Criar regras e detectores de conteúdo personalizados para a DLP do Drive

As condições da regra da DLP determinam o tipo de conteúdo sensível que será detectado. Consulte exemplos básicos em Exemplos de regras da DLP abaixo. Uma regra pode precisar de apenas uma única condição ou pode combinar várias condições usando os operadores AND, OR ou NOT. Acesse Exemplos de operadores de condição aninhada das regras da DLP do Drive para ver exemplos de condições aninhadas.

• Para detectar informações pessoais padrão, como o número da carteira de habilitação ou o CPF/CNPJ, sua regra pode usar detectores de conteúdo predefinidos. Confira a lista completa de detectores disponíveis em Como usar detectores de conteúdo predefinidos.
• As condições de regra também podem usar detectores de conteúdo personalizados, como um detector de conteúdo que tenha uma lista de palavras ou uma expressão regular. Confira mais instruções na Etapa 2: criar um detector personalizado.

Confira sugestões para melhorar o teste de regras, incluindo a configuração de um ambiente de teste de regras, em Práticas recomendadas para testar regras em menos tempo.

Você pode criar uma regra somente de auditoria para testar as regras criadas na DLP. Isso permite que você teste o impacto de uma regra no Google Drive. Como todas as regras, essas regras são acionadas, mas elas só gravam os resultados no registro de auditoria de regras e na ferramenta de investigação.

Confira sugestões para melhorar o teste de regras, incluindo a configuração de um ambiente de teste de regras, em Práticas recomendadas para testar regras em menos tempo.

Para criar e usar uma regra somente de auditoria:

1. Siga as etapas de criação de regra na Etapa 3. criar regras.
2. Quando você chegar à seção "Ações" da criação de regras, não selecione uma ação. As ações são opcionais. A regra será acionada sem uma ação associada, e todos os incidentes serão registrados no registro de auditoria de regras. Nesse caso, a regra mostra a designação Somente auditoria na seção "Ação".
3. Continue e conclua a configuração da regra. Confirme que o status da regra é Ativo.
4. Teste a funcionalidade por conta própria ou aguarde até que os usuários no seu domínio compartilhem dados que podem ser afetados por essa regra.
5. Veja o registro de auditoria de regras. Acesse Registro de auditoria de regras ou Ferramenta de investigação para mais detalhes. O registro de auditoria listará regras sem ações ativadas quando você usar uma regra somente de auditoria.

6. Quando tiver certeza de que a regra está configurada exatamente como você quer, altere a regra para que uma ação seja aplicada (conforme descrito na Etapa 3: criar regras).

São regras da DLP recomendadas com base nos resultados do relatório de insights sobre proteção de dados. Por exemplo, se o relatório listar números de passaporte como dados compartilhados na organização, a DLP vai recomendar uma regra para impedir o compartilhamento desses números.

Você só vai receber recomendações de regras se o relatório de insights sobre proteção de dados estiver ativado. Confira mais detalhes em Impedir vazamentos com as regras recomendadas de proteção de dados.

• Grupos dinâmicos: gerencie as associações automaticamente quando os usuários entram, saem ou se movem na sua organização. Disponíveis no Admin Console ou na API Cloud Identity, os grupos dinâmicos reduzem o tempo gasto gerenciando a associação a grupos manualmente. Para usar um grupo dinâmico em uma regra da DLP, verifique se ele também é um grupo de segurança (tem o marcador Segurança). Saiba mais sobre os grupos dinâmicos.

• Grupos de segurança: converta um grupo padrão ou dinâmico em um grupo de segurança, o que ajuda a regular, auditar e monitorar o grupo em busca de permissões e controle de acesso. Para criar grupos de segurança no Admin Console ou com a API Cloud Identity Groups, adicione o marcador Segurança a eles. Saiba mais sobre os grupos de segurança.

• Grupos migrados: use o Google Cloud Directory Sync (GCDS) para sincronizar grupos criados no Microsoft Active Directory ou em outras ferramentas com o Google Workspace. Em seguida, use esses grupos sincronizados nas regras da DLP. Saiba mais sobre o GCDS.

Estas são instruções gerais para criar um detector personalizado se você precisar usar um detector em condições de regras.

