Descreve em detalhe a forma de configurar uma regra de Prevenção de perda de dados (DLP) para uma política de segurança selecionada.

Antes de começar

Para configurar uma política de segurança, os utilizadores têm de ter criado previamente uma política de segurança. Para obter instruções específicas sobre como criar uma política de segurança, consulte Criar uma política de segurança.

Passos de configuração

Para configurar uma regra DLP, execute os seguintes passos:
  1. Navegue para Cloud Web Security > Configurar (Configure) > Políticas de segurança (Security Policies).
  2. Selecione uma política de segurança para configurar a regra DLP e clique no separador DLP.
  3. No separador DLP do ecrã Políticas de segurança (Security Policies), clique em + ADICIONAR REGRA (+ ADD RULE).

    Adicionar uma regra DLP à política de segurança.

    É apresentado o ecrã Selecionar origem (Select Source).

  4. No ecrã Selecionar origem (Select Source), selecione a caixa de verificação Todos os grupos de utilizadores (All Users Groups) para aplicar a regra a todos os utilizadores e grupos ou desmarque esta caixa de verificação para especificar utilizadores e grupos. Por predefinição, está selecionada a opção Todos os grupos de utilizadores (All Users Groups) para a origem.
    A primeira opção a configurar é Origem (Source). Por predefinição, está definida como Todos os grupos de utilizadores (All User Groups).
    Nota: Todos os grupos de utilizadores (All Users Groups) é a única opção para os clientes que não possuem um fornecedor de identidade (IdP) como o Workspace ONE ou o Azure Active Directory (AD) configurado para Cloud Web Security.
    Nota: O Cloud Web Security tem de ser configurado com um fornecedor de identidade (IdP), como o Workspace ONE ou o Azure Active Directory (AD) para que os utilizadores e os grupos específicos funcionem.

    Clique em Seguinte (Next) para ver o ecrã Selecionar tipo de conteúdo (Select Content Type).

