Del via

Filpolitikker i Microsoft Defender for Cloud Apps

  • Artikel

Filpolitikker giver dig mulighed for at gennemtvinge en lang række automatiserede processer ved hjælp af cloududbyderens API'er. Politikker kan indstilles til at levere løbende overholdelsesscanninger, juridiske eDiscovery-opgaver, DLP til følsomt indhold, der deles offentligt, og mange flere use cases. Defender for Cloud Apps kan overvåge en hvilken som helst filtype, der er baseret på mere end 20 metadatafiltre (f.eks. adgangsniveau, filtype).

Understøttede filtyper

De Defender for Cloud Apps programmer udfører indholdskontrol ved at udtrække tekst fra alle almindelige filtyper (100+), herunder Office, Åbn Office, komprimerede filer, forskellige RTF-formater, XML, HTML og meget mere.

Politikker

Programmet kombinerer tre aspekter under hver politik:

  • Indholdsscanning baseret på forudindstillede skabeloner eller brugerdefinerede udtryk.

  • Kontekstfiltre, herunder brugerroller, filmetadata, delingsniveau, integration af organisationsgrupper, samarbejdskontekst og yderligere attributter, der kan tilpasses.

  • Automatiserede handlinger til styring og afhjælpning.

    Bemærk!

    Det er kun styringshandlingen for den først udløste politik, der garanteres at blive anvendt. Hvis en filpolitik f.eks. allerede har anvendt en følsomhedsmærkat på en fil, kan en anden filpolitik ikke anvende en anden følsomhedsmærkat på den.

Når den er aktiveret, scanner politikken løbende dit cloudmiljø og identificerer filer, der stemmer overens med indholds- og kontekstfiltrene, og anvender de anmodede automatiserede handlinger. Disse politikker registrerer og afhjælper eventuelle overtrædelser af inaktive oplysninger, eller når der oprettes nyt indhold. Politikker kan overvåges ved hjælp af beskeder i realtid eller ved hjælp af konsoloprettede rapporter.

Følgende er eksempler på filpolitikker, der kan oprettes:

  • Offentligt delte filer – Modtag en besked om alle filer i dit cloudmiljø, der deles offentligt, ved at vælge alle filer, hvis delingsniveau er offentligt.

  • Offentligt delt filnavn indeholder organisationens navn . Modtag en besked om en hvilken som helst fil, der indeholder organisationens navn og er offentligt delt. Vælg filer med et filnavn, der indeholder navnet på din organisation, og som er offentligt delt.

  • Deling med eksterne domæner – Modtag en besked om alle filer, der deles med konti, der ejes af bestemte eksterne domæner. Det kan f.eks. være filer, der deles med en konkurrents domæne. Vælg det eksterne domæne, som du vil begrænse deling med.

  • Sæt delte filer, der ikke er ændret i den sidste periode, i karantæne – Modtag en besked om delte filer, som ingen har ændret for nylig, for at sætte dem i karantæne eller vælge at aktivere en automatisk handling. Udelad alle private filer, der ikke blev ændret i løbet af et angivet datointerval. I Google Workspace kan du vælge at sætte disse filer i karantæne ved hjælp af afkrydsningsfeltet 'karantænefil' på siden til oprettelse af politik.

  • Deling med uautoriserede brugere – modtag en besked om filer, der er delt med uautoriseret gruppe af brugere i din organisation. Vælg de brugere, som delingen er uautoriseret for.

  • Følsomt filtypenavn – Modtag en besked om filer med bestemte filtypenavne, der kan være meget eksponeret. Vælg det specifikke filtypenavn (f.eks. crt for certifikater) eller filnavnet, og udelad disse filer med privat delingsniveau.

Bemærk!

Du er begrænset til 50 filpolitikker i Defender for Cloud Apps.

Opret en ny filpolitik

Hvis du vil oprette en ny filpolitik, skal du følge denne fremgangsmåde:

  1. I Microsoft Defender-portalen under Cloud Apps skal du gå til Politikker –>Politikadministration. Vælg fanen Information Protection.

  2. Vælg Opret politik , og vælg Filpolitik.

    Opret en Information Protection politik.

  3. Giv din politik et navn og en beskrivelse, hvis du vil, kan du basere den på en skabelon. Du kan få flere oplysninger om politikskabeloner under Kontrollér cloudapps med politikker.

  4. Angiv politikkens alvorsgrad. Hvis du har angivet Defender for Cloud Apps til at sende dig meddelelser om politikforekomster for et bestemt niveau for politikkens alvorsgrad, bruges dette niveau til at afgøre, om politikkens matches udløser en meddelelse.

