Freigeben über

Untersuchen von Dateien mit Microsoft Defender for Cloud Apps

  • Artikel

Um Datenschutz zu gewährleisten, bietet Microsoft Defender for Cloud Apps Ihnen Einblick in alle Dateien aus Ihren verbundenen Apps. Nachdem Sie Microsoft Defender for Cloud Apps mithilfe des App-Connectors mit einer App verbunden haben, überprüft Microsoft Defender for Cloud Apps alle Dateien, z. B. alle in OneDrive und Salesforce gespeicherten Dateien. Anschließend überprüft Defender for Cloud Apps jede Datei jedes Mal erneut, wenn sie geändert wird. Die Änderung kann an Inhalten, Metadaten oder Freigabeberechtigungen erfolgen. Die Überprüfungszeiten hängen von der Anzahl der in Ihrer App gespeicherten Dateien ab. Sie können auch die Seite Dateien verwenden, um Dateien zu filtern, um zu untersuchen, welche Art von Daten in Ihren Cloud-Apps gespeichert werden.

Wichtig

Ab dem 1. September 2024 wird die SeiteDateien von Microsoft Defender for Cloud Apps ausgelagert. Kernfunktionen der Seite Dateien sind auf der Seite Richtlinienverwaltung > für Cloud-Apps > verfügbar. Es wird empfohlen, die Seite Richtlinienverwaltung zu verwenden, um Dateien zu untersuchen und Information Protection Richtlinien und Schadsoftwaredateien zu erstellen, zu ändern und zu filtern. Weitere Informationen finden Sie unter Dateirichtlinien in Microsoft Defender for Cloud Apps.

Hinweis

Einschränkung der Abfragegröße in Dateirichtlinienfiltern und "Ergebnisse bearbeiten und anzeigen"

  • Beim Erstellen oder Bearbeiten einer Dateirichtlinie oder bei Verwendung der Option "Ergebnisse bearbeiten und anzeigen" gibt es eine Einschränkung der Abfragegröße. Diese Einschränkung sorgt für eine optimale Leistung und verhindert eine Überlastung des Systems.
  • Wenn Ihre Abfrage die zulässige Größe überschreitet, müssen Sie möglicherweise Ihre Kriterien verfeinern oder andere Filter verwenden, um die zulässigen Grenzwerte einzuhalten. Wenn die Richtlinie z. B. Kriterien für "Mitarbeiter" umfasst, die die Gruppe "jeder" oder "jeder außer externen Benutzern" enthalten, kann dies aufgrund einer Einschränkung der Abfragegröße zu einem Fehler führen.
  • Beachten Sie folgendes: Wenn die Abfrage die Größenbeschränkung überschreitet, gibt das System nicht an, welcher Filter den Fehler verursacht hat.

Aktivieren der Dateiüberwachung

Um die Dateiüberwachung für Defender for Cloud Apps zu aktivieren, aktivieren Sie zuerst die Dateiüberwachung im Bereich Einstellungen. Wählen Sie im Microsoft Defender-Portal Einstellungen>Cloud-Apps>Information Protection>Dateien>Dateiüberwachung> aktivieren Speichern aus.

  • Wenn keine aktiven Dateirichtlinien vorhanden sind, wird die Dateiüberwachung sieben Tage nach der letzten Bindungszeit der Dateiseite automatisch wieder deaktiviert.
  • Wenn keine aktiven Dateirichtlinien vorhanden sind, beginnt Defender for Cloud Apps 35 Tage nach der letzten Bindungszeit der Dateiseite mit dem Löschen von Daten, die von Defender für Cloud-Apps zu gespeicherten Dateien verwaltet werden.

Beispiele für Dateifilter

Verwenden Sie beispielsweise die Seite Dateien , um extern freigegebene Dateien mit der Bezeichnung Vertraulich wie folgt zu schützen:

Nachdem Sie eine App mit Defender for Cloud Apps verbunden haben, integrieren Sie Microsoft Purview Information Protection. Filtern Sie dann auf der Seite Dateien nach Dateien mit der Bezeichnung Vertraulich , und schließen Sie Ihre Domäne im Filter Mitarbeiter aus . Wenn Sie feststellen, dass vertrauliche Dateien außerhalb Ihres organization freigegeben werden, können Sie eine Dateirichtlinie erstellen, um sie zu erkennen. Sie können automatische Governanceaktionen auf diese Dateien anwenden, z. B. Externe Mitarbeiter entfernen und Richtlinienabgleichsdigest an Dateibesitzer senden, um Datenverluste an Ihre organization zu verhindern.

