Criar regras e detectores de conteúdo personalizados para a DLP do Drive

Regras e detectores de conteúdo da DLP do Drive

Edições compatíveis com esse recurso: Frontline Standard e Frontline Plus, Enterprise Standard e Enterprise Plus, Education Fundamentals, Education Standard e Education Plus, Enterprise Essentials Plus. Comparar sua edição

A DLP do Drive e do Chat também estão disponíveis para os usuários do Cloud Identity Premium que também têm uma licença do Google Workspace (edições Enterprise, Business ou Education).

Com a Prevenção contra perda de dados (DLP) do Drive, você pode criar regras complexas que combinam acionadores e condições. Você também pode especificar uma ação que envie uma mensagem ao usuário informando que o conteúdo dele foi bloqueado.

Criar regras e detectores de conteúdo personalizados para a DLP do Drive

Etapa 1: planejar suas regras

Definir as condições da regra

As condições da regra da DLP determinam o tipo de conteúdo sensível que será detectado. Consulte exemplos básicos em Exemplos de regras da DLP abaixo. Uma regra pode precisar de uma única condição ou combinar várias condições com o uso dos operadores AND, OR ou NOT. Consulte Exemplos de operadores de condição aninhada das regras da DLP do Drive para ver exemplos de condições aninhadas.

  • Para detectar informações pessoais padrão, como o número da carteira de habilitação ou o CPF/CNPJ, sua regra pode usar detectores de conteúdo predefinidos. Veja a lista completa de detectores em Como usar detectores de conteúdo predefinidos.
  • As condições de regra podem usar detectores de conteúdo personalizados, como um detector de conteúdo que tenha uma lista de palavras ou uma expressão regular. Confira mais instruções na Etapa 2: criar um detector personalizado.

Veja sugestões para melhorar o teste de regras, que incluem a configuração de um ambiente de teste de regras, em Práticas recomendadas para testar regras em menos tempo.

Você pode criar uma regra somente de auditoria para testar as regras criadas na DLP. Isso permite que você teste o impacto de uma regra no Google Drive. Como todas as regras, essas regras são acionadas, mas elas só gravam os resultados no registro de auditoria de regras e na ferramenta de investigação.

Veja sugestões para melhorar o teste de regras, que incluem a configuração de um ambiente de teste de regras, em Práticas recomendadas para testar regras em menos tempo.

Para criar e usar uma regra somente de auditoria:

  1. Siga as etapas de criação de regra na Etapa 3: criar regras.
  2. Quando você chegar à seção "Ações" da criação de regras, não selecione uma ação. As ações são opcionais. A regra será acionada sem uma ação associada, e todos os incidentes serão registrados no registro de auditoria de regras. Nesse caso, a regra exibe Somente auditoria na "Ação".
  3. Conclua a configuração da regra. Confirme que o status da regra é Ativo.
  4. Teste a funcionalidade por conta própria ou aguarde até que os usuários no seu domínio compartilhem dados que podem ser afetados por essa regra.
  5. Veja o registro de auditoria de regras. Acesse Registro de auditoria de regras ou Ferramenta de investigação para ver mais detalhes. O registro de auditoria listará regras sem ações ativadas quando você usar uma regra somente de auditoria.

  6. Quando tiver certeza de que a regra está configurada exatamente como você quer, altere a regra para que uma ação seja aplicada (conforme descrito na Etapa 3: criar regras).

São regras da DLP recomendadas com base nos resultados do relatório de insights sobre proteção de dados. Por exemplo, se o relatório listar números de passaporte como dados compartilhados na sua organização, a DLP recomendará uma regra para impedir o compartilhamento desses números.

Você só receberá recomendações de regras se o relatório de insights sobre proteção de dados estiver ativado. Veja mais detalhes em Impedir vazamentos com as regras recomendadas de proteção de dados.

Que tipos de grupos posso selecionar para o escopo de uma regra?

Escolha grupos criados por administradores ou usuários na lista de Grupos do Admin Console. Os endereços dos grupos precisam terminar com o domínio da organização. Não é possível escolher grupos externos para o escopo de uma regra.
Conheça alguns tipos de grupos em relação às regras da DLP:

  • Grupos dinâmicos: gerencie as associações automaticamente quando os usuários entram, saem ou se movem na sua organização. Disponíveis no Admin Console ou na API Cloud Identity, os grupos dinâmicos reduzem o tempo gasto gerenciando a associação a grupos manualmente. Para usar um grupo dinâmico em uma regra da DLP, verifique se ele também é um grupo de segurança (tem o marcador Segurança). Saiba mais sobre os grupos dinâmicos.