Criar um detector da DLP para usar com regras

Antes de começar, faça login na sua conta de superadministrador ou em uma conta de administrador delegado com os seguintes privilégios:

• Privilégios de administrador da unidade organizacional
• Privilégios de administrador de grupos
• Privilégios de visualização e gerenciamento de regras da DLP Você precisa ativar as permissões de visualização e gerenciamento para ter acesso total à criação e à edição de regras. Recomendamos criar uma função personalizada com os dois privilégios.
• Privilégios de visualização de metadados e atributos (necessários apenas para o uso da ferramenta de investigação): Central de segurançaFerramenta de investigaçãoRegraVer metadados e atributos.

Saiba mais sobre os privilégios de administrador e como criar funções personalizadas de administrador.

1. No Google Admin Console, acesse Menu SegurançaControle de acesso e dadosProteção de dados.

   Acesse Proteção de dados

   É necessário ter os privilégios de administrador Ver regra da DLP e Gerenciar regra da DLP.

2. Clique em Gerenciar detectores.
3. Clique em Adicionar detector. Adicione o nome e a descrição.

   Você pode selecionar:

   • Expressão regular: uma expressão regular, também chamada de regex, é um método de correspondência de texto com padrões. Clique em Testar expressão para verificar a expressão regular. Confira Exemplos de expressões regulares.
   • Lista de palavras: uma lista de palavras personalizada que você cria. Esta é uma lista separada por vírgulas com as palavras a serem detectadas. Não há diferenciação entre letras maiúsculas e minúsculas e símbolos. A correspondência é feita somente com palavras completas. Você pode adicionar uma mensagem pop-up que aparece quando o conteúdo é detectado. As palavras nos detectores de lista de palavras precisam ter pelo menos dois caracteres que sejam letras ou dígitos.
4. Clique em Criar. Depois use o detector personalizado ao adicionar condições a uma regra.

Antes de começar, faça login na sua conta de superadministrador ou em uma conta de administrador delegado com os seguintes privilégios:

• Privilégios de administrador da unidade organizacional
• Privilégios de administrador de grupos
• Privilégios de visualização e gerenciamento de regras da DLP Você precisa ativar as permissões de visualização e gerenciamento para ter acesso total à criação e à edição de regras. Recomendamos criar uma função personalizada com os dois privilégios.

Para saber quais privilégios são necessários apenas para a ferramenta de investigação, consulte Privilégios de administrador na ferramenta de investigação de segurança.

Saiba mais sobre os privilégios de administrador e como criar funções personalizadas de administrador.

1. No Google Admin Console, acesse Menu SegurançaControle de acesso e dadosProteção de dados.

   Acesse Proteção de dados

   É necessário ter os privilégios de administrador Ver regra da DLP e Gerenciar regra da DLP.

2. Clique em Gerenciar regras. Em seguida, clique em Adicionar regraNova regra ou Adicionar regraNova regra do modelo. Selecione um modelo na página "Modelos".
3. Adicione o nome e a descrição da regra.
4. Na seção Apps, selecione Google Drive Arquivos do Drive.
5. Clique em Continuar.
6. Na seção Ações, é possível selecionar o que acontece quando dados sensíveis são detectados na verificação:

   Quer testar uma regra antes de adicionar uma ação?
   Você pode criar uma regra somente de auditoria para testar a gravação no registro sem realizar uma ação. Escolher uma ação é opcional. Acesse Usar regras somente de auditoria para testar os resultados das regras (opcional, mas recomendado) para mais detalhes.

   • Bloquear compartilhamento externo: impede o compartilhamento do arquivo.
   • Avisar sobre compartilhamento externo: se um usuário tentar compartilhar o arquivo, receberá um aviso de que ele tem conteúdo sensível. Ela pode cancelar ou escolher "Compartilhar mesmo assim".

     Observação:se você ativar alertas para essa ação, eles serão acionados ao identificar um conteúdo sensível, mesmo que o arquivo não seja compartilhado naquele momento. A detecção geralmente ocorre depois da criação ou atualização de um arquivo ou depois de uma mudança nas regras aplicadas a ele, por exemplo, quando uma regra é criada ou atualizada. Ela também pode ocorrer quando um upgrade do sistema aumenta a probabilidade de detecção. O registro de regras lista os eventos de detecção.

