Uma novidade bem interessante anunciada em preview a poucos dias é a integração do resultado do Purview IRM com o acesso condicional do ENTRA.
Relembrando o que é o Insider Risk Management
O Purview IRM é um recurso do Defender XDR para monitorar atividades na organização no nível individual e corporativo.
Ele permite comparar o comportamento de um usuário em relação ao seu proprio comportamento tradicional ou ao comportamento da corporação como um todo e detectar anomalias. Por exemplo ele é capaz de detectar quando um funcionário enviou uma quantidade de emails ou copiou arquivos em uma curva diferente do que ele costuma fazer no dia a dia. Esse comportamento indica que o usuário está exfiltrando dados, seja interno ou externo.
Para os que não o conhecem, tratei desde recurso no Ignite After Party de 2022 (Marcelo Sincic | Evitando vazamento de dados com o Microsoft Purview).
Integrando com o Acesso Condicional
Neste preview agora podemos usar as métricas do IRM para detectar e bloquear um usuário que esteja tendo comportamento anormal.
Esse novo recurso irá evitar dinamicamente duas situações de risco:
- Um usuário que está vazando ou copiando dados continue se logando nos sistemas e serviços como OneDrive, SharePoint e outros será bloqueado após seu nivel de alerta alcançar o que você determinar
- Um hacker ou ator malicioso está copiando os dados para outro local se passando por um usuário legitimo que pode ter tido credenciais roubadas
A configuração dessa integraçao é muito simples, indique essa nova condição de acesso e o nivel desejado de sensibilidade:
Conclusão
Agora você poderá ter uma ação automatica e reativa quando houver a detecção de anomilia no comportamento de um usuario no IRM.
Referencia técnica: Help dynamically mitigate risks with adaptive protection (preview) | Microsoft Learn
Dentro da suite de soluções de proteção de dados do Purview para clientes com o pacote M365 E5 (addon ou O365) é possivel usar a feature de DLP Endpoint onde as regras de DLP e label tambem se aplicam a arquivos gravados na maquina local ou trafegados em sites externos.
Habilitando e Configuração
Essas configurações estão localizadas em Settings e brangem diversos parametros onde queremos aplicar as politicas de proteção de informação:
Uma vez definido os tipos de bloqueios que queremos implementar, definimos que uam determinada politica seja aplicada tambem aos dispositvos:
Descobrindo a Aplicação das Politicas
Até ai muitos já utilizam o recurso. Mas e como saber se as politicas foram aplicadas a uma determinada maquina?
Para isso é possivel usar PowerShell, porem um aplicativo desenvolvido pelo time Microsoft permite visualizar de forma simples e está disponivel em Troubleshoot and Manage Microsoft Purview Data Loss Prevention for your Endpoint Devices - Microsoft Community Hub com o nome de DisplayDlpPolicy.exe.
Esse aplicativo é muito simples para ser utilizado e permitirá que você veja em uma estação qual politica foi aplicada em detalhes.
O primeiro exemplo abaixo mostra quais politicas DLP estão aplicadas ao dispositivo:
O segundo comando abaixo exemplifica os Settings do DLP Endpoint:
Esse resultado acima é especialmente importante para descobrir se determinada falha foi causada por um problema de detecção ou se a regra não está aplicada, pois aqui vemos detalhadamente quais as proteções foram configuradas.
Durante o Microsoft Ignite After Party tive a oportunidade de apresentar novas funcionalidades do Purview que foram lançadas em GA.
Aqui abrangemos 4 diferentes funcionalidades que tiveram lançamento, GA ou melhorarias: