Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece orientações para organizações do Governo australiano sobre configurações para reduzir o risco de transposição de dados, impedindo que classificações de segurança de confidencialidade mais elevadas sejam recebidas em ambientes de menor confidencialidade. O seu objetivo é ajudar as organizações a melhorar a sua postura de segurança de informações. A documentação de orientação neste artigo destina-se a alinhar-se com os requisitos descritos no PSPF (Protection Security Policy Framework) e no Manual de Segurança de Informações (ISM).
Para reduzir a probabilidade e potenciais danos no derrame de dados, os ambientes do Microsoft 365 devem ser configurados para:
- Avalie as marcas de proteção nos itens recebidos e bloqueie o recibo, se necessário.
- Avalie as marcas de protecção em itens que já tenham sido recebidos e impeça qualquer divulgação adicional, se necessário.
- Acione alertas e relatórios adequados.
- Forneça um método de verificação de itens com classificações superiores às permitidas num ambiente.
Avaliação de marcas de proteção
Quando as classificações de segurança são aplicadas a itens, como através da aplicação de uma etiqueta de confidencialidade, também são aplicadas marcas de proteção. As marcas de proteção incluem marcas de conteúdo, tais como cabeçalhos e rodapés dicusussados na marcação de conteúdo da etiqueta de confidencialidade. Para o e-mail, as marcas de proteção também incluem x-protective-marking x-headers e marcas baseadas no assunto. Para fornecer a melhor cobertura possível, devem ser aplicadas abordagens que utilizem vários métodos de identificação de classificações nãopremetidas. As abordagens para identificar classificações de segurança devem incluir a avaliação de:
-
X-protective-marking x-headers As organizações governamentais são obrigadas a carimbar metadados de e-mail, sob a forma de cabeçalhos x, para e-mails gerados que identifiquem a classificação de segurança. Um x cabeçalho x de marcação protetora, incluindo
SEC=SECRETindica um item com uma classificação de segurança SECRET. - Marcações de assunto Normalmente, as organizações governamentais aplicarão marcas de assunto ao e-mail. As marcas de assunto são mais propensas a adulteração, uma vez que são acessíveis pelo utilizador final, mas ainda fornecem uma boa indicação da classificação de segurança. Uma marcação de assunto, incluindo [SEC=SECRET] indica um item secreto.
-
Tipo de Informação Confidencial (SIT) Os Tipos de Informações Confidenciais (SITs) são identificadores palavra-chave ou baseados em padrões que podem ser utilizados para localizar conteúdo dentro de itens, incluindo marcas de proteção. Pode ser configurado um SIT para identificar uma marcação de conteúdo num
SECRETcabeçalho ou rodapé de um e-mail ou documento. Um palavra-chave deSECRETé mais propenso a falsos positivos que um palavra-chave deSECRET CABINET Personal Privacypara que seja aconselhável alguma discrição com esta técnica. - Etiqueta de confidencialidade Os utilizadores não devem ter a capacidade de aplicar etiquetas de confidencialidade para além da classificação de segurança permitida para um ambiente. No entanto, a configuração de etiquetas não publicadas para classificações superiores às permitidas pode ser útil quando emparelhada com configurações de etiquetagem automática. Por exemplo, uma política de etiquetagem automática à procura de uma marcação SECRET e a aplicação de uma etiqueta SECRET poderia, em seguida, encriptar quaisquer itens alinhados, impedindo qualquer divulgação adicional enquanto as equipas de segurança intervêm. Para obter mais informações, veja etiquetas para obter informações que ultrapassem o nível PROTEGIDO.
As abordagens utilizadas neste artigo utilizam um ou mais destes métodos de identificação de classificações de segurança.