  • Grupos de segurança: converta um grupo padrão ou dinâmico em um grupo de segurança, o que ajuda a regular, auditar e monitorar o grupo em busca de permissões e controle de acesso. Para criar grupos de segurança no Admin Console ou com a API Cloud Identity Groups, adicione o marcador Segurança a eles. Saiba mais sobre os grupos de segurança.

  • Grupos migrados: use o Google Cloud Directory Sync (GCDS) para sincronizar grupos criados no Microsoft Active Directory ou em outras ferramentas com o Google Workspace. Em seguida, use esses grupos sincronizados nas regras da DLP. Saiba mais sobre o GCDS.

Etapa 2: criar um detector personalizado (opcional)

Criar um detector personalizado (se necessário)

Estas são instruções gerais para criar um detector personalizado se você precisar usar um detector em condições de regras.

Criar um detector da DLP para usar com regras

Antes de começar, faça login na sua conta de superadministrador ou em uma conta de administrador delegado com os seguintes privilégios:

  • Privilégios de administrador da unidade organizacional
  • Privilégios de administrador de grupos
  • Privilégios de visualização e gerenciamento de regras da DLP (ative as permissões de visualização e gerenciamento para ter acesso total à criação e à edição de regras Recomendamos criar uma função personalizada com os dois privilégios.
  • Privilégios de visualização de metadados e atributos (necessários apenas para o uso da ferramenta de investigação): Central de segurança e depois Ferramenta de investigação e depois Regra e depois Ver metadados e atributos.

Saiba mais sobre os privilégios de administrador e como criar funções personalizadas de administrador.

  1. No Google Admin Console, acesse Menu e depois Segurança e depois Controle de acesso e dados e depois Proteção de dados.

    É necessário ter os privilégios de administrador "Ver regra da DLP" e "Gerenciar regra da DLP".

  2. Clique em Gerenciar detectores.
  3. Clique em Adicionar detector. Adicione o nome e a descrição.

    Você tem as seguintes opções:

    • Expressão regular: uma expressão regular, também chamada de regex, é um método de correspondência de texto com padrões. Clique em Testar expressão para verificar a expressão regular. Veja mais informações em Exemplos de expressões regulares.
    • Lista de palavras: uma lista de palavras personalizada que você cria. Esta é uma lista separada por vírgulas com as palavras a serem detectadas. Não há diferenciação entre letras maiúsculas e minúsculas e símbolos. A correspondência é feita somente com palavras completas. Você pode adicionar uma mensagem pop-up que aparece quando o conteúdo é detectado. As palavras nos detectores de lista de palavras precisam ter pelo menos dois caracteres que sejam letras ou dígitos.
  4. Clique em Criar. Depois use o detector personalizado ao adicionar condições a uma regra.

Etapa 3: criar regras

Estas são instruções gerais para a criação de regras.

Criar uma regra de DLP

Antes de começar, faça login na sua conta de superadministrador ou em uma conta de administrador delegado com os seguintes privilégios:

  • Privilégios de administrador da unidade organizacional
  • Privilégios de administrador de grupos
  • Privilégios de visualização e gerenciamento de regras da DLP (ative as permissões de visualização e gerenciamento para ter acesso total à criação e à edição de regras Recomendamos criar uma função personalizada com os dois privilégios.

Saiba quais privilégios são necessários apenas para a ferramenta de investigação em Privilégios de administrador na ferramenta de investigação de segurança.

Saiba mais sobre os privilégios de administrador e como criar funções personalizadas de administrador.

  1. No Google Admin Console, acesse Menu e depois Segurança e depois Controle de acesso e dados e depois Proteção de dados.

    É necessário ter os privilégios de administrador "Ver regra da DLP" e "Gerenciar regra da DLP".

  2. Clique em Gerenciar regras. Em seguida, clique em Adicionar regra e depois Nova regra ou Adicionar regra e depois Nova regra do modelo. Selecione um modelo na página "Modelos".
  3. Adicione o nome e a descrição da regra.
  4. Na seção Apps, selecione Google Drive e depois Arquivos do Drive.
  5. Clique em Continuar.
  6. Na seção Ações, é possível selecionar a ação que vai ocorrer se dados sensíveis forem detectados na verificação:

    Quer testar uma regra antes de adicionar uma ação?
    Você pode criar uma regra somente de auditoria para testar a gravação no registro de auditoria sem realizar uma ação. A seleção de uma ação é opcional. Veja mais detalhes em Usar regras somente de auditoria para testar os resultados das regras (opcional, mas recomendado).

    • Bloquear compartilhamento externo: impede o compartilhamento do arquivo.
    • Avisar sobre compartilhamento externo: se um usuário tentar compartilhar o arquivo, receberá um aviso de que ele tem conteúdo sensível. Será possível cancelar ou escolher "Compartilhar mesmo assim".