   • Desativar o download, a impressão e a cópia: impede o download, a impressão e a cópia, a menos que o usuário tenha o privilégio editor ou superior. Esse recurso é o gerenciamento de direitos de informação (IRM) da DLP e usa as configurações de compartilhamento do Drive, como as políticas, para impedir que os usuários façam o download, imprimam ou copiem documentos, planilhas ou apresentações do Google Drive em todas as plataformas. Acesse as perguntas frequentes sobre o IRM para mais detalhes.
   • Aplicar rótulos de classificação: aplica um rótulo de classificação aos arquivos correspondentes. Siga estas etapas para fazer a configuração:
     1. Escolha um marcador na lista suspensa Marcador de classificação e selecione um Campo e uma Opção de campo disponíveis. Somente marcadores com selo e marcadores padrão com o tipo de campo Lista de opções são compatíveis. Confira mais detalhes em Primeiras etapas como administrador de marcadores de classificação.
     2. (Opcional) Clique em Adicionar rótulo.
     3. Escolha se você quer permitir que os usuários alterem os marcadores e valores de campos aplicados aos próprios arquivos.
7. Na seção Alertas, escolha um nível de gravidade (Baixa, Média, Alta). O nível de gravidade afeta o modo como os incidentes são organizados no painel da DLP (o número de incidentes com gravidade "Alta", "Média" ou "Baixa") em um período.
8. Você também pode marcar a opção Central de alertas para acionar as notificações. Só é possível criar alertas no Google Drive. Acesse Ver detalhes do alerta para saber mais.

   Marque a caixa para alertar todos os superadministradores ou adicione os endereços de e-mail de outros destinatários. Só é possível adicionar destinatários que pertencem ao usuário. Os destinatários externos são ignorados. Os destinatários podem ser usuários ou grupos. Lembre-se de que você precisa configurar o acesso dos grupos selecionados para que eles recebam e-mails. Acesse Configurar as notificações por e-mail da Central de alertas para saber como definir o acesso do grupo a essas notificações.

   Os alertas são listados na Central de alertas. Há um intervalo entre o momento em que um alerta ocorre e quando ele é registrado. Há um intervalo entre o momento em que um alerta é exibido na Central de alertas e quando o registro de auditoria de regras e os painéis de segurança da DLP são atualizados. Você pode receber um alerta e ver o resumo. No entanto, o número de incidentes nos painéis ou nos registros de auditoria na ferramenta de investigação precisa de tempo para ser atualizado. Pode haver até 50 alertas por regra diariamente. Os alertas são exibidos até que esse limite seja atingido.

9. Clique em Continuar.
10. Na seção Escopo, escolha Todos em <domain.name> ou aplique esta regra somente aos usuários nas unidades organizacionais ou nos grupos selecionados. Se houver um conflito entre unidades organizacionais e grupos em termos de inclusão ou exclusão, o grupo terá precedência.

    Observação:para aplicar a regra a um grupo dinâmico, ele também precisará ter o marcador Segurança. Para mais informações, consulte Que tipos de grupos posso selecionar para o escopo de uma regra?.

11. Na seção Condições, clique em Adicionar condição.
12. Escolha o Tipo de conteúdo para verificação:
    • Todo o conteúdo: todo o documento, incluindo o título, o corpo e as edições sugeridas
    • Corpo: o corpo do documento
    • Marcador de classificação: os marcadores aplicados ao documento. Confira mais detalhes em Primeiras etapas como administrador de marcadores de classificação.
    • Edições sugeridas: conteúdo adicionado ao documento no modo "Sugestões"
    • Título: o título do documento
13. Escolha O que verificar e preencha os atributos necessários para esse tipo de verificação, listados na tabela abaixo.

    As opções em O que verificar variam de acordo com o tipo de conteúdo a ser verificado escolhido na etapa anterior. Por exemplo, se você escolher "Título" como o tipo de conteúdo a ser verificado, as opções O que verificar vão incluir Termina com e Começa com.