A bloquear a receção de e-mail com classificações não preteridas
O ISM-0565 define medidas para proteger contra transposição de dados por e-mail recebido:
| Requisito | Detalhe |
|---|---|
| ISM-0565 (março de 2025) | Email servidores estão configurados para bloquear, registar e comunicar e-mails com marcas de proteção inadequadas. |
Dentro deste requisito, o termo marcas de proteção inadequadas é normalmente utilizado para definir classificações superiores às permitidas para um ambiente. Para cumprir este requisito, as políticas de Prevenção de Perda de Dados (DLP) devem ser configuradas para impedir a transmissão, a receção e a distribuição adicional de itens com classificações não autorizadas.
Regra DLP de Exemplo: Bloquear e-mail SECRETO
A regra seguinte avalia o e-mail com base no cabeçalho x, na marcação do assunto e na etiqueta de confidencialidade. Uma condição de avaliação de SITs não foi adicionada a esta regra devido ao risco de falsos positivos, mas tal pode ser adicionado após o teste, se for considerado adequado. Esta regra pode ter o nome EXO – Bloquear e-mail SECRETO e ser adicionada a uma política denominada EXO – Bloquear e-mail de classificação não autorizado.
| Condições | Ação |
|---|---|
| O cabeçalho corresponde aos padrões: - Nome do cabeçalho: marcação protetora de x - Expressão regular do cabeçalho: SEC=SECRET GRUPO OR O assunto corresponde aos padrões: - Expressão regular: \[SEC=SECRET GRUPO OR O conteúdo contém Conteúdo que contém etiquetas de confidencialidade: - SEGREDO |
Restringir o acesso ou encriptar o conteúdo em localizações do Microsoft 365: - Impedir que os utilizadores recebam e-mails ou acedam - Bloquear todas as pessoas A gravidade da regra deve ser configurada como elevada com alertas configurados para garantir que as equipas de segurança são notificadas. |
Dica
Esta lógica de regra DLP pode ser modificada para ser aplicada ao e-mail ULTRA-SECRETO. Os ambientes que operam a um nível inferior a PROTECTED podem utilizá-lo para impedir a receção de e-mail PROTEGIDO.
Bloquear a partilha de itens com classificações não autorizadas
Normalmente, existem muitas vias diferentes para que as informações se movam para um ambiente. Email é um caminho importante a abranger, mas também devemos considerar as muitas outras formas de receber ficheiros e o risco de os itens com classificações não autorizadas poderem já existir num ambiente.
As classificações de segurança podem ser identificadas através de Tipos de Informações Confidenciais Personalizadas, como as detalhadas na sintaxe SIT de Exemplo para detetar marcas de proteção.
Assim que os SITs tiverem sido configurados, o SharePoint funciona para indexar itens ativos para alinhamento SIT. As políticas DLP podem ser criadas para proteger itens considerados alinhados com um SIT.
Observação
A deteção de SIT pode ser expandida para itens históricos através da classificação a pedido. Para obter mais informações sobre a classificação a pedido, veja Classificação a pedido (pré-visualização).
O seguinte conjunto de SITs de exemplo pode ser criado para tentar identificar marcas SECRET. Os níveis de confiança variam consoante estes SITs, uma vez que quanto mais simples as marcações, maior é a probabilidade de falsos positivos.
| Nome SIT | Expressão regular | Confidence |
|---|---|---|
| SECRET Regex | SECRET(?!,\sACCESS=)(?!(?:\s\ | \/\/\ | \s\/\/\s)[Pp]ersonal[- ][Pp]rivacy)(?!(?:\s\ | \/\/\ | \s\/\/\s)[Ll]egislative[- ][Ss]ecrecy)(?!(?:\s\ | \/\/\ | \s\/\/\s)[Ll]egal[- ][Pp]rivilege)(?!(?:\s\ | \/\/\ | \s\/\/\s)NATIONAL[ -]CABINET)(?!(?:\s\ | \/\/\ | \s\/\/\s)CABINET) |
Baixo |
| SECRET Personal Privacy Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sACCESS=)Personal[ -]Privacy |
Médio |
| SECRET Legal Privilege Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sACCESS=)Legal[ -]Privilege |
Médio |
| SECRET Legislative Secrecy Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sACCESS=)Legislative[ -]Secrecy |
Médio |
| SECRET NATIONAL CABINET Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sCAVEAT=SH:)NATIONAL[ -]CABINET |
Médio |
| SECRET CABINET Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sCAVEAT=SH:)CABINET |
Médio |
Regra DLP de exemplo: Bloquear a partilha de itens SECRET
A seguinte regra DLP pode ter o nome SPOD – Bloquear a partilha SECRET e adicionada a uma política denominada SPOD – Bloquear a partilha de classificação não autorizada.
