Criar e gerenciar regras da DLP do Drive e detectores de conteúdo personalizados

Edições que oferecem suporte a este recurso: Frontline Standard e Frontline Plus; Enterprise Standard e Enterprise Plus; Education Fundamentals, Education Standard e Education Plus; Enterprise Essentials Plus. Comparar sua edição

A DLP do Drive e do Chat também estão disponíveis para os usuários do Cloud Identity Premium que também têm uma licença do Google Workspace (edições Enterprise, Business ou Education).

As condições da regra da DLP determinam o tipo de conteúdo sensível que será detectado. Consulte exemplos básicos em Exemplos de regras da DLP abaixo. Uma regra pode precisar de uma única condição ou combinar várias condições com o uso dos operadores AND, OR ou NOT. Consulte Exemplos de operadores de condição aninhada das regras da DLP do Drive para ver exemplos de condições aninhadas.

• Para detectar informações pessoais padrão, como o número da carteira de habilitação ou o CPF/CNPJ, as regras podem usar detectores de conteúdo predefinidos. Veja a lista completa de detectores em Como usar detectores de conteúdo predefinidos.
• As condições de regra podem usar detectores de conteúdo personalizados, como um detector de conteúdo que tenha uma lista de palavras ou uma expressão regular. Para instruções, consulte Etapa 2: Criar um detector personalizado.

Veja sugestões para melhorar o teste de regras, que incluem a configuração de um ambiente de teste de regras, em Práticas recomendadas para testar regras em menos tempo.

Você pode criar uma regra somente de auditoria para testar as regras criadas na DLP. Isso permite que você teste o impacto de uma regra no Google Drive. Como todas as regras, essas regras são acionadas, mas elas só gravam os resultados nos eventos de registro de regras e na ferramenta de investigação de segurança.

Veja sugestões para melhorar o teste de regras, que incluem a configuração de um ambiente de teste de regras, em Práticas recomendadas para testar regras em menos tempo.

Para criar e usar uma regra somente de auditoria:

1. Siga as etapas de criação de regra na Etapa 3: Criar regras.
2. Quando você chegar à seção "Ações" da criação de regras, não selecione uma ação. As ações são opcionais. A regra será acionada sem uma ação associada, e todos os incidentes serão registrados nos eventos de registro da regra. Nesse caso, a regra exibe Somente auditoria na "Ação".
3. Conclua a configuração da regra. Confirme que o status da regra é Ativo.
4. Teste a funcionalidade por conta própria ou aguarde até que os usuários no seu domínio compartilhem dados que podem ser afetados por essa regra.
5. Conferir os eventos de registro da regra. Acesse Eventos de registro da regra ou a ferramenta de investigação de segurança para mais detalhes. Os eventos de registro vão listar regras sem ações ativadas quando você usar uma regra somente de auditoria.

6. Quando tiver certeza de que a regra está configurada exatamente como você quer, altere a regra para que uma ação seja aplicada (conforme descrito na Etapa 3: Criar regras).

São regras da DLP recomendadas com base nos resultados do relatório de insights sobre proteção de dados. Por exemplo, se o relatório listar números de passaporte como dados compartilhados na organização, a DLP recomendará uma regra para impedir o compartilhamento desses números.

Você só receberá recomendações de regras se o relatório de insights sobre proteção de dados estiver ativado. Veja mais detalhes em Impedir vazamentos com as regras recomendadas de proteção de dados.

• Grupos dinâmicos: gerencie as associações automaticamente quando os usuários entram, saem ou se movem na sua organização. Disponíveis no Admin Console ou na API Cloud Identity, os grupos dinâmicos reduzem o tempo gasto gerenciando a associação a grupos manualmente. Para usar um grupo dinâmico em uma regra da DLP, verifique se ele também é um grupo de segurança (tem o marcador Segurança). Saiba mais sobre os grupos dinâmicos.

• Grupos de segurança: converta um grupo padrão ou dinâmico em um grupo de segurança, o que ajuda a regular, auditar e monitorar o grupo em busca de permissões e controle de acesso. Para criar grupos de segurança no Admin Console ou com a API Cloud Identity Groups, adicione o marcador Segurança a eles. Saiba mais sobre os grupos de segurança.

• Grupos migrados: use o Google Cloud Directory Sync (GCDS) para sincronizar grupos criados no Microsoft Active Directory ou em outras ferramentas com o Google Workspace. Em seguida, use esses grupos sincronizados nas regras da DLP. Saiba mais sobre o GCDS.

