Partager via

Stratégies de fichier dans Microsoft Defender for Cloud Apps

  • Article

Les stratégies de fichiers vous permettent d’appliquer un large éventail de processus automatisés à l’aide des API du fournisseur de cloud. Les stratégies peuvent être définies pour fournir des analyses de conformité continues, des tâches eDiscovery légales, une protection contre la perte de données pour le contenu sensible partagé publiquement et de nombreux autres cas d’usage. Defender for Cloud Apps pouvez surveiller n’importe quel type de fichier en fonction de plus de 20 filtres de métadonnées (par exemple, niveau d’accès, type de fichier).

Pour obtenir la liste des filtres de fichiers qui peuvent être appliqués, consultez Filtres de fichiers dans Microsoft Defender for Cloud Apps.

Types de fichiers pris en charge

Les moteurs de Defender for Cloud Apps effectuent l’inspection du contenu en extrayant du texte de tous les types de fichiers courants (100 et plus), notamment Office, Open Office, les fichiers compressés, divers formats de texte enrichi, XML, HTML, etc.

Politiques

Le moteur combine trois aspects sous chaque stratégie :

  • Analyse de contenu basée sur des modèles prédéfinis ou des expressions personnalisées.

  • Filtres de contexte, notamment les rôles d’utilisateur, les métadonnées de fichier, le niveau de partage, l’intégration des groupes organisationnels, le contexte de collaboration et d’autres attributs personnalisables.

  • Actions automatisées pour la gouvernance et la correction.

    Remarque

    Seule l’action de gouvernance de la première stratégie déclenchée est garantie d’être appliquée. Par exemple, si une stratégie de fichier a déjà appliqué une étiquette de confidentialité à un fichier, une deuxième stratégie de fichier ne peut pas lui appliquer une autre étiquette de confidentialité.

Une fois activée, la stratégie analyse en continu votre environnement cloud et identifie les fichiers qui correspondent aux filtres de contenu et de contexte, et applique les actions automatisées demandées. Ces stratégies détectent et corrigent les violations des informations au repos ou lors de la création de contenu. Les stratégies peuvent être surveillées à l’aide d’alertes en temps réel ou à l’aide de rapports générés par la console.

Voici des exemples de stratégies de fichiers qui peuvent être créées :

  • Fichiers partagés publiquement : recevez une alerte concernant tout fichier de votre cloud qui est partagé publiquement en sélectionnant tous les fichiers dont le niveau de partage est public.

  • Le nom de fichier partagé publiquement contient le nom de l’organization : recevez une alerte concernant tout fichier qui contient le nom de votre organization et qui est partagé publiquement. Sélectionnez les fichiers avec un nom de fichier contenant le nom de votre organisation et qui sont partagés publiquement.

  • Partage avec des domaines externes : recevez une alerte concernant tout fichier partagé avec des comptes appartenant à des domaines externes spécifiques. Par exemple, les fichiers partagés avec le domaine d’un concurrent. Sélectionnez le domaine externe avec lequel vous souhaitez limiter le partage.

  • Mettre en quarantaine les fichiers partagés non modifiés au cours de la dernière période : recevez une alerte concernant les fichiers partagés que personne n’a modifiés récemment, pour les mettre en quarantaine ou pour choisir d’activer une action automatisée. Excluez tous les fichiers privés qui n’ont pas été modifiés pendant une plage de dates spécifiée. Dans Google Workspace, vous pouvez choisir de mettre ces fichiers en quarantaine à l’aide de la case à cocher « Fichier de quarantaine » dans la page de création de stratégie.

  • Partage avec des utilisateurs non autorisés : recevez une alerte concernant les fichiers partagés avec un groupe d’utilisateurs non autorisés dans votre organization. Sélectionnez les utilisateurs pour lesquels le partage n’est pas autorisé.

  • Extension de fichier sensible : recevez une alerte concernant les fichiers avec des extensions spécifiques qui sont potentiellement hautement exposés. Sélectionnez l’extension spécifique (par exemple, crt pour les certificats) ou le nom de fichier et excluez les fichiers avec un niveau de partage privé.

Remarque

Vous êtes limité à 50 stratégies de fichiers dans Defender for Cloud Apps.

Créer une stratégie de fichier

Pour créer une stratégie de fichier, procédez comme suit :

  1. Dans le portail Microsoft Defender, sous Applications cloud, accédez à Stratégies ->Gestion des stratégies. Sélectionnez l’onglet Information Protection.

  2. Sélectionnez Créer une stratégie, puis Stratégie de fichier.

    Créez une stratégie Information Protection.

  3. Donnez un nom et une description à votre stratégie, si vous le souhaitez, vous pouvez la baser sur un modèle. Pour plus d’informations sur les modèles de stratégie, consultez Contrôler les applications cloud avec des stratégies.

  4. Donnez à votre stratégie une gravité de stratégie. Si vous avez défini Defender for Cloud Apps pour vous envoyer des notifications sur les correspondances de stratégie pour un niveau de gravité de stratégie spécifique, ce niveau est utilisé pour déterminer si les correspondances de la stratégie déclenchent une notification.

