Compartilhar via

Introdução à proteção just-in-time do Prevenção Contra Perda de Dados do Microsoft Purview

Pode utilizar a proteção just-in-time (JIT) de prevenção de perda de dados do Ponto final (DLP) para detetar e bloquear atividades de saída em ficheiros monitorizados enquanto aguarda que a avaliação da política seja concluída com êxito.

O JIT audita e bloqueia estas atividades de utilizador em ficheiros protegidos:

  • Copiar para um suporte de dados amovível
  • Copiar para um compartilhamento de rede
  • Print
  • Copiar ou mover com o Protocolo RDP (Remote Desktop Protocol)
  • Copiar ou mover usando o aplicativo Bluetooth não permitido
  • Copiar para a área de transferência: Auditoria JIT por predefinição
  • Carregar para um domínio de serviço cloud restrito

Quando o JIT está ativado para dispositivos, todas as atividades de utilizador são auditadas, mesmo as atividades dos utilizadores que não estão no âmbito da política. As atividades de saída são auditadas e bloqueadas para os utilizadores que estão no âmbito da política.

Termos

Deve familiarizar-se com estes termos:

  • Ficheiro candidato JIT: estes são ficheiros que não são classificados ou ficheiros que são classificados pela última vez com uma política obsoleto.
  • Auditoria JIT: para o ficheiro candidato JIT, o Endpoint DLP gera um evento no Explorador de atividades onde o JIT acionado está definido como verdadeiro e o Modo de imposição está definido como Auditoria.

captura de ecrã de um evento do Explorador de atividades do JIT a mostrar o JIT acionado como verdadeiro e o modo de imposição está definido como auditoria

O DLP de ponto final não:

  • bloquear a atividade do utilizador

  • não gera o evento DLPRuleMatch

  • gerar alerta

  • Bloco JIT: para o ficheiro candidato JIT, o DLP de Ponto Final bloqueia a atividade e gera um evento no Explorador de atividades se o JIT acionado estiver definido como verdadeiro e o Modo de imposição estiver definido como Bloquear. DLP de ponto final, mas não gera o evento DLPRuleMatch e não gera alertas.

captura de ecrã de um evento do Explorador de atividades JIT a mostrar o JIT acionado como verdadeiro e o modo de imposição está definido como bloqueado

  • Notificação JIT em curso: quando os utilizadores que estão no âmbito do JIT tentarem uma atividade de saída num ficheiro candidato JIT, o DLP de Ponto Final pode bloquear a atividade de saída e apresentar uma notificação de alerta. Este alerta chama-se JIT em curso.
  • Notificação de conclusão da avaliação JIT: quando o Endpoint DLP termina a avaliação da política para um ficheiro candidato JIT, o DLP de Ponto Final mostra uma notificação de alerta para informar o utilizador. Esta notificação chama-se alerta completo de avaliação JIT.

Captura de ecrã da notificação de avaliação completa do JIT

Aplicável a

A proteção JIT para Endpoint DLP é suportada nativamente nos seguintes dispositivos:

  • Windows 10
  • Windows 11
  • macOS (três versões mais recentes)

Melhores práticas para implementar a proteção just-in-time

Observação

Aguarde pelo menos uma hora para as atualizações de definição do JIT, incluindo a desativação do JIT para serem enviadas para dispositivos cliente.

Passo 1: Preparar o ambiente

Antes de poder implementar a proteção just-in-time, primeiro tem de implementar a versão 4.18.23080 ou posterior do Cliente antimalware. A experiência do utilizador final da proteção just-in-time foi melhorada na versão 4.18.25080 ou posterior.

Integração page_Defender versão do Mocamp

Observação

Para computadores com uma versão desatualizada do Cliente Antimalware, recomendamos que desative a proteção just-in-time ao instalar um dos seguintes KBs:

  1. Para saber quais os dispositivos que têm o Cliente Antimalware necessário, aceda a Investigação do portal> de segurança& resposta Investigação>avançada e execute esta consulta.

DeviceRegistryEvents     | where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe"         and Timestamp >= ago(60d)     | summarize arg_max(Timestamp, *) by DeviceId     | distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion     | extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version         | extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement     | project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion     | summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion    // | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version    // | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements     | order by dcount_DeviceId desc

Eis um exemplo do resultado da consulta.

