Tutorial: proteggere i file con la quarantena amministratore

I criteri dei file sono un ottimo strumento per individuare le minacce ai criteri di protezione delle informazioni. Ad esempio, creare criteri di file in cui gli utenti hanno archiviato informazioni sensibili, numeri di carta di credito e file ICAP di terze parti nel cloud.

In questa esercitazione si apprenderà come usare Microsoft Defender for Cloud Apps per rilevare i file indesiderati archiviati nel cloud che lasciano vulnerabili e intraprendere azioni immediate per arrestarli nelle loro tracce e bloccare i file che rappresentano una minaccia usando Amministrazione quarantena per proteggere i file nel cloud, correggere i problemi ed evitare perdite future.

• Informazioni sul funzionamento della quarantena
• Configurare la quarantena dell'amministratore

Importante

A partire dal 1° settembre 2024, la pagina File verrà deprecata da Microsoft Defender for Cloud Apps. A quel punto, creare e modificare i criteri di Information Protection e trovare file malware dalla pagina Gestione criteri > delle app > cloud. Per altre informazioni, vedere Criteri file in Microsoft Defender for Cloud Apps.

Informazioni sul funzionamento della quarantena

Nota

• Per un elenco delle app che supportano la quarantena degli amministratori, vedere l'elenco delle azioni di governance.
• I file etichettati da Defender for Cloud Apps non possono essere messi in quarantena.
• Defender for Cloud Apps azioni di quarantena dell'amministratore sono limitate a 100 azioni al giorno.
• I siti di SharePoint rinominati direttamente o come parte della ridenominazione del dominio non possono essere usati come percorso di cartella per la quarantena dell'amministratore.

1. Quando un file corrisponde a un criterio, l'opzione di quarantena Amministrazione sarà disponibile per il file.

2. Eseguire una delle azioni seguenti per mettere in quarantena il file:

   • Applicare manualmente l'azione di quarantena Amministrazione:

     

   • Impostarlo come azione di quarantena automatizzata nei criteri:

     

3. Quando viene applicata Amministrazione quarantena, le operazioni seguenti si verificano dietro le quinte:

   1. Il file originale viene spostato nella cartella di quarantena dell'amministratore impostata.

   2. Il file originale viene eliminato.

   3. Un file di rimozione definitiva viene caricato nel percorso del file originale.

      

   4. L'utente può accedere solo al file di rimozione definitiva. Nel file è possibile leggere le linee guida personalizzate fornite dall'IT e l'ID di correlazione per assegnare all'IT il rilascio del file.

4. Quando si riceve l'avviso che un file è stato messo in quarantena, passare a Criteri ->Gestione criteri. Selezionare quindi la scheda Information Protection. Nella riga con i criteri file scegliere i tre punti alla fine della riga e selezionare Visualizza tutte le corrispondenze. Verrà visualizzato il report delle corrispondenze, in cui è possibile visualizzare i file corrispondenti e in quarantena:

   

5. Dopo aver messo in quarantena un file, usare il processo seguente per correggere la situazione di minaccia:

   1. Esaminare il file nella cartella in quarantena in SharePoint Online.
   2. È anche possibile esaminare i log di controllo per approfondire le proprietà del file.
   3. Se il file è contro i criteri aziendali, eseguire il processo di risposta agli eventi imprevisti dell'organizzazione.
   4. Se si ritiene che il file sia innocuo, è possibile ripristinare il file dalla quarantena. A quel punto il file originale viene rilasciato, ovvero viene copiato di nuovo nel percorso originale, la rimozione definitiva viene eliminata e l'utente può accedere al file.

   

6. Verificare che i criteri funzionino senza problemi. È quindi possibile usare le azioni di governance automatiche nei criteri per evitare ulteriori perdite e applicare automaticamente una quarantena Amministrazione quando i criteri vengono confrontati.

Nota

Quando si ripristina un file:

• Le condivisioni originali non vengono ripristinate, viene applicata l'ereditarietà predefinita delle cartelle.
• Il file ripristinato contiene solo la versione più recente.
• La gestione dell'accesso al sito delle cartelle di quarantena è responsabilità del cliente.

Configurare la quarantena dell'amministratore

1. Impostare i criteri dei file che rilevano le violazioni. Esempi di questi tipi di criteri includono:

   • Criteri solo per i metadati, ad esempio un'etichetta di riservatezza in SharePoint Online
   • Un criterio DLP nativo, ad esempio un criterio che cerca i numeri di carta di credito
   • Un criterio di terze parti ICAP, ad esempio un criterio che cerca Vontu

2. Impostare un percorso di quarantena:

   1. Per Microsoft 365 SharePoint o OneDrive for Business, non è possibile mettere i file in quarantena amministratore come parte di un criterio fino a quando non viene configurato:

      Per impostare le impostazioni di quarantena dell'amministratore, nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In Information Protection scegliere Amministrazione quarantena. Specificare un sito per il percorso della cartella di quarantena e una notifica utente che l'utente riceverà quando il file viene messo in quarantena.

      Nota

      Defender for Cloud Apps creerà una cartella di quarantena nel sito selezionato.

   2. Per Box, il percorso della cartella di quarantena e il messaggio utente non possono essere personalizzati. Il percorso della cartella è l'unità dell'amministratore che ha connesso Box a Defender for Cloud Apps e il messaggio utente è: Questo file è stato messo in quarantena nell'unità dell'amministratore perché potrebbe violare i criteri di sicurezza e conformità dell'azienda. Contattare l'amministratore per assistenza.

Passaggi successivi

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.