A algumas semanas atrás publiquei o artigo sobre o uso do Azure Purview como Ferramenta de Compliance (marcelosincic.com.br) e recebi varios questionamentos sobre auditoria no acesso a dados sensiveis.
Essa é uma duvida comum, pois o Purview identifica dados sensiveis nas diversas fontes de dados mas ele não faz auditoria do acesso a estes dados com log das consultas.
Para auditar o acesso é necessário usar as ferramentas de cada fonte de dados, uma vez que são diferentes. Por exemplo acesso a arquivos ou troca de dados é feito pelo DLP do Office 365 (Information Protection), acesso no SQL Server, etc.
Azure SQL Data Discovery & Classification
Parte da solução do Log Analytics, uma vez configurado terá acesso a estatisticas e detalhamento dos acessos.
As duas primeiras capturas abaixo são o meu painel do LAW com os 6 quadros do Solution onde posso identificar quem foram os IPs, usuários e dados acessados.
![01 01](http://www.marcelosincic.com.br/image.axd?picture=01_thumb.png)
![02 02](http://www.marcelosincic.com.br/image.axd?picture=02_thumb.png)
E ao clicar em qualquer um dos quadros terá acesso a consulta que gerou os dados, o que irá incluir um dado muito importante que é o SQL utilizado para acessar os dados, permitindo visualizar em detalhes o que foi visto pela sintaxe do comando!
![03 03](http://www.marcelosincic.com.br/image.axd?picture=03_thumb.png)
Configurando o SQL Data Discovery & Classification
A configuração do recurso não é complexa e pode ser feita em poucos minutos através do próprio portal do Azure.
![04 04](http://www.marcelosincic.com.br/image.axd?picture=04_thumb.png)
Existem duas formas de classificar os dados, a primeira é manual. Para isso acesse a opção Classification no painel acima e inclua manualmente as tabelas e respectivas colunas.
A fazer isso irá identificar o grupo e a criticidade dos dados da coluna para serem categorizados.
![05 05](http://www.marcelosincic.com.br/image.axd?picture=05_thumb.png)
A segunda forma de categorizar dados é utilizando as regras de classificação automáticas que ainda está em Preview mas já é possivel visualizar os resultados.
Clique no botão Configure no painel do recurso e terá acesso aos labels de criticidade, que são os mostrados quando no modo manual incluimos as colunas.
![06 06](http://www.marcelosincic.com.br/image.axd?picture=06_thumb.png)
Veja que no exemplo acima eu criei a minha própria classificação como “LGPD” e nela inclui alguns nomes de colunas que entendo serem necessárias (apenas como exemplo).
Para criar os conteudos que irão fazer parte automática da classificação, clique no botão Manage information types e verá os tipos já criados e poderá incluir novos tipos. No exemplo abaixo inclui RG, CPF e CNPJ mas poderia ter colocado alias como, por exemplo “raz%soci%” ou outros com coringas (%).
![07 07](http://www.marcelosincic.com.br/image.axd?picture=07_thumb.png)
Importante: Aqui estamos classificando NOMES DE COLUNAS e não DADOS.
Log Analytics Solutions
Uma vez definidas as regras ou colunas com dados sensiveis, o Log Analytics ao qual o banco de dados está mapeado irá mostrar a solução instalada para gerar os gráficos que inclui no inicio deste artigo.
![08 08](http://www.marcelosincic.com.br/image.axd?picture=08_thumb.png)
![09 09](http://www.marcelosincic.com.br/image.axd?picture=09_thumb.png)
Porem, notará que no painel de monitoração irá aparecer uma mensagem dizendo que este tipo de painel (View) está sendo depreciado e que vc deveria criar um Workbook com as consultas. Isso não é necessário fazer agora, pois o recurso da solução irá funcionar normalmente.
Mas se desejar criar um workbook, clique nos quadros de recurso abrindo as consultas e as copie em um workbook customizado.