Estas são instruções gerais para criar um detector personalizado se você precisar usar um detector em condições de regras.

Criar um detector da DLP para usar com regras

Antes de começar, faça login na sua conta de superadministrador ou em uma conta de administrador delegado com os seguintes privilégios:

• Privilégios de administrador da unidade organizacional
• Privilégios de administrador de grupos
• Privilégios de visualização e gerenciamento de regras da DLP (ative as permissões de visualização e gerenciamento para ter acesso total à criação e à edição de regras e considere criar uma função personalizada com os dois privilégios)
• Privilégios de visualização de metadados e atributos (necessários apenas para o uso da ferramenta de investigação): Central de segurançaFerramenta de investigaçãoRegraVer metadados e atributos.

Saiba mais sobre os privilégios de administrador e como criar funções personalizadas de administrador.

1. Faça login com uma conta de admin no Google Admin Console.

   Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

2. Acesse Menu  Segurança > Acesso e controle de dados > Proteção de dados.

   É necessário ter os privilégios de administrador "Ver regra da DLP" e "Gerenciar regra da DLP".

3. Clique em Gerenciar detectores.
4. Clique em Adicionar detector. Adicione o nome e a descrição.

   Você tem as seguintes opções:

   • Expressão regular: uma expressão regular, também chamada de regex, é um método de correspondência de texto com padrões. Clique em Testar expressão para verificar a expressão regular. Veja mais informações em Exemplos de expressões regulares.
   • Lista de palavras: uma lista de palavras personalizada que você cria. Esta é uma lista separada por vírgulas com as palavras a serem detectadas. Não há diferenciação entre letras maiúsculas e minúsculas e símbolos. A correspondência é feita somente com palavras completas. Você pode adicionar uma mensagem pop-up que aparece quando o conteúdo é detectado. As palavras nos detectores de lista de palavras precisam ter pelo menos dois caracteres que sejam letras ou dígitos.
5. Clique em Criar. Depois use o detector personalizado ao adicionar condições a uma regra.

Antes de começar, faça login na sua conta de superadministrador ou em uma conta de administrador delegado com os seguintes privilégios:

• Privilégios de administrador da unidade organizacional
• Privilégios de administrador de grupos
• Privilégios de visualização e gerenciamento de regras da DLP (ative as permissões de visualização e gerenciamento para ter acesso total à criação e à edição de regras Recomendamos criar uma função personalizada com os dois privilégios.

Para saber quais privilégios são necessários apenas para a ferramenta de investigação de segurança, consulte Privilégios de administrador da ferramenta de investigação de segurança.

Saiba mais sobre os privilégios de administrador e como criar funções personalizadas de administrador.

1. Faça login com uma conta de admin no Google Admin Console.

   Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

2. Acesse Menu  Segurança > Acesso e controle de dados > Proteção de dados.

   É necessário ter os privilégios de administrador "Ver regra da DLP" e "Gerenciar regra da DLP".

3. Clique em Gerenciar regras. Em seguida, clique em Adicionar regraNova regra ou Adicionar regraNova regra do modelo. Selecione um modelo na página "Modelos".
4. Adicione o nome e a descrição da regra.
5. Na seção Escopo, escolha Todos em <nome.dominio> ou aplique esta regra somente aos usuários nas unidades organizacionais ou nos grupos selecionados. Se houver um conflito entre unidades organizacionais e grupos em termos de inclusão ou exclusão, o grupo terá precedência.

   Observação: para aplicar a regra a um grupo dinâmico, ele também precisará ter o marcador Segurança. Veja mais informações em Que tipos de grupos posso selecionar para o escopo de uma regra?.

6. Clique em Continuar.
7. Na seção Apps, escolha Arquivos do Drive.
8. Clique em Continuar.
9. Na seção Condições, clique em Adicionar condição.
10. Escolha o Tipo de conteúdo a ser verificado:
    • Todo o conteúdo: todo o documento, incluindo o título, o corpo e as edições sugeridas
    • Corpo: o corpo do documento
    • Marcador do Drive: os marcadores aplicados ao documento. Confira mais detalhes em Primeiras etapas como administrador de marcadores do Drive.
    • Edições sugeridas: conteúdo adicionado ao documento no modo "Sugestões"
    • Título: o título do documento
11. Escolha O que verificar e preencha os atributos necessários para esse tipo de verificação, listados na tabela abaixo.