      Observação: se você ativar alertas para essa ação, eles serão acionados ao identificar um conteúdo sensível, mesmo que o arquivo não seja compartilhado naquele momento. A detecção geralmente ocorre depois da criação ou atualização de um arquivo ou depois de uma mudança nas regras aplicadas ao arquivo, por exemplo, quando uma regra é criada ou atualizada. Ela também pode ocorrer quando um upgrade do sistema aumenta a probabilidade de detecção. O registro de regras lista os eventos de detecção.

    • Desativar o download, a impressão e a cópia: impede o download, a impressão e a cópia, a menos que o usuário tenha o privilégio editor ou superior. Esse recurso é o gerenciamento de direitos de informação (IRM) da DLP e usa as configurações de compartilhamento do Drive, como as políticas, para impedir que os usuários façam o download, imprimam ou copiem documentos, planilhas ou apresentações do Google Drive em todas as plataformas. Acesse as perguntas frequentes sobre o IRM para mais detalhes.
    • Aplicar rótulos de classificação: aplica um rótulo de classificação aos arquivos correspondentes. Siga estas etapas para fazer a configuração:
      1. Escolha um marcador na lista suspensa Marcador de classificação e selecione um Campo e uma Opção de campo disponíveis. Somente marcadores com selo e marcadores padrão com o tipo de campo Lista de opções são compatíveis. Confira mais detalhes em Primeiras etapas como administrador de marcadores de classificação.
      2. (Opcional) Clique em Adicionar rótulo.
      3. Escolha se você quer permitir que os usuários alterem os marcadores e valores de campos aplicados aos próprios arquivos.
  7. Na seção Alertas, escolha um nível de gravidade (Baixa, Média, Alta). O nível de gravidade afeta o modo como os incidentes são organizados no painel da DLP (o número de incidentes com gravidade "Alta", "Média" ou "Baixa") em um período.
  8. Você também pode marcar a opção Central de alertas para acionar as notificações. Só é possível criar alertas no Google Drive. Veja mais informações em Ver detalhes do alerta.

    Marque a caixa para alertar todos os superadministradores ou adicione os endereços de e-mail de outros destinatários. Só é possível adicionar destinatários que pertencem ao usuário. Os destinatários externos são ignorados. Os destinatários podem ser usuários ou grupos. Lembre-se de que você precisa configurar o acesso dos grupos selecionados para que eles recebam e-mails. Veja mais detalhes sobre como configurar o acesso do grupo às notificações por e-mail em Configurar as notificações por e-mail da Central de alertas.

    Os alertas são listados na Central de alertas. Há um intervalo entre o momento em que um alerta ocorre e quando ele é registrado. Há um intervalo entre o momento em que um alerta é exibido na Central de alertas e quando o registro de auditoria de regras e os painéis de segurança da DLP são atualizados. Você pode receber um alerta e ver o resumo. No entanto, o número de incidentes nos painéis ou nos registros de auditoria na ferramenta de investigação precisa de tempo para ser atualizado. Pode haver até 50 alertas por regra diariamente. Os alertas são exibidos até que esse limite seja atingido.

  9. Clique em Continuar.
  10. Na seção Escopo, escolha Todos em <nome.dominio> ou aplique esta regra somente aos usuários nas unidades organizacionais ou nos grupos selecionados. Se houver um conflito entre unidades organizacionais e grupos em termos de inclusão ou exclusão, o grupo terá precedência.

    Observação: para aplicar a regra a um grupo dinâmico, ele também precisará ter o marcador Segurança. Veja mais informações em Que tipos de grupos posso selecionar para o escopo de uma regra?.

  11. Na seção Condições, clique em Adicionar condição.
  12. Escolha o Tipo de conteúdo para verificação:
    • Todo o conteúdo: todo o documento, incluindo o título, o corpo e as edições sugeridas
    • Corpo: o corpo do documento
    • Marcador de classificação: os marcadores aplicados ao documento. Confira mais detalhes em Primeiras etapas como administrador de marcadores de classificação.
    • Edições sugeridas: conteúdo adicionado ao documento no modo "Sugestões"
    • Título: o título do documento
  13. Escolha O que verificar e preencha os atributos necessários para esse tipo de verificação, listados na tabela abaixo.

    As opções em O que verificar variam de acordo com o tipo de conteúdo a ser verificado escolhido na etapa anterior. Por exemplo, se você escolher "Título" como o tipo de conteúdo a ser verificado, as opções O que verificar vão incluir Termina com e Começa com.

    O que verificar Atributos
    Corresponde ao tipo de dados predefinido Tipo de dados: selecione um tipo de dados predefinido. Saiba mais informações sobre os tipos de dados predefinidos aqui.