Dateifilter vertraulich.

Hier sehen Sie ein weiteres Beispiel für die Verwendung der Seite Dateien . Stellen Sie sicher, dass in Ihrem organization Dateien, die in den letzten sechs Monaten nicht geändert wurden, öffentlich oder extern freigegeben werden:

Verbinden Sie eine App mit Defender for Cloud Apps, und wechseln Sie zur Seite Dateien. Filtern Sie nach Dateien, deren Zugriffsebene Extern oder Öffentlich ist, und legen Sie das Datum der letzten Änderung auf vor sechs Monaten fest. Erstellen Sie eine Dateirichtlinie, die diese veralteten öffentlichen Dateien erkennt, indem Sie in der Suche Neue Richtlinie auswählen. Wenden Sie automatische Governanceaktionen auf sie an, z. B. Entfernen externer Benutzer, um Datenverluste für Ihre organization zu verhindern.

Dateifilter veraltet extern.

Der grundlegende Filter bietet Ihnen hervorragende Tools für den Einstieg in die Filterung Ihrer Dateien.

Einfacher Dateiprotokollfilter.

Wenn Sie einen Drilldown in spezifischere Dateien ausführen möchten, können Sie den Basisfilter erweitern, indem Sie Erweiterte Filter auswählen.

Erweiterter Dateiprotokollfilter.

Dateifilter

Defender for Cloud Apps können jeden Dateityp basierend auf mehr als 20 Metadatenfiltern überwachen (z. B. Zugriffsebene, Dateityp).

Die in DLP-Engines integrierten Defender for Cloud Apps führen eine Inhaltsüberprüfung durch, indem Text aus gängigen Dateitypen extrahiert wird. Einige der enthaltenen Dateitypen sind PDF-, Office-, RTF-, HTML- und Codedateien.

Im Folgenden finden Sie eine Liste der Dateifilter, die angewendet werden können. Um Ihnen ein leistungsfähiges Tool für die Richtlinienerstellung zur Verfügung zu stellen, unterstützen die meisten Filter mehrere Werte und einen NOT-Wert.

Hinweis

Bei Verwendung der Dateirichtlinienfilter sucht Contains nur nach vollständigen Wörtern – getrennt durch Kommas, Punkte, Bindestriche oder Leerzeichen.

  • Leerzeichen oder Bindestriche zwischen Wörtern funktionieren wie OR. Wenn Sie z. B. nach Schadsoftware-Virus suchen, werden alle Dateien mit Schadsoftware oder Virus im Namen gefunden, so dass sowohl malware-virus.exe als auchvirus.exegefunden werden.
  • Wenn Sie nach einer Zeichenfolge suchen möchten, schließen Sie die Wörter in Anführungszeichen ein. Dies funktioniert wie AND. Wenn Sie z. B. nach "Malware"virus" suchen, wird esvirus-malware-file.exe , aber es wird nicht malwarevirusfile.exe und es wird nicht malware.exegefunden. Es wird jedoch nach der genauen Zeichenfolge gesucht. Wenn Sie nach "Malware Virus" suchen, wird es nicht "Virus" oder "Virus-Malware" finden.

Equals sucht nur nach der vollständigen Zeichenfolge. Wenn Sie z. B. nach malware.exe wird malware.exe gefunden, aber nicht malware.exe.txt.

  • Zugriffsebene – Zugriffsebene für gemeinsame Nutzung; öffentlich, extern, intern oder privat.

    • Intern : Alle Dateien innerhalb der internen Domänen, die Sie im Allgemeinen Setup festgelegt haben.
    • Extern : Alle Dateien, die an Speicherorten gespeichert werden, die sich nicht innerhalb der von Ihnen festgelegten internen Domänen befinden.
    • Freigegeben : Dateien, deren Freigabeebene über "privat" liegt. Freigegeben umfasst:

      • Interne Freigabe: Dateien, die in Ihren internen Domänen freigegeben werden.

      • Externe Freigabe: Dateien, die in Domänen freigegeben werden, die nicht in Ihren internen Domänen aufgeführt sind.

      • Öffentlich mit einem Link: Dateien, die über einen Link für jeden freigegeben werden können.

      • Öffentlich: Dateien, die durch Durchsuchen des Internets gefunden werden können.