| Condições | Ação |
|---|---|
| O conteúdo contém qualquer um dos tipos de informações confidenciais: - Secret Regex - SECRET Personal Privacy Regex - SECRET Legal Privilege Regex - Secret Legislative Secrecy Regex - SECRET NATIONAL CABINET Regex - SECRET CABINET Regex GRUPO OR O conteúdo contém qualquer uma das etiquetas de Confidencialidade: SEGREDO |
Restringir o acesso ou encriptar o conteúdo em localizações do Microsoft 365: - Impedir que os utilizadores recebam e-mails ou acedam - Bloquear todas as pessoas A gravidade da regra deve ser configurada como elevada com alertas configurados para garantir que as equipas de segurança são notificadas. |
Importante
Os SITs que identificam documentos com base em marcas podem ter falsos positivos. Este artigo, por exemplo, está repleto de marcas de protecção e seria sinalizado ao mais alto nível de segurança. As abordagens para identificar falsos positivos devem ser equilibradas e considerar que a deteção de um SIT não garante a classificação de segurança. As abordagens devem ser totalmente testadas antes de qualquer utilizador que tenha impacto na configuração, como a encriptação, ser implementada.
Autolabeling of items with nonpermitted classifications (Etiquetas automáticas de itens com classificações não autorizadas)
As políticas DLP demonstradas acima utilizam condições de conteúdo que contêm etiqueta de confidencialidade. Para utilizar estas condições, precisamos de um método de etiquetagem de itens suspeitos de terem uma classificação não autorizada. Isto é conseguido através da utilização de políticas de etiquetas automáticas baseadas no serviço para marcar itens inativos em localizações do SharePoint para alinhamento SIT. Se for detetado um item que contenha uma classificação de segurança não autorizada, o item pode ser etiquetado e protegido. Esta configuração requer que as etiquetas sejam criadas e não publicadas diretamente para os utilizadores finais. Em vez disso, têm de ser publicados numa conta de serviço ou break glass para os colocar dentro do âmbito do serviço de etiquetagem automática. Pode encontrar mais informações sobre a expansão das taxonomias de etiquetas para classificações não autorizadas em Etiquetas para obter informações para além do nível PROTEGIDO.
A configuração de etiquetas automáticas necessária para o conseguir estaria em conformidade com os exemplos fornecidos na configuração de políticas baseadas no SharePoint. Outra configuração de exemplo é fornecida abaixo. As seguintes regras podem ser adicionadas a uma política denominada SPOD – Itens SECRETOS da Etiqueta:
| Nome da regra | Serviços | Etiqueta a aplicar | Condições |
|---|---|---|---|
| SPO - Etiquetar itens SECRETOS | SharePoint | SEGREDO | O conteúdo contém qualquer um dos tipos de informações confidenciais: - Selecionar todos os SITs SECRETOS |
| OD – Etiquetar itens SECRETOS | OneDrive | SEGREDO | O conteúdo contém qualquer um dos tipos de informações confidenciais: - Selecionar todos os SITs SECRETOS |
Uma vantagem que essa etiquetagem automática proporciona além dos métodos de deteção baseados em SIT é que a etiquetagem ativará os alertas de Dados fora do local. Isto é acionado sempre que um item de confidencialidade superior é movido para uma localização de confidencialidade mais baixa, alertando os proprietários de localização e os utilizadores que concluírem a atividade de movimentação. Outros alertas podem ser obtidos através da utilização de regras de fluxo de correio.