    As opções em O que verificar variam de acordo com o tipo de conteúdo a ser verificado escolhido na etapa anterior. Por exemplo, se você escolher "Título" como o tipo de conteúdo a ser verificado, as opções O que verificar vão incluir Termina com e Começa com.

    O que verificar	Atributos
    Corresponde ao tipo de dados predefinido	Tipo de dados: selecione um tipo de dados predefinido. Saiba mais informações sobre os tipos de dados predefinidos aqui. Limite de probabilidade: selecione um limite de probabilidade. Limites disponíveis: Muito baixa Baixa Moderada Alta Muito alta Esses limites refletem a confiança do sistema DLP no resultado da correspondência. Em geral, o limite Muito alto corresponde a menos conteúdo e é mais preciso. O limite Muito baixo é uma rede mais ampla que corresponde a mais arquivos com menos precisão. Mínimo de correspondências exclusivas: o número mínimo de vezes que um resultado correspondente precisa ocorrer exclusivamente em um documento para ativar a ação. Número mínimo de correspondências: o número mínimo de vezes que os resultados correspondentes precisam aparecer em um documento para ativar a ação. Como funcionam as opções "Número mínimo de correspondências" e "Mínimo de correspondências exclusivas"? Por exemplo, pense em duas listas de CPFs ou CNPJs: a primeira lista tem 50 cópias do mesmo número, e a segunda tem 50 números exclusivos. Nesse caso, se o valor de Número mínimo de correspondências for igual a 10, os resultados serão acionados nas duas listas porque ambas têm menos de 10 correspondências. Se o valor Mínimo de correspondências exclusivas for igual a 10 e o valor Número mínimo de correspondências for igual a 1, os resultados serão acionados somente na segunda lista porque há 10 correspondências, e todas são todos valores exclusivos correspondentes.
    Contém string de texto	Digite o conteúdo para corresponder: digite uma substring, um número ou outros caracteres para pesquisar. Especifique se o conteúdo diferencia maiúsculas de minúsculas. No caso da substring, se a regra contiver a palavra chave e o documento contiver a palavra chave, ocorrerá uma correspondência.
    Contém palavra	Digite o conteúdo para corresponder: digite a palavra, o número ou outros caracteres para pesquisar. Disponível apenas se você escolher o Gmail como o app.
    Corresponde à expressão regular	Nome da expressão regular: um detector personalizado de expressão regular. Número mínimo de detecções do padrão: o número mínimo de vezes que o padrão expresso pela expressão regular aparece em um documento para ativar a ação.
    Corresponde às palavras da lista de palavras	Nome da lista de palavras: selecione uma lista de palavras personalizada. Modo de correspondência: selecione Corresponde a qualquer palavra ou Corresponde ao mínimo de palavras únicas. Mínimo de vezes que uma palavra foi detectada: o menor número possível de vezes que uma palavra pode ser detectada para ativar a ação. Mínimo de palavras únicas detectadas: o menor número de palavras únicas que precisam ser detectadas para acionar a ação (disponível apenas para a opção Corresponde ao mínimo de palavras únicas).
    Termina com	Digite o conteúdo para corresponder: digite a palavra, o número ou outros caracteres para pesquisar. Especifique se o conteúdo diferencia maiúsculas de minúsculas.
    Começa com	Digite o conteúdo para corresponder: digite a palavra, o número ou outros caracteres para pesquisar. Especifique se o conteúdo diferencia maiúsculas de minúsculas.
    É (apenas para o tipo de conteúdo Marcador do Drive )	Marcador do Drive: escolha um marcador do Drive disponível na lista suspensa. Campo do marcador: escolha um campo do marcador disponível para o marcador do Drive selecionado. Opção de campo: escolha uma opção disponível para o campo selecionado.

    Você pode usar os operadores AND, OR ou NOT com condições. Acesse Exemplos de operadores de condição aninhada das regras da DLP do Drive para ver detalhes sobre o uso dos operadores AND, OR ou NOT com condições.

    Observação: se você criar uma regra de DLP sem condição, a regra será aplicada a todos os arquivos do Drive.

12. Clique em Continuar.
13. Na seção Ações, é possível selecionar a ação que ocorrerá quando dados sensíveis forem detectados na verificação:

    Quer testar uma regra antes de adicionar uma ação?
    É possível criar uma regra somente de auditoria para testar uma regra que grava nos eventos de registro sem realizar uma ação. A seleção de uma ação é opcional. Veja mais detalhes em Usar regras somente de auditoria para testar os resultados das regras (opcional, mas recomendado).

