Directivas de archivo en Microsoft Defender for Cloud Apps
Las directivas de archivo permiten aplicar una amplia gama de procesos automatizados mediante las API del proveedor en la nube. Las directivas se pueden establecer para proporcionar exámenes de cumplimiento continuos, tareas de exhibición de documentos electrónicos legales, DLP para contenido confidencial compartido públicamente y muchos más casos de uso. Defender for Cloud Apps puede supervisar cualquier tipo de archivo en función de más de 20 filtros de metadatos (por ejemplo, nivel de acceso, tipo de archivo).
Para obtener una lista de filtros de archivos que se pueden aplicar, consulte Filtros de archivos en Microsoft Defender for Cloud Apps.
Tipos de archivo compatibles
Los motores de Defender for Cloud Apps realizan la inspección de contenido mediante la extracción de texto de todos los tipos de archivo comunes (más de 100), incluidos Office, Open Office, archivos comprimidos, varios formatos de texto enriquecido, XML, HTML y mucho más.
Directivas
El motor combina tres aspectos en cada directiva:
Examen de contenido basado en plantillas preestablecidas o expresiones personalizadas.
Filtros de contexto, incluidos roles de usuario, metadatos de archivo, nivel de uso compartido, integración de grupos organizativos, contexto de colaboración y atributos personalizables adicionales.
Acciones automatizadas para la gobernanza y la corrección.
Nota:
Solo se garantiza que se aplique la acción de gobernanza de la primera directiva desencadenada. Por ejemplo, si una directiva de archivo ya ha aplicado una etiqueta de confidencialidad a un archivo, una segunda directiva de archivo no puede aplicar otra etiqueta de confidencialidad.
Una vez habilitada, la directiva examina continuamente el entorno de nube e identifica los archivos que coinciden con los filtros de contenido y contexto, y aplica las acciones automatizadas solicitadas. Estas directivas detectan y corrigen las infracciones de información en reposo o cuando se crea nuevo contenido. Las directivas se pueden supervisar mediante alertas en tiempo real o mediante informes generados por la consola.
A continuación se muestran ejemplos de directivas de archivo que se pueden crear:
Archivos compartidos públicamente : reciba una alerta sobre cualquier archivo de la nube que se comparta públicamente seleccionando todos los archivos cuyo nivel de uso compartido sea público.
El nombre de archivo compartido públicamente contiene el nombre de la organización : reciba una alerta sobre cualquier archivo que contenga el nombre de la organización y se comparta públicamente. Seleccione archivos con un nombre de archivo que contenga el nombre de su organización y que se compartan públicamente.
Uso compartido con dominios externos : reciba una alerta sobre cualquier archivo compartido con cuentas propiedad de dominios externos específicos. Por ejemplo, archivos compartidos con el dominio de un competidor. Seleccione el dominio externo con el que desea limitar el uso compartido.
Poner en cuarentena los archivos compartidos no modificados durante el último período : reciba una alerta sobre los archivos compartidos que nadie modificó recientemente, para ponerlos en cuarentena o optar por activar una acción automatizada. Excluya todos los archivos privados que no se modificaron durante un intervalo de fechas especificado. En Google Workspace, puede optar por poner en cuarentena estos archivos mediante la casilla "Archivo de cuarentena" de la página de creación de directivas.
Uso compartido con usuarios no autorizados : reciba una alerta sobre los archivos compartidos con un grupo de usuarios no autorizado de su organización. Seleccione los usuarios para los que no se ha autorizado el uso compartido.
Extensión de archivo confidencial : reciba una alerta sobre los archivos con extensiones específicas que están potencialmente altamente expuestas. Seleccione la extensión específica (por ejemplo, crt para certificados) o el nombre de archivo y excluya esos archivos con el nivel de uso compartido privado.
Nota:
Está limitado a 50 directivas de archivo en Defender for Cloud Apps.
Crear una nueva directiva de archivo
Para crear una nueva directiva de archivo, siga este procedimiento:
En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Seleccione la pestaña Information Protection.
Seleccione Crear directiva y, después, Directiva de archivo.
Asigne un nombre y una descripción a la directiva; si quiere, puede basarla en una plantilla. Para obtener más información sobre las plantillas de directiva, consulte Control de aplicaciones en la nube con directivas.
