Compartir a través de

Investigación de archivos con Microsoft Defender for Cloud Apps

  • Artículo

Para proporcionar protección de datos, Microsoft Defender for Cloud Apps proporciona visibilidad de todos los archivos de las aplicaciones conectadas. Después de conectar Microsoft Defender for Cloud Apps a una aplicación mediante el conector de aplicaciones, Microsoft Defender for Cloud Apps examina todos los archivos, por ejemplo, todos los archivos almacenados en OneDrive y Salesforce. A continuación, Defender for Cloud Apps vuelve a examinar cada archivo cada vez que se modifica: la modificación puede ser en el contenido, los metadatos o los permisos de uso compartido. Los tiempos de examen dependen del número de archivos almacenados en la aplicación. También puede usar la página Archivos para filtrar archivos para investigar qué tipo de datos se guardan en las aplicaciones en la nube.

Importante

A partir del 1 de septiembre de 2024, eliminaremos gradualmente la páginaArchivos de Microsoft Defender for Cloud Apps. Las funcionalidades principales de la página Archivos estarán disponibles en la página Administración de directivas de directivas de aplicaciones >> en la nube. Se recomienda usar la página Administración de directivas para investigar archivos y crear, modificar y filtrar directivas de Information Protection y archivos de malware. Para obtener más información, consulte Directivas de archivos en Microsoft Defender for Cloud Apps.

Habilitación de la supervisión de archivos

Para habilitar la supervisión de archivos para Defender for Cloud Apps, active primero la supervisión de archivos en el área Configuración. En el portal de Microsoft Defender, seleccione Configuración>Aplicaciones>en> la nube Information Protection Files>Habilitar supervisión> de archivosGuardar.

  • Si no hay ninguna directiva de archivo activa, siete días después del último tiempo de interacción de la página de archivos, la supervisión de archivos se desactiva automáticamente.
  • Si no hay directivas de archivos activas, 35 días después del último tiempo de interacción de la página de archivos, Defender for Cloud Apps comienza a eliminar los datos mantenidos por las aplicaciones de Defender for Cloud sobre los archivos almacenados.

Ejemplos de filtro de archivos

Por ejemplo, use la página Archivos para proteger los archivos compartidos externamente con la etiqueta Confidencial, como se indica a continuación:

Después de conectar una aplicación a Defender for Cloud Apps, integre con Microsoft Purview Information Protection. A continuación, en la página Archivos , filtre por los archivos con la etiqueta Confidencial y excluya el dominio en el filtro Colaboradores . Si ve que hay archivos confidenciales compartidos fuera de su organización, puede crear una directiva de archivo para detectarlos. Puede aplicar acciones de gobernanza automática a estos archivos, como Quitar colaboradores externos y Enviar resumen de coincidencia de directiva al propietario del archivo para evitar la pérdida de datos en la organización.

Filtro de archivos confidencial.

Este es otro ejemplo de cómo puede usar la página Archivos . Asegúrese de que nadie de su organización comparte pública o externamente archivos que no se han modificado en los últimos seis meses:

Conecte una aplicación a Defender for Cloud Apps y vaya a la página Archivos. Filtre por los archivos cuyo nivel de acceso sea Externo o Público y establezca la fecha de última modificación en hace seis meses. Cree una directiva de archivo que detecte estos archivos públicos obsoletos seleccionando Nueva directiva en la búsqueda. Aplique acciones de gobernanza automática a ellas, como Quitar usuarios externos, para evitar la pérdida de datos en su organización.

Filtro de archivo obsoleto externo.

El filtro básico proporciona excelentes herramientas para empezar a filtrar los archivos.

Filtro de registro de archivos básico.

Para explorar en profundidad archivos más específicos, puede expandir el filtro básico seleccionando Filtros avanzados.

Filtro de registro de archivos avanzado.

Filtros de archivos

Defender for Cloud Apps puede supervisar cualquier tipo de archivo en función de más de 20 filtros de metadatos (por ejemplo, nivel de acceso, tipo de archivo).

Los Defender for Cloud Apps integrados en los motores DLP realizan la inspección de contenido mediante la extracción de texto de tipos de archivo comunes. Algunos de los tipos de archivo incluidos son PDF, archivos de Office, RTF, HTML y archivos de código.