    • Bloquear compartilhamento externo: impede o compartilhamento do arquivo.
    • Avisar sobre compartilhamento externo: se um usuário tentar compartilhar o arquivo, receberá um aviso de que ele tem conteúdo sensível. Será possível cancelar ou escolher "Compartilhar mesmo assim".

      Observação: se você ativar alertas para essa ação, eles serão acionados ao identificar um conteúdo sensível, mesmo que o arquivo não seja compartilhado naquele momento. A detecção geralmente ocorre depois da criação ou atualização de um arquivo ou depois de uma mudança nas regras aplicadas ao arquivo, por exemplo, quando uma regra é criada ou atualizada. Ela também pode ocorrer quando um upgrade do sistema aumenta a probabilidade de detecção. O registro de regras lista os eventos de detecção.

    • Desativar o download, a impressão e a cópia para comentaristas e leitores: impede o download, a impressão e a cópia, a menos que o usuário tenha o privilégio editor ou superior. Esse recurso é o gerenciamento de direitos de informação (IRM) da DLP e usa as configurações de compartilhamento do Drive, como as políticas, para impedir que os usuários façam o download, imprimam ou copiem documentos, planilhas ou apresentações do Google Drive em todas as plataformas. Acesse as perguntas frequentes sobre o IRM para mais detalhes.
    • Aplicar marcadores do Drive: aplica um marcador do Drive aos arquivos correspondentes. Siga estas etapas para configurar:
      1. Escolha um marcador na lista suspensa Marcador do Drive e selecione um Campo e uma Opção de campo disponíveis. Somente marcadores com selo e marcadores padrão com o tipo de campo Lista de opções são compatíveis. Confira mais detalhes em Primeiros passos como administrador de marcadores do Drive.
      2. (Opcional) Clique em Adicionar rótulo.
      3. Escolha se você quer permitir que os usuários alterem os marcadores e valores de campos aplicados aos próprios arquivos.
14. Na seção Alertas, escolha um nível de gravidade (Baixa, Média, Alta). O nível de gravidade afeta o modo como os incidentes são organizados no painel da DLP (o número de incidentes com gravidade "Alta", "Média" ou "Baixa") em um período.
15. Você também pode marcar a opção Enviar para a Central de alertas para acionar as notificações. Só é possível criar alertas no Google Drive. Veja mais informações em Ver detalhes do alerta.

    Marque a caixa para alertar todos os superadministradores ou adicione os endereços de e-mail de outros destinatários. Só é possível adicionar destinatários que pertencem ao usuário. Os destinatários externos são ignorados. Os destinatários podem ser usuários ou grupos. Lembre-se de que você precisa configurar o acesso dos grupos selecionados para que eles recebam e-mails. Veja mais detalhes sobre como configurar o acesso do grupo às notificações por e-mail em Configurar as notificações por e-mail da Central de alertas.

    Os alertas são listados na Central de alertas. Há um intervalo entre o momento em que um alerta ocorre e quando ele é registrado. Há um intervalo entre o momento em que um alerta é exibido na Central de alertas e quando os eventos de registro de regras e os painéis de segurança da DLP são atualizados. Você pode receber um alerta e ver o resumo. No entanto, o número de incidentes nos painéis ou eventos de registro na ferramenta de investigação de segurança precisa de tempo para ser atualizado. Pode haver até 50 alertas por regra diariamente. Os alertas são exibidos até que esse limite seja atingido.

16. Clique em Continuar e verifique os detalhes da regra.
17. Em "Status da regra", escolha um status inicial:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não é executada imediatamente. Assim você tem tempo para analisar a regra e compartilhá-la com os participantes da equipe antes da implementação. Ative a regra mais tarde em SegurançaProteção de dadosGerenciar regras. Clique no status "Inativo" da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
18. Clique em Criar.

As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Defina as expectativas do usuário quanto ao comportamento e às consequências da nova regra. Por exemplo, você pode bloquear o compartilhamento externo se dados sensíveis forem compartilhados. Neste caso, diga aos usuários que talvez não seja possível compartilhar documentos e informe por que isso pode ocorrer.

Este exemplo mostra como usar um classificador predefinido para impedir que usuários de organizações e grupos específicos compartilhem dados confidenciais. Você pode usar classificadores predefinidos para especificar dados que costumam ser digitados. Neste exemplo, os dados são números da Previdência Social dos EUA.

Antes de começar, verifique se você fez login na sua conta de superadministrador ou em uma conta de administrador delegado com os privilégios listados em Criar uma regra da DLP acima.

