Del via

Filpolicyer i Microsoft Defender for Cloud Apps

  • Artikkel

Med filpolicyer kan du håndheve en rekke automatiserte prosesser ved hjelp av skyleverandørens API-er. Policyer kan angis for å gi kontinuerlige samsvarsskanninger, juridiske eDiscovery-oppgaver, DLP for sensitivt innhold som deles offentlig, og mange flere brukstilfeller. Defender for Cloud Apps kan overvåke alle filtyper basert på mer enn 20 metadatafiltre (for eksempel tilgangsnivå, filtype).

Filtyper som støttes

De Defender for Cloud Apps motorene utfører innholdsinspeksjon ved å trekke ut tekst fra alle vanlige filtyper (100+), inkludert Office, Åpne Office, komprimerte filer, ulike rikt tekstformater, XML, HTML og mer.

Retningslinjer

Motoren kombinerer tre aspekter under hver policy:

  • Innholdsskanning basert på forhåndsinnstilte maler eller egendefinerte uttrykk.

  • Kontekstfiltre, inkludert brukerroller, filmetadata, delingsnivå, integrering av organisasjonsgrupper, samarbeidskontekst og flere attributter som kan tilpasses.

  • Automatiserte handlinger for styring og utbedring.

    Obs!

    Bare styringshandlingen for den første utløste policyen er garantert å bli brukt. Hvis en filpolicy for eksempel allerede har brukt en følsomhetsetikett på en fil, kan ikke en annen filpolicy bruke en annen følsomhetsetikett på den.

Når den er aktivert, skanner policyen kontinuerlig skymiljøet ditt og identifiserer filer som samsvarer med innholds- og kontekstfiltrene, og bruker de forespurte automatiserte handlingene. Disse policyene oppdager og utbedrer eventuelle brudd for informasjon om inaktive opplysninger eller når nytt innhold opprettes. Policyer kan overvåkes ved hjelp av sanntidsvarsler eller ved hjelp av konsollgenererte rapporter.

Følgende er eksempler på filpolicyer som kan opprettes:

  • Offentlig delte filer – Motta et varsel om alle filer i skyen som deles offentlig, ved å velge alle filer der delingsnivået er offentlig.

  • Offentlig delt filnavn inneholder organisasjonens navn – Motta et varsel om alle filer som inneholder organisasjonens navn og deles offentlig. Velg filer med et filnavn som inneholder navnet på organisasjonen, og som deles offentlig.

  • Deling med eksterne domener – Motta et varsel om alle filer som deles med kontoer som eies av bestemte eksterne domener. Filer som deles med en konkurrents domene, for eksempel. Velg det eksterne domenet du vil begrense delingen med.

  • Karantene delte filer som ikke ble endret i løpet av den siste perioden – Motta et varsel om delte filer som ingen nylig har endret, for å sette dem i karantene eller velge å aktivere en automatisert handling. Utelat alle private filer som ikke ble endret i løpet av et angitt datointervall. På Google Workspace kan du velge å sette disse filene i karantene ved hjelp av avmerkingsboksen «karantenefil» på siden for oppretting av policy.

  • Deling med uautoriserte brukere – Motta et varsel om filer som deles med uautoriserte brukere i organisasjonen. Velg brukerne som deling er uautorisert for.

  • Sensitiv filtype – Motta et varsel om filer med bestemte filtyper som potensielt er svært eksponert. Velg den bestemte filtypen (for eksempel crt for sertifikater) eller filnavnet, og utelat disse filene med privat delingsnivå.

Obs!

Du er begrenset til 50 filpolicyer i Defender for Cloud Apps.

Opprett en ny filpolicy

Følg denne fremgangsmåten for å opprette en ny filpolicy:

  1. I Microsoft Defender-portalen, under Skyapper, går du til Policyer –>Policyadministrasjon. Velg fanen Information Protection.

  2. Velg Opprett policy , og velg Filpolicy.

    Opprett en policy for Information Protection.