  5. I Kategori skal du knytte politikken til den mest relevante risikotype. Dette felt er kun informativt og hjælper dig med at søge efter bestemte politikker og beskeder senere baseret på risikotype. Risikoen er muligvis allerede markeret på forhånd i henhold til den kategori, du har valgt at oprette politikken for. Filpolitikker er som standard angivet til DLP.

  6. Opret et filter for de filer, som denne politik skal reagere på, for at angive, hvilke registrerede apps der udløser denne politik. Begræns politikfiltrene, indtil du når et nøjagtigt sæt filer, du vil reagere på. Vær så restriktiv som muligt for at undgå falske positiver. Hvis du f.eks. vil fjerne offentlige tilladelser, skal du huske at tilføje filteret Offentlig , hvis du vil fjerne en ekstern bruger, skal du bruge filteret "Ekstern" osv.

    Bemærk!

    Når politikfiltrene bruges, søges der kun efter hele ord adskilt af kommaer, prikker, mellemrum eller understregningstegn. Hvis du f.eks. søger efter malware eller virus, finder den virus_malware_file.exe, men den finder ikke malwarevirusfile.exe. Hvis du søger efter malware.exe, finder du ALLE filer med enten malware eller exe i deres filnavn, hvorimod hvis du søger efter "malware.exe" (med anførselstegnene), finder du kun filer, der indeholder nøjagtigt "malware.exe". Er kun lig med søgninger efter hele strengen, hvis du f.eks. søger efter malware.exe finder den malware.exe, men ikke malware.exe.txt.

    Du kan få flere oplysninger om filtre for filpolitik under Filfiltre i Microsoft Defender for Cloud Apps.

  7. Under det første Anvend på filter skal du vælge alle filer undtagen markerede mapper eller valgte mapper for Box, SharePoint, Dropbox eller OneDrive, hvor du kan gennemtvinge din filpolitik for alle filer i appen eller i bestemte mapper. Du omdirigeres til at logge på cloudappen og derefter tilføje de relevante mapper.

  8. Under det andet Anvend på-filter skal du enten vælge alle filejere, filejere fra de valgte brugergrupper eller alle filejere undtagen de valgte grupper. Vælg derefter de relevante brugergrupper for at bestemme, hvilke brugere og grupper der skal medtages i politikken.

  9. Vælg indholdskontrolmetoden. Du kan vælge enten indbygget DLP eller dataklassificeringstjenester. Vi anbefaler, at du bruger dataklassificeringstjenester.

    Når indholdskontrol er aktiveret, kan du vælge at bruge forudindstillede udtryk eller til at søge efter andre brugerdefinerede udtryk.

    Du kan desuden angive et regulært udtryk for at udelade en fil fra resultaterne. Denne indstilling er meget nyttig, hvis du har en indre nøgleordsstandard for klassificering, som du vil udelade fra politikken.

    Du kan angive det mindste antal overtrædelser af indhold, du vil matche, før filen betragtes som en overtrædelse. Du kan f.eks. vælge 10, hvis du vil have besked om filer med mindst 10 kreditkortnumre, der findes i indholdet.

    Når indholdet matches i forhold til det valgte udtryk, erstattes overtrædelsesteksten med "X"-tegn. Overtrædelser maskeres og vises som standard i deres kontekst, der viser 100 tegn før og efter overtrædelsen. Tal i konteksten af udtrykket erstattes med "#"-tegn og gemmes aldrig i Defender for Cloud Apps. Du kan vælge indstillingen Fortryd de sidste fire tegn i en overtrædelse for at fjerne de sidste fire tegn i selve overtrædelsen. Det er nødvendigt at angive, hvilke datatyper der søges i med regulære udtryk: indhold, metadata og/eller filnavn. Som standard søger den i indholdet og metadataene.

  10. Vælg de styringshandlinger, Defender for Cloud Apps skal udføre, når der registreres et match.

  11. Når du har oprettet din politik, kan du få den vist ved at filtrere efter politiktypen Filtype . Du kan altid redigere en politik, kalibrere dens filtre eller ændre de automatiserede handlinger. Politikken aktiveres automatisk ved oprettelse og starter med at scanne dine skyfiler med det samme. Vær ekstra forsigtig, når du angiver styringshandlinger, kan de medføre uigenkaldeligt tab af adgangstilladelser til dine filer. Det anbefales at indsnævre filtrene, så de nøjagtigt repræsenterer de filer, du vil reagere på, ved hjælp af flere søgefelter. Jo smallere filtrene er, jo bedre. Du kan få vejledning ved at bruge knappen Rediger og få vist resultater ud for filtrene.