    O que verificar	Atributos
    Corresponde a um tipo de dados predefinido	Tipo de dados: selecione um tipo de dados predefinido. Saiba mais sobre os tipos de dados predefinidos aqui. Limite de probabilidade: selecione um limite de probabilidade. Limites disponíveis: Muito baixa Baixo Médio Alta Muito alto Esses limites refletem a confiança do sistema DLP no resultado da correspondência. Em geral, o limite Muito alto corresponde a menos conteúdo e é mais preciso. O limite Muito baixo é uma rede mais ampla que corresponde a mais arquivos com menos precisão. Mínimo de correspondências exclusivas: o número mínimo de vezes que um resultado correspondente precisa ocorrer exclusivamente em um documento para ativar a ação. Número mínimo de correspondências: o número mínimo de vezes que os resultados correspondentes precisam aparecer em um documento para ativar a ação. Como funcionam as opções "Número mínimo de correspondências" e "Mínimo de correspondências exclusivas"? Por exemplo, pense em duas listas de CPFs ou CNPJs: a primeira lista tem 50 cópias do mesmo número, e a segunda tem 50 números exclusivos. Nesse caso, se o valor de Número mínimo de correspondências for igual a 10, os resultados serão acionados nas duas listas porque ambas têm pelo menos 10 correspondências. Se o valor Mínimo de correspondências exclusivas for igual a 10 e o valor Número mínimo de correspondências for igual a 1, os resultados serão acionados somente na segunda lista porque há 10 correspondências, e todas são todos valores exclusivos correspondentes.
    Contém string de texto	Digite o conteúdo para corresponder: digite uma substring, um número ou outros caracteres para pesquisar. Especifique se o conteúdo diferencia maiúsculas de minúsculas. No caso da substring, se a regra contiver a palavra chave e o documento contiver a palavra chave, ocorrerá uma correspondência.
    Contém palavra	Digite o conteúdo para corresponder: digite a palavra, o número ou outros caracteres para pesquisar. Disponível apenas se você escolher o Gmail como app.
    Corresponde à expressão regular	Nome da expressão regular: um detector personalizado de expressão regular. Número mínimo de detecções do padrão: o número mínimo de vezes que o padrão expresso pela expressão regular aparece em um documento para ativar a ação.
    Corresponde às palavras da lista de palavras	Nome da lista de palavras: selecione uma lista de palavras personalizada. Modo de correspondência: selecione Corresponde a qualquer palavra ou Corresponde ao mínimo de palavras únicas. Mínimo de vezes que uma palavra foi detectada: o menor número possível de vezes que uma palavra pode ser detectada para ativar a ação. Mínimo de palavras únicas detectadas: o menor número de palavras únicas que precisam ser detectadas para acionar a ação (disponível apenas para a opção Corresponde ao mínimo de palavras únicas).
    Termina com	Digite o conteúdo para corresponder: digite a palavra, o número ou outros caracteres para pesquisar. Especifique se o conteúdo diferencia maiúsculas de minúsculas.
    Começa com	Digite o conteúdo para corresponder: digite a palavra, o número ou outros caracteres para pesquisar. Especifique se o conteúdo diferencia maiúsculas de minúsculas.
    É (apenas para o tipo de conteúdo Marcador de classificação)	Rótulo de classificação: escolha um rótulo de classificação disponível na lista suspensa. Campo do marcador: escolha um campo disponível para o marcador do Drive selecionado. Opção de campo: escolha uma opção disponível para o campo selecionado.

    Você pode usar os operadores AND, OR ou NOT com condições. Acesse Exemplos de operadores de condição aninhada das regras da DLP do Drive para ver detalhes sobre o uso dos operadores AND, OR ou NOT com condições.

    Observação:se você criar uma regra de DLP sem condição, ela será aplicada a todos os arquivos do Drive.

14. Clique em Continuar e verifique os detalhes da regra.
15. Na seção Status da regra, escolha um status inicial:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não é executada imediatamente. Assim, você tem tempo para analisar a regra e compartilhá-la com os membros da equipe antes da implementação. Ative a regra mais tarde em SegurançaProteção de dadosGerenciar regras. Clique no status "Inativo" da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
16. Clique em Criar.

Defina as expectativas do usuário quanto ao comportamento e às consequências da nova regra. Por exemplo, você pode bloquear o compartilhamento externo se dados sensíveis forem compartilhados. Neste caso, diga aos usuários que talvez não seja possível compartilhar documentos e informe por que isso pode ocorrer.

Este exemplo mostra como usar um classificador predefinido para impedir que usuários de organizações e grupos específicos compartilhem dados sensíveis. Você pode usar classificadores predefinidos para especificar dados que costumam ser digitados. Neste exemplo, os dados são números da Previdência Social dos EUA.

Antes de começar, verifique se você fez login na sua conta de superadministrador ou em uma conta de administrador delegado com os privilégios listados em Criar uma regra da DLP acima.

1. No Google Admin Console, acesse Menu SegurançaControle de acesso e dadosProteção de dados.

   Acesse Proteção de dados

   É necessário ter os privilégios de administrador Ver regra da DLP e Gerenciar regra da DLP.

