次の方法で共有

Microsoft Defender for Cloud Appsのファイル ポリシー

  • [アーティクル]

ファイル ポリシーを使用すると、クラウド プロバイダーの API を使用して、さまざまな自動プロセスを適用できます。 ポリシーを設定すると、継続的なコンプライアンス スキャン、法的電子情報開示タスク、機密コンテンツの DLP 共有、その他の多くのユース ケースを提供できます。 Defender for Cloud Appsは、20 を超えるメタデータ フィルター (アクセス レベル、ファイルの種類など) に基づいて任意のファイルの種類を監視できます。

適用できるファイル フィルターの一覧については、「Microsoft Defender for Cloud Appsのファイル フィルター」を参照してください。

サポートされているファイルの種類

Defender for Cloud Apps エンジンは、Office、Open Office、圧縮ファイル、さまざまなリッチ テキスト形式、XML、HTML など、すべての一般的なファイルの種類 (100 以上) からテキストを抽出することで、コンテンツ検査を実行します。

ポリシー

エンジンは、各ポリシーの下に次の 3 つの側面を組み合わせています。

  • プリセット テンプレートまたはカスタム式に基づくコンテンツ スキャン。

  • ユーザー ロール、ファイル メタデータ、共有レベル、組織グループ統合、コラボレーション コンテキスト、その他のカスタマイズ可能な属性などのコンテキスト フィルター。

  • ガバナンスと修復のための自動化されたアクション。

    注:

    最初にトリガーされたポリシーのガバナンス アクションのみが適用されていることが保証されます。 たとえば、ファイル ポリシーが既に秘密度ラベルをファイルに適用している場合、2 つ目のファイル ポリシーでは別の秘密度ラベルを適用できません。

有効にすると、ポリシーはクラウド環境を継続的にスキャンし、コンテンツとコンテキスト フィルターに一致するファイルを識別し、要求された自動アクションを適用します。 これらのポリシーは、保存情報または新しいコンテンツが作成されたときに、すべての違反を検出して修復します。 ポリシーは、リアルタイム アラートまたはコンソール生成レポートを使用して監視できます。

作成できるファイル ポリシーの例を次に示します。

  • パブリック共有ファイル - 共有レベルがパブリックであるすべてのファイルを選択して、パブリックに共有されているクラウド内のすべてのファイルに関するアラートを受信します。

  • パブリック共有ファイル名には、organizationの名前が含まれています。 organizationの名前を含み、パブリックに共有されているファイルに関するアラートを受信します。 組織の名前を含むファイル名を持ち、公開されているファイルを選択します。

  • 外部ドメインとの共有 - 特定の外部ドメイン が所有するアカウントと共有されているファイルに関するアラートを受け取ります。 たとえば、競合他社のドメインと共有されているファイル。 共有を制限する外部ドメインを選択します。

  • 最後の期間中に変更されていない共有ファイルを検疫する - 最近変更した共有ファイルに関するアラートを受け取り、検疫するか、自動アクションを有効にすることを選択します。 指定された日付範囲内に変更されなかったすべてのプライベート ファイルを除外します。 Google Workspace では、ポリシー作成ページの [検疫ファイル] チェックボックスを使用して、これらのファイルを検疫することを選択できます。

  • 未承認のユーザーとの共有 - organization内の未承認のユーザー グループと共有されているファイルに関するアラートを受け取ります。 共有が許可されていないユーザーを選択します。

  • 機密性の高いファイル拡張子 - 高度に公開される可能性のある特定の拡張子を持つファイルに関するアラートを受け取ります。 特定の拡張子 (証明書の場合は crt など) またはファイル名を選択し、非公開共有レベルのファイルを除外します。

注:

Defender for Cloud Appsでは、50 個のファイル ポリシーに制限されています。

新しい PIN ポリシーの作成

新しいファイル ポリシーを作成するには、次の手順に従います。

  1. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 [Information Protection] タブ選択します。

  2. [ポリシーの作成] を選択し、[ファイル ポリシー] を選択します。

    Information Protection ポリシーを作成します。

  3. ポリシーテンプレートの詳細については、「ポリシーを使用して クラウド アプリを制御する」を参照してください。テンプレートに基づく場合は、ポリシーに名前と説明を付けます。

  4. ポリシーに ポリシーの重大度を指定します。 特定のポリシー重大度レベルのポリシー一致で通知を送信するように Defender for Cloud Apps を設定した場合、このレベルを使用して、ポリシーの一致によって通知がトリガーされるかどうかが決定されます。