        Hinweis

        Dateien, die von externen Benutzern in Ihren verbundenen Speicher-Apps freigegeben werden, werden von Defender for Cloud Apps wie folgt behandelt:

        • OneDrive: OneDrive weist einen internen Benutzer als Besitzer jeder Datei zu, die von einem externen Benutzer auf Ihrem OneDrive abgelegt wurde. Da diese Dateien dann als im Besitz Ihres organization betrachtet werden, überprüft Defender for Cloud Apps diese Dateien und wendet Richtlinien wie auf jede andere Datei auf Ihrem OneDrive an.
        • Google Drive: Google Drive betrachtet diese als im Besitz des externen Benutzers, und aufgrund gesetzlicher Einschränkungen für Dateien und Daten, die Ihr organization nicht besitzt, hat Defender for Cloud Apps keinen Zugriff auf diese Dateien.
        • Schachtel: Da Box Dateien im externen Besitz als private Informationen betrachtet, können globale Box-Administratoren den Inhalt der Dateien nicht sehen. Aus diesem Grund hat Defender for Cloud Apps keinen Zugriff auf diese Dateien.
        • Dropbox: Da Dropbox Dateien im externen Besitz als private Informationen betrachtet, können globale Dropbox-Administratoren den Inhalt der Dateien nicht sehen. Aus diesem Grund hat Defender for Cloud Apps keinen Zugriff auf diese Dateien.

  • App : Suchen Sie nur nach Dateien in diesen Apps.

  • Projektmitarbeiter: Schließen Sie bestimmte Projektmitarbeiter oder Gruppen ein/aus.

    • Beliebige aus Domäne : Wenn ein Benutzer aus dieser Domäne direkten Zugriff auf die Datei hat.

      Hinweis

      • Dieser Filter unterstützt keine Dateien, die für eine Gruppe freigegeben wurden, nur für bestimmte Benutzer.
      • Für SharePoint und OneDrive unterstützt der Filter keine Dateien, die für einen bestimmten Benutzer über einen freigegebenen Link freigegeben wurden.

    • Gesamte organization – Wenn die gesamte organization Zugriff auf die Datei hat.

    • Gruppen : Wenn eine bestimmte Gruppe Zugriff auf die Datei hat. Gruppen können aus Active Directory, Cloud-Apps importiert oder manuell im Dienst erstellt werden.

      Hinweis

      • Dieser Filter wird verwendet, um nach einer Mitarbeitergruppe als Ganzes zu suchen. Es stimmt nicht für einzelne Gruppenmitglieder überein.

    • Benutzer : Bestimmte Benutzer, die möglicherweise Zugriff auf die Datei haben.

  • Erstellt : Erstellungszeit der Datei. Der Filter unterstützt Vorher-/Nachher-Datumsangaben und einen Datumsbereich.

  • Erweiterung : Konzentrieren Sie sich auf bestimmte Dateierweiterungen. Beispielsweise alle Dateien, bei denen es sich um ausführbare Dateien (*.exe) handelt.

    Hinweis

    • Bei diesem Filter wird die Groß-/Kleinschreibung beachtet.
    • Verwenden Sie die OR-Klausel, um den Filter auf mehr als eine einzelne Großschreibungsvariation anzuwenden.

  • Datei-ID : Suchen Sie nach bestimmten Datei-IDs. Die Datei-ID ist ein erweitertes Feature, mit dem Sie bestimmte hochwertige Dateien ohne Abhängigkeit von Besitzer, Speicherort oder Name nachverfolgen können.

  • Dateiname : Dateiname oder Unterzeichenfolge des Namens, wie in der Cloud-App definiert. Beispielsweise alle Dateien mit einem Kennwort im Namen.

  • Vertraulichkeitsbezeichnung : Suchen Sie nach Dateien mit bestimmten Bezeichnungen. Bezeichnungen sind entweder:

    Hinweis

    Wenn dieser Filter in einer Dateirichtlinie verwendet wird, gilt die Richtlinie nur für Microsoft Office-Dateien und ignoriert andere Dateitypen.

    • Microsoft Purview Information Protection: Erfordert die Integration in Microsoft Purview Information Protection.
    • Defender for Cloud Apps: Bietet mehr Einblick in die Dateien, die überprüft werden. Für jede Datei, die von Defender for Cloud Apps DLP gescannt wurde, können Sie wissen, ob die Überprüfung blockiert wurde, da die Datei verschlüsselt oder beschädigt ist. Sie können z. B. Richtlinien einrichten, um kennwortgeschützte Dateien, die extern freigegeben werden, zu warnen und unter Quarantäne zu stellen.
      • Azure RMS encrypted : Dateien, deren Inhalt nicht überprüft wurde, weil sie über einen Azure RMS-Verschlüsselungssatz verfügen.
      • Kennwortverschlüsselt : Dateien, deren Inhalt nicht überprüft wurde, weil sie vom Benutzer kennwortgeschützt sind.
      • Beschädigte Datei : Dateien, deren Inhalt nicht überprüft wurde, weil ihr Inhalt nicht gelesen werden konnte.

