Condividi tramite

Analizzare i file con Microsoft Defender for Cloud Apps

  • Articolo

Per garantire la protezione dei dati, Microsoft Defender for Cloud Apps offre visibilità su tutti i file delle app connesse. Dopo aver connesso Microsoft Defender for Cloud Apps a un'app usando il connettore app, Microsoft Defender for Cloud Apps analizza tutti i file, ad esempio tutti i file archiviati in OneDrive e Salesforce. Quindi, Defender for Cloud Apps esegue di nuovo l'analisi di ogni file ogni volta che viene modificato. La modifica può essere apportata a contenuto, metadati o autorizzazioni di condivisione. I tempi di analisi dipendono dal numero di file archiviati nell'app. È anche possibile usare la pagina File per filtrare i file per analizzare il tipo di dati salvati nelle app cloud.

Importante

A partire dal 1° settembre 2024, la paginaFile verrà gradualmente disattivata da Microsoft Defender for Cloud Apps. Le funzionalità principali della pagina File saranno disponibili nella pagina Gestione criteri per > le app > cloud. È consigliabile usare la pagina Gestione criteri per analizzare i file e creare, modificare e filtrare i criteri di Information Protection e i file malware. Per altre informazioni, vedere Criteri file in Microsoft Defender for Cloud Apps.

Abilitare il monitoraggio dei file

Per abilitare il monitoraggio dei file per Defender for Cloud Apps, attivare prima di tutto il monitoraggio dei file nell'area Impostazioni. Nel portale di Microsoft Defender selezionare Impostazioni>App> cloud Information Protection>File Abilita>monitoraggio> fileSalva.

  • Se non sono presenti criteri di file attivi, sette giorni dopo l'ultimo tempo di coinvolgimento della pagina file, il monitoraggio dei file viene automaticamente disattivato.
  • Se non sono presenti criteri per i file attivi, 35 giorni dopo l'ultimo periodo di coinvolgimento della pagina dei file, Defender for Cloud Apps inizia a eliminare tutti i dati gestiti dalle app Defender per cloud sui file archiviati.

Esempi di filtri di file

Ad esempio, usare la pagina File per proteggere i file condivisi esternamente etichettati come Riservati, come indicato di seguito:

Dopo aver connesso un'app a Defender for Cloud Apps, eseguire l'integrazione con Microsoft Purview Information Protection. Quindi, nella pagina File filtrare i file con etichetta Riservato ed escludere il dominio nel filtro Collaboratori . Se si nota che sono presenti file riservati condivisi all'esterno dell'organizzazione, è possibile creare un criterio file per rilevarli. È possibile applicare azioni di governance automatiche a questi file, ad esempio Rimuovere collaboratori esterni e Inviare il digest di corrispondenza dei criteri al proprietario del file per evitare la perdita di dati per l'organizzazione.

Filtro file riservato.

Ecco un altro esempio di come usare la pagina File . Assicurarsi che nessuno nell'organizzazione stia condividendo pubblicamente o esternamente file che non sono stati modificati negli ultimi sei mesi:

Connettere un'app a Defender for Cloud Apps e passare alla pagina File. Filtrare i file il cui livello di accesso è Esterno o Pubblico e impostare la data Ultima modifica su sei mesi fa. Creare un criterio file che rilevi questi file pubblici non aggiornati selezionando Nuovo criterio dalla ricerca. Applicare azioni di governance automatiche, ad esempio Rimuovi utenti esterni, per evitare la perdita di dati per l'organizzazione.

Filtro file esterno non aggiornato.

Il filtro di base offre ottimi strumenti per iniziare a filtrare i file.

Filtro di log dei file di base.

Per eseguire il drill-down in file più specifici, è possibile espandere il filtro di base selezionando Filtri avanzati.

Filtro avanzato del log dei file.

Filtri file

Defender for Cloud Apps può monitorare qualsiasi tipo di file in base a più di 20 filtri di metadati (ad esempio, livello di accesso, tipo di file).

I motori DLP predefiniti Defender for Cloud Apps eseguono l'ispezione del contenuto estraendo testo da tipi di file comuni. Alcuni dei tipi di file inclusi sono PDF, file di Office, RTF, HTML e file di codice.