2. Clique em Gerenciar regras. Em seguida, clique em Adicionar regraNova regra.
3. Adicione o nome e a descrição da regra.
4. Na seção Apps, selecione Google Drive Arquivos do Drive.
5. Clique em Continuar.
6. Na seção Ações, em "Google Drive", selecione Bloquear compartilhamento externo.
7. Na seção Alertas, escolha o nível de gravidade Alta. Marque a caixa Central de alertas para ativar um alerta e especifique os destinatários do e-mail.

   Há um intervalo entre o momento em que um alerta ocorre e quando ele é registrado. Os admins podem receber no máximo 50 alertas por regra diariamente até o limite ser atingido.

8. Clique em Continuar.
9. Na seção Escopo, escolha Aplicar a todos <domain.name> ou pesquise e inclua ou exclua as unidades organizacionais ou os grupos a que a regra se aplica. Se houver um conflito entre unidades organizacionais e grupos em termos de inclusão ou exclusão, o grupo terá precedência.
10. Na seção Condições de conteúdo, clique em Adicionar condição e selecione estes valores:
    • Tipo de conteúdo para verificação: todo o conteúdo
    • O que verificar: corresponde ao tipo de dados predefinido (recomendado)
    • Tipo de dado: Estados Unidos - CPF ou CNPJ.
    • Limite de possibilidade: muito alto. Uma medida extra usada para determinar se as mensagens acionam a ação.
    • Mínimo de correspondências exclusivas: 1. O número mínimo de vezes que uma correspondência única precisa ocorrer em um documento para ativar a ação.
    • Número mínimo de correspondências: 1. O número de vezes que o conteúdo precisa aparecer em uma mensagem para ativar a ação. Por exemplo, se você selecionar "2", o conteúdo precisará aparecer pelo menos duas vezes em uma mensagem para ativar a ação.
11. Clique em Continuar.
12. Clique em Continuar para revisar os detalhes da regra.
13. Na seção Status da regra, escolha um status inicial:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não é executada imediatamente. Assim, você tem tempo para analisar a regra e compartilhá-la com os membros da equipe antes da implementação. Ative a regra mais tarde em SegurançaProteção de dadosGerenciar regras. Clique no status Inativo da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
14. Clique em Criar.

Este exemplo mostra como configurar um detector personalizado. Você pode listar as palavras a serem detectadas em um detector personalizado. Use as configurações de acionamento nas regras para impedir que os usuários compartilhem documentos que mencionem dados confidenciais, como nomes de projetos internos, com destinatários externos.

Antes de começar, verifique se você fez login na sua conta de superadministrador ou em uma conta de administrador delegado com os privilégios listados em Criar uma regra da DLP acima.

1. No Google Admin Console, acesse Menu SegurançaControle de acesso e dadosProteção de dados.

   Acesse Proteção de dados

   É necessário ter os privilégios de administrador Ver regra da DLP e Gerenciar regra da DLP.

2. Clique em Gerenciar detectores. Em seguida, clique em Adicionar detectorLista de palavras.
3. Digite um nome e uma descrição para o detector.
4. Digite as palavras a serem detectadas separadas por vírgulas. Nas listas de palavras personalizadas:
   • Não há diferenciação entre letras maiúsculas e minúsculas. Por exemplo, "MAU" corresponde a "mau", "Mau" e "MAU".
   • A correspondência é feita somente com palavras completas. Por exemplo, se você adicionar "mau" à lista de palavras personalizada, não será feita a correspondência com "maurício".
5. Clique em Criar.
6. Clique em Gerenciar regras. Em seguida, clique em Adicionar regraNova regra.
7. Na seção Nome, digite o nome e, se quiser, uma descrição da regra.
8. Na seção Apps, selecione Google Drive Arquivos do Drive.
9. Na seção Ações, em "Google Drive", selecione Bloquear compartilhamento externo.
10. Na seção Alertas, escolha o nível de gravidade Alta. Marque a caixa Central de alertas para ativar um alerta e especifique os destinatários do e-mail.

    Há um intervalo entre o momento em que um alerta ocorre e quando ele é registrado. Os admins podem receber no máximo 50 alertas por regra diariamente até o limite ser atingido.