1. Faça login com uma conta de admin no Google Admin Console.

   Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

2. Acesse Menu  Segurança > Acesso e controle de dados > Proteção de dados.

   É necessário ter os privilégios de administrador "Ver regra da DLP" e "Gerenciar regra da DLP".

3. Clique em Gerenciar regras. Em seguida, clique em Adicionar regraNova regra.
4. Adicione o nome e a descrição da regra.
5. Na seção "Escopo", escolha Aplicar a todos <domain.name> ou pesquise e inclua ou exclua as unidades organizacionais ou os grupos aos quais a regra se aplica. Se houver um conflito entre unidades organizacionais e grupos em termos de inclusão ou exclusão, o grupo terá precedência.
6. Clique em Continuar.
7. Na seção "Condições", clique em Adicionar condição e selecione estes valores:
   • Campo: todo o conteúdo.
   • Valor: corresponde ao detector padrão
   • Detector padrão: "Número da Previdência Social - EUA".
   • Limite de possibilidade: Grande probabilidade. Uma medida adicional usada para determinar se as mensagens ativam a ação.
   • Mínimo de correspondências exclusivas: 1. O número mínimo de vezes que uma correspondência única precisa ocorrer em um documento para ativar a ação.
   • Número mínimo de correspondências: 1. O número de vezes que o conteúdo precisa aparecer em uma mensagem para ativar a ação. Por exemplo, se você selecionar "2", o conteúdo precisará aparecer pelo menos duas vezes em uma mensagem para ativar a ação.
8. Clique em Continuar. Em "Google Drive", selecione Bloquear compartilhamento externo.
9. Em "Gravidade e alertas", escolha o nível de gravidade Alta. Ative um alerta e digite os destinatários.

   Há um intervalo entre o momento em que um alerta ocorre e quando ele é registrado. Os administradores podem receber no máximo 50 alertas por regra diariamente até o limite ser atingido.

10. Clique em Continuar para verificar os detalhes da regra.
11. Clique em Criar e escolha:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não é executada imediatamente. Assim você tem tempo para analisar a regra e compartilhá-la com os participantes da equipe antes da implementação. Ative a regra mais tarde em SegurançaProteção de dadosGerenciar regras. Clique no status Inativo da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
12. Clique em Concluir.

As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Este exemplo mostra como configurar um detector personalizado. Você pode listar as palavras a serem detectadas em um detector personalizado. Use as configurações de acionamento nas regras para impedir que os usuários compartilhem documentos que mencionem dados confidenciais, como nomes de projetos internos, com destinatários externos.

Antes de começar, verifique se você fez login na sua conta de superadministrador ou em uma conta de administrador delegado com os privilégios listados em Criar uma regra da DLP acima.

1. Faça login com uma conta de admin no Google Admin Console.

   Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

2. Acesse Menu  Segurança > Acesso e controle de dados > Proteção de dados.

   É necessário ter os privilégios de administrador "Ver regra da DLP" e "Gerenciar regra da DLP".

3. Clique em Gerenciar detectores. Em seguida, clique emAdicionar detectorLista de palavras.
4. Digite um nome e uma descrição para o detector.
5. Digite as palavras a serem detectadas separadas por vírgulas. Nas listas de palavras personalizadas:
   • Não há diferenciação entre letras maiúsculas e minúsculas. Por exemplo, "MAU" corresponde a "mau", "Mau" e "MAU".
   • A correspondência é feita somente com palavras completas. Se você adicionar "mau" à lista de palavras personalizada, não será feita a correspondência com "maurício".
6. Clique em Criar.
7. Clique em Gerenciar regras. Em seguida, clique em Adicionar regraNova regra.
8. Na seção "Nome da regra", digite o nome e uma descrição (opcional) da regra.
9. Na seção "Escopo", pesquise e selecione as unidades organizacionais ou os grupos a que a regra se aplica.
10. Clique em Continuar.
11. Na seção "Condições", clique em Adicionar condição e selecione estes valores:
    • Campo: todo o conteúdo.
    • Valor: corresponde ao detector da lista de palavras.
    • Lista de palavras: role para encontrar o detector que você criou acima.
    • Modo de correspondência: selecione um modo de correspondência.
    • Corresponder a qualquer palavra: conta correspondências de qualquer palavra na lista de palavras predefinida.
    • Corresponde ao mínimo de palavras únicas: especifique o mínimo de palavras únicas detectadas e o mínimo de vezes que qualquer palavra (na lista de palavras predefinidas) é detectada.
    • Mínimo de vezes que uma palavra foi detectada: 1
12. Clique em Continuar. Em "Google Drive", selecione a ação Bloquear compartilhamento externo.
13. Em "Gravidade e alertas", escolha o nível de gravidade Alta. Ative um alerta e especifique os destinatários. Há um intervalo entre o momento em que um alerta ocorre e quando ele é registrado. Os administradores podem receber no máximo 50 alertas por regra diariamente até o limite ser atingido.
14. Clique em Continuar para verificar os detalhes da regra.
15. Clique em Criar e escolha:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não é executada imediatamente. Assim você tem tempo para analisar a regra e compartilhá-la com os participantes da equipe antes da implementação. Ative a regra mais tarde em SegurançaProteção de dadosGerenciar regras. Clique no status Inativo da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
16. Clique em Concluir.