Di seguito è riportato un elenco dei filtri di file che è possibile applicare. Per offrire uno strumento potente per la creazione di criteri, la maggior parte dei filtri supporta più valori e not.

Nota

Quando si usano i filtri dei criteri di file, Contiene cercherà solo parole complete , separate da virgole, punti, trattini o spazi da cercare.

  • Spazi o trattini tra parole funzionano come OR. Ad esempio, se si cerca virusmalware troverà tutti i file con malware o virus nel nome, in modo che troverà sia malware-virus.exe che virus.exe.
  • Se si vuole cercare una stringa, racchiudere le parole tra virgolette. Funziona come AND. Ad esempio, se si cerca "malware"""virus", troverà virus-malware-file.exe ma non troverà malwarevirusfile.exe e non troverà malware.exe. Tuttavia, cercherà la stringa esatta. Se si cerca "virus malware", non troverà "virus" o "virus-malware".

Equals cercherà solo la stringa completa. Ad esempio, se si cerca malware.exe troverà malware.exe ma non malware.exe.txt.

  • Livello di accesso : livello di accesso di condivisione; pubblico, esterno, interno o privato.

    • Interno : tutti i file all'interno dei domini interni impostati nella configurazione generale.
    • Esterno : tutti i file salvati in posizioni che non si trovano all'interno dei domini interni impostati.
    • Condiviso : file con un livello di condivisione superiore a privato. Include condivisi:

      • Condivisione interna: file condivisi all'interno dei domini interni.

      • Condivisione esterna: file condivisi in domini non elencati nei domini interni.

      • Pubblico con un collegamento: file che possono essere condivisi con chiunque tramite un collegamento.

      • Pubblico: file che è possibile trovare eseguendo una ricerca in Internet.

        Nota

        I file condivisi nelle app di archiviazione connesse da utenti esterni vengono gestiti come segue da Defender for Cloud Apps:

        • OneDrive: OneDrive assegna un utente interno come proprietario di qualsiasi file inserito in OneDrive da un utente esterno. Poiché questi file vengono quindi considerati di proprietà dell'organizzazione, Defender for Cloud Apps analizza questi file e applica i criteri come avviene per qualsiasi altro file in OneDrive.
        • Google Drive: Google Drive considera questi file di proprietà dell'utente esterno e, a causa di restrizioni legali su file e dati di cui l'organizzazione non è proprietaria, Defender for Cloud Apps non ha accesso a questi file.
        • Scatola: Poiché Box considera i file di proprietà esterna come informazioni private, gli amministratori globali di Box non possono visualizzare il contenuto dei file. Per questo motivo, Defender for Cloud Apps non ha accesso a questi file.
        • Dropbox: Poiché Dropbox considera i file di proprietà esterna come informazioni private, gli amministratori globali di Dropbox non possono visualizzare il contenuto dei file. Per questo motivo, Defender for Cloud Apps non ha accesso a questi file.

  • App : cerca solo i file all'interno di queste app.

  • Collaboratori : includere/escludere collaboratori o gruppi specifici.

    • Qualsiasi da dominio : se un utente di questo dominio ha accesso diretto al file.

      Nota

      • Questo filtro non supporta i file condivisi con un gruppo, solo con utenti specifici.
      • Per SharePoint e OneDrive, il filtro non supporta i file condivisi con un utente specifico tramite un collegamento condiviso.

    • Intera organizzazione : se l'intera organizzazione ha accesso al file.

    • Gruppi: se un gruppo specifico ha accesso al file. Gruppi può essere importato da Active Directory, dalle app cloud o creato manualmente nel servizio.

      Nota

      • Questo filtro viene usato per cercare un gruppo di collaboratori nel suo complesso. Non corrisponde ai singoli membri del gruppo.

    • Utenti : determinati set di utenti che potrebbero avere accesso al file.

  • Creato : ora di creazione del file. Il filtro supporta date precedenti/successive e un intervallo di date.

  • Estensione : concentrarsi su estensioni di file specifiche. Ad esempio, tutti i file eseguibili (*.exe).

    Nota

    • Questo filtro fa distinzione tra maiuscole e minuscole.
    • Usare la clausola OR per applicare il filtro su più di una singola variante di maiuscole e minuscole.