  • Dateityp: Defender for Cloud Apps überprüft die Datei, um zu ermitteln, ob der richtige Dateityp mit dem vom Dienst empfangenen MIME-Typ (siehe Tabelle) übereinstimmt. Diese Überprüfung gilt für Dateien, die für die Datenüberprüfung relevant sind (Dokumente, Bilder, Präsentationen, Tabellen, Text und ZIP-/Archivdateien). Der Filter funktioniert pro Datei/Ordnertyp. Beispiel: Alle Ordner, die ... sind , oder Alle Tabellenkalkulationsdateien, die...

MIME-Typ Dateityp
- application/vnd.openxmlformats-officedocument.wordprocessingml.document
– application/vnd.ms-word.document.macroEnabled.12
- application/msword
- application/vnd.oasis.opendocument.text
- application/vnd.stardivision.writer
- application/vnd.stardivision.writer-global
– application/vnd.sun.xml.writer
- application/vnd.stardivision.math
- application/vnd.stardivision.chart
- application/x-starwriter
- application/x-stardraw
- application/x-starmath
- application/x-starchart
- application/vnd.google-apps.document
- application/vnd.google-apps.kix
- application/pdf
- application/x-pdf
- application/vnd.box.webdoc
- application/vnd.box.boxnote
- application/vnd.jive.document
- text/rtf
- application/rtf		 Dokument
- application/vnd.oasis.opendocument.image
- application/vnd.google-apps.photo
- beginnt mit: image/		 Bild
- application/vnd.openxmlformats-officedocument.presentationml.presentation
- application/vnd.ms-powerpoint.template.macroEnabled.12
- application/mspowerpoint
- application/powerpoint
- application/vnd.ms-powerpoint
- application/x-mspowerpoint
- application/mspowerpoint
- application/vnd.ms-powerpoint
- application/vnd.oasis.opendocument.presentation
- application/vnd.sun.xml.impress
- application/vnd.stardivision.impress
- application/x-starimpress
- application/vnd.google-apps.presentation		 Präsentation
- application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
– application/vnd.ms-excel.sheet.macroEnabled.12
- application/excel
- application/vnd.ms-excel
- application/x-excel
- application/x-msexcel
- application/vnd.oasis.opendocument.spreadsheet
- application/vnd.sun.xml.calc
- application/vnd.stardivision.calc
- application/x-starcalc
- application/vnd.google-apps.spreadsheet		 Kalkulationstabelle
- beginnt mit: text/ Text
Alle anderen Datei-MIME-Typen Andere

policy_file Filtertyp.

  • Im Papierkorb : Schließen Sie Dateien im Papierkorbordner aus/ein. Diese Dateien werden möglicherweise weiterhin freigegeben und stellen ein Risiko dar.

    Hinweis

    Dieser Filter gilt nicht für Dateien in SharePoint und OneDrive.

    policy_file filtert Papierkorb.

  • Letzte Änderung : Zeitpunkt der Dateiänderung. Der Filter unterstützt Ausdrücke vor und nach Datumsangaben, Datumsbereich und relativer Zeit. Beispielsweise alle Dateien, die in den letzten sechs Monaten nicht geändert wurden.

  • Übereinstimmende Richtlinie: Dateien, die von einer aktiven Defender for Cloud Apps-Richtlinie abgeglichen werden.

  • MIME-Typ : Überprüfung des Datei-MIME-Typs. Sie akzeptiert Freitext.

  • Besitzer : Bestimmte Dateibesitzer einschließen/ausschließen. Verfolgen Sie beispielsweise alle Dateien nach, die von rogue_employee_#100 freigegeben wurden.

  • Besitzer-ORGANISATIONSeinheit : Schließen Sie Dateibesitzer ein, die zu bestimmten Organisationseinheiten gehören, oder schließen Sie sie aus. Beispielsweise alle öffentlichen Dateien mit Ausnahme von Dateien, die von EMEA_marketing freigegeben werden. Gilt nur für Dateien, die in Google Drive gespeichert sind.

