Dentro da suite de soluções de proteção de dados do Purview para clientes com o pacote M365 E5 (addon ou O365) é possivel usar a feature de DLP Endpoint onde as regras de DLP e label tambem se aplicam a arquivos gravados na maquina local ou trafegados em sites externos.
Habilitando e Configuração
Essas configurações estão localizadas em Settings e brangem diversos parametros onde queremos aplicar as politicas de proteção de informação:
Uma vez definido os tipos de bloqueios que queremos implementar, definimos que uam determinada politica seja aplicada tambem aos dispositvos:
Descobrindo a Aplicação das Politicas
Até ai muitos já utilizam o recurso. Mas e como saber se as politicas foram aplicadas a uma determinada maquina?
Para isso é possivel usar PowerShell, porem um aplicativo desenvolvido pelo time Microsoft permite visualizar de forma simples e está disponivel em Troubleshoot and Manage Microsoft Purview Data Loss Prevention for your Endpoint Devices - Microsoft Community Hub com o nome de DisplayDlpPolicy.exe.
Esse aplicativo é muito simples para ser utilizado e permitirá que você veja em uma estação qual politica foi aplicada em detalhes.
O primeiro exemplo abaixo mostra quais politicas DLP estão aplicadas ao dispositivo:
O segundo comando abaixo exemplifica os Settings do DLP Endpoint:
Esse resultado acima é especialmente importante para descobrir se determinada falha foi causada por um problema de detecção ou se a regra não está aplicada, pois aqui vemos detalhadamente quais as proteções foram configuradas.
Disponivel em preview pelo progama CCP a alguns meses e agora disponivel para todos os usuarios (GA), o recurso de Tasks no Sentinel é um recuros muito importante e esperado (Use tasks to manage incidents in Microsoft Sentinel | Microsoft Learn).
Porque é um recurso importante
Já havia sido introduzido no sentinel a algum tempo o recurso de comentários, mas ele não permitia um controle do que precisaria ser realizado em uma sequencia e servia para cada operador ou analista informar o que foi realizado ou descoberto.
O recurso de tasks permite que os analistas e operadores de SOC indiquem uma sequencia, passos bem definidos e estejam claramente identificados.
A tela abaixo demonstra bem como esse é simples e útil.