  5. [ カテゴリ] 内で、ポリシーを最も適切なリスクの種類にリンクします。 このフィールドは有益な情報のみで、リスクの種類に基づいて特定のポリシーとアラートを後で検索するのに役立ちます。 ポリシーを作成するために選択したカテゴリに応じて、リスクが事前に選択されている場合があります。 既定では、ファイル ポリシーは DLP に設定されます。

  6. このポリシーが実行するファイルのフィルターを作成して、 検出されたアプリがこのポリシーをトリガーするように設定します。 対象とするファイルの正確なセットに到達するまで、ポリシー フィルターを絞り込みます。 誤検知を避けるために、可能な限り制限してください。 たとえば、パブリック アクセス許可を削除する場合は、必ず Public フィルターを追加してください。外部ユーザーを削除する場合は、"外部" フィルターなどを使用します。

    注:

    ポリシー フィルターを使用する場合は、 コンマ 、ドット、スペース、またはアンダースコアで区切られた完全な単語のみを検索します。 たとえば、 マルウェアウイルスを検索すると、virus_malware_file.exe が見つかりますが、malwarevirusfile.exe は見つかりません。 malware.exeを検索すると、ファイル名にマルウェアまたは exe を含むすべてのファイルが見つかりますが、"malware.exe" (引用符で囲まれた) を検索すると、"malware.exe" を正確に含むファイルのみが見つかります。 等しい 場合は、完全な文字列のみを検索します(たとえば、malware.exe が見つかるが malware.exe.txt ではないmalware.exeを検索する場合)。

    ファイル ポリシー フィルターの詳細については、「Microsoft Defender for Cloud Appsのファイル フィルター」を参照してください。

  7. 最初の [フィルターに適用] で、選択したフォルダーまたは選択したフォルダーを除くすべてのファイルを Box、SharePoint、Dropbox、または OneDrive に選択し、アプリまたは特定のフォルダー上のすべてのファイルに対してファイル ポリシーを適用できます。 クラウド アプリにサインインし、関連するフォルダーを追加するようにリダイレクトされます。

  8. 2 番目の [フィルターに適用] で、すべてのファイル所有者選択したユーザー グループのファイル所有者、または選択したグループを除くすべてのファイル所有者を選択します。 次に、関連するユーザー グループを選択して、ポリシーに含めるユーザーとグループを決定します。

  9. [コンテンツ検査方法] を選択します。 [組み込みの DLP] または [データ分類サービス] を選択できます。 データ分類サービスを使用することをお勧めします。

    コンテンツ検査を有効にすると、プリセット式を使用するか、他のカスタマイズされた式を検索するか選択できます。

    さらに、正規表現を指定して、結果からファイルを除外することもできます。 このオプションは、ポリシーから除外したい内部分類キーワード標準がある場合に非常に役立ちます。

    ファイルが違反と見なされる前に、一致させるコンテンツ違反の最小数を設定できます。 たとえば、ファイルの内容に少なくとも 10 個のクレジット カード番号が含まれている場合にアラートを受け取る場合は、10 を選択できます。

    コンテンツが選択した表現と一致すると、違反テキストは「X」文字に置き換えられます。 デフォルトでは、違反はマスクされ、違反の前後に 100 文字を表示するコンテキストで表示されます。 式のコンテキスト内の数値は "#" 文字に置き換えられ、Defender for Cloud Apps 内に保存されることはありません。 違反の最後の 4 文字をマスク解除するオプションを選択すると、違反自体の最後の 4 文字のマスクを解除できます。 正規表現が検索するデータの種類 (コンテンツ、メタデータ、および/またはファイル名) を設定する必要があります。 デフォルトでは、コンテンツとメタデータが検索されます。

  10. 一致が検出されたときにDefender for Cloud Appsするガバナンス アクションを選択します。

  11. ポリシーを作成したら、 ファイル ポリシー の種類をフィルター処理して表示できます。 ポリシーの編集、フィルターの調整、自動アクションの変更は常に行うことができます。 ポリシーは作成時に自動的に有効になり、クラウド ファイルのスキャンがすぐに開始されます。 ガバナンス アクションを設定する場合は、ファイルへのアクセス許可が元に戻せない可能性があるため、特別な注意を払ってください。 フィルターを絞り込んで、複数の検索フィールドを使用して、操作するファイルを正確に表することをお勧めします。 フィルターは狭いほど良いです。 ガイダンスについては、フィルターの横にある [結果の編集とプレビュー ] ボタンを使用できます。