    Limite de probabilidade: selecione um limite de probabilidade. Limites disponíveis:

    • Muito baixa
    • Baixo
    • Médio
    • Alta
    • Muito alto

    Esses limites refletem a confiança do sistema DLP no resultado da correspondência. Em geral, o limite Muito alto corresponde a menos conteúdo e é mais preciso. O limite Muito baixo é uma rede mais ampla que corresponde a mais arquivos com menos precisão.

    Mínimo de correspondências exclusivas: o número mínimo de vezes que um resultado correspondente precisa ocorrer exclusivamente em um documento para ativar a ação.

    Número mínimo de correspondências: o número mínimo de vezes que os resultados correspondentes precisam aparecer em um documento para ativar a ação.

    Como funcionam as opções "Número mínimo de correspondências" e "Mínimo de correspondências exclusivas"? Por exemplo, pense em duas listas de CPFs ou CNPJs: a primeira lista tem 50 cópias do mesmo número, e a segunda tem 50 números exclusivos.

    Nesse caso, se o valor de Número mínimo de correspondências for igual a 10, os resultados serão acionados nas duas listas porque ambas têm menos de 10 correspondências.

    Se o valor Mínimo de correspondências exclusivas for igual a 10 e o valor Número mínimo de correspondências for igual a 1, os resultados serão acionados somente na segunda lista porque há 10 correspondências, e todas são todos valores exclusivos correspondentes.
    Contém string de texto Digite o conteúdo para corresponder: digite uma substring, um número ou outros caracteres para pesquisar. Especifique se o conteúdo diferencia maiúsculas de minúsculas. No caso da substring, se a regra contiver a palavra chave e o documento contiver a palavra chave, ocorrerá uma correspondência.
    Contém palavra

    Digite o conteúdo para corresponder: digite a palavra, o número ou outros caracteres para pesquisar.

    Disponível apenas se você escolher o Gmail como o app.
    Corresponde à expressão regular Nome da expressão regular: um detector personalizado de expressão regular.

    Número mínimo de detecções do padrão: o número mínimo de vezes que o padrão expresso pela expressão regular aparece em um documento para ativar a ação.
    Corresponde às palavras da lista de palavras Nome da lista de palavras: selecione uma lista de palavras personalizada.

    Modo de correspondência: selecione Corresponde a qualquer palavra ou Corresponde ao mínimo de palavras únicas.

    Mínimo de vezes que uma palavra foi detectada: o menor número possível de vezes que uma palavra pode ser detectada para ativar a ação.

    Mínimo de palavras únicas detectadas: o menor número de palavras únicas que precisam ser detectadas para acionar a ação (disponível apenas para a opção Corresponde ao mínimo de palavras únicas).
    Termina com Digite o conteúdo para corresponder: digite a palavra, o número ou outros caracteres para pesquisar. Especifique se o conteúdo diferencia maiúsculas de minúsculas.
    Começa com Digite o conteúdo para corresponder: digite a palavra, o número ou outros caracteres para pesquisar. Especifique se o conteúdo diferencia maiúsculas de minúsculas.
    É (apenas para o tipo de conteúdo Rótulo de classificação) Rótulo de classificação: escolha um rótulo de classificação disponível na lista suspensa.
    Campo do marcador: escolha um campo disponível para o marcador do Drive selecionado.
    Opção de campo: escolha uma opção disponível para o campo selecionado.

    Você pode usar os operadores AND, OR ou NOT com condições. Acesse Exemplos de operadores de condição aninhada das regras da DLP do Drive para ver detalhes sobre o uso dos operadores AND, OR ou NOT com condições.

    Observação: se você criar uma regra de DLP sem condição, a regra será aplicada a todos os arquivos do Drive.

  14. Clique em Continuar e verifique os detalhes da regra.
  15. Na seção Status da regra, escolha um status inicial:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não é executada imediatamente. Assim, você tem tempo para analisar e compartilhar a regra com os integrantes da equipe antes da implementação. Ative a regra mais tarde em Segurança e depois Proteção de dados e depois Gerenciar regras. Clique no status "Inativo" da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
  16. Clique em Criar.
As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Etapa 4: informar os usuários sobre a nova regra

Definir as expectativas dos usuários em relação às novas regras

Defina as expectativas do usuário quanto ao comportamento e às consequências da nova regra. Por exemplo, você pode bloquear o compartilhamento externo se dados sensíveis forem compartilhados. Neste caso, diga aos usuários que talvez não seja possível compartilhar documentos e informe por que isso pode ocorrer.

Exemplos de regras da DLP

Exemplos de como usar um classificador predefinido, um detector personalizado e um modelo de regra.