  • ID file : cercare ID file specifici. L'ID file è una funzionalità avanzata che consente di tenere traccia di alcuni file di valore elevato senza dipendenza dal proprietario, dalla posizione o dal nome.

  • Nome file : nome file o sottostringa del nome definito nell'app cloud. Ad esempio, tutti i file con una password nel nome.

  • Etichetta di riservatezza : cercare i file con etichette specifiche impostate. Le etichette sono:

    Nota

    Se questo filtro viene usato in un criterio file, il criterio verrà applicato solo ai file di Microsoft Office e ignorerà altri tipi di file.

    • Microsoft Purview Information Protection: richiede l'integrazione con Microsoft Purview Information Protection.
    • Defender for Cloud Apps: offre maggiori informazioni sui file che analizza. Per ogni file analizzato da Defender for Cloud Apps DLP, è possibile sapere se l'ispezione è stata bloccata perché il file è crittografato o danneggiato. Ad esempio, è possibile configurare criteri per inviare avvisi e mettere in quarantena i file protetti da password condivisi esternamente.
      • Crittografia di Azure RMS : file il cui contenuto non è stato esaminato perché dispone di un set di crittografia di Azure RMS.
      • Password crittografata : file il cui contenuto non è stato controllato perché sono protetti da password dall'utente.
      • File danneggiato : file il cui contenuto non è stato esaminato perché non è stato possibile leggerne il contenuto.

  • Tipo di file: Defender for Cloud Apps analizza il file per determinare se il tipo di file vero corrisponde al tipo MIME ricevuto (vedere la tabella) dal servizio. Questa analisi è per i file rilevanti per l'analisi dei dati (documenti, immagini, presentazioni, fogli di calcolo, testo e file zip/archivio). Il filtro funziona in base al tipo di file/cartella. Ad esempio, Tutte le cartelle che sono ... o Tutti i file di foglio di calcolo che sono...

Tipo MIME Tipo di file
- application/vnd.openxmlformats-officedocument.wordprocessingml.document
- application/vnd.ms-word.document.macroEnabled.12
- application/msword
- application/vnd.oasis.opendocument.text
- application/vnd.stardivision.writer
- application/vnd.stardivision.writer-global
- application/vnd.sun.xml.writer
- application/vnd.stardivision.math
- application/vnd.stardivision.chart
- application/x-starwriter
- application/x-stardraw
- application/x-starmath
- application/x-starchart
- application/vnd.google-apps.document
- application/vnd.google-apps.kix
- application/pdf
- application/x-pdf
- application/vnd.box.webdoc
- application/vnd.box.boxnote
- application/vnd.jive.document
- text/rtf
- application/rtf		 Documento
- application/vnd.oasis.opendocument.image
- application/vnd.google-apps.photo
- inizia con: image/		 Immagine
- application/vnd.openxmlformats-officedocument.presentationml.presentation
- application/vnd.ms-powerpoint.template.macroEnabled.12
- application/mspowerpoint
- applicazione/powerpoint
- application/vnd.ms-powerpoint
- application/x-mspowerpoint
- application/mspowerpoint
- application/vnd.ms-powerpoint
- application/vnd.oasis.opendocument.presentation
- application/vnd.sun.xml.impress
- application/vnd.stardivision.impress
- application/x-starimpress
- application/vnd.google-apps.presentation		 Presentazioni
- application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
- application/vnd.ms-excel.sheet.macroEnabled.12
- application/excel
- application/vnd.ms-excel
- application/x-excel
- application/x-msexcel
- application/vnd.oasis.opendocument.spreadsheet
- application/vnd.sun.xml.calc
- application/vnd.stardivision.calc
- application/x-starcalc
- application/vnd.google-apps.spreadsheet		 Foglio di calcolo
- inizia con: text/ Testo
Tutti gli altri tipi MIME di file Altro

policy_file tipo di filtri.

  • Nel cestino : escludere/includere i file nella cartella del cestino. Questi file possono comunque essere condivisi e rappresentano un rischio.

    Nota

    Questo filtro non si applica ai file in SharePoint e OneDrive.

    policy_file filtra il cestino.

  • Ultima modifica : ora di modifica del file. Il filtro supporta date precedenti e successive, intervallo di date ed espressioni di ora relative. Ad esempio, tutti i file che non sono stati modificati negli ultimi sei mesi.

