Del via

Selvstudium: Beskyt filer med administrator karantæne

  • Artikel

Filpolitikker er et fantastisk værktøj til at finde trusler mod dine politikker til beskyttelse af oplysninger. Du kan f.eks. oprette filpolitikker, der finder steder, hvor brugerne har gemt følsomme oplysninger, kreditkortnumre og ICAP-filer fra tredjepart i dit cloudmiljø.

I dette selvstudium lærer du, hvordan du bruger Microsoft Defender for Cloud Apps til at registrere uønskede filer, der er gemt i din cloud, og som efterlader dig sårbar, og straks træffe foranstaltninger for at stoppe dem i deres spor og låse de filer, der udgør en trussel, ved hjælp af Administration karantæne for at beskytte dine filer i cloudmiljøet, løse problemer og forhindre, at der opstår fremtidige lækager.

Vigtigt!

Fra og med den 1. september 2024 udfaser vi siden Filer fra Microsoft Defender for Cloud Apps. På det tidspunkt skal du oprette og redigere Information Protection politikker og finde malwarefiler fra siden Politikadministration af politikker for cloudapps >>. Du kan få flere oplysninger under Filpolitikker i Microsoft Defender for Cloud Apps.

Forstå, hvordan karantæne fungerer

Bemærk!

  • Du kan se en liste over apps, der understøtter administrator karantæne, på listen over styringshandlinger.
  • Filer, der er mærket af Defender for Cloud Apps, kan ikke sættes i karantæne.
  • Defender for Cloud Apps handlinger til administrator karantæne er begrænset til 100 handlinger pr. dag.
  • SharePoint-websteder, der enten er omdøbt direkte eller som en del af omdøbning af domænet, kan ikke bruges som mappeplacering til administratorkarteller.

  1. Når en fil stemmer overens med en politik, er indstillingen Administration karantæne tilgængelig for filen.

  2. Gør en af følgende handlinger for at sætte filen i karantæne:

    • Anvend den Administration karantænehandling manuelt:

      karantænehandling.

    • Angiv den som en automatisk karantænehandling i politikken:

      karantæne automatisk.

  3. Når Administration karantæne anvendes, sker følgende ting bag kulisserne:

    1. Den oprindelige fil flyttes til den administratorkarantænemappe, du har angivet.

    2. Den oprindelige fil slettes.

    3. En gravstensfil uploades til den oprindelige filplacering.

      sætte gravsten i karantæne.

    4. Brugeren kan kun få adgang til gravstensfilen. I filen kan de læse de brugerdefinerede retningslinjer, der leveres af it-programmet, og korrelations-id'et for at give it-programmet mulighed for at udgive filen.

  4. Når du modtager beskeden om, at en fil er sat i karantæne, skal du gå til Politikker –>Politikadministration. Vælg derefter fanen Information Protection. I rækken med din filpolitik skal du vælge de tre prikker i slutningen af linjen og vælge Vis alle matches. Dette giver dig rapporten over matches, hvor du kan se matchende og karantænerede filer:

    Filer i karantæne.

  5. Når en fil er sat i karantæne, skal du bruge følgende proces til at afhjælpe trusselssituation:

    1. Undersøg filen i mappen med karantæne på SharePoint Online.
    2. Du kan også se overvågningsloggene for at få et detaljeret indblik i filegenskaberne.
    3. Hvis du finder ud af, at filen er i forhold til virksomhedens politik, skal du køre organisationens IR-proces (Incident Response).
    4. Hvis du finder ud af, at filen er harmløs, kan du gendanne filen fra karantæne. På det tidspunkt frigives den oprindelige fil, hvilket betyder, at den kopieres tilbage til den oprindelige placering, gravstenen slettes, og brugeren kan få adgang til filen.

    karantænegendannelse.

  6. Valider, at politikken kører problemfrit. Derefter kan du bruge handlingerne for automatisk styring i politikken til at forhindre yderligere lækager og automatisk anvende en Administration karantæne, når politikken matches.

Bemærk!

Når du gendanner en fil:

  • Oprindelige shares gendannes ikke. Standardmappens nedarvning anvendes.
  • Den gendannede fil indeholder kun den nyeste version.
  • Administration af webstedsadgang til karantænemappe er kundens ansvar.

Konfigurer administrator karantæne

  1. Angiv filpolitikker, der registrerer brud. Eksempler på disse typer politikker omfatter:

    • En politik, der kun indeholder metadata, f.eks. en følsomhedsmærkat i SharePoint Online
    • En oprindelig DLP-politik, f.eks. en politik, der søger efter kreditkortnumre
    • En ICAP-tredjepartspolitik, f.eks. en politik, der leder efter Vontu

  2. Angiv en karantæneplacering:

    1. For Microsoft 365 SharePoint eller OneDrive for Business kan du ikke sætte filer i administrator karantæne som en del af en politik, før du har konfigureret den: karantæneadvarsel.

      Hvis du vil angive indstillinger for administrator karantæne, skal du vælge Indstillinger på Microsoft Defender Portal. Vælg derefter Cloud Apps. Vælg Administration karantæne under Information Protection. Angiv et websted til placeringen af karantænemappen og en brugermeddelelse, som brugeren modtager, når vedkommendes fil er sat i karantæne. karantæneindstillinger.

      Bemærk!

      Defender for Cloud Apps opretter en karantænemappe på det valgte websted.

    2. For Box kan placeringen af karantænemappen og brugermeddelelsen ikke tilpasses. Mappeplaceringen er drevet på den administrator, der oprettede forbindelse mellem Box og Defender for Cloud Apps, og brugermeddelelsen er: Denne fil blev sat i karantæne på administratordrevet, fordi den kan overtræde virksomhedens sikkerheds- og overholdelsespolitikker. Kontakt it-administratoren for at få hjælp.

Næste trin

Bedste praksis for beskyttelse af din organisation

Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.