11. Clique em Continuar.

12. Na seção Escopo, pesquise e selecione as unidades organizacionais ou os grupos a que a regra se aplica.
13. Na seção Condições de conteúdo, clique em Adicionar condição e selecione estes valores:
    • Tipo de conteúdo para verificação: todo o conteúdo
    • O que verificar: corresponde a palavras da lista
    • Nome da lista de palavras: role para encontrar o detector que você criou acima.
    • Modo de correspondência: selecione um modo de correspondência:
      • Corresponder a qualquer palavra: conta correspondências de qualquer palavra na lista de palavras predefinida.
      • Corresponde ao mínimo de palavras únicas: especifique o mínimo de palavras únicas detectadas e o mínimo de vezes que qualquer palavra (na lista de palavras predefinidas) é detectada.
    • Mínimo de vezes que uma palavra foi detectada: 1
14. Clique em Continuar para revisar os detalhes da regra.
15. Na seção Status da regra, escolha um status inicial:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não é executada imediatamente. Assim, você tem tempo para analisar a regra e compartilhá-la com os membros da equipe antes da implementação. Ative a regra mais tarde em SegurançaProteção de dadosGerenciar regras. Clique no status Inativo da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
16. Clique em Criar.

Um modelo de regra inclui um conjunto de condições que abrangem muitos cenários típicos de proteção de dados. Use um modelo de regra para configurar políticas para situações comuns de proteção de dados.

Este exemplo usa um modelo de regra para bloquear o envio ou o compartilhamento de um documento do Drive ou um e-mail com informações de identificação pessoal dos EUA.

Antes de começar, verifique se você fez login na sua conta de superadministrador ou em uma conta de administrador delegado com os privilégios listados em Criar uma regra da DLP acima.

1. No Google Admin Console, acesse Menu SegurançaControle de acesso e dadosProteção de dados.

   Acesse Proteção de dados

   É necessário ter os privilégios de administrador Ver regra da DLP e Gerenciar regra da DLP.

2. Clique em Gerenciar regras.
3. Clique em Adicionar regraNova regra do modelo.
4. Na página "Modelos", clique em Impedir o compartilhamento de dados PII (EUA).
5. Aceite o nome e a descrição padrão da regra ou insira novos valores.
6. Clique em Continuar.
7. Revise as configurações de ações e alertas e edite se necessário. Para o Google Drive, a opção Bloquear compartilhamento externo está selecionada. Bloquear o compartilhamento impede que os usuários compartilhem arquivos que atendam às condições com usuários fora da organização. A segurança está definida como "Baixa", e os alertas são desativados.
8. Clique em Continuar.
9. As condições são pré-selecionadas para o modelo da regra. Verifique-as se você quiser ver as condições específicas que se aplicam à regra.
10. Clique em Continuar para revisar os detalhes da regra.
11. Na seção Status da regra, escolha um status inicial:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não é executada imediatamente. Assim, você tem tempo para analisar a regra e compartilhá-la com os membros da equipe antes da implementação. Ative a regra mais tarde em SegurançaProteção de dadosGerenciar regras. Clique no status Inativo da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
12. Clique em Criar.

Este exemplo combina uma regra da DLP com uma condição de acesso baseado no contexto. Quando você combina uma regra da DLP com uma condição contextual, a regra só é aplicada quando a condição é atendida.

Neste exemplo, a regra da DLP impede que usuários de documentos Google com acesso para comentar ou visualizar façam o download, imprimam ou copiem conteúdo sensível. A condição contextual é que os usuários estejam acessando conteúdos em dispositivos iOS ou Android.

Importante: para aplicar condições contextuais em dispositivos móveis ou sistemas operacionais, é preciso ativar o gerenciamento de dispositivos básico ou avançado.

Antes de começar, verifique se você fez login na sua conta de superadministrador ou em uma conta de administrador delegado com os privilégios listados em Criar uma regra da DLP acima.

1. No Google Admin Console, acesse Menu SegurançaControle de acesso e dadosProteção de dados.

   Acesse Proteção de dados

   É necessário ter os privilégios de administrador Ver regra da DLP e Gerenciar regra da DLP.

2. Clique em Gerenciar regras. Em seguida, clique em Adicionar regraNova regra.
3. Adicione um nome e uma descrição para a regra.
4. Na seção Apps, selecione Google Drive Arquivos do Drive.
5. Clique em Continuar.
6. Na seção Ações, para o Google Drive, escolha Desativar o download, a impressão e a cópia e selecione Somente para comentaristas e leitores.

   Observação:a ação só é aplicada quando as condições de conteúdo e as de contexto são atendidas.