As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Um modelo de regra inclui um conjunto de condições que abrangem muitos cenários típicos de proteção de dados. Use um modelo de regra para configurar políticas para situações comuns de proteção de dados.

Este exemplo usa um modelo de regra para bloquear o envio ou o compartilhamento de um documento do Drive ou um e-mail com informações de identificação pessoal dos EUA.

Antes de começar, verifique se você fez login na sua conta de superadministrador ou em uma conta de administrador delegado com os privilégios listados em Criar uma regra da DLP acima.

1. Faça login com uma conta de admin no Google Admin Console.

   Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

2. Acesse Menu  Segurança > Acesso e controle de dados > Proteção de dados.

   É necessário ter os privilégios de administrador "Ver regra da DLP" e "Gerenciar regra da DLP".

3. Clique em Gerenciar regras.
4. Clique em Adicionar regraNova regra do modelo.
5. Na página "Modelos", clique em Impedir o compartilhamento de dados PII (EUA).
6. Aceite o nome e a descrição padrão da regra ou insira novos valores.
7. Na seção "Escopo", pesquise e selecione a quais grupos de unidades organizacionais a regra se aplica.
8. Clique em Continuar. As condições são pré-selecionadas para o modelo da regra. Verifique-as se você quiser ver as condições específicas que se aplicam à regra. A segurança está definida como "Baixa", e os alertas são desativados.
9. Para o Google Drive, a opção Bloquear compartilhamento externo está selecionada. Bloquear o compartilhamento impede que os usuários compartilhem arquivos que atendam às condições com usuários fora da organização.
10. Clique em Continuar para verificar os detalhes da regra.
11. Clique em Criar e escolha:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não é executada imediatamente. Assim você tem tempo para analisar a regra e compartilhá-la com os participantes da equipe antes da implementação. Ative a regra mais tarde em SegurançaProteção de dadosGerenciar regras. Clique no status Inativo da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
12. Clique em Concluir.

As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Este exemplo combina uma regra da DLP com uma condição de acesso baseado no contexto. Quando você combina uma regra da DLP com uma condição contextual, a regra só é aplicada quando a condição é atendida.

Neste exemplo, a regra da DLP impede que usuários de documentos Google com acesso para comentar ou visualizar façam o download, imprimam ou copiem conteúdo sensível. A condição contextual é que os usuários estejam acessando conteúdos em dispositivos iOS ou Android.

Importante: para a aplicação de condições contextuais em dispositivos móveis ou sistemas operacionais, é preciso ativar o gerenciamento de dispositivos básico ou avançado.

Antes de começar, verifique se você fez login na sua conta de superadministrador ou em uma conta de administrador delegado com os privilégios listados em Criar uma regra da DLP acima.

1. Faça login com uma conta de admin no Google Admin Console.

   Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

2. Acesse Menu  Segurança > Acesso e controle de dados > Proteção de dados.

   É necessário ter os privilégios de administrador "Ver regra da DLP" e "Gerenciar regra da DLP".

