Tutorial: proteger archivos con cuarentena de administrador
Las directivas de archivos son una excelente herramienta para encontrar amenazas para las directivas de protección de la información. Por ejemplo, cree directivas de archivo que busquen lugares donde los usuarios almacenaron información confidencial, números de tarjeta de crédito y archivos ICAP de terceros en la nube.
En este tutorial, aprenderá a usar Microsoft Defender for Cloud Apps para detectar archivos no deseados almacenados en la nube que le dejan vulnerable y a tomar medidas inmediatas para detenerlos en sus pistas y bloquear los archivos que suponen una amenaza mediante Administración cuarentena para proteger los archivos en la nube, corregir problemas e impedir que se produzcan fugas futuras.
Importante
A partir del 1 de septiembre de 2024, dejaremos de usar la página Archivos de Microsoft Defender for Cloud Apps. En ese momento, cree y modifique directivas de Information Protection y busque archivos de malware en la página Administración de directivas de directivas > de aplicaciones > en la nube. Para obtener más información, consulte Directivas de archivos en Microsoft Defender for Cloud Apps.
Comprender cómo funciona la cuarentena
Nota:
- Para obtener una lista de las aplicaciones que admiten la cuarentena de administrador, consulte la lista de acciones de gobernanza.
- Los archivos etiquetados por Defender for Cloud Apps no se pueden poner en cuarentena.
- Defender for Cloud Apps acciones de cuarentena de administrador están limitadas a 100 acciones al día.
- Los sitios de SharePoint a los que se cambia el nombre directamente o como parte del cambio de nombre de dominio no se pueden usar como una ubicación de carpeta para la cuarentena del administrador.
Cuando un archivo coincide con una directiva, la opción Administración cuarentena estará disponible para el archivo.
Realice una de las siguientes acciones para poner en cuarentena el archivo:
Aplique manualmente la acción de cuarentena Administración:
Establézcalo como una acción de cuarentena automatizada en la directiva:
Cuando se aplica Administración cuarentena, se producen las siguientes cosas en segundo plano:
El archivo original se mueve a la carpeta de cuarentena de administrador establecida.
Se elimina el archivo original.
Un archivo de lápida se carga en la ubicación del archivo original.
El usuario solo puede acceder al archivo de lápiz. En el archivo, pueden leer las directrices personalizadas proporcionadas por TI y el identificador de correlación para proporcionar a TI que libere el archivo.
Cuando reciba la alerta de que un archivo se ha puesto en cuarentena, vaya a Directivas ->Administración de directivas. A continuación, seleccione la pestaña Information Protection. En la fila con la directiva de archivo, elija los tres puntos al final de la línea y seleccione Ver todas las coincidencias. Esto le proporcionará el informe de coincidencias, donde puede ver los archivos coincidentes y en cuarentena:
Después de poner en cuarentena un archivo, use el siguiente proceso para corregir la situación de amenaza:
- Inspeccione el archivo en la carpeta en cuarentena de SharePoint Online.
- También puede examinar los registros de auditoría para profundizar en las propiedades del archivo.
- Si encuentra que el archivo está en contra de la directiva corporativa, ejecute el proceso de respuesta a incidentes (IR) de la organización.
- Si ve que el archivo es inofensivo, puede restaurarlo desde la cuarentena. En ese momento se libera el archivo original, lo que significa que se copia en la ubicación original, se elimina el lápiz y el usuario puede acceder al archivo.
Valide que la directiva se ejecuta sin problemas. A continuación, puede usar las acciones de gobernanza automática en la directiva para evitar más pérdidas y aplicar automáticamente una cuarentena de Administración cuando se coincida con la directiva.
Nota:
Al restaurar un archivo:
- Los recursos compartidos originales no se restauran, se aplica la herencia de carpetas predeterminada.
- El archivo restaurado solo contiene la versión más reciente.
- La administración del acceso al sitio de la carpeta de cuarentena es responsabilidad del cliente.
Configuración de la cuarentena de administrador
Establezca directivas de archivo que detecten infracciones. Algunos ejemplos de estos tipos de directivas son:
- Una directiva de solo metadatos, como una etiqueta de confidencialidad en SharePoint Online
- Una directiva DLP nativa, como una directiva que busca números de tarjeta de crédito
- Una directiva de terceros de ICAP, como una directiva que busca Vontu
Establecer una ubicación de cuarentena:
Para Microsoft 365 SharePoint o OneDrive para la Empresa, no puede poner archivos en cuarentena de administrador como parte de una directiva hasta que la configure:
Para establecer la configuración de cuarentena de administrador, en Microsoft Defender Portal, seleccione Configuración. A continuación, elija Aplicaciones en la nube. En Information Protection, elija Administración cuarentena. Proporcione un sitio para la ubicación de la carpeta de cuarentena y una notificación de usuario que el usuario recibirá cuando su archivo esté en cuarentena.
Nota:
Defender for Cloud Apps creará una carpeta de cuarentena en el sitio seleccionado.
En Box, la ubicación de la carpeta de cuarentena y el mensaje de usuario no se pueden personalizar. La ubicación de la carpeta es la unidad del administrador que conectó Box a Defender for Cloud Apps y el mensaje de usuario es: Este archivo se puso en cuarentena en la unidad del administrador porque podría infringir las directivas de seguridad y cumplimiento de su empresa. Para obtener ayuda, póngase en contacto con su administrador de TI.
Pasos siguientes
Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.