  5. No ecrã Selecionar tipo de conteúdo (Select Content Type), os utilizadores podem configurar os tipos de conteúdos que são acionados pela funcionalidade Inspeção DLP. Existem três parâmetros que podem ser configurados quanto ao tipo de conteúdo:
    Ecrã predefinido para Selecionar tipo de conteúdo (Select Content Type) a mostrar Inspecionar entrada de texto (Inspect Text Input), Inspeção de carregamento de ficheiros (File Upload Inspection) com Tamanho máximo do ficheiro (Maximum File Size ) e Selecionar tipos de ficheiro (Select File Types).
    1. Selecione se a regra DLP deve Inspecionar entrada de texto (Inspect Text Input) ou não. A predefinição para esta opção é Desativado (Off). Quando Ativado (On), a entrada de texto do utilizador passará pela inspeção DLP quando forem solicitadas submissões de rede.
      Nota: A entrada de texto é como uma publicação de formulário ou mensagem de texto. A entrada de texto é diferente de um ficheiro de texto, que é um .txt anexado a um carregamento.
    2. Tamanho máximo do ficheiro (Maximum File Size) permite que os utilizadores escolham se desejam inspecionar os carregamentos de ficheiros definindo um tamanho máximo do ficheiro a ser inspecionado. A predefinição para esta opção é de 50 Megabytes (MB) e os utilizadores podem configurar um valor de tamanho máximo do ficheiro numericamente e por unidades de armazenamento: Byte (B), Kilobyte (KB), Megabyte (MB) ou Gigabyte (GB). Se o tamanho do ficheiro carregado for superior ao valor de Tamanho máximo do ficheiro (Maximum File Size) configurado, o ficheiro não será inspecionado pela regra DLP e a sua passagem será permitida.
      Nota: O valor numérico de Tamanho máximo do ficheiro (Maximum File Size) pode ser configurado como um número entre 1 e 1000 no Orchestrator. O número 0 não é válido neste campo.
      Importante: Embora seja possível configurar valores extremamente reduzidos e grandes, a regra DLP tem um limite máximo de tamanho de ficheiro de 5 GB. Mesmo que os utilizadores configurem um valor maior, esse valor não será honrado além de 5 GB. A regra DLP também suporta tamanhos mínimos de conteúdo, da seguinte forma:
      Tabela 1. Tamanhos de conteúdo mínimos suportados
      Entrada de utilizador Entrada de ficheiro
      1024 bytes 5120 bytes
    3. Selecionar tipos de ficheiro (Select File Types) permite que o utilizador escolha tipos de ficheiro específicos a inspecionar. A predefinição é inspecionar Todos os tipos suportados (All Supported Types), 36 tipos de ficheiro no total. Se os utilizadores desativarem Todos os tipos de ficheiro suportados (All Supported File Types), verão um menu completo de todos os 36 tipos de ficheiro ordenados por 11 categorias:
      • Arquivos e pacotes comprimidos (Archives and Compressed Packages) (9): 7-Zip, ARJ, BZIP, CAB, GZIP, LZH, RAR, TAR, ZIP
      • Calendário (Calendar) (1): convite para reunião ICS
      • Aplicações de engenharia (Engineering Applications) (2): AutoCAD, Visio
      • Multimédia (Multimedia) (2): ficheiros de áudio, ficheiros de vídeo
      • Documentos diversos (Miscellaneous Documents) (1): RTF
      • Outros ficheiros e documentos (Other Files and Documents) (1): outros ficheiros e documentos de tipos desconhecidos
      • Ferramentas de apresentação (Presentation Tools) (2): OpenOffice Presentation, PowerPoint
      • Produtividade (Productivity) (2): Microsoft One Note, Microsoft Project
      • Scripts e executáveis (Scripts and Executables) (6): Android Executable, JAR, Linux Executable, Mac Executable, ficheiros de scripts baseados em texto
      • Folhas de cálculo (Spreadsheets) (3): CSV, Excel, OpenOffice Spreadsheet
      • Processadores de texto (Word Processors) (7): Hangul, Ichitaro, OpenOffice Text, PDF, Word, Word Perfect, XPS
    Os utilizadores podem selecionar vários ou todos os Tipos de ficheiros (File Types) numa categoria de ficheiros. Se o número de Tipos de ficheiros (File Types) selecionado for inferior a todos os Tipos de ficheiro (File Types) disponíveis para essa categoria, o nome da categoria de ficheiros será apresentado a azul e serão apresentados os Tipos de ficheiro (File Types) selecionados entre o total disponível.
    Configurar tipos de ficheiro selecionando alguns, mas não todos os tipos de ficheiro para uma categoria. Neste caso, apenas alguns dos ficheiros e pacotes comprimidos são selecionados.

    Se os utilizadores desejarem selecionar todos os Tipos de ficheiro (File Types) para essa categoria, poderão clicar na caixa de seleção superior e todos os Tipos de ficheiro (File Types) serão selecionados. Neste caso, o cabeçalho da categoria fica verde e mostra que todos os Tipos de ficheiro (File Types) foram selecionados para essa categoria.

    Configurar tipos de ficheiro selecionando todos os tipos de ficheiro para essa categoria. Neste caso, todos os ficheiros e pacotes comprimidos são selecionados.

    Após selecionar as definições dos tipos de conteúdo de DLP para a regra, clique em Seguinte (Next). É apresentado o ecrã Selecionar destinos (Select Destinations).

  6. No ecrã Selecionar destinos (Select Destinations), os utilizadores podem especificar os domínios e/ou as categorias para os quais deve ser realizada a inspeção DLP. A predefinição é Todos os domínios e categorias (All Domains and Categories), o que significa que a DLP inspeciona todos os Domínios (Domains) e todas as 84 Categorias (Categories).
    Predefinições para selecionar domínio.

    Se os utilizadores desmarcarem a caixa Todos os domínios e categorias (All Domains and Categories), terão de configurar Domínios (Domains) e/ou Categorias (Categories) personalizados.

    No campo Domínios (Domains), os utilizadores podem especificar nomes de domínio completamente qualificados (FQDN), endereços IP ou intervalos de IPs que acionem um alerta de auditor. Os utilizadores podem introduzir uma combinação de FQDNs, endereços IP e intervalos de IPs.
    Configurar domínios, incluindo FQDNS, endereços IP e intervalos de endereços IP.