3. Clique em Gerenciar regras. Em seguida, clique em Adicionar regraNova regra.
4. Digite um nome e uma descrição para a regra.
5. Na seção Escopo, pesquise e selecione a quais grupos de unidades organizacionais a regra se aplica.
6. Clique em Continuar.
7. Em Apps, em Google Drive, marque Arquivos do Drive.
8. Clique em Continuar.
9. Na seção Condições, clique em Adicionar condição.
10. Em Tipo de conteúdo para verificação, escolha Todo o conteúdo.
11. Em O que verificar, escolha um tipo de verificação da DLP e selecione os atributos. Saiba mais sobre os atributos disponíveis em Criar uma regra da DLP.
12. Na seção Condições contextuais, clique em Selecionar um nível de acesso para ver os níveis de acesso.
13. Clique em Criar novo nível de acesso.
14. Digite um nome e uma descrição para o novo nível de acesso.
15. Em Condições contextuais, clique em Adicionar condição.
16. Selecione Atender a todos os atributos.
17. Clique em Selecionar atributoSistema operacional do dispositivo, Selecionar SO e escolha "iOS" na lista suspensa.
18. Em Versão mínima, deixe a opção padrão "Qualquer versão" ou selecione uma versão específica.
19. Clique em Adicionar condição e repita as etapas de 17 a 18, selecionando "Android" como o sistema operacional do dispositivo.
20. Defina a opção Mesclar várias condições com (localizada acima de Condições) como OU. Isso significa que a regra da DLP será aplicada se os usuários estiverem acessando conteúdo sensível em dispositivos iOS ou Android.
21. Clique em Criar. Você voltará para a página Criar regra. O novo nível de acesso será adicionado à lista, e os atributos aparecerão à direita.
22. Clique em Continuar.
23. Na página Ações, para a ação do Google Drive, escolha Desativar o download, a impressão e a cópia para comentaristas e leitores.

    Observação: a ação só é aplicada quando as condições do conteúdo e contextuais são atendidas.

24. (Opcional) Escolha o nível de gravidade do alerta (baixo, médio ou alto) e se você quer enviar alertas e notificações de alerta por e-mail.
25. Clique em Continuar para verificar os detalhes da regra.
26. Escolha um status para a regra:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: a regra existe, mas não está em vigor. Assim você tem tempo para analisar a regra e compartilhá-la com os participantes da equipe antes da implementação. Depois ative a regra em Segurança > Controle de dados e acesso > Proteção de dados e Gerenciar regras. Clique no status da regra para mudar de "Inativo" para "Ativo". A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
27. Clique em Criar.

As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais.

Confira mais exemplos em Combinar regras de DLP com condições de acesso baseado no contexto.

Antes de começar, faça login na sua conta de superadministrador ou em uma conta de administrador delegado com os seguintes privilégios:

• Privilégios de administrador da unidade organizacional
• Privilégios de administrador de grupos
• Privilégios de visualização e gerenciamento de regras da DLP (ative as permissões de visualização e gerenciamento para ter acesso total à criação e à edição de regras Recomendamos criar uma função personalizada com os dois privilégios.
• Privilégios de visualização de metadados e atributos (necessários apenas para o uso da ferramenta de investigação): Central de segurançaFerramenta de investigação de segurançaRegraVer metadados e atributos.

Saiba mais sobre os privilégios de administrador e como criar funções personalizadas de administrador.

1. Faça login com uma conta de admin no Google Admin Console.

   Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

2. Acesse Menu  Segurança > Acesso e controle de dados > Proteção de dados.

   É necessário ter os privilégios de administrador "Ver regra da DLP" e "Gerenciar regra da DLP".

3. Clique em Gerenciar regras ou Gerenciar detectores. Acesse a página das regras em Segurança > Proteção de dados > Regras. Acesse a página dos detectores em Segurança > Proteção de dados > Detectores.

Classificar regras

Você pode classificar as regras por colunas Nome ou Última modificação em ordem crescente ou decrescente.

1. Na página de regras, clique na coluna Nome ou Última modificação.
2. Clique na seta para cima ou para baixo para classificar a coluna.

Ativar ou desativar regras

Se você ativar uma regra, a DLP verificará os documentos que usam essa regra.

1. Na página de regras, na coluna "Status" de uma regra, selecione Ativo ou Inativo.
2. Confirme que você quer ativar ou desativar a regra.

Exportar regras

Você pode exportar regras para um arquivo .txt.

1. Na página de regras, clique em Exportar regras.
2. A lista de regras é transferida para um arquivo de texto. Clique no arquivo .txt no canto inferior esquerdo para ver as regras salvas.

Editar detalhes da regra

Quando você edita regras, isso aciona uma nova verificação dos documentos afetados por essas regras.

1. Na lista de regras, clique na regra que você quer editar.
2. Clique em Editar regra.
3. Edite a regra conforme necessário. O fluxo é o mesmo da criação de regras.
4. Quando terminar, clique em Atualizar e escolha uma opção:
   • Ativo: sua regra é executada imediatamente.
   • Inativo: sua regra existe, mas não é executada imediatamente. Assim você tem tempo para analisar a regra e compartilhá-la com os participantes da equipe antes da implementação. Ative a regra mais tarde em SegurançaProteção de dadosGerenciar regras. Clique no status Inativo da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
5. Clique em Concluir.