7. (Opcional) Escolha o nível de gravidade do alerta (baixo, médio ou alto) e se você quer enviar alertas e notificações de alerta por e-mail.
8. Clique em Continuar.
9. Na seção Escopo, pesquise e selecione a quais grupos de unidades organizacionais a regra se aplica.
10. Em Apps, em Google Drive, marque Arquivos do Drive.
11. Na seção Condições de conteúdo, clique em Adicionar condição.
12. Em Tipo de conteúdo para verificação, escolha Todo o conteúdo.
13. Em O que verificar, escolha um tipo de verificação da DLP e selecione atributos. Para mais informações sobre os atributos disponíveis, consulte Criar uma regra de DLP.
14. Na seção Condições contextuais, clique em Selecionar um nível de acesso para mostrar os níveis de acesso atuais.
15. Clique em Criar novo nível de acesso.
16. Digite um nome e uma descrição para o novo nível de acesso.
17. Em Condições contextuais, clique em Adicionar condição.
18. Selecione Atende a todos os atributos.
19. Clique em Selecionar atributoSistema operacional do dispositivo, Selecionar SO e escolha "iOS" na lista suspensa.
20. Em Versão mínima, deixe a opção padrão "Qualquer versão" ou selecione uma versão específica.
21. Clique em Adicionar condição e repita as etapas de 20 a 21, selecionando "Android" como o sistema operacional do dispositivo.
22. Defina a opção Mesclar várias condições com (localizada acima de Condições) como OU. Isso significa que a regra da DLP será aplicada se os usuários estiverem acessando conteúdo sensível em dispositivos iOS ou Android.
23. Clique em Criar. Você vai voltar para a página Criar regra. Seu novo nível de acesso é adicionado à lista, e os atributos dele são mostrados à direita.
24. Clique em Continuar para revisar os detalhes da regra.
25. Na seção Status da regra, escolha um status inicial:
    • Ativo: sua regra é executada imediatamente.
    • Inativo: sua regra existe, mas não é executada imediatamente. Assim, você tem tempo para analisar a regra e compartilhá-la com os membros da equipe antes da implementação. Ative a regra mais tarde em SegurançaProteção de dadosGerenciar regras. Clique no status Inativo da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
26. Clique em Criar.

As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais.

Confira mais exemplos em Combinar regras de DLP com condições de acesso baseado no contexto.

Antes de começar, faça login na sua conta de superadministrador ou em uma conta de administrador delegado com os seguintes privilégios:

• Privilégios de administrador da unidade organizacional
• Privilégios de administrador de grupos
• Privilégios de visualização e gerenciamento de regras da DLP Você precisa ativar as permissões de visualização e gerenciamento para ter acesso total à criação e à edição de regras. Recomendamos criar uma função personalizada com os dois privilégios.
• Privilégios de visualização de metadados e atributos (necessários apenas para o uso da ferramenta de investigação): Central de segurançaFerramenta de investigaçãoRegraVer metadados e atributos.

Saiba mais sobre os privilégios de administrador e como criar funções personalizadas de administrador.

1. No Google Admin Console, acesse Menu SegurançaControle de acesso e dadosProteção de dados.

   Acesse Proteção de dados

   É necessário ter os privilégios de administrador Ver regra da DLP e Gerenciar regra da DLP.

2. Clique em Gerenciar regras ou Gerenciar detectores. Acesse a página das regras em Segurança > Proteção de dados > Regras. Acesse a página dos detectores em Segurança > Proteção de dados > Detectores.

Regras de classificação

Você pode classificar as regras por colunas Nome ou Última modificação em ordem crescente ou decrescente.

1. Na página de regras, clique no nome da coluna Nome ou Última modificação.
2. Clique na seta para cima ou para baixo para classificar a coluna.

Ativar ou desativar regras

Se você ativar uma regra, a DLP vai verificar os documentos que usam essa regra.

1. Na página de regras, na coluna "Status" de uma regra, selecione Ativo ou Inativo.
2. Confirme que você quer ativar ou desativar a regra.

Excluir uma regra

A exclusão de regras é permanente.

1. Na página de regras, aponte para uma linha para mostrar a lixeira no final da linha.
2. Clique na lixeira .
3. Confirme que você quer excluir a regra.

Regras de exportação

Você pode exportar regras para um arquivo .txt.

1. Na página de regras, clique em Exportar regras.
2. A lista de regras é transferida para um arquivo de texto. Clique no arquivo .txt no canto inferior esquerdo para ver as regras baixadas.