Exemplo 1: proteger números da Previdência Social dos EUA usando um classificador predefinido

Este exemplo mostra como usar um classificador predefinido para impedir que usuários de organizações e grupos específicos compartilhem dados confidenciais. Você pode usar classificadores predefinidos para especificar dados que costumam ser digitados. Neste exemplo, os dados são números da Previdência Social dos EUA.

Antes de começar, verifique se você fez login na sua conta de superadministrador ou em uma conta de administrador delegado com os privilégios listados em Criar uma regra da DLP acima.

  1. No Google Admin Console, acesse Menu e depois Segurança e depois Controle de acesso e dados e depois Proteção de dados.

    É necessário ter os privilégios de administrador "Ver regra da DLP" e "Gerenciar regra da DLP".

  2. Clique em Gerenciar regras. Em seguida, clique em Adicionar regra e depois Nova regra.
  3. Adicione o nome e a descrição da regra.
  4. Na seção Apps, selecione Google Drive e depois Arquivos do Drive.
  5. Clique em Continuar.
  6. Na seção Ações, em "Google Drive", selecione Bloquear compartilhamento externo.
  7. Na seção Alertas, escolha o nível de gravidade Alta. Marque a caixa Central de alertas para ativar um alerta e especifique os destinatários do e-mail.

    Há um intervalo entre o momento em que um alerta ocorre e quando ele é registrado. Os administradores podem receber no máximo 50 alertas por regra diariamente até o limite ser atingido.

  8. Clique em Continuar.
  9. Na seção Escopo, escolha Aplicar a todos <nome.de.dominio> ou pesquise e inclua ou exclua as unidades organizacionais ou os grupos a que a regra se aplica. Se houver um conflito entre unidades organizacionais e grupos em termos de inclusão ou exclusão, o grupo terá precedência.
  10. Na seção Condições de conteúdo, clique em Adicionar condição e selecione estes valores:
    • Tipo de conteúdo para verificação: todo o conteúdo
    • O que verificar: corresponde ao tipo de dados predefinido (recomendado)
    • Tipo de dado: Estados Unidos - CPF ou CNPJ.
    • Limite de possibilidade: muito alto. Uma medida adicional usada para determinar se as mensagens ativam a ação.
    • Mínimo de correspondências exclusivas: 1. O número mínimo de vezes que uma correspondência única precisa ocorrer em um documento para ativar a ação.
    • Número mínimo de correspondências: 1. O número de vezes que o conteúdo precisa aparecer em uma mensagem para ativar a ação. Por exemplo, se você selecionar "2", o conteúdo precisará aparecer pelo menos duas vezes em uma mensagem para ativar a ação.
  11. Clique em Continuar.
  12. Clique em Continuar para verificar os detalhes da regra.
  13. Na seção Status da regra, escolha um status inicial:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não é executada imediatamente. Assim, você tem tempo para analisar e compartilhar a regra com os integrantes da equipe antes da implementação. Ative a regra mais tarde em Segurança e depois Proteção de dados e depois Gerenciar regras. Clique no status Inativo da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
  14. Clique em Criar.
As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Exemplo 2: proteger nomes internos usando um detector personalizado

Este exemplo mostra como configurar um detector personalizado. Você pode listar as palavras a serem detectadas em um detector personalizado. Use as configurações de acionamento nas regras para impedir que os usuários compartilhem documentos que mencionem dados confidenciais, como nomes de projetos internos, com destinatários externos.

Antes de começar, verifique se você fez login na sua conta de superadministrador ou em uma conta de administrador delegado com os privilégios listados em Criar uma regra da DLP acima.

  1. No Google Admin Console, acesse Menu e depois Segurança e depois Controle de acesso e dados e depois Proteção de dados.

    É necessário ter os privilégios de administrador "Ver regra da DLP" e "Gerenciar regra da DLP".

  2. Clique em Gerenciar detectores. Em seguida, clique em Adicionar detector e depois Lista de palavras.
  3. Digite um nome e uma descrição para o detector.
  4. Digite as palavras a serem detectadas separadas por vírgulas. Nas listas de palavras personalizadas:
    • Não há diferenciação entre letras maiúsculas e minúsculas. Por exemplo, "MAU" corresponde a "mau", "Mau" e "MAU".
    • A correspondência é feita somente com palavras completas. Se você adicionar "mau" à lista de palavras personalizada, não será feita a correspondência com "maurício".
  5. Clique em Criar.
  6. Clique em Gerenciar regras. Em seguida, clique em Adicionar regra e depois Nova regra.
  7. Na seção Nome, digite o nome e, se quiser, uma descrição da regra.
  8. Na seção Apps, selecione Google Drive e depois Arquivos do Drive.
  9. Na seção Ações, em "Google Drive", selecione Bloquear compartilhamento externo.
  10. Na seção Alertas, escolha o nível de gravidade Alta. Marque a caixa Central de alertas para ativar um alerta e especifique os destinatários do e-mail.