As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Investigar uma regra com a ferramenta de investigação de segurança

A DLP usa a ferramenta de investigação de segurança para mostrar com que frequência uma regra é acionada. A ferramenta lista os resultados de uma pesquisa com a regra e mostra as ações ativadas para cada incidente.

Para usar a ferramenta, você precisa dos privilégios de "Ver metadados e atributos" em Central de segurançaFerramenta de investigaçãoRegraVer metadados e atributos.

Para investigar uma regra:

1. Na lista de regras, aponte para uma linha e clique em Mais Investigar regra.
2. Você verá resultados de pesquisa para a regra. Há um intervalo de tempo entre o acionamento de uma regra e a atualização dos eventos de registro. Acesse Ferramenta de investigação de segurança para mais detalhes.

Dicas:

• Você pode ativar ou desativar uma regra na ferramenta de investigação de segurança. Na tabela de resultados, aponte para a coluna "Código da regra". Clique em AçõesAtivar regra ou Desativar regra.
• Para ver os resultados de todas as regras da DLP, clique em Fechar para remover os critérios específicos da pesquisa de regrasclique em Pesquisar.

Ver uma regra

1. Aponte para uma linha e clique em Mais escolha uma opção:
   • Para conferir os detalhes básicos da regra, clique em Visualização rápida.
   • Para conferir todos os detalhes e editar a regra, clique em Ver regra.
2. Clique em Salvar.

Copiar uma regra

1. Aponte para uma linha e clique em Mais Copiar regra.
2. Clique em Salvar.

Excluir uma regra

Só é possível excluir regras que não são do sistema. A exclusão de regras é permanente.

1. Aponte para uma linha e clique em Mais Excluir regra.
2. Clique em Excluir para confirmar.

Redefinir uma regra

Só é possível redefinir uma regra do sistema.

1. Aponte para uma linha e clique em Mais Redefinir regra.
2. Clique em Redefinir para confirmar.

Filtrar detectores personalizados

Você pode filtrar a lista de detectores personalizados por nome e tipo de detector.

1. Na página do detector personalizado, clique em Adicionar um filtro.
2. Filtrar por nome ou tipo de detector:
   • Nome do detector: digite uma string para pesquisar.
   • Tipo de detector: selecione um tipo de detector.
3. Clique em Aplicar. O filtro será mantido até que você o exclua.

Exportar detectores

Você pode exportar detectores para um arquivo .txt.

1. Na página de detectores, clique em Exportar detectores.
2. A lista de detectores é salva em um arquivo de texto. Clique no arquivo .txt, no canto inferior esquerdo, para ver os detectores salvos.

Editar detector personalizado da lista de palavras

Quando você edita detectores personalizados usados em regras, isso aciona uma nova verificação dos documentos afetados pelas regras que contêm os detectores modificados.

Para editar o nome e a descrição de um detector personalizado:

1. Clique em um detector personalizado de lista de palavras na lista.
2. Clique em Editar informações.
3. Edite o título e a descrição.
4. Clique em Salvar.

Para adicionar palavras à lista:

1. Clique em um detector personalizado de lista de trabalho na lista.
2. Clique em Adicionar palavras.
3. Adicione palavras à lista de palavras.
4. Clique em Salvar.

Para editar palavras na lista:

1. Clique em um detector personalizado de palavras personalizadas na lista.
2. Clique em Editar palavras.
3. Edite as palavras na lista.
4. Clique em Salvar.

Editar detector personalizado de expressão regular

Quando você edita detectores personalizados usados em regras, isso aciona uma nova verificação dos documentos afetados pelas regras que contêm os detectores modificados.

Para editar o nome, a descrição ou a expressão regular do detector personalizado de expressões regulares:

1. Na página do detector personalizado, clique em um detector personalizado de expressão regular.
2. No pop-up, edite o título, a descrição ou a expressão regular.
3. Se você editou a expressão regular, clique em Expressão de teste. Digite os dados do teste para confirmar.
4. Clique em Salvar.

Excluir um detector personalizado

A exclusão de detectores é permanente.

1. Na página do detector personalizado, passe o cursor sobre uma linha para mostrar a lixeira no final da linha.
2. Selecione a lixeira .
3. Confirme que você quer excluir o detector.