A continuación se muestra una lista de los filtros de archivo que se pueden aplicar. Para proporcionar una herramienta eficaz para la creación de directivas, la mayoría de los filtros admiten varios valores y un NOT.

Nota:

Al usar los filtros de directiva de archivos, Contains buscará solo palabras completas , separadas por comas, puntos, guiones o espacios para buscar.

  • Los espacios o guiones entre palabras funcionan como OR. Por ejemplo, si busca virus de malware, encontrará todos los archivos con malware o virus en el nombre, por lo que encontrará malware-virus.exe y virus.exe.
  • Si desea buscar una cadena, incluya las palabras entre comillas. Esto funciona como AND. Por ejemplo, si busca "malware""virus", encontrará virus-malware-file.exe pero no encontrará malwarevirusfile.exe y no encontrará malware.exe. Sin embargo, buscará la cadena exacta. Si busca "virus de malware", no encontrará "virus" o "virus-malware".

Equals solo buscará la cadena completa. Por ejemplo, si busca malware.exe encontrará malware.exe pero no malware.exe.txt.

  • Nivel de acceso : nivel de acceso compartido; public, external, internal o private.

    • Interno : cualquier archivo dentro de los dominios internos que establezca en Configuración general.
    • Externo : archivos guardados en ubicaciones que no están dentro de los dominios internos que establezca.
    • Compartido : archivos que tienen un nivel de uso compartido por encima del privado. Shared incluye:

      • Uso compartido interno: archivos compartidos dentro de los dominios internos.

      • Uso compartido externo: archivos compartidos en dominios que no aparecen en los dominios internos.

      • Public with a link (Público con un vínculo): archivos que se pueden compartir con cualquier usuario a través de un vínculo.

      • Público: archivos que se pueden encontrar mediante la búsqueda en Internet.

        Nota:

        Los archivos compartidos en las aplicaciones de almacenamiento conectadas por usuarios externos se controlan de la siguiente manera mediante Defender for Cloud Apps:

        • OneDrive: OneDrive asigna un usuario interno como propietario de cualquier archivo colocado en OneDrive por un usuario externo. Dado que estos archivos se consideran propiedad de su organización, Defender for Cloud Apps examina estos archivos y aplica directivas como lo hace a cualquier otro archivo de OneDrive.
        • Google Drive: Google Drive considera que son propiedad del usuario externo y, debido a las restricciones legales en los archivos y los datos que su organización no posee, Defender for Cloud Apps no tiene acceso a estos archivos.
        • Caja: Dado que Box considera que los archivos de propiedad externa son información privada, los administradores globales de Box no pueden ver el contenido de los archivos. Por este motivo, Defender for Cloud Apps no tiene acceso a estos archivos.
        • Dropbox: Dado que Dropbox considera que los archivos de propiedad externa son información privada, los administradores globales de Dropbox no pueden ver el contenido de los archivos. Por este motivo, Defender for Cloud Apps no tiene acceso a estos archivos.

  • Aplicación : busque solo archivos dentro de estas aplicaciones.

  • Colaboradores : incluya o excluya grupos o colaboradores específicos.

    • Cualquiera de dominio : si algún usuario de este dominio tiene acceso directo al archivo.

      Nota:

      • Este filtro no admite archivos que se compartieron con un grupo, solo con usuarios específicos.
      • Para SharePoint y OneDrive, el filtro no admite archivos compartidos con un usuario específico a través de un vínculo compartido.

    • Toda la organización : si toda la organización tiene acceso al archivo.

    • Grupos: si un grupo específico tiene acceso al archivo. Grupos se pueden importar desde Active Directory, aplicaciones en la nube o crearse manualmente en el servicio.

      Nota:

      • Este filtro se usa para buscar un grupo de colaboradores en su conjunto. No coincide con los miembros individuales del grupo.

    • Usuarios : determinado conjunto de usuarios que pueden tener acceso al archivo.

  • Creado : tiempo de creación de archivos. El filtro admite fechas anteriores o posteriores y un intervalo de fechas.

  • Extensión : céntrese en extensiones de archivo específicas. Por ejemplo, todos los archivos que son ejecutables (*.exe).

    Nota:

    • Este filtro distingue mayúsculas de minúsculas.
    • Use la cláusula OR para aplicar el filtro en más de una única variación de mayúsculas y minúsculas.