  • Criteri corrispondenti: file corrispondenti a un criterio di Defender for Cloud Apps attivo.

  • Tipo MIME : controllo del tipo MIME del file. Accetta testo libero.

  • Proprietario - Includi/escludi proprietari di file specifici. Ad esempio, tenere traccia di tutti i file condivisi da rogue_employee_#100.

  • Unità organizzativa proprietario : includere o escludere i proprietari di file appartenenti a determinate unità organizzative. Ad esempio, tutti i file pubblici tranne i file condivisi da EMEA_marketing. Si applica solo ai file archiviati in Google Drive.

  • Cartella padre : includere o escludere una cartella specifica (non si applica alle sottocartelle). Ad esempio, tutti i file condivisi pubblicamente tranne i file in questa cartella.

    Nota

    Defender for Cloud Apps rileva le nuove cartelle di SharePoint e OneDrive solo dopo l'esecuzione di alcune attività di file.

  • Quarantena : se il file è stato messo in quarantena dal servizio. Ad esempio, mostra tutti i file in quarantena.

Quando si crea un criterio, è anche possibile impostarlo per l'esecuzione in file specifici impostando l'opzione Applica al filtro. Filtrare in base a tutti i file, alle cartelle selezionate (incluse le sottocartelle) o a tutti i file escluse le cartelle selezionate. Selezionare quindi i file o le cartelle rilevanti.

applicare al filtro.

Autorizzazione di file

Dopo che Defender for Cloud Apps ha identificato i file come in esposizione a un rischio di malware o prevenzione della perdita dei dati, è consigliabile analizzare i file. Se si determina che i file sono sicuri, è possibile autorizzarli. L'autorizzazione di un file lo rimuove dal report di rilevamento malware ed elimina le corrispondenze future in questo file.

Per autorizzare i file

  1. Nel portale Microsoft Defender, in App cloud selezionare Criteri ->Gestione criteri. Selezionare la scheda Protezione delle informazioni.

  2. Nell'elenco dei criteri, nella riga in cui vengono visualizzati i criteri che hanno attivato l'indagine, nella colonna Conteggio selezionare il collegamento corrispondenze .

    Consiglio

    È possibile filtrare l'elenco dei criteri in base al tipo. La tabella seguente elenca, per tipo di rischio, il tipo di filtro da usare:

    Tipo di rischio Tipo filtro
    DLP Criteri file
    Malware Criteri di rilevamento malware

  3. Nell'elenco dei file corrispondenti, nella riga in cui viene visualizzato il file sottoposto a indagine, selezionare ✓ per Autorizza.

Uso del pannello File

È possibile visualizzare altre informazioni su ogni file selezionando il file stesso nel log dei file. Selezionandolo si apre il pannello File che fornisce le azioni aggiuntive seguenti che è possibile eseguire sul file:

  • URL : consente di passare al percorso del file.
  • Identificatori di file : apre un popup con i dettagli dei dati non elaborati relativi al file, inclusi l'ID file e le chiavi di crittografia quando sono disponibili.
  • Proprietario : visualizzare la pagina utente per il proprietario di questo file.
  • Criteri corrispondenti : vedere un elenco di criteri corrispondenti al file.
  • Etichette di riservatezza: visualizzare l'elenco di etichette di riservatezza da Microsoft Purview Information Protection disponibili in questo file. È quindi possibile filtrare in base a tutti i file corrispondenti a questa etichetta.

I campi nel pannello File forniscono collegamenti contestuali a file aggiuntivi e drill-down che è possibile eseguire direttamente dal pannello. Ad esempio, se si sposta il cursore accanto al campo Proprietario , è possibile usare l'icona "aggiungi al filtro" aggiunta al filtro. Per aggiungere immediatamente il proprietario al filtro della pagina corrente. È anche possibile usare l'icona impostazioni icona ingranaggio impostazioni icona. Che si apre per arrivare direttamente alla pagina delle impostazioni necessaria per modificare la configurazione di uno dei campi, ad esempio etichette di riservatezza.

Cassetto file.

Per un elenco delle azioni di governance disponibili, vedere Azioni di governance dei file.

Passaggi successivi

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.