinidos e as expressões regulares.

    Observação: se você adicionar vários tipos de conteúdo a uma condição, a regra será acionada se houver correspondência com um tipo de conteúdo. 

    Se você optar por fazer a correspondência do conteúdo confidencial, precisará definir um limite de confiança. Esse limite indica a probabilidade de o conteúdo detectado corresponder aos seus critérios. Um limite médio significa que mais arquivos acionam a ação. Um limite alto pode resultar em menos arquivos compartilhados que deveriam ter acionado a ação e possivelmente mais arquivos que acionam a ação, mas não a exigem.

Ações

É o que a regra faz quando encontra um problema. Mesmo que você não escolha uma ação, os arquivos correspondentes são sempre sinalizados e listados nos dados do relatório. 

  • Bloquear acesso externo: impede que qualquer pessoa fora da sua organização acesse arquivos com conteúdo confidencial, mesmo se elas tiverem sido adicionadas a um Drive de equipe.  
  • Avisar sobre compartilhamento externo: informa ao usuário que ele está compartilhando um arquivo com conteúdo confidencial.
  • Enviar e-mail para os superadministradores: envia um e-mail para os superadministradores quando um usuário cria, edita ou faz upload de um arquivo com conteúdo confidencial. Um e-mail será enviado sempre que o tipo de conteúdo confidencial no arquivo for alterado.O número máximo de e-mails enviados é 25 em duas horas.

Dica: se você observar um grande número de falso-positivos, crie duas regras. Na primeira regra, adicione uma ação rigorosa, como "Bloquear o compartilhamento externo", com limite de confiança alto. Em seguida, crie uma segunda regra com um limite de confiança médio. Adicione a ação "Avisar sobre compartilhamento externo" a essa regra.

Monitorar uma regra ou uma mudança

Você pode usar a verificação da DLP para monitorar as regras que são adicionadas, editadas ou excluídas. Quando uma verificação é iniciada, você pode encontrar detalhes sobre ela e as mudanças identificadas clicando em "Tarefas" no Admin Console. Para detalhes, consulte Verificar o status de tarefas grandes.

  • Quando você adiciona, edita ou exclui uma regra: uma nova verificação da DLP (e uma nova tarefa) é acionada. 
  • Quando você modifica uma regra com a verificação da DLP em andamento: a verificação é reiniciada. A tarefa associada à verificação é atualizada para mostrar o que foi modificado.
  • Quando outro administrador altera uma regra com a verificação da DLP em andamento: a verificação é reiniciada, e uma nova tarefa é criada para o outro administrador. A tarefa original não monitora mais a verificação.

Usar dados e modelos de auditoria de regras

Para executar esta tarefa, é necessário fazer login como superusuário.

Visualizar ou exportar dados de itens marcados
  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina com @gmail.com).

  2. Na página inicial do Admin console, acesse Regras.

    Para ver "Regras", talvez seja preciso clicar em Mais controles na parte inferior. 

  3. Na parte superior, clique em Auditoria para ver os dados do relatório de auditoria de regras da DLP.
  4. (Opcional) Para alterar os critérios mostrados, clique em Selecionar colunas Selecionar colunas. Todas as alterações são salvas e ficam disponíveis na próxima vez que você fizer login.
  5. Para configurar a tabela para mostrar apenas determinados elementos, digite os nomes ou selecione o elemento nos seguintes campos na seção Filtros:
    1. Nome da regra: a regra violada pelo item sinalizado.
    2. Nome do item sinalizado: o nome do arquivo sinalizado pela regra.
    3. Identificador do item sinalizado: o nome do identificador no arquivo sinalizado pela regra.
    4. Proprietário do item: o e-mail do proprietário do arquivo sinalizado pela regra.
    5. Código do Drive de equipe: o número do Drive de equipe onde reside o arquivo sinalizado pela regra.
    6. Detectores de conteúdo correspondentes: selecione um dos detectores de conteúdo correspondentes personalizados ou predefinidos.
    7. Intervalo de data e hora: data e hora de início e término de eventos listados.
      Cada entrada no registro é associada a um único evento.
  6. Se você quiser exportar os dados do relatório para um arquivo do Planilhas Google no Drive ou fazer o download de um arquivo CSV com os dados do relatório, clique em Fazer download Fazer download . O arquivo pode conter no máximo 200.000 células. O número máximo de linhas depende do número de colunas selecionadas.
Ver ou filtrar modelos da DLP
  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina com @gmail.com).

  2. Na página inicial do Admin console, acesse Regras.

    Para ver "Regras", talvez seja preciso clicar em Mais controles na parte inferior. 

  3. Na parte superior, clique em Modelos.
  4. (Opcional) Para alterar os critérios mostrados, clique em Selecionar colunas Selecionar colunas. Todas as alterações são salvas e ficam disponíveis na próxima vez que você fizer login.
  5. (Opcional) Para configurar a tabela para mostrar apenas determinados elementos, na seção Filtros, digite os nomes ou selecione o elemento nos seguintes campos:
    1. Nome do modelo: o nome do modelo definido previamente.
    2. Descrição do modelo: a descrição do modelo definido previamente.
    3. Categoria: atualmente, a Prevenção contra perda de dados é o único tipo de categoria permitido.
    4. Aplicativo: os arquivos de aplicativos que a regra verifica. Atualmente, as regras da DLP só estão disponíveis em arquivos do Drive.

Perguntas frequentes

Quais detectores de conteúdo predefinidos são permitidos?

A DLP do Drive permite um grande número de detectores predefinidos. Adicionaremos mais detectores à medida que a plataforma de DLP evoluir.

A detecção é 100% garantida?

Não podemos garantir que todos os dados confidenciais serão encontrados e sinalizados. O sistema de detecção da DLP traduz modelos predefinidos em regexes (expressões regulares) e usa parâmetros de conteúdo adicionais para determinar a probabilidade de uma correspondência. Podem ocorrer falso-positivos e negativos, que são acionados por vários fatores.

Os usuários descobrem por que não é possível compartilhar um arquivo?

Os usuários recebem uma mensagem da DLP informando por que o compartilhamento está bloqueado. Caso ocorram diversas violações, a mensagem especificará o primeiro detector com que houve correspondência.

Quando as regras são modificadas ou adicionadas, o sistema verifica arquivos criados anteriormente?

Sim. Todos os arquivos são verificados sempre que uma regra é adicionada ou modificada. A verificação dos arquivos pode levar algumas horas, um dia ou mais tempo dependendo de diversos fatores, como o número de arquivos no domínio. 

Dica: se você adicionar ou modificar uma regra, a DLP verificará a revisão mais recente de arquivos enviados anteriormente.

Um arquivo pode ser verificado mais de uma vez?

Sim. Para ajudar a garantir que o conteúdo confidencial seja detectado, às vezes o documento é verificado duas vezes. Por isso, o número de arquivos afetados pela alteração de uma regra pode variar em cada verificação.

Este artigo foi útil para você?
Como podemos melhorá-lo?