  3. Gi policyen et navn og en beskrivelse hvis du vil, hvis du vil, kan du basere den på en mal hvis du vil ha mer informasjon om policymaler, se Kontrollere skyapper med policyer.

  4. Gi policyen en alvorsgrad for policyen. Hvis du har angitt Defender for Cloud Apps til å sende deg varsler om policysamsvar for et bestemt alvorsgradnivå for policyen, brukes dette nivået til å avgjøre om policyens treff utløser et varsel.

  5. Koble policyen til den mest aktuelle risikotypen i Kategori. Dette feltet er bare informativt og hjelper deg med å søke etter bestemte policyer og varsler senere, basert på risikotype. Risikoen kan allerede være forhåndsvalgt i henhold til kategorien du valgte å opprette policyen for. Som standard er filpolicyer satt til DLP.

  6. Opprett et filter for filene denne policyen vil fungere på for å angi hvilke oppdagede apper som utløser denne policyen. Begrens policyfiltrene til du kommer til et nøyaktig sett med filer du vil gjøre noe med. Vær så restriktiv som mulig for å unngå falske positiver. Hvis du for eksempel vil fjerne offentlige tillatelser, må du huske å legge til det offentlige filteret hvis du vil fjerne en ekstern bruker, bruke «Ekstern»-filteret og så videre.

    Obs!

    Når du bruker policyfiltrene, søker Inneholder bare etter hele ord – atskilt med komma, prikker, mellomrom eller understrekingstegn. Hvis du for eksempel søker etter skadelig programvare eller virus, finner den virus_malware_file.exe men finner ikke malwarevirusfile.exe. Hvis du søker etter malware.exe, finner du ALLE filer med enten skadelig programvare eller exe i filnavnet, mens hvis du søker etter «malware.exe» (med anførselstegn), finner du bare filer som inneholder nøyaktig «malware.exe». Er lik søk bare etter den fullstendige strengen, for eksempel hvis du søker etter malware.exe den finner malware.exe men ikke malware.exe.txt.

    Hvis du vil ha mer informasjon om filpolicyfiltre, kan du se Filfiltre i Microsoft Defender for Cloud Apps.

  7. Velg alle filer som utelater valgte mapper eller valgte mapper for Box, SharePoint, Dropbox eller OneDrive, under det første Bruk på filter, der du kan fremtvinge filpolicyen over alle filene i appen eller på bestemte mapper. Du blir omdirigert til å logge på skyappen, og deretter legge til de relevante mappene.

  8. Velg enten alle fileiere, fileiere fra valgte brukergrupper eller alle fileiere unntatt valgte grupper, under det andre Bruk på-filteret. Velg deretter de relevante brukergruppene for å bestemme hvilke brukere og grupper som skal inkluderes i policyen.

  9. Velg innholdsinspeksjonsmetoden. Du kan velge enten innebygd DLP eller Data Classification Services. Vi anbefaler at du bruker Dataklassifiseringstjenester.

    Når innholdsinspeksjon er aktivert, kan du velge å bruke forhåndsinnstilte uttrykk eller søke etter andre tilpassede uttrykk.

    I tillegg kan du angi et vanlig uttrykk for å utelate en fil fra resultatene. Dette alternativet er svært nyttig hvis du har en standard for indre klassifiseringsnøkkelord som du vil utelate fra policyen.

    Du kan bestemme deg for å angi minimum antall brudd på innhold som du vil samsvare med, før filen anses som et brudd. Du kan for eksempel velge 10 hvis du vil bli varslet om filer med minst 10 kredittkortnumre funnet i innholdet.

    Når innhold samsvarer med det valgte uttrykket, erstattes bruddteksten med X-tegn. Brudd maskerer seg som standard og vises i konteksten som viser 100 tegn før og etter overtredelsen. Tall i konteksten til uttrykket erstattes med «#»-tegn og lagres aldri i Defender for Cloud Apps. Du kan velge alternativet for å avdekke de fire siste tegnene i et brudd for å avdekke de fire siste tegnene i selve bruddet. Det er nødvendig å angi hvilke datatyper det vanlige uttrykket søker i: innhold, metadata og/eller filnavn. Den søker som standard i innholdet og metadataene.