    Há um intervalo entre o momento em que um alerta ocorre e quando ele é registrado. Os administradores podem receber no máximo 50 alertas por regra diariamente até o limite ser atingido.

  11. Clique em Continuar.

  12. Na seção Escopo, pesquise e selecione as unidades organizacionais ou os grupos a que a regra se aplica.
  13. Na seção Condições de conteúdo, clique em Adicionar condição e selecione estes valores:
    • Tipo de conteúdo para verificação: todo o conteúdo
    • O que verificar: corresponde a palavras da lista
    • Nome da lista de palavras: role para encontrar o detector que você criou acima.
    • Modo de correspondência: selecione um modo de correspondência:
      • Corresponder a qualquer palavra: conta correspondências de qualquer palavra na lista de palavras predefinida.
      • Corresponde ao mínimo de palavras únicas: especifique o mínimo de palavras únicas detectadas e o mínimo de vezes que qualquer palavra (na lista de palavras predefinidas) é detectada.
    • Mínimo de vezes que uma palavra foi detectada: 1
  14. Clique em Continuar para verificar os detalhes da regra.
  15. Na seção Status da regra, escolha um status inicial:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não é executada imediatamente. Assim, você tem tempo para analisar e compartilhar a regra com os integrantes da equipe antes da implementação. Ative a regra mais tarde em Segurança e depois Proteção de dados e depois Gerenciar regras. Clique no status Inativo da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
  16. Clique em Criar.
As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Exemplo 3: proteger informações de identificação pessoal usando um modelo de regra

Um modelo de regra inclui um conjunto de condições que abrangem muitos cenários típicos de proteção de dados. Use um modelo de regra para configurar políticas para situações comuns de proteção de dados.

Este exemplo usa um modelo de regra para bloquear o envio ou o compartilhamento de um documento do Drive ou um e-mail com informações de identificação pessoal dos EUA.

Antes de começar, verifique se você fez login na sua conta de superadministrador ou em uma conta de administrador delegado com os privilégios listados em Criar uma regra da DLP acima.

  1. No Google Admin Console, acesse Menu e depois Segurança e depois Controle de acesso e dados e depois Proteção de dados.

    É necessário ter os privilégios de administrador "Ver regra da DLP" e "Gerenciar regra da DLP".

  2. Clique em Gerenciar regras.
  3. Clique em Adicionar regra e depois Nova regra do modelo.
  4. Na página "Modelos", clique em Impedir o compartilhamento de dados PII (EUA).
  5. Aceite o nome e a descrição padrão da regra ou insira novos valores.
  6. Clique em Continuar.
  7. Revise as configurações de ações e alertas e edite se necessário. Para o Google Drive, a opção Bloquear compartilhamento externo está selecionada. Bloquear o compartilhamento impede que os usuários compartilhem arquivos que atendam às condições com usuários fora da organização. A segurança está definida como "Baixa", e os alertas são desativados.
  8. Clique em Continuar.
  9. As condições são pré-selecionadas para o modelo da regra. Verifique-as se você quiser ver as condições específicas que se aplicam à regra.
  10. Clique em Continuar para verificar os detalhes da regra.
  11. Na seção Status da regra, escolha um status inicial:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não é executada imediatamente. Assim, você tem tempo para analisar e compartilhar a regra com os integrantes da equipe antes da implementação. Ative a regra mais tarde em Segurança e depois Proteção de dados e depois Gerenciar regras. Clique no status Inativo da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
  12. Clique em Criar.
As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Exemplo 4: bloquear o download de conteúdo sensível em dispositivos iOS ou Android

Este exemplo combina uma regra da DLP com uma condição de acesso baseado no contexto. Quando você combina uma regra da DLP com uma condição contextual, a regra só é aplicada quando a condição é atendida.

Neste exemplo, a regra da DLP impede que usuários de documentos Google com acesso para comentar ou visualizar façam o download, imprimam ou copiem conteúdo sensível. A condição contextual é que os usuários estejam acessando conteúdos em dispositivos iOS ou Android.

Importante: para a aplicação de condições contextuais em dispositivos móveis ou sistemas operacionais, é preciso ativar o gerenciamento de dispositivos básico ou avançado.

Antes de começar, verifique se você fez login na sua conta de superadministrador ou em uma conta de administrador delegado com os privilégios listados em Criar uma regra da DLP acima.

  1. No Google Admin Console, acesse Menu e depois Segurança e depois Controle de acesso e dados e depois Proteção de dados.

    É necessário ter os privilégios de administrador "Ver regra da DLP" e "Gerenciar regra da DLP".