    ファイル ポリシーの編集とプレビューの結果。

  12. ファイル ポリシーの一致を表示するには、ポリシーに違反すると疑われるファイルを表示するには、[ポリシー] ->[ポリシー管理] に移動します。 結果をフィルター処理して、上部の [種類 ] フィルターを使用してファイル ポリシーのみを表示します。 各ポリシーの一致の詳細については、[ カウント ] 列で、ポリシーの 一致 の数を選択します。 または、ポリシーの行の末尾にある 3 つのドットを選択し、[ すべての一致を表示] を選択します。 ファイル ポリシー レポートが開きます。 [ 今すぐ照合 ] タブを選択すると、現在ポリシーに一致するファイルが表示されます。 [ 履歴 ] タブを選択すると、ポリシーに一致した最大 6 か月間のファイルの履歴が表示されます。

ファイル ポリシーのベスト プラクティス

  1. 絶対に必要な場合を除き、( 結果をリセットしてもう一度アクションを適用 する) 運用環境でファイル ポリシーをリセットしないようにします。そうすると、ポリシーの対象となるファイルの完全なスキャンが開始され、パフォーマンスに悪影響を与える可能性があります。

  2. 特定の親フォルダーとそのサブフォルダー内のファイルにラベルを適用する場合は、[->選択されたフォルダーに適用] オプションを使用します。 次に、各親フォルダーを追加します。

  3. 特定のフォルダー (サブフォルダーを除く) 内のファイルにのみラベルを適用する場合は、Equals 演算子を使用してファイル ポリシー フィルター親フォルダーを使用します。

  4. 狭いフィルター条件を使用すると (ワイド条件と比較して) ファイル ポリシーが高速になります。

  5. 同じサービス (SharePoint、OneDrive、Box など) の複数のファイル ポリシーを 1 つのポリシーに統合します。

  6. ( [設定] ページから) ファイルの監視を有効にする場合は、少なくとも 1 つのファイル ポリシーを作成します。 ファイル ポリシーが存在しない場合、または 7 日間連続して無効になっている場合、ファイルの監視は自動的に無効になります。

ファイル ポリシー リファレンス

このセクションでは、ポリシーに関するリファレンスの詳細について説明します。各ポリシーの種類と、ポリシーごとに構成できるフィールドについて説明します。

ファイル ポリシーは API ベースのポリシーであり、20 を超えるファイル メタデータ フィルター (所有者と共有レベルを含む) とコンテンツ検査の結果を考慮して、クラウド内のorganizationのコンテンツを制御できます。 ポリシーの結果に基づいて、ガバナンス アクションを適用できます。 コンテンツ検査エンジンは、サードパーティの DLP エンジンとマルウェア対策ソリューションを介して拡張できます。

各ポリシーは、次の部分で構成されます。

  • ファイル フィルター – メタデータに基づいて詳細な条件を作成できます。

  • コンテンツ検査 – DLP エンジンの結果に基づいてポリシーを絞り込めます。 カスタム式またはプリセット式を含めることができます。 除外は設定でき、一致する数を選択できます。 匿名化を使用してユーザー名をマスクすることもできます。

  • アクション – ポリシーは、違反が見つかったときに自動的に適用できる一連のガバナンス アクションを提供します。 これらのアクションは、コラボレーション アクション、セキュリティ アクション、調査アクションに分割されます。

  • 拡張機能 - コンテンツ検査は、強化された DLP またはマルウェア対策機能のためにサード パーティ製エンジンを介して実行できます。

ファイル ポリシーの結果を表示する

ポリシー センターに移動して、ファイル ポリシー違反を確認できます。

  1. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->[ポリシー管理] に移動し、[情報保護] タブを選択します。

  2. ファイル ポリシーごとに、 一致するファイル ポリシー違反を選択して確認できます。

    サンプル PCI の一致のスクリーンショット。

  3. ファイル自体を選択すると、ファイルに関する情報を取得できます。

    サンプル PCI コンテンツの一致のスクリーンショット。

  4. たとえば、[ コラボレーター ] を選択してこのファイルにアクセスできるユーザーを確認したり、[ 一致] を選択して社会保障番号を表示したりできます。 コンテンツはクレジット カード番号と一致します。

情報保護ウェビナー

次の手順

organizationを保護するためのベスト プラクティス

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。