Imagem do resultado da consulta que mostra uma lista de quantos dispositivos têm a versão de cliente antimalware

Também pode aceder àpágina Diagnósticos de Prevenção> de Perda de Dados e selecionar O DLP do Ponto Final não está a funcionar card para marcar se um dispositivo específico cumpriu ou não o pré-requisito do JIT.

Captura de ecrã da lista de opções diagnóstico de revisão que mostra a versão do cliente antimalware para o dispositivo selecionado

Passo 2: Implementar a proteção JIT

  1. Inicie sessão no portal do Microsoft Purview.

  2. Selecione Definições>Proteção just-in-time daPrevenção> de Perda de Dados.

  3. Em Escolher as localizações a monitorizar, selecione a caixa de verificação junto a Dispositivos.

  4. Em Ação de contingência em caso de falha, selecione Permitir que os utilizadores concluam ações. Isto permite que a ação do utilizador seja concluída se a classificação falhar.

Observação

O DLP de ponto final cria eventos de auditoria JIT para todas as atividades de saída do utilizador, quer estejam ou não no âmbito.

  1. Em Ação de contingência em caso de falha, selecione Permitir que os utilizadores concluam ações. Isto permite ao utilizador concluir a ação se a classificação falhar.

Cuidado

NÃO escolha a opção Bloquear utilizadores de concluir ações até que compreenda totalmente o impacto desta funcionalidade.

Deve validar as suas definições em cada fase até que o número de eventos seja estável e tenha uma boa compreensão do tamanho possível do grupo de utilizadores ao qual pretende aplicar o modo Impor, com base nos seguintes cálculos de telemetria.

Passo 3: Estimar o número de eventos de proteção JIT para a sua implementação

Calcule o impacto da implementação da proteção JIT ao realizar o seguinte cálculo com base nos eventos no explorador de atividades:

  • N = O número de máquinas exclusivas a acionar eventos de proteção JIT.
  • S = O número total de máquinas no âmbito da implementação.

N/S gera uma percentagem de máquinas virtuais que podem experienciar um evento "bloquear" de proteção JIT.

Com estas informações, deve saber quantas máquinas serão afetadas pela implementação do modo de Bloco JIT quando expandir o âmbito e quantos pedidos de suporte possíveis poderá ver. Em seguida, pode decidir se pretende ou não expandir o âmbito.

Passo 4: otimizar a proteção JIT através de outras definições adicionais

Além de Reverter em caso de falha, conforme descrito no passo 1, também pode utilizar as seguintes definições para ajustar a proteção JIT:

  • Controlar a cópia para a área de transferência: ative esta opção se pretender impedir que os utilizadores copiem conteúdos para a área de transferência enquanto a proteção JIT está a avaliar o ficheiro.

Observação

Ativar a opção Controlar a cópia para a área de transferência pode afetar a produtividade do utilizador. Certifique-se de que testa o impacto na produtividade antes de ativar esta definição.

  • Exclusões de aplicações para Windows: as aplicações que incluir aqui não serão avaliadas pela proteção JIT em dispositivos Windows.
  • Exclusões de aplicações para Mac: as aplicações que incluir aqui não serão avaliadas pela proteção JIT em dispositivos macOS.
  • Exclusões de extensões de ficheiros: os ficheiros com extensões adicionadas aqui não serão avaliados pela proteção JIT.
  • Exclusões de caminhos de ficheiros para Windows: os ficheiros nestas localizações não serão avaliados pela proteção JIT.
  • Exclusões de caminhos de ficheiros para Mac: os ficheiros nestas localizações não serão avaliados pela proteção JIT.

Se quiser alterar o âmbito da proteção JIT depois de ajustar todas estas definições, pode voltar ao passo 2.