  • Übergeordneter Ordner : Schließt einen bestimmten Ordner ein oder aus (gilt nicht für Unterordner). Beispielsweise alle öffentlich freigegebenen Dateien mit Ausnahme von Dateien in diesem Ordner.

    Hinweis

    Defender for Cloud Apps erkennt neue SharePoint- und OneDrive-Ordner erst, nachdem darin Dateiaktivitäten ausgeführt wurden.

  • Unter Quarantäne: Wenn die Datei vom Dienst unter Quarantäne gesetzt wurde. Zeigen Sie mir beispielsweise alle Dateien an, die unter Quarantäne stehen.

Beim Erstellen einer Richtlinie können Sie auch festlegen, dass sie für bestimmte Dateien ausgeführt wird, indem Sie den Filter Anwenden auf festlegen. Filtern Sie entweder nach allen Dateien, ausgewählten Ordnern (enthaltene Unterordner) oder nach allen Dateien mit Ausnahme ausgewählter Ordner. Wählen Sie dann die Dateien oder Ordner aus, die relevant sind.

auf Filter anwenden.

Autorisieren von Dateien

Nachdem Defender for Cloud Apps Erkannt hat, dass Dateien ein Schadsoftware- oder DLP-Risiko darstellen, empfehlen wir Ihnen, die Dateien zu untersuchen. Wenn Sie feststellen, dass die Dateien sicher sind, können Sie sie autorisieren. Durch das Autorisieren einer Datei wird sie aus dem Schadsoftwareerkennungsbericht entfernt und zukünftige Übereinstimmungen mit dieser Datei unterdrückt.

So autorisieren Sie Dateien

  1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Appsdie Option Richtlinien ->Richtlinienverwaltung aus. Wählen Sie die Registerkarte Informationsschutz aus.

  2. Wählen Sie in der Liste der Richtlinien in der Zeile, in der die Richtlinie angezeigt wird, die die Untersuchung ausgelöst hat, in der Spalte Anzahl den Link Übereinstimmungen aus.

    Tipp

    Sie können die Liste der Richtlinien nach Typ filtern. In der folgenden Tabelle sind die zu verwendenden Filtertypen pro Risikotyp aufgeführt:

    Risikotyp Filtertyp
    DLP Dateirichtlinie
    Schadsoftware Schadsoftwareerkennungsrichtlinie

  3. Wählen Sie in der Liste der übereinstimmenden Dateien in der Zeile, in der die untersuchte Datei angezeigt wird, die Option ✓ aus, um zu autorisieren.

Arbeiten mit dem Dateischubladen

Sie können weitere Informationen zu jeder Datei anzeigen, indem Sie die Datei selbst im Dateiprotokoll auswählen. Wenn Sie die Datei auswählen, wird die Dateischublade geöffnet, die die folgenden zusätzlichen Aktionen bereitstellt, die Sie für die Datei ausführen können:

  • URL : Führt Sie zum Dateispeicherort.
  • Dateibezeichner : Öffnet ein Popupfenster mit Rohdatendetails zur Datei, einschließlich Datei-ID und Verschlüsselungsschlüsseln, wenn diese verfügbar sind.
  • Besitzer : Zeigen Sie die Benutzerseite für den Besitzer dieser Datei an.
  • Übereinstimmende Richtlinien : Hier finden Sie eine Liste der Richtlinien, mit der die Datei übereinstimmt.
  • Vertraulichkeitsbezeichnungen: Zeigen Sie die Liste der Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection in dieser Datei an. Anschließend können Sie nach allen Dateien filtern, die dieser Bezeichnung entsprechen.

Die Felder in der Dateischublade bieten kontextbezogene Links zu zusätzlichen Dateien und Drilldowns, die Sie möglicherweise direkt aus der Schublade ausführen möchten. Wenn Sie z. B. den Cursor neben das Feld Besitzer bewegen, können Sie das Symbol "Zum Filter hinzufügen" verwenden , um den Besitzer sofort dem Filter der aktuellen Seite hinzuzufügen. Sie können auch das Symbol einstellungen zahnradsymbol einstellungen verwenden. das angezeigt wird, um direkt auf die Einstellungsseite zu gelangen, die erforderlich ist, um die Konfiguration eines der Felder zu ändern, z. B. Vertraulichkeitsbezeichnungen.

Dateischublade.

Eine Liste der verfügbaren Governanceaktionen finden Sie unter Dateigovernanceaktionen.

Nächste Schritte

Bewährte Methoden zum Schutz Ihrer organization

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.