    Redigering af filpolitik og eksempelresultater.

  12. Hvis du vil have vist filpolitikforekomster, skal du gå til Politikker –>Politikadministration, hvis du har mistanke om, at de overtræder politikken. Filtrer resultaterne, så det kun er filpolitikkerne, der vises, ved hjælp af filteret Type øverst. Du kan få flere oplysninger om matchene for hver politik ved at vælge antallet af matches for en politik under kolonnen Antal. Du kan også vælge de tre prikker i slutningen af rækken for en politik og vælge Vis alle matches. Dette åbner rapport over filpolitik. Vælg fanen Matchende nu for at se filer, der i øjeblikket stemmer overens med politikken. Vælg fanen Historik for at få vist en historik med op til seks måneders filer, der stemmer overens med politikken.

Bedste praksis for filpolitik

  1. Undgå at nulstille filpolitikken (ved hjælp af afkrydsningsfeltet Nulstil resultater og anvend handlinger igen ) i produktionsmiljøer, medmindre det er absolut nødvendigt, da det vil starte en fuld scanning af de filer, der er omfattet af politikken, hvilket kan have en negativ indvirkning på dens ydeevne.

  2. Når du anvender mærkater på filer i en bestemt overordnet mappe og dens undermapper, skal du bruge indstillingen Anvend på ->Valgte mapper . Tilføj derefter hver af de overordnede mapper.

  3. Når du kun anvender mærkater på filer i en bestemt mappe (undtagen eventuelle undermapper), skal du bruge filpolitikfilteret Overordnet mappe med operatoren Equals .

  4. Filpolitikken er hurtigere, når der bruges smalle filtreringskriterier (sammenlignet med brede kriterier).

  5. Konsolider flere filpolitikker for den samme tjeneste (f.eks. SharePoint, OneDrive, Box osv.) til en enkelt politik.

  6. Når du aktiverer filovervågning (fra siden Indstillinger ), skal du oprette mindst én filpolitik. Når der ikke findes en filpolitik, eller den er deaktiveret i syv dage i træk, bliver filovervågning automatisk deaktiveret.

Reference til filpolitik

Dette afsnit indeholder oplysninger om politikker, der giver forklaringer til hver politiktype og de felter, der kan konfigureres for hver politik.

En filpolitik er en API-baseret politik, der giver dig mulighed for at styre din organisations indhold i cloudmiljøet under hensyntagen til mere end 20 filtre for filmetadata (herunder ejer- og delingsniveau) og resultater for indholdsinspektion. På baggrund af politikresultaterne kan der anvendes styringshandlinger. Indholdsinspektionsprogrammet kan udvides via tredjeparts DLP-motorer og antimalwareløsninger.

Hver politik består af følgende dele:

  • Filfiltre – gør det muligt for dig at oprette detaljerede betingelser baseret på metadata.

  • Indholdskontrol – gør det muligt for dig at indsnævre politikken baseret på DLP-programresultater. Du kan inkludere et brugerdefineret udtryk eller et forudindstillet udtryk. Udeladelser kan angives, og du kan vælge antallet af matches. Du kan også bruge anonymisering til at maskere brugernavnet.

  • Handlinger – politikken indeholder et sæt styringshandlinger, der automatisk kan anvendes, når der findes overtrædelser. Disse handlinger er opdelt i samarbejdshandlinger, sikkerhedshandlinger og undersøgelseshandlinger.

  • Udvidelser – Indholdsinspektion kan udføres via tredjepartsmotorer for at få forbedret DLP- eller antimalwarefunktioner.

Vis resultater for filpolitikker

Du kan gå til Politikcenter for at gennemse filpolitikovertrædelser.

  1. I Microsoft Defender-portalen under Cloud Apps skal du gå til Politikker –>Politikadministration og derefter vælge fanen Information Protection.

  2. For hver filpolitik kan du se filpolitikovertrædelserne ved at vælge matchene.

    Skærmbillede af eksempler på PCI-matches.

  3. Du kan vælge selve filen for at få oplysninger om filerne.

    Skærmbillede af eksempler på PCI-indholdsforekomster.

  4. Du kan f.eks. vælge Samarbejdspartnere for at se, hvem der har adgang til denne fil, og du kan vælge Matches for at se CPR-tallene.

    Indhold svarer til cpr-numre.

Webinar til beskyttelse af oplysninger

Næste trin

Bedste praksis for beskyttelse af din organisation

Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.