Sdílet prostřednictvím

Zkoumání souborů pomocí Microsoft Defender for Cloud Apps

  • Článek

Za účelem zajištění ochrany dat vám Microsoft Defender for Cloud Apps poskytuje přehled o všech souborech z připojených aplikací. Po připojení Microsoft Defender for Cloud Apps k aplikaci pomocí konektoru aplikace Microsoft Defender for Cloud Apps prohledá všechny soubory, například všechny soubory uložené na OneDrivu a Salesforce. Potom Defender for Cloud Apps znovu prohledá každý soubor pokaždé, když se změní – změnou může být obsah, metadata nebo oprávnění ke sdílení. Doba kontroly závisí na počtu souborů uložených ve vaší aplikaci. Stránku Soubory můžete také použít k filtrování souborů, abyste zjistili, jaký druh dat se ukládá v cloudových aplikacích.

Důležité

Od 1. září 2024 postupně vyřazujeme stránkuSoubory z Microsoft Defender for Cloud Apps. Základní funkce stránky Soubory budou k dispozici na stránce Správa zásad zásad > cloudových aplikací>. Ke zkoumání souborů a k vytváření, úpravám a filtrování Information Protection zásad a souborů malwaru doporučujeme použít stránku Správa zásad. Další informace najdete v tématu Zásady souborů v Microsoft Defender for Cloud Apps.

Poznámka

Omezení velikosti dotazů ve filtrech zásad souborů a možnost Upravit a zobrazit náhled výsledků

  • Při vytváření nebo úpravách zásad souborů nebo při použití možnosti Upravit a zobrazit náhled výsledků platí omezení velikosti dotazu. Toto omezení zajišťuje optimální výkon a zabraňuje přetížení systému.
  • Pokud váš dotaz překročí povolenou velikost, možná budete muset upřesnit kritéria nebo použít jiné filtry, aby se vešly do přijatelných limitů. Pokud například zásada zahrnuje kritéria "spolupracovníci", která zahrnují skupinu "všichni" nebo "všichni kromě externích uživatelů", může to způsobit selhání kvůli omezení velikosti dotazu.
  • Upozorňujeme, že pokud dotaz překročí omezení velikosti, systém neurčí, který filtr chybu způsobil.

Povolit monitorování souborů

Pokud chcete povolit monitorování souborů pro Defender for Cloud Apps, zapněte nejprve monitorování souborů v oblasti Nastavení. Na portálu Microsoft Defender vyberte Nastavení>Cloud Apps>Information Protection>Soubory>Povolit monitorování> souborůUložit.

  • Pokud neexistují žádné aktivní zásady souborů, sedm dní po posledním zapojení stránky souboru se monitorování souborů automaticky znovu vypne.
  • Pokud neexistují žádné aktivní zásady souborů, 35 dní po posledním zapojení stránky souborů Defender for Cloud Apps začne odstraňovat veškerá data o uložených souborech, která aplikace Defender for Cloud udržují.

Příklady filtrů souborů

Pomocí stránky Soubory můžete například zabezpečit externě sdílené soubory označené jako Důvěrné, a to následujícím způsobem:

Jakmile aplikaci připojíte k Defender for Cloud Apps, integrujte ji s Microsoft Purview Information Protection. Potom na stránce Soubory vyfiltrujte soubory označené jako Důvěrné a vylučte svoji doménu ve filtru Spolupracovníci . Pokud zjistíte, že existují důvěrné soubory sdílené mimo vaši organizaci, můžete vytvořit zásady souborů, které je rozpoznají. U těchto souborů můžete použít automatické akce zásad správného řízení, jako je odebrání externích spolupracovníků a odeslání hodnoty hash shody zásad vlastníkovi souboru , abyste zabránili ztrátě dat ve vaší organizaci.

Filtr souborů je důvěrný.

Tady je další příklad použití stránky Soubory . Ujistěte se, že nikdo ve vaší organizaci veřejně nebo externě nesdílí soubory, které nebyly změněny za posledních šest měsíců:

Připojte aplikaci k Defender for Cloud Apps a přejděte na stránku Soubory. Vyfiltrujte soubory, jejichž úroveň přístupu je Externí nebo Veřejná , a nastavte datum poslední změny na před šesti měsíci. Vytvořte zásadu souborů, která zjistí tyto zastaralé veřejné soubory, a to výběrem možnosti Nová zásada z hledání. Použijte u nich automatické akce zásad správného řízení, například Odebrat externí uživatele, abyste zabránili ztrátě dat ve vaší organizaci.

Filtr souborů je zastaralý externí.

Základní filtr poskytuje skvělé nástroje, které vám pomůžou začít filtrovat soubory.

Základní filtr protokolu souborů.