As etiquetas de confidencialidade criadas para capturar e proteger classificações não autorizadas também podem ser configuradas com encriptação de etiquetas de confidencialidade. Estas definições de encriptação podem ser configuradas de forma a que apenas as equipas necessárias para investigar potenciais derrames de dados tenham acesso a itens etiquetados, o que reduz significativamente o impacto dos potenciais derrames. Esta configuração ajudaria as organizações a cumprir os requisitos de restrição de dados ISM-0133:
| Requisito | Detalhe |
|---|---|
| ISM-0133 (março de 2025) | Quando ocorre um derrame de dados, os proprietários de dados são aconselhados e o acesso aos dados é restrito. |
Identificar dados transbordos
O conteúdo Explorer é uma capacidade do Microsoft Purview que permite aos administradores procurar um património de dados do Microsoft 365 por Tipo de Informação Confidencial, etiqueta de confidencialidade, classificador treinável ou etiqueta de retenção. Depois de os SITs identificarem classificações não autorizadas terem sido criadas e/ou etiquetas de confidencialidade com políticas de etiquetagem automática associadas implementadas, os administradores poderão procurar alinhar itens no SharePoint, OneDrive, Exchange e Teams.
Descoberta Eletrônica do Microsoft Purview fornece um método alternativo para procurar itens com classificações não autorizadas. Um caso de Deteção de Dados Eletrónicos pode ser criado com critérios de pesquisa à procura de etiquetas de confidencialidade ou SIT. Para obter mais informações sobre como utilizar a Deteção de Dados Eletrónicos para localizar conteúdo, veja Localizar conteúdo em sites na Deteção de Dados Eletrónicos.
Proteger itens não etiquetados
O PSPF requer que as informações avaliadas relativamente a eventuais riscos ou danos que possam ser causados pela sua divulgação:
| Requisito | Detalhe |
|---|---|
| PSPF Release 2024 - Section 9: Classifications & Caveats - Requirement 59 | O valor, importância ou sensibilidade das informações oficiais (destinados a ser utilizados como registo oficial) é avaliado pelo criador, considerando os potenciais danos causados ao governo, ao interesse nacional, às organizações ou às pessoas que surgiriam se a confidencialidade da informação fosse comprometida. |
Quando as informações tiverem sido avaliadas, o respetivo nível de risco considerado é registado pela aplicação de uma classificação de segurança. O Microsoft 365 fornece-o através da etiquetagem de confidencialidade. Configurações como Etiquetagem obrigatória garantem que todos os itens, como documentos ou e-mails, têm uma etiqueta aplicada.
Se um utilizador não tiver aplicado uma classificação de segurança a um item, existe uma boa hipótese de o risco de divulgação inadequada não ter sido considerado. A distribuição das informações contidas deve ser considerada um risco. As estratégias para estes cenários devem ser consideradas e incorporadas numa configuração DLP de organizações.
Muitas organizações do Governo australiano também consideram os itens não etiquetados inadequados de acordo com o ISM-0565:
| Requisito | Detalhe |
|---|---|
| ISM-0565 (março de 2025) | Email servidores estão configurados para bloquear, registar e comunicar e-mails com marcas de proteção inadequadas. |
A bloquear a transmissão de e-mails não etiquetados
Para bloquear a transmissão de e-mails não etiquetados, pode configurar uma política DLP com base no modelo de política personalizada e aplicar ao serviço Exchange.
Uma transmissão de bloqueio da política de e-mail não etiquetada requer duas regras:
- A primeira regra para itens enviados através do conteúdo que é partilhado a partir do Microsoft 365, com pessoas fora da condição da minha organização .