  5. Dans Catégorie, liez la stratégie au type de risque le plus approprié. Ce champ est informatif uniquement et vous permet de rechercher des stratégies et des alertes spécifiques ultérieurement, en fonction du type de risque. Le risque peut déjà être présélectionné en fonction de la catégorie pour laquelle vous avez choisi de créer la stratégie. Par défaut, les stratégies de fichier sont définies sur DLP.

  6. Créez un filtre pour les fichiers sur lesquels cette stratégie agira pour définir les applications découvertes qui déclenchent cette stratégie. Affinez les filtres de stratégie jusqu’à atteindre un ensemble précis de fichiers sur lesquels vous souhaitez agir. Soyez aussi restrictif que possible pour éviter les faux positifs. Par exemple, si vous souhaitez supprimer des autorisations publiques, n’oubliez pas d’ajouter le filtre Public , si vous souhaitez supprimer un utilisateur externe, utilisez le filtre « Externe », etc.

    Remarque

    Lorsque vous utilisez les filtres de stratégie, Contient recherche uniquement les mots complets, séparés par des virgules, des points, des espaces ou des traits de soulignement. Par exemple, si vous recherchez un logiciel malveillant ou un virus, il trouve virus_malware_file.exe mais il ne trouve pas malwarevirusfile.exe. Si vous recherchez malware.exe, vous trouvez TOUS les fichiers avec un programme malveillant ou exe dans leur nom de fichier, tandis que si vous recherchez « malware.exe » (entre guillemets), vous ne trouvez que les fichiers qui contiennent exactement « malware.exe ». Égal à recherche uniquement la chaîne complète, par exemple si vous recherchezmalware.exe elle trouve malware.exe mais pas malware.exe.txt.

    Pour plus d’informations sur les filtres de stratégie de fichier, consultez Filtres de fichiers dans Microsoft Defender for Cloud Apps.

  7. Sous le premier filtre Appliquer à , sélectionnez tous les fichiers à l’exception des dossiers sélectionnés ou des dossiers sélectionnés pour Box, SharePoint, Dropbox ou OneDrive, où vous pouvez appliquer votre stratégie de fichiers sur tous les fichiers de l’application ou sur des dossiers spécifiques. Vous êtes redirigé pour vous connecter à l’application cloud, puis ajouter les dossiers appropriés.

  8. Sous le deuxième filtre Appliquer à , sélectionnez tous les propriétaires de fichiers, les propriétaires de fichiers des groupes d’utilisateurs sélectionnés ou tous les propriétaires de fichiers à l’exception des groupes sélectionnés. Sélectionnez ensuite les groupes d’utilisateurs appropriés pour déterminer quels utilisateurs et groupes doivent être inclus dans la stratégie.

  9. Sélectionnez la méthode d’inspection du contenu. Vous pouvez sélectionner DLP intégré ou Services de classification des données. Nous vous recommandons d’utiliser les services de classification des données.

    Une fois l’inspection du contenu activée, vous pouvez choisir d’utiliser des expressions prédéfinies ou de rechercher d’autres expressions personnalisées.

    En outre, vous pouvez spécifier une expression régulière pour exclure un fichier des résultats. Cette option est très utile si vous avez une norme de mot clé de classification interne que vous souhaitez exclure de la stratégie.

    Vous pouvez décider de définir le nombre minimal de violations de contenu que vous souhaitez faire correspondre avant que le fichier ne soit considéré comme une violation. Par exemple, vous pouvez choisir 10 si vous souhaitez être alerté sur les fichiers contenant au moins 10 numéros de carte de crédit trouvés dans son contenu.

    Lorsque le contenu est mis en correspondance avec l’expression sélectionnée, le texte de violation est remplacé par des caractères « X ». Par défaut, les violations sont masquées et affichées dans leur contexte affichant 100 caractères avant et après la violation. Les nombres dans le contexte de l’expression sont remplacés par des caractères « # » et ne sont jamais stockés dans Defender for Cloud Apps. Vous pouvez sélectionner l’option Dissocier les quatre derniers caractères d’une violation pour démasquer les quatre derniers caractères de la violation elle-même. Il est nécessaire de définir les types de données que l’expression régulière recherche : contenu, métadonnées et/ou nom de fichier. Par défaut, il recherche le contenu et les métadonnées.

  10. Choisissez les actions de gouvernance que vous souhaitez Defender for Cloud Apps effectuer lorsqu’une correspondance est détectée.

  11. Une fois que vous avez créé votre stratégie, vous pouvez l’afficher en filtrant le type de stratégie Fichier . Vous pouvez toujours modifier une stratégie, étalonner ses filtres ou modifier les actions automatisées. La stratégie est automatiquement activée lors de la création et commence à analyser vos fichiers cloud immédiatement. Faites très attention lorsque vous définissez des actions de gouvernance, elles peuvent entraîner une perte irréversible des autorisations d’accès à vos fichiers. Il est recommandé de limiter les filtres pour représenter exactement les fichiers sur lesquels vous souhaitez agir, à l’aide de plusieurs champs de recherche. Plus les filtres sont étroits, mieux c’est. Pour obtenir des conseils, vous pouvez utiliser le bouton Modifier et afficher un aperçu des résultats en regard des filtres.