Pokud chcete přejít k podrobnostem o konkrétnějších souborech, můžete rozbalit základní filtr výběrem možnosti Rozšířené filtry.

Rozšířený filtr protokolu souborů.

Filtry souborů

Defender for Cloud Apps může monitorovat libovolný typ souboru na základě více než 20 filtrů metadat (například úroveň přístupu, typ souboru).

Defender for Cloud Apps integrované moduly ochrany před únikem informací provádějí kontrolu obsahu extrahováním textu z běžných typů souborů. Mezi zahrnuté typy souborů patří PDF, soubory Office, RTF, HTML a soubory kódu.

Níže je seznam filtrů souborů, které je možné použít. Abychom vám poskytli výkonný nástroj pro vytváření zásad, většina filtrů podporuje více hodnot a ne.

Poznámka

Pokud používáte filtry zásad souborů, funkce Obsahuje bude hledat jenom celá slova – oddělená čárkami, tečkami, spojovníky nebo mezerami, které se mají hledat.

  • Mezery nebo spojovníky mezi slovy fungují jako OR. Pokud například hledáte malwarevirus , najde všechny soubory s malwarem nebo virem v názvu, takže najde jakmalware-virus.exe , tak virus.exe.
  • Pokud chcete vyhledat řetězec, uzavřete slova do uvozovek. Funguje to podobně jako AND. Pokud například hledáte "malware"""virus", najde virus-malware-file.exe ale nenajde malwarevirusfile.exe a nenajde malware.exe. Bude ale hledat přesný řetězec. Pokud hledáte "malware virus", nenajde se "virus" nebo "virus-malware".

Funkce Equals vyhledá pouze úplný řetězec. Pokud například hledáte malware.exe najde malware.exe , ale ne malware.exe.txt.

  • Úroveň přístupu – úroveň přístupu ke sdílení; veřejné, externí, interní nebo soukromé.

    • Interní – všechny soubory v rámci interních domén, které jste nastavili v obecném nastavení.
    • Externí – všechny soubory uložené v umístěních, které nejsou v interních doménách, které nastavíte.
    • Sdílené – soubory, které mají úroveň sdílení vyšší než soukromé. Sdílené zahrnuje:

      • Interní sdílení – soubory sdílené v rámci vašich interních domén.

      • Externí sdílení – soubory sdílené v doménách, které nejsou uvedené ve vašich interních doménách.

      • Veřejné s odkazem – soubory, které je možné sdílet s kýmkoli prostřednictvím odkazu.

      • Veřejné – soubory, které se dají najít vyhledáváním na internetu.

        Poznámka

        Soubory sdílené do aplikací připojeného úložiště externími uživateli zpracovávají Defender for Cloud Apps následujícím způsobem:

        • OneDrive: OneDrive přiřadí interního uživatele jako vlastníka libovolného souboru, který na OneDrive umístí externí uživatel. Vzhledem k tomu, že tyto soubory jsou pak považovány za vlastněné vaší organizací, Defender for Cloud Apps tyto soubory zkontroluje a použije zásady stejně jako na jakýkoli jiný soubor na OneDrivu.
        • Disk Google: Disk Google je považuje za vlastníka externího uživatele a vzhledem k právním omezením souborů a dat, které vaše organizace nevlastní, Defender for Cloud Apps k těmto souborům nemá přístup.
        • Krabice: Vzhledem k tomu, že Box považuje externě vlastněné soubory za soukromé informace, globální správci Boxu neuvidí obsah souborů. Z tohoto důvodu nemá Defender for Cloud Apps k těmto souborům přístup.
        • Dropbox: Vzhledem k tomu, že Dropbox považuje externě vlastněné soubory za soukromé informace, globální správci Dropboxu neuvidí obsah souborů. Z tohoto důvodu nemá Defender for Cloud Apps k těmto souborům přístup.

  • Aplikace – vyhledávejte jenom soubory v těchto aplikacích.

  • Spolupracovníci – Zahrňte nebo vylučte konkrétní spolupracovníky nebo skupiny.

    • Libovolný z domény – Pokud má některý uživatel z této domény přímý přístup k souboru.

      Poznámka

      • Tento filtr nepodporuje soubory, které byly sdíleny se skupinou, pouze s konkrétními uživateli.
      • U SharePointu a OneDrivu filtr nepodporuje soubory sdílené s konkrétním uživatelem prostřednictvím sdíleného odkazu.

    • Celá organizace – pokud má k souboru přístup celá organizace.

    • Skupiny – pokud má k souboru přístup určitá skupina. Skupiny je možné importovat ze služby Active Directory, cloudových aplikací nebo je ve službě vytvořit ručně.