    No campo Categorias (Categories), os utilizadores podem selecionar entre 84 categorias diferentes para as quais um ficheiro pode estabelecer correspondência e que exigem uma inspeção DLP. Os utilizadores também podem selecionar todas as categorias de uma só vez clicando na caixa de seleção no canto superior esquerdo.

    Escolher categorias específicas na secção Categorias (Categories).

    Após selecionar o destino DLP para a regra, clique em Seguinte (Next). É apresentado o ecrã Selecionar dicionários (Select Dictionaries).

  7. Na secção Selecionar dicionários (Select Dictionaries), os utilizadores têm de escolher um ou mais dicionários para associar à regra. Os dicionários podem ser personalizados, predefinidos ou uma combinação de personalizados e predefinidos. Todos os dicionários selecionados são avaliados e as ações são realizadas com base nos critérios especificados nos respetivos dicionários.
    Ecrã Selecionar dicionários (Select Dictionaries) com explicações para várias opções de configuração de visualização.

    Existem mais de 340 dicionários predefinidos à escolha, além dos dicionários personalizados que o utilizador pode criar. Os utilizadores devem restringir as opções de dicionário através de um ou mais filtros localizados na parte superior de cada coluna. Neste exemplo, o utilizador está a filtrar dicionários que correspondem ao termo de categoria “HIPAA” para associar ao dicionário personalizado já criado.

    Filtrar por dicionários utilizando o termo de pesquisa de categoria HIPAA.

    Após selecionar os dicionários DLP para aplicar a regra, clique em Seguinte (Next). É apresentado o ecrã Selecionar ação (Select Action).

  8. No ecrã Selecionar ação (Select Action), o utilizador pode decidir a ação a realizar quando os critérios definidos são satisfeitos. A ação pode ser definida como Bloquear (Block), Registar (Log) ou Ignorar inspeção (Skip Inspection). As predefinições para Selecionar ação (Select Action) são Bloquear (Block), sem qualquer E-mail de auditoria (Audit Email) enviado e HTTP e HTTPS ativados como Protocolos para inspecionar (Protocols to Inspect).
    Ecrã predefinido de Selecionar ação (Select Action) quando os critérios de uma regra são satisfeitos. O ecrã mostra que as opções para Ação (Action) são Bloquear (Block), Registar (log) ou Ignorar inspeção (Skip Inspection).

    Se os utilizadores definirem Enviar e-mail de auditoria (Send Audit Email) como Sim (Yes), também terão de selecionar um perfil de auditor em Perfis de auditor (Auditor Profiles) para receber o e-mail de auditoria. Neste caso, o utilizador escolhe o perfil de auditor configurado anteriormente na secção Auditores (Auditors).

    O ecrã mostra o utilizador a ativar a opção Enviar e-mail de auditoria (Send Audit Email) e a configurar um perfil de auditor.

    Após configurar a ação a realizar para a regra, clique em Seguinte (Next).

  9. No ecrã Introduzir nome/etiquetas/descrição (Enter Name/Tags/Description), o utilizador tem de configurar um Nome (Name) exclusivo para a regra DLP. O utilizador também pode configurar Etiquetas, Notificação (Notification) e Motivo (Reason) para a regra.
    Configurar um nome e uma descrição para a regra DLP.
  10. Clique em Concluir (Finish). É criada uma regra DLP, que é listada na secção Regra DLP da política de segurança.
  11. Clique em Publicar (Publish) para que a Regra DLP tenha efeito nesta política de segurança.
    Nota: São necessários aproximadamente cinco minutos para que a regra DLP tenha efeito a partir do momento em que os utilizadores a publicam. Após publicar a política de segurança, os utilizadores podem aplicar a política de segurança.
    Confirmar que a regra DLP é preenchida no ecrã Regra DLP (DLP rule) principal e, em seguida, clicar em Publicar (Publish) para que a regra tenha efeito.

    Após a publicação, é possível editar e republicar uma regra DLP conforme necessário, tal como foi criada pela primeira vez.

Para obter mais informações sobre as definições da DLP empresarial, consulte Prevenção de perda de dados.