Editar detalhes da regra

Quando você edita regras, isso aciona uma nova verificação dos documentos afetados por elas.

1. Na lista de regras, clique na regra que você quer editar.
2. Clique em Editar regra.
3. Edite a regra conforme necessário. O fluxo é o mesmo da criação de regras.
4. Quando terminar, clique em Atualizar e escolha:
   • Ativo: sua regra é executada imediatamente.
   • Inativo: sua regra existe, mas não é executada imediatamente. Assim, você tem tempo para analisar a regra e compartilhá-la com os membros da equipe antes da implementação. Ative a regra mais tarde em SegurançaProteção de dadosGerenciar regras. Clique no status Inativo da regra e selecione Ativo. A regra é executada depois que você a ativa, e a DLP procura conteúdo confidencial.
5. Clique em Concluir.

Investigar uma regra com a ferramenta de investigação de segurança

Edições compatíveis com este recurso: Frontline Standard e Frontline Plus, Enterprise Standard e Enterprise Plus, Education Standard e Education Plus, Enterprise Essentials Plus. Comparar sua edição

A DLP usa a ferramenta de investigação de segurança para mostrar com que frequência uma regra é acionada. A ferramenta lista os resultados de uma pesquisa com a regra e mostra as ações ativadas para cada incidente.

Para usar a ferramenta de investigação, você precisa dos privilégios de "Ver metadados e atributos" em Central de segurançaFerramenta de investigaçãoRegraVer metadados e atributos.

Para investigar uma regra:

1. Na lista de regras, aponte para uma linha e clique em Investigar regra.
2. Você vai encontrar resultados de pesquisa para a regra. Há um intervalo de tempo entre o acionamento de uma regra e a atualização do registro. Acesse Ferramenta de investigação para mais detalhes.

Dica: você pode ativar ou desativar uma regra na ferramenta de investigação. Na tabela de resultados, aponte para o cabeçalho da coluna "ID da regra". Clique em AçõesAtivar regra ou AçõesDesativar regra.

Dica: para ver os resultados de todas as regras da DLP, clique em Fechar X para remover a regra específica.

Filtrar detectores personalizados

Você pode filtrar a lista de detectores personalizados por nome e tipo de detector.

1. Na página do detector personalizado, clique em Adicionar um filtro.
2. Filtre por nome ou tipo de detector:
   • Nome do detector: digite uma string para pesquisar.
   • Tipo de detector: selecione um tipo de detector.
3. Clique em Aplicar. O filtro será mantido até que você o exclua.

Exportar detectores

Você pode exportar detectores para um arquivo .txt.

1. Na página de detectores, clique em Exportar detectores.
2. A lista de detectores é salva em um arquivo de texto. Clique no arquivo .txt, no canto inferior esquerdo, para ver os detectores salvos .

Editar detector personalizado da lista de palavras

Quando você edita detectores personalizados usados em regras, isso aciona uma nova verificação dos documentos afetados pelas regras que contêm os detectores modificados.

Para editar o nome e a descrição de um detector personalizado:

1. Clique em um detector personalizado de lista de palavras na lista.
2. Clique em Editar informações.
3. Edite o título e a descrição.
4. Clique em Salvar.

Para adicionar palavras à lista:

1. Clique em um detector personalizado de lista de palavras na lista.
2. Clique em Adicionar palavras.
3. Adicione palavras à lista de palavras.
4. Clique em Salvar.

Para editar palavras na lista:

1. Clique em um detector personalizado de palavras personalizadas na lista.
2. Clique em Editar palavras.
3. Edite as palavras na lista.
4. Clique em Salvar.

Editar detector personalizado de expressão regular

Quando você edita detectores personalizados usados em regras, isso aciona uma nova verificação dos documentos afetados pelas regras que contêm os detectores modificados.

Para editar o nome, a descrição ou a expressão regular do detector personalizado de expressões regulares:

1. Na página do detector personalizado, clique em um detector personalizado de expressão regular.
2. No pop-up, edite o título, a descrição ou a expressão regular.
3. Se você editou a expressão regular, clique em Testar expressão. Digite os dados do teste para confirmar.
4. Clique em Salvar.

Excluir um detector personalizado

A exclusão de detectores é permanente.

1. Na página do detector personalizado, passe o cursor sobre uma linha para mostrar a lixeira no final da linha.
2. Selecione a lixeira .
3. Confirme que você quer excluir o detector.