      Poznámka

      • Tento filtr slouží k vyhledání skupiny spolupracovníků jako celku. Neodpovídá jednotlivým členům skupiny.

    • Uživatelé – určitá skupina uživatelů, kteří můžou mít k souboru přístup.

  • Vytvořeno – čas vytvoření souboru. Filtr podporuje data před a po a rozsah dat.

  • Rozšíření – zaměřte se na konkrétní přípony souborů. Například všechny soubory, které jsou spustitelné (*.exe).

    Poznámka

    • V tomto filtru se rozlišují malá a velká písmena.
    • Pomocí klauzule OR použijte filtr na více než jednu variantu velká písmena.

  • ID souboru – Vyhledejte konkrétní ID souborů. ID souboru je pokročilá funkce, která umožňuje sledovat určité vysoce hodnotné soubory bez závislosti na vlastníkovi, umístění nebo názvu.

  • Název souboru – název souboru nebo podřetězce názvu definovaného v cloudové aplikaci. Například všechny soubory s heslem v názvu.

  • Popisek citlivosti – Vyhledá soubory s nastavenými konkrétními popisky. Popisky jsou buď:

    Poznámka

    Pokud se tento filtr použije v zásadách souborů, budou zásady platit jenom pro soubory Microsoft Office a ostatní typy souborů budou ignorovat.

    • Microsoft Purview Information Protection – vyžaduje integraci s Microsoft Purview Information Protection.
    • Defender for Cloud Apps – poskytuje další přehled o souborech, které prohledává. U každého souboru, který Defender for Cloud Apps Defender for Cloud Apps ochrany před únikem informací, můžete zjistit, jestli byla kontrola zablokovaná, protože soubor je zašifrovaný nebo poškozený. Můžete například nastavit zásady pro upozorňování a karanténu souborů chráněných heslem, které jsou sdíleny externě.
      • Azure RMS encrypted – soubory, jejichž obsah nebyl zkontrolován, protože mají nastavené šifrování Azure RMS.
      • Zašifrované heslem – soubory, jejichž obsah nebyl zkontrolován, protože jsou heslem chráněné uživatelem.
      • Poškozený soubor – soubory, jejichž obsah nebyl zkontrolován, protože jejich obsah se nedá přečíst.

  • Typ souboru – Defender for Cloud Apps zkontroluje soubor a zjistí, jestli typ souboru true odpovídá typu MIME přijatému ze služby (viz tabulka). Tato kontrola se týká souborů, které jsou relevantní pro skenování dat (dokumenty, obrázky, prezentace, tabulky, text a soubory zip/archiv). Filtr funguje pro každý typ souboru nebo složky. Například Všechny složky, které jsou ... nebo Všechny soubory tabulky, které jsou...

Typ MIME Typ souboru
– application/vnd.openxmlformats-officedocument.wordprocessingml.document
– application/vnd.ms-word.document.macroEnabled.12
– application/msword
– application/vnd.oasis.opendocument.text
– application/vnd.stardivision.writer
– application/vnd.stardivision.writer-global
– application/vnd.sun.xml.writer
– application/vnd.stardivision.math
– application/vnd.stardivision.chart
- application/x-starwriter
- application/x-stardraw
- application/x-starmath
- application/x-starchart
– application/vnd.google-apps.document
- application/vnd.google-apps.kix
- aplikace/pdf
- application/x-pdf
– application/vnd.box.webdoc
– application/vnd.box.boxnote
– application/vnd.jive.document
– text/rtf
- application/rtf		 Dokument
– application/vnd.oasis.opendocument.image
- application/vnd.google-apps.photo
- začíná na: image/		 Obraz
– application/vnd.openxmlformats-officedocument.presentationml.presentation
– application/vnd.ms-powerpoint.template.macroEnabled.12
- application/mspowerpoint
- application/powerpoint
– application/vnd.ms-powerpoint
- application/x-mspowerpoint
- application/mspowerpoint
– application/vnd.ms-powerpoint
– application/vnd.oasis.opendocument.presentation
- application/vnd.sun.xml.impress
- application/vnd.stardivision.impress
- application/x-starimpress
- application/vnd.google-apps.presentation		 Prezentace
– application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
– application/vnd.ms-excel.sheet.macroEnabled.12
- aplikace/excel
– application/vnd.ms-excel
- application/x-excel
- application/x-msexcel
– application/vnd.oasis.opendocument.spreadsheet
– application/vnd.sun.xml.calc
– application/vnd.stardivision.calc
- application/x-starcalc
– application/vnd.google-apps.spreadsheet		 Tabulkový procesor
- začíná na: text/ Text
Všechny ostatní typy MIME souborů Další

policy_file typ filtrů.