  2. Clique em Gerenciar regras. Em seguida, clique em Adicionar regra e depois Nova regra.
  3. Digite um nome e uma descrição para a regra.
  4. Na seção Apps, selecione Google Drive e depois Arquivos do Drive.
  5. Clique em Continuar.
  6. Na seção Ações, para o Google Drive, escolha Desativar o download, a impressão e a cópia e selecione Somente para comentaristas e leitores.

    Observação: a ação só é aplicada quando as condições do conteúdo e contextuais são atendidas.

  7. (Opcional) Escolha o nível de gravidade do alerta (baixo, médio ou alto) e se você quer enviar alertas e notificações de alerta por e-mail.
  8. Clique em Continuar.
  9. Na seção Escopo, pesquise e selecione a quais grupos de unidades organizacionais a regra se aplica.
  10. Em Apps, em Google Drive, marque Arquivos do Drive.
  11. Na seção Condições de conteúdo, clique em Adicionar condição.
  12. Em Tipo de conteúdo para verificação, escolha Todo o conteúdo.
  13. Em O que verificar, escolha um tipo de verificação da DLP e selecione os atributos. Saiba mais sobre os atributos disponíveis em Criar uma regra da DLP.
  14. Na seção Condições contextuais, clique em Selecionar um nível de acesso para ver os níveis de acesso.
  15. Clique em Criar novo nível de acesso.
  16. Digite um nome e uma descrição para o novo nível de acesso.
  17. Em Condições contextuais, clique em Adicionar condição.
  18. Selecione Atender a todos os atributos.
  19. Clique em Selecionar atributo e depois SO do dispositivo, Selecionar SO e escolha "iOS" na lista suspensa.
  20. Em Versão mínima, deixe a opção padrão "Qualquer versão" ou selecione uma versão específica.
  21. Clique em Adicionar condição e repita as etapas de 20 a 21, selecionando "Android" como o sistema operacional do dispositivo.
  22. Defina a opção Mesclar várias condições com (localizada acima de Condições) como OU. Isso significa que a regra da DLP será aplicada se os usuários estiverem acessando conteúdo sensível em dispositivos iOS ou Android.
  23. Clique em Criar. Você voltará para a página Criar regra. O novo nível de acesso será adicionado à lista, e os atributos aparecerão à direita.
  24. Clique em Continuar para verificar os detalhes da regra.
  25. Na seção Status da regra, escolha um status inicial:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não é executada imediatamente. Assim, você tem tempo para analisar e compartilhar a regra com os integrantes da equipe antes da implementação. Ative a regra mais tarde em Segurança e depois Proteção de dados e depois Gerenciar regras. Clique no status Inativo da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
  26. Clique em Criar.

As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais.

Confira mais exemplos em Combinar regras de DLP com condições de acesso baseado no contexto.

Manter as regras da DLP e os detectores de conteúdo personalizados

Depois de criar regras da DLP ou detectores personalizados, você pode ver, editar, ativar ou desativar e manter essas informações.

Ver regras e detectores personalizados

Antes de começar, faça login na sua conta de superadministrador ou em uma conta de administrador delegado com os seguintes privilégios:

  • Privilégios de administrador da unidade organizacional
  • Privilégios de administrador de grupos
  • Privilégios de visualização e gerenciamento de regras da DLP (ative as permissões de visualização e gerenciamento para ter acesso total à criação e à edição de regras Recomendamos criar uma função personalizada com os dois privilégios.
  • Privilégios de visualização de metadados e atributos (necessários apenas para o uso da ferramenta de investigação): Central de segurança e depois Ferramenta de investigação e depois Regra e depois Ver metadados e atributos.

Saiba mais sobre os privilégios de administrador e como criar funções personalizadas de administrador.

  1. No Google Admin Console, acesse Menu e depois Segurança e depois Controle de acesso e dados e depois Proteção de dados.

    É necessário ter os privilégios de administrador "Ver regra da DLP" e "Gerenciar regra da DLP".

  2. Clique em Gerenciar regras ou Gerenciar detectores. Acesse a página das regras em Segurança > Proteção de dados > Regras. Acesse a página dos detectores em Segurança > Proteção de dados > Detectores.

Trabalhar com regras da DLP

Regras de classificação

Você pode classificar as regras por colunas Nome ou Última modificação em ordem crescente ou decrescente.

  1. Na página de regras, clique no nome da coluna Nome ou Última modificação.
  2. Clique na seta para cima ou para baixo para classificar a coluna.

Ativar ou desativar regras

Se você ativar uma regra, a DLP verificará os documentos que usam essa regra.

  1. Na página de regras, na coluna "Status" de uma regra, selecione Ativo ou Inativo.
  2. Confirme que você quer ativar ou desativar a regra.

Excluir uma regra

A exclusão de regras é permanente.