  • Id. de archivo : busque identificadores de archivo específicos. Id. de archivo es una característica avanzada que permite realizar un seguimiento de determinados archivos de alto valor sin depender del propietario, la ubicación o el nombre.

  • Nombre de archivo : nombre de archivo o subcadena del nombre tal como se define en la aplicación en la nube. Por ejemplo, todos los archivos con una contraseña en su nombre.

  • Etiqueta de confidencialidad : busque archivos con etiquetas específicas establecidas. Las etiquetas son:

    Nota:

    Si este filtro se usa en una directiva de archivos, la directiva se aplicará solo a los archivos de Microsoft Office y omitirá otros tipos de archivo.

    • Microsoft Purview Information Protection: requiere la integración con Microsoft Purview Information Protection.
    • Defender for Cloud Apps: proporciona más información sobre los archivos que examina. Para cada archivo examinado por Defender for Cloud Apps DLP, puede saber si la inspección se bloqueó porque el archivo está cifrado o dañado. Por ejemplo, puede configurar directivas para alertar y poner en cuarentena los archivos protegidos con contraseña que se comparten externamente.
      • Cifrado de Azure RMS : archivos cuyo contenido no se ha inspeccionado porque tienen un conjunto de cifrado de Azure RMS.
      • Contraseña cifrada : archivos cuyo contenido no se ha inspeccionado porque están protegidos por contraseña por el usuario.
      • Archivo dañado : archivos cuyo contenido no se ha inspeccionado porque no se pudo leer su contenido.

  • Tipo de archivo: Defender for Cloud Apps examina el archivo para determinar si el tipo de archivo verdadero coincide con el tipo MIME recibido (vea la tabla) del servicio. Este examen es para archivos que son relevantes para el examen de datos (documentos, imágenes, presentaciones, hojas de cálculo, texto y archivos zip/archive). El filtro funciona por tipo de archivo o carpeta. Por ejemplo, Todas las carpetas que son ... o Todos los archivos de hoja de cálculo que son...

Tipo MIME Tipo de archivo
- application/vnd.openxmlformats-officedocument.wordprocessingml.document
- application/vnd.ms-word.document.macroEnabled.12
- application/msword
- application/vnd.oasis.opendocument.text
- application/vnd.stardivision.writer
- application/vnd.stardivision.writer-global
- application/vnd.sun.xml.writer
- application/vnd.stardivision.math
- application/vnd.stardivision.chart
- application/x-starwriter
- application/x-stardraw
- application/x-starmath
- application/x-starchart
- application/vnd.google-apps.document
- application/vnd.google-apps.kix
- application/pdf
- application/x-pdf
- application/vnd.box.webdoc
- application/vnd.box.boxnote
- application/vnd.jive.document
- text/rtf
- application/rtf		 Documento
- application/vnd.oasis.opendocument.image
- application/vnd.google-apps.photo
- comienza con: image/		 Imagen
- application/vnd.openxmlformats-officedocument.presentationml.presentation
- application/vnd.ms-powerpoint.template.macroEnabled.12
- application/mspowerpoint
- application/powerpoint
- application/vnd.ms-powerpoint
- application/x-mspowerpoint
- application/mspowerpoint
- application/vnd.ms-powerpoint
- application/vnd.oasis.opendocument.presentation
- application/vnd.sun.xml.impress
- application/vnd.stardivision.impress
- application/x-starimpress
- application/vnd.google-apps.presentation		 Presentación
- application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
- application/vnd.ms-excel.sheet.macroEnabled.12
- application/excel
- application/vnd.ms-excel
- application/x-excel
- application/x-msexcel
- application/vnd.oasis.opendocument.spreadsheet
- application/vnd.sun.xml.calc
- application/vnd.stardivision.calc
- application/x-starcalc
- application/vnd.google-apps.spreadsheet		 Hoja de cálculo
- comienza con: text/ Texto
Todos los demás tipos MIME de archivos Otros

policy_file tipo de filtros.

  • En la papelera : excluir o incluir archivos en la carpeta de la papelera. Estos archivos pueden seguir siendo compartidos y suponer un riesgo.

    Nota:

    Este filtro no se aplica a los archivos de SharePoint y OneDrive.

    policy_file filtra la basura.

  • Última modificación : hora de modificación del archivo. El filtro admite las fechas anteriores y posteriores, el intervalo de fechas y las expresiones de hora relativas. Por ejemplo, todos los archivos que no se modificaron en los últimos seis meses.