  • V koši – Vyloučí nebo zahrňte soubory do složky koše. Tyto soubory se můžou dál sdílet a představovat riziko.

    Poznámka

    Tento filtr se nevztahuje na soubory na SharePointu a OneDrivu.

    policy_file filtruje odpadky.

  • Poslední změna – čas změny souboru. Filtr podporuje kalendářní data před a po, rozsah kalendářních dat a výrazy relativního času. Například všechny soubory, které nebyly změněny za posledních šest měsíců.

  • Shodná zásada – soubory, které odpovídají aktivním zásadám Defender for Cloud Apps.

  • Typ MIME – kontrola typu MIME souboru. Přijímá volný text.

  • Vlastník – Zahrnout nebo vyloučit konkrétní vlastníky souborů. Můžete například sledovat všechny soubory sdílené uživatelem rogue_employee_#100.

  • Organizační jednotka vlastníka – Zahrňte nebo vylučte vlastníky souborů, kteří patří do určitých organizačních jednotek. Například všechny veřejné soubory kromě souborů sdílených EMEA_marketing. Platí jenom pro soubory uložené na Disku Google.

  • Nadřazená složka – Umožňuje zahrnout nebo vyloučit konkrétní složku (nevztahuje se na podsložky). Například všechny veřejně sdílené soubory s výjimkou souborů v této složce.

    Poznámka

    Defender for Cloud Apps rozpozná nové složky SharePointu a OneDrivu až poté, co se v nich provede nějaká aktivita se soubory.

  • V karanténě – pokud je soubor umístěn do karantény službou. Můžete například zobrazit všechny soubory, které jsou v karanténě.

Když vytváříte zásadu, můžete ji také nastavit tak, aby se spouštěla u konkrétních souborů, a to nastavením filtru Použít na . Vyfiltrujte buď všechny soubory, vybrané složky (včetně podsložek), nebo všechny soubory s výjimkou vybraných složek. Pak vyberte soubory nebo složky, které jsou relevantní.

použít pro filtr.

Autorizace souborů

Jakmile Defender for Cloud Apps zjistila, že soubory představují riziko malwaru nebo ochrany před únikem informací, doporučujeme soubory prozkoumat. Pokud zjistíte, že jsou soubory bezpečné, můžete je autorizovat. Autorizací souboru se odebere ze sestavy detekce malwaru a potlačí se budoucí shody v tomto souboru.

Autorizace souborů

  1. Na portálu Microsoft Defender vyberte v části Cloud Appsmožnost Zásady –>Správa zásad. Vyberte kartu Ochrana informací .

  2. V seznamu zásad na řádku, na kterém se zobrazí zásada, která aktivovala šetření, vyberte ve sloupci Počet odkaz shody .

    Tip

    Seznam zásad můžete filtrovat podle typu. Následující tabulka uvádí typ filtru, který se má použít, podle typu rizika:

    Typ rizika Typ filtru
    DLP Zásady souborů
    Malware Zásady detekce malwaru

  3. V seznamu shodných souborů vyberte na řádku, na kterém se zobrazuje zjednoděný soubor, možnost ✓ to Authorize (Autorizovat).

Práce se zásuvkou souborů

Další informace o jednotlivých souborech zobrazíte tak, že v protokolu souborů vyberete samotný soubor. Výběrem této možnosti se otevře panel souborů s následujícími dalšími akcemi, které můžete se souborem provést:

  • Adresa URL – přejdete do umístění souboru.
  • Identifikátory souborů – otevře automaticky otevírané okno s nezpracovanými daty o souboru, včetně ID souboru a šifrovacích klíčů, pokud jsou dostupné.
  • Vlastník – zobrazí stránku uživatele vlastníka tohoto souboru.
  • Odpovídající zásady – podívejte se na seznam zásad, které soubor odpovídá.
  • Popisky citlivosti – Zobrazí seznam popisků citlivosti z Microsoft Purview Information Protection nalezených v tomto souboru. Potom můžete filtrovat podle všech souborů odpovídajících tomuto popisku.

Pole na panelu souborů poskytují kontextové odkazy na další soubory a přechod k podrobnostem, které můžete chtít provést přímo ze zásuvky. Pokud například přesunete kurzor vedle pole Vlastník , můžete pomocí ikony přidat do filtru přidat do filtru. Vlastníka přidáte okamžitě do filtru aktuální stránky. Můžete také použít ikonu nastavení ikona nastavení ozubeného kola, která se zobrazí přímo na stránce nastavení potřebné ke změně konfigurace jednoho z polí, jako jsou popisky citlivosti.

Zásuvka souborů.

Seznam dostupných akcí zásad správného řízení najdete v tématu Akce zásad správného řízení souborů.

Další kroky

Osvědčené postupy pro ochranu organizace

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.