  1. Na página de regras, aponte para uma linha para mostrar a lixeira no final da linha.
  2. Clique na lixeira .
  3. Confirme que você quer excluir a regra.

Regras de exportação

Você pode exportar regras para um arquivo .txt.

  1. Na página de regras, clique em Exportar regras.
  2. A lista de regras é transferida para um arquivo de texto. Clique no arquivo .txt no canto inferior esquerdo para ver as regras baixadas.

Editar detalhes da regra

Quando você edita regras, isso aciona uma nova verificação dos documentos afetados por essas regras.

  1. Na lista de regras, clique na regra que você quer editar.
  2. Clique em Editar regra.
  3. Edite a regra conforme necessário. O fluxo é o mesmo da criação de regras.
  4. Quando terminar, clique em Atualizar e escolha:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não é executada imediatamente. Assim, você tem tempo para analisar e compartilhar a regra com os integrantes da equipe antes da implementação. Ative a regra mais tarde em Segurança e depois Proteção de dados e depois Gerenciar regras. Clique no status Inativo da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
  5. Clique em Concluir.
As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Investigar uma regra com a ferramenta de investigação de segurança

Edições compatíveis com esse recurso: Frontline Standard e Frontline Plus, Enterprise Standard e Enterprise Plus, Education Standard e Education Plus, Enterprise Essentials Plus. Comparar sua edição

A DLP usa a ferramenta de investigação de segurança para mostrar com que frequência uma regra é acionada. A ferramenta lista os resultados de uma pesquisa com a regra e mostra as ações ativadas para cada incidente.

Para usar a ferramenta de investigação, você precisa dos privilégios de "Ver metadados e atributos" em Central de segurança e depois Ferramenta de investigação e depois Regra e depois Ver metadados e atributos.

Para investigar uma regra:

  1. Na lista de regras, aponte para uma linha e clique em e depois Investigar regra.
  2. Você verá resultados de pesquisa para a regra. Observe que há um tempo até a conversão entre o acionamento de uma regra e a atualização do registro. Acesse Ferramenta de investigação para mais detalhes.

Dica: você pode ativar ou desativar uma regra na ferramenta de investigação. Na tabela de resultados, aponte para a coluna "Código da regra". Clique em e selecione Ações e depois Ativar regra ou Ações e depois Desativar regra.

Dica: para ver os resultados de todas as regras da DLP, clique em Fechar X para remover a regra específica.

Trabalhar com detectores personalizados

Filtrar detectores personalizados

Você pode filtrar a lista de detectores personalizados por nome e tipo de detector.

  1. Na página do detector personalizado, clique em Adicionar um filtro.
  2. Filtre por nome ou tipo de detector:
    • Nome do detector: digite uma string para pesquisar.
    • Tipo de detector: selecione um tipo de detector.
  3. Clique em Aplicar. O filtro será mantido até que você o exclua.

Exportar detectores

Você pode exportar detectores para um arquivo .txt.

  1. Na página de detectores, clique em Exportar detectores.
  2. A lista de detectores é salva em um arquivo de texto. Clique no arquivo .txt, no canto inferior esquerdo, para ver os detectores salvos .

Editar detector personalizado da lista de palavras

Quando você edita detectores personalizados usados em regras, isso aciona uma nova verificação dos documentos afetados pelas regras que contêm os detectores modificados.

Para editar o nome e a descrição de um detector personalizado:

  1. Clique em um detector personalizado de lista de palavras na lista.
  2. Clique em Editar informações.
  3. Edite o título e a descrição.
  4. Clique em Salvar.

Para adicionar palavras à lista:

  1. Clique em um detector personalizado de lista de palavras na lista.
  2. Clique em Adicionar palavras.
  3. Adicione palavras à lista de palavras.
  4. Clique em Salvar.

Para editar palavras na lista:

  1. Clique em um detector personalizado de palavras personalizadas na lista.
  2. Clique em Editar palavras.
  3. Edite as palavras na lista.
  4. Clique em Salvar.

Editar detector personalizado de expressão regular

Quando você edita detectores personalizados usados em regras, isso aciona uma nova verificação dos documentos afetados pelas regras que contêm os detectores modificados.

Para editar o nome, a descrição ou a expressão regular do detector personalizado de expressões regulares:

  1. Na página do detector personalizado, clique em um detector personalizado de expressão regular.
  2. No pop-up, edite o título, a descrição ou a expressão regular.
  3. Se você editou a expressão regular, clique em Expressão de teste. Digite os dados do teste para confirmar.
  4. Clique em Salvar.

Excluir um detector personalizado

A exclusão de detectores é permanente.

  1. Na página do detector personalizado, passe o cursor sobre uma linha para mostrar a lixeira no final da linha.
  2. Selecione a lixeira .
  3. Confirme que você quer excluir o detector.