    Modification de la stratégie de fichier et aperçu des résultats.

  12. Pour afficher les correspondances de stratégie de fichiers, fichiers soupçonnés d’enfreindre la stratégie, accédez à Stratégies ->Gestion des stratégies. Filtrez les résultats pour afficher uniquement les stratégies de fichier à l’aide du filtre Type en haut. Pour plus d’informations sur les correspondances pour chaque stratégie, sous la colonne Nombre , sélectionnez le nombre de correspondances pour une stratégie. Vous pouvez également sélectionner les trois points à la fin de la ligne d’une stratégie et choisir Afficher toutes les correspondances. Le rapport Stratégie de fichier s’ouvre. Sélectionnez l’onglet Correspondance maintenant pour afficher les fichiers qui correspondent actuellement à la stratégie. Sélectionnez l’onglet Historique pour afficher un historique jusqu’à six mois de fichiers correspondant à la stratégie.

Meilleures pratiques en matière de stratégie de fichier

  1. Évitez de réinitialiser la stratégie de fichier (en utilisant la case à cocher Réinitialiser les résultats et appliquer à nouveau les actions ) dans les environnements de production, sauf si cela est absolument nécessaire, car cela lancera une analyse complète des fichiers couverts par la stratégie, ce qui peut avoir un impact négatif sur ses performances.

  2. Lorsque vous appliquez des étiquettes à des fichiers dans un dossier parent spécifique et ses sous-dossiers, utilisez l’option Appliquer auxdossiers sélectionnés>. Ajoutez ensuite chacun des dossiers parents.

  3. Lorsque vous appliquez des étiquettes à des fichiers d’un dossier spécifique uniquement (à l’exception des sous-dossiers), utilisez le filtre de stratégie de fichier Dossier parent avec l’opérateur Égal .

  4. La stratégie de fichier est plus rapide lorsque des critères de filtrage étroits sont utilisés (par rapport aux critères larges).

  5. Regroupez plusieurs stratégies de fichiers pour le même service (par exemple, SharePoint, OneDrive, Box, etc.) en une seule stratégie.

  6. Lorsque vous activez la surveillance des fichiers (à partir de la page Paramètres ), créez au moins une stratégie de fichier. Lorsqu’aucune stratégie de fichier n’existe ou est désactivée pendant sept jours consécutifs, la surveillance des fichiers est automatiquement disable.

Informations de référence sur la stratégie de fichier

Cette section fournit des informations de référence sur les stratégies, en fournissant des explications pour chaque type de stratégie et les champs qui peuvent être configurés pour chaque stratégie.

Une stratégie de fichier est une stratégie basée sur l’API qui vous permet de contrôler le contenu de votre organization dans le cloud, en prenant en compte plus de 20 filtres de métadonnées de fichier (y compris le propriétaire et le niveau de partage) et les résultats de l’inspection du contenu. En fonction des résultats de la stratégie, des actions de gouvernance peuvent être appliquées. Le moteur d’inspection de contenu peut être étendu via des moteurs DLP tiers et des solutions anti-programme malveillant.

Chaque stratégie est composée des éléments suivants :

  • Filtres de fichiers : vous permet de créer des conditions granulaires basées sur des métadonnées.

  • Inspection du contenu : vous permet d’affiner la stratégie en fonction des résultats du moteur DLP. Vous pouvez inclure une expression personnalisée ou une expression prédéfinie. Les exclusions peuvent être définies et vous pouvez choisir le nombre de correspondances. Vous pouvez également utiliser l’anonymisation pour masquer le nom d’utilisateur.

  • Actions : la stratégie fournit un ensemble d’actions de gouvernance qui peuvent être appliquées automatiquement lorsque des violations sont détectées. Ces actions sont divisées en actions de collaboration, actions de sécurité et actions d’investigation.

  • Extensions : l’inspection du contenu peut être effectuée via des moteurs tiers pour améliorer les fonctionnalités DLP ou anti-programme malveillant.

Afficher les résultats des stratégies de fichiers

Vous pouvez accéder au Centre de stratégies pour examiner les violations de stratégie de fichier.

  1. Dans le portail Microsoft Defender, sous Applications cloud, accédez à Stratégies ->Gestion des stratégies, puis sélectionnez l’onglet Protection des informations.

  2. Pour chaque stratégie de fichier, vous pouvez voir les violations de stratégie de fichier en sélectionnant les correspondances.

    Capture d’écran des exemples de correspondances PCI.

  3. Vous pouvez sélectionner le fichier lui-même pour obtenir des informations sur les fichiers.

    Capture d’écran des exemples de correspondances de contenu PCI.

  4. Par exemple, vous pouvez sélectionner Collaborateurs pour voir qui a accès à ce fichier, et vous pouvez sélectionner Correspondances pour afficher les numéros de sécurité sociale. Le contenu correspond aux numéros de carte de crédit.

Webinaire sur la protection des informations

Étapes suivantes

Bonnes pratiques pour protéger votre organization

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.