Asigne a la directiva una gravedad de directiva. Si ha configurado Defender for Cloud Apps para que le envíe notificaciones sobre coincidencias de directiva para un nivel de gravedad de directiva específico, este nivel se usa para determinar si las coincidencias de la directiva desencadenan una notificación.
En Categoría, vincule la directiva al tipo de riesgo más adecuado. Este campo solo es informativo y le ayuda a buscar directivas y alertas específicas más adelante, en función del tipo de riesgo. Es posible que el riesgo ya esté preseleccionado según la categoría para la que eligió crear la directiva. De forma predeterminada, las directivas de archivo se establecen en DLP.
Cree un filtro para los archivos en los que actuará esta directiva para establecer qué aplicaciones detectadas desencadenan esta directiva. Reducir los filtros de directiva hasta que llegue a un conjunto preciso de archivos sobre los que desea actuar. Sea lo más restrictivo posible para evitar falsos positivos. Por ejemplo, si desea quitar permisos públicos, recuerde agregar el filtro Público ; si desea quitar un usuario externo, use el filtro "Externo", etc.
Nota:
Al usar los filtros de directiva, Contiene busca solo palabras completas, separadas por comas, puntos, espacios o caracteres de subrayado. Por ejemplo, si busca malware o virus, encuentra virus_malware_file.exe pero no encuentra malwarevirusfile.exe. Si busca malware.exe, entonces encontrará TODOS los archivos con malware o exe en su nombre de archivo, mientras que si busca "malware.exe" (con las comillas) solo encontrará archivos que contengan exactamente "malware.exe". Equals busca solo la cadena completa, por ejemplo, si busca malware.exe encuentra malware.exe pero no malware.exe.txt.
Para obtener más información sobre los filtros de directivas de archivos, vea Filtros de archivos en Microsoft Defender for Cloud Apps.
En el primer filtro Aplicar a , seleccione todos los archivos excepto las carpetas seleccionadas o las carpetas seleccionadas para Box, SharePoint, Dropbox o OneDrive, donde puede aplicar la directiva de archivos en todos los archivos de la aplicación o en carpetas específicas. Se le redirigirá para que inicie sesión en la aplicación en la nube y, a continuación, agregue las carpetas pertinentes.
En el segundo filtro Aplicar para , seleccione todos los propietarios de archivos, propietariosde archivos de grupos de usuarios seleccionados o todos los propietarios de archivos excepto los grupos seleccionados. A continuación, seleccione los grupos de usuarios pertinentes para determinar qué usuarios y grupos deben incluirse en la directiva.
Seleccione el método de inspección de contenido. Puede seleccionar DLP integrado o Servicios de clasificación de datos. Se recomienda usar Los servicios de clasificación de datos.
Una vez habilitada la inspección de contenido, puede optar por usar expresiones preestablecidas o buscar otras expresiones personalizadas.
Además, puede especificar una expresión regular para excluir un archivo de los resultados. Esta opción es muy útil si tiene un estándar de palabra clave de clasificación interna que desea excluir de la directiva.
Puede decidir establecer el número mínimo de infracciones de contenido que desea que coincidan antes de que el archivo se considere una infracción. Por ejemplo, puede elegir 10 si quiere recibir alertas sobre archivos con al menos 10 números de tarjeta de crédito que se encuentran dentro de su contenido.
Cuando el contenido coincide con la expresión seleccionada, el texto de infracción se reemplaza por " X" caracteres. De forma predeterminada, las infracciones se enmascaran y se muestran en su contexto mostrando 100 caracteres antes y después de la infracción. Los números en el contexto de la expresión se reemplazan por "#" y nunca se almacenan en Defender for Cloud Apps. Puede seleccionar la opción Para desenmascarar los últimos cuatro caracteres de una infracción para desenmascarar los últimos cuatro caracteres de la propia infracción. Es necesario establecer qué tipos de datos busca la expresión regular: contenido, metadatos o nombre de archivo. De forma predeterminada, busca el contenido y los metadatos.
Elija las acciones de gobernanza que desea que realice Defender for Cloud Apps cuando se detecte una coincidencia.