  • Directiva coincidente: archivos que coinciden con una directiva de Defender for Cloud Apps activa.

  • Tipo MIME : comprobación de tipo MIME de archivo. Acepta texto libre.

  • Propietario : incluir o excluir propietarios de archivos específicos. Por ejemplo, realice un seguimiento de todos los archivos compartidos por rogue_employee_#100.

  • Unidad organizativa de propietario : incluya o excluya los propietarios de archivos que pertenecen a determinadas unidades organizativas. Por ejemplo, todos los archivos públicos excepto los archivos compartidos por EMEA_marketing. Solo se aplica a los archivos almacenados en Google Drive.

  • Carpeta principal : incluya o excluya una carpeta específica (no se aplica a las subcarpetas). Por ejemplo, todos los archivos compartidos públicamente excepto los archivos de esta carpeta.

    Nota:

    Defender for Cloud Apps solo detecta nuevas carpetas de SharePoint y OneDrive después de que se haya realizado alguna actividad de archivo en ellas.

  • En cuarentena : si el servicio pone en cuarentena el archivo. Por ejemplo, muéstreme todos los archivos que están en cuarentena.

Al crear una directiva, también puede establecerla para que se ejecute en archivos específicos si establece aplicar al filtro. Filtre por todos los archivos, carpetas seleccionadas (subcarpetas incluidas) o todos los archivos excepto las carpetas seleccionadas. A continuación, seleccione los archivos o carpetas que son pertinentes.

aplicar al filtro.

Autorización de archivos

Después de que Defender for Cloud Apps haya identificado los archivos como un riesgo de malware o DLP, se recomienda investigar los archivos. Si determina que los archivos son seguros, puede autorizarlos. La autorización de un archivo lo quita del informe de detección de malware y suprime las coincidencias futuras en este archivo.

Para autorizar archivos

  1. En Microsoft Defender Portal, en Aplicaciones en la nube, seleccione Directivas ->Administración de directivas. Seleccione la pestaña Información de protección.

  2. En la lista de directivas, en la fila en la que aparece la directiva que desencadenó la investigación, en la columna Recuento , seleccione el vínculo de coincidencias .

    Sugerencia

    Puede filtrar la lista de directivas por tipo. En la tabla siguiente se enumeran, por tipo de riesgo, qué tipo de filtro se va a usar:

    Tipo de riesgo Tipo de filtro
    DLP Directiva de archivo
    Malware Directiva de detección de malware

  3. En la lista de archivos coincidentes, en la fila en la que aparece el archivo que se está investigando, seleccione la opción ✓ para autorizar.

Trabajar con el cajón de archivos

Para ver más información sobre cada archivo, seleccione el propio archivo en el registro de archivos. Al seleccionarlo, se abre el cajón de archivos que proporciona las siguientes acciones adicionales que puede realizar en el archivo:

  • DIRECCIÓN URL : le lleva a la ubicación del archivo.
  • Identificadores de archivo : abre una ventana emergente con detalles de datos sin procesar sobre el archivo, incluidos el identificador de archivo y las claves de cifrado cuando están disponibles.
  • Propietario : vea la página de usuario del propietario de este archivo.
  • Directivas coincidentes : vea una lista de las directivas con las que coincide el archivo.
  • Etiquetas de confidencialidad: vea la lista de etiquetas de confidencialidad de Microsoft Purview Information Protection que se encuentran en este archivo. Después, puede filtrar por todos los archivos que coincidan con esta etiqueta.

Los campos del cajón de archivos proporcionan vínculos contextuales a archivos adicionales y exploraciones en profundidad que puede realizar directamente desde el cajón. Por ejemplo, si mueve el cursor junto al campo Propietario , puede usar el icono "agregar para filtrar" para agregar al filtro. Para agregar el propietario inmediatamente al filtro de la página actual. También puede usar el icono de configuración del icono de engranaje. Aparece para llegar directamente a la página de configuración necesaria para modificar la configuración de uno de los campos, como las etiquetas de confidencialidad.

Cajón de archivos.

Para obtener una lista de las acciones de gobernanza disponibles, consulte Acciones de gobernanza de archivos.

Pasos siguientes

Procedimientos recomendados para proteger su organización

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.