- Uma segunda regra que se aplica a conteúdos partilhados a partir do Microsoft 365, apenas com pessoas dentro da minha organização.
As regras precisam de uma exceção, que é aplicada através de um grupo de condições com o operando NOT ativado. O grupo de condição inclui uma condição de conteúdo que contém etiquetasde confidencialidade e tem todas as etiquetas disponíveis no ambiente selecionadas.
As aplicações e serviços que geram e-mail estão fora da configuração de etiquetagem obrigatória que se aplica aos clientes Microsoft 365 Apps. Por conseguinte, esta política DLP é acionada sempre que é enviado um e-mail não gerado pelo utilizador. Aciona alertas de segurança gerados por serviços Microsoft, e-mail de scanners e dispositivos multifunções (MFDs) e e-mail de aplicações como recursos humanos ou sistemas de folha de pagamentos. Para garantir que a política não bloqueia processos empresariais essenciais, as exceções têm de ser incluídas no grupo NÃO. Por exemplo:
- OUo domínio do remetente émicrosoft.com, o que captura alertas de segurança e do SharePoint.
- OUo remetente é um membro do grupo, com um grupo que contém contas autorizadas a ignorar este requisito.
- OUo endereço IP do remetente é, juntamente com os endereços dos MFDs do Office.
A regra é acionada sempre que é enviado um e-mail que não contém uma das etiquetas de confidencialidade listadas, a menos que o remetente esteja isento através de uma das exceções configuradas.
Observação
Em algumas situações, como quando os itens de calendário são criados através de calendários partilhados ou acesso de caixa de correio obrigatório, as etiquetas de confidencialidade podem não se aplicar. Isto pode fazer com que os convites por e-mail gerados a partir destes itens de calendário também não tenham uma etiqueta aplicada. Email gerados a partir de itens de calendário não etiquetados podem ser identificados e excluídos das regras DLP ao procurar uma condição de Padrões de correspondência de cabeçalho,x-ms-exchange-calendar-originator-id: (?:_?)
Estas regras DLP devem ter uma ação de bloquear todas as pessoas , juntamente com a gravidade adequada e as ações de relatórios.
O seguinte requisito de alerta é relevante para a regra DLP que se aplica aos itens de saída:
| Requisito | Detalhe |
|---|---|
| ISM-1023 (junho de 2024) | Os destinatários pretendidos de e-mails de entrada bloqueados e os remetentes de e-mails de saída bloqueados são notificados. |
Para cumprir este requisito, a regra DLP que se aplica aos itens de saída está configurada para notificar o utilizador que tentou enviar o item.
Dica
As organizações governamentais que estão em transição para a etiquetagem de confidencialidade podem optar por configurar uma sugestão de política em vez de bloquear ou alertar ações. Estas políticas podem ser utilizadas para sugerir a seleção de etiquetas sem a configurar como um requisito difícil. Embora isto não cumpra estritamente os requisitos no ISM, pode permitir uma implementação mais correta das capacidades do Microsoft Purview para os utilizadores.
Exemplo de política DLP a bloquear e-mails não etiquetados
A seguinte política DLP aplica-se ao serviço Exchange e impede a perda de informações por e-mail não etiquetado:
Nome da Política: EXO – Bloquear e-mail não etiquetado
| Regra | Condições | Ação |
|---|---|---|
| Bloquear a saída de e-mail não etiquetado | O conteúdo é partilhado a partir do Microsoft 365, com pessoas fora da minha organização AND Grupo condição NÃO O conteúdo contém etiquetas de confidencialidade: - Selecionar todas as etiquetas OU O domínio do remetente é: - microsoft.com - incluir outras exceções |
Restringir o acesso ou encriptar o conteúdo em localizações do Microsoft 365: - Bloquear a receção de e-mails por parte dos utilizadores - Bloquear todas as pessoas |