Una vez creada la directiva, puede verla filtrando por el tipo de directiva Archivo . Siempre puede editar una directiva, calibrar sus filtros o cambiar las acciones automatizadas. La directiva se habilita automáticamente tras la creación y comienza a examinar los archivos en la nube inmediatamente. Tenga cuidado adicional al establecer acciones de gobernanza, lo que podría dar lugar a una pérdida irreversible de permisos de acceso a los archivos. Se recomienda restringir los filtros para representar exactamente los archivos sobre los que desea actuar, mediante varios campos de búsqueda. Cuanto más reducidos son los filtros, mejor. Para obtener instrucciones, puede usar el botón Editar y obtener una vista previa de los resultados junto a los filtros.
Para ver las coincidencias de directivas de archivos, los archivos que se sospecha que infringen la directiva, vaya a Directivas ->Administración de directivas. Filtre los resultados para mostrar solo las directivas de archivo mediante el filtro Tipo en la parte superior. Para obtener más información sobre las coincidencias de cada directiva, en la columna Recuento , seleccione el número de coincidencias de una directiva. Como alternativa, seleccione los tres puntos al final de la fila para una directiva y elija Ver todas las coincidencias. Se abre el informe de directiva de archivos. Seleccione la pestaña Coincidencia ahora para ver los archivos que coinciden actualmente con la directiva. Seleccione la pestaña Historial para ver un historial de hasta seis meses de archivos que coincidieron con la directiva.
Procedimientos recomendados de directiva de archivos
Evite restablecer la directiva de archivos (mediante la casilla Restablecer resultados y aplicar acciones de nuevo ) en entornos de producción a menos que sea absolutamente necesaria, ya que al hacerlo se iniciará un examen completo de los archivos cubiertos por la directiva, lo que puede tener un impacto negativo en su rendimiento.
Al aplicar etiquetas a archivos de una carpeta primaria específica y sus subcarpetas, use la opción Aplicar acarpetas seleccionadas>. A continuación, agregue cada una de las carpetas primarias.
Al aplicar etiquetas solo a archivos de una carpeta específica (excepto las subcarpetas), use el filtro de directiva de archivo Carpeta primaria con el operador Equals .
La directiva de archivos es más rápida cuando se usan criterios de filtrado estrechos (en comparación con criterios amplios).
Consolide varias directivas de archivo para el mismo servicio (como SharePoint, OneDrive, Box, etc.) en una sola directiva.
Al habilitar la supervisión de archivos (desde la página Configuración ), cree al menos una directiva de archivo. Cuando no existe ninguna directiva de archivo o se deshabilita durante siete días consecutivos, la supervisión de archivos se puede usar automáticamente.
Referencia de directiva de archivo
En esta sección se proporcionan detalles de referencia sobre las directivas y se proporcionan explicaciones para cada tipo de directiva y los campos que se pueden configurar para cada directiva.
Una directiva de archivos es una directiva basada en API que le permite controlar el contenido de su organización en la nube, teniendo en cuenta más de 20 filtros de metadatos de archivo (incluido el nivel de propietario y uso compartido) y los resultados de la inspección de contenido. En función de los resultados de la directiva, se pueden aplicar acciones de gobernanza. El motor de inspección de contenido se puede ampliar a través de motores DLP de terceros y soluciones antimalware.
Cada directiva se compone de las siguientes partes:
Filtros de archivo : le permiten crear condiciones granulares basadas en metadatos.
Inspección de contenido : permite restringir la directiva en función de los resultados del motor DLP. Puede incluir una expresión personalizada o una expresión preestablecida. Se pueden establecer exclusiones y puede elegir el número de coincidencias. También puede usar la anonimización para enmascarar el nombre de usuario.
Acciones : la directiva proporciona un conjunto de acciones de gobernanza que se pueden aplicar automáticamente cuando se detectan infracciones. Estas acciones se dividen en acciones de colaboración, acciones de seguridad y acciones de investigación.
Extensiones : la inspección de contenido se puede realizar a través de motores de terceros para mejorar las funcionalidades DLP o antimalware.
Ver los resultados de las directivas de archivos
Puede ir al Centro de directivas para revisar las infracciones de directivas de archivos.
En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas y, a continuación, seleccione la pestaña Protección de la información.
Para cada directiva de archivo, puede ver las infracciones de la directiva de archivos seleccionando las coincidencias.
Puede seleccionar el propio archivo para obtener información sobre los archivos.
Por ejemplo, puede seleccionar Colaboradores para ver quién tiene acceso a este archivo y puede seleccionar Coincidencias para ver los números del Seguro Social.
Vídeos relacionados
Pasos siguientes
Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.