A diferença entre a definição exclusões de caminho de ficheiro aqui e asdefinições de Ponto final definições> de Prevenção> de perda de dadosExclusões> decaminho de ficheiro para Windows é a seguinte:

  • A definição exclusões de caminho de ficheiro aqui exclui apenas caminhos de ficheiro específicos da proteção JIT. Em todos os outros casos, o Microsoft Purview ainda aplica a proteção e classificação DLP de Ponto Final para ficheiros nessas pastas.
  • A definição Exclusões de caminhos de ficheiros para Windows encontradaatravés de Definições> de prevenção> de perda dedadosDefinições> do Ponto finalExclusões de caminhos de ficheiros para Windows impede o Purview de aplicar a classificação e proteção DLP de Ponto Final para ficheiros nas pastas especificadas.
  • Exclusões de extensões de ficheiros: os ficheiros com estas extensões não são avaliados pela proteção JIT.

Passo 5: Implementar a proteção JIT em "Impedir os utilizadores de concluir ações" para a definição "Ação de contingência em caso de falha"

Esta configuração controla o modo de imposição que o DLP aplica quando a classificação falha. Não controla o Bloco JIT ou a Auditoria JIT para ficheiros candidatos JIT, Bloco JIT ou Auditoria JIT é controlada pelo âmbito. Independentemente do valor que selecionar aqui, a telemetria relevante é apresentada no explorador de atividades.

Experiência do utilizador de proteção just-in-time

Esta é a experiência do utilizador com a versão 4.18.25080 ou posterior do Cliente antimalware.

Retomar o suporte para cada atividade

O DLP de ponto final retomará automaticamente estas atividades se a avaliação da política for concluída dentro de 3 segundos:

  • Copiar para um suporte de dados amovível
  • Copiar para um compartilhamento de rede

Se a avaliação da política demorar mais de 3 segundos, o utilizador terá de repetir a atividade após a avaliação da Política JIT ser apresentada.

O utilizador tem de repetir estas atividades assim que o DLP do Ponto Final concluir a avaliação da política:

  • Print
  • Copiar ou mover com o Protocolo RDP (Remote Desktop Protocol)
  • Copiar ou mover usando o aplicativo Bluetooth não permitido
  • Copiar para a área de transferência: Auditoria JIT por predefinição

O utilizador terá de repetir estas atividades depois de o Endpoint DLP concluir a avaliação da política:

  • Print
  • Copiar ou mover com o Protocolo RDP (Remote Desktop Protocol)
  • Copiar ou mover usando o aplicativo Bluetooth não permitido
  • Copiar para a área de transferência: Auditoria JIT por predefinição

Efetuar atividade num único ficheiro

Quando um utilizador efetua uma atividade num único ficheiro, o DLP de Ponto Final executa a ação de auditoria JIT quando:

  • o utilizador não está na definição Âmbito JIT
  • não existe Bloquear ou Bloquear com substituição para a atividade
  • a atividade é para uma impressora permitida, para um suporte de dados amovível permitido, para uma partilha de rede permitida ou para um site permitido
  • a avaliação da política para o ficheiro é concluída dentro de 5 segundos para a atividade para a qual o DLP do Ponto Final suporta o currículo JIT. Ou se a avaliação do ficheiro for concluída dentro de 2 segundos para atividades que o DLP de Ponto Final não suporta o currículo JIT.

O DLP de ponto final bloqueia a atividade com notificação (ainda sem Alerta) e só aplicará o Bloco JIT quando a avaliação da política demorar mais de 5 segundos.

Realizar atividade em vários ficheiros

Quando um utilizador efetua uma atividade em vários ficheiros em simultâneo, o DLP do Ponto Final executa a ação de auditoria JIT quando:

  • o utilizador não está na definição Âmbito JIT
  • não existe Nenhum Bloco ou Bloco com substituição para a atividade executada
  • a atividade destina-se a uma impressora permitida, a um suporte de dados amovível permitido ou a uma partilha de rede permitida

Para ficheiros candidatos JIT, o Endpoint DLP aciona a avaliação da política e consolidará todas as notificações para ficheiros que terminem a avaliação da política no prazo de 5 segundos para as atividades que suportam o currículo e o DLP do Ponto Final retomará automaticamente a atividade. Se a atividade não suportar o currículo, o Endpoint DLP aciona a avaliação da política e consolidará todas as notificações para ficheiros que terminem a avaliação da política dentro de 2 segundos. Em ambos os casos, o Endpoint DLP não emitirá um alerta JIT em curso, só mostrará o veredicto final da política no brinde consolidado.

  • Last updated on