  10. Velg styringshandlingene du vil at Defender for Cloud Apps skal utføre når et treff oppdages.

  11. Når du har opprettet policyen, kan du vise den ved å filtrere etter filtypen . Du kan alltid redigere en policy, kalibrere filtrene eller endre de automatiserte handlingene. Policyen aktiveres automatisk ved oppretting og skanner skyfilene umiddelbart. Vær ekstra forsiktig når du angir styringshandlinger, de kan føre til permanent tap av tilgangstillatelser til filene dine. Det anbefales å begrense filtrene slik at de representerer filene du ønsker å gjøre noe med, ved hjelp av flere søkefelt. Jo smalere filtrene er, desto bedre. For veiledning kan du bruke knappen Rediger og forhåndsvis resultater ved siden av filtrene.

    Rediger og forhåndsvis resultater for filpolicy.

  12. Hvis du vil vise filpolicysamsvar, filer som antas å bryte policyen, går du til Policyer ->Policybehandling. Filtrer resultatene for å vise bare filpolicyene ved hjelp av Type-filteret øverst. Hvis du vil ha mer informasjon om treff for hver policy, velger du antall treff for en policy under Antall-kolonnen. Alternativt kan du velge de tre prikkene på slutten av raden for en policy og velge Vis alle treff. Dette åpner filpolicyrapporten. Velg Fanen Samsvar nå for å se filer som samsvarer med policyen. Velg Logg-fanen for å se en logg tilbake til opptil seks måneder med filer som samsvarer med policyen.

Anbefalte fremgangsmåter for filpolicy

  1. Unngå å tilbakestille filpolicyen (ved å bruke avmerkingsboksen Tilbakestill resultater og bruke handlinger på nytt ) i produksjonsmiljøer med mindre det er helt nødvendig, da dette vil starte en fullstendig skanning av filene som dekkes av policyen, noe som kan ha en negativ innvirkning på ytelsen.

  2. Når du bruker etiketter på filer i en bestemt overordnet mappe og undermappene, kan du bruke alternativet Bruk på valgte>mapper. Legg deretter til hver av de overordnede mappene.

  3. Når du bruker etiketter på filer bare i en bestemt mappe (unntatt undermapper), bruker du filpolicyfilteret Overordnet mappe med operatoren Er lik .

  4. Filpolicyen er raskere når smale filtreringsvilkår brukes (sammenlignet med brede vilkår).

  5. Konsolidere flere filpolicyer for samme tjeneste (for eksempel SharePoint, OneDrive, Box og så videre) til én enkelt policy.

  6. Når du aktiverer filovervåking (fra Innstillinger-siden ), oppretter du minst én filpolicy. Når det ikke finnes noen filpolicy, eller er deaktivert i sju påfølgende dager, blir filovervåking automatisk diskutert.

Filpolicyreferanse

Denne delen inneholder referansedetaljer om policyer, som gir forklaringer for hver policytype og feltene som kan konfigureres for hver policy.

En filpolicy er en API-basert policy som gjør det mulig å kontrollere organisasjonens innhold i skyen, med hensyn til over 20 filmetadatafiltre (inkludert eier og delingsnivå) og resultater for innholdsinspeksjon. Basert på policyresultatene kan styringshandlinger brukes. Innholdsinspeksjonsmotoren kan utvides via tredjeparts DLP-motorer og løsninger mot skadelig programvare.

Hver policy består av følgende deler:

  • Filfiltre – gjør det mulig å opprette detaljerte betingelser basert på metadata.

  • Innholdsinspeksjon – Gjør det mulig for deg å begrense policyen, basert på DLP-motorresultater. Du kan inkludere et egendefinert uttrykk eller et forhåndsinnstilt uttrykk. Du kan angi utelatelser, og du kan velge antall treff. Du kan også bruke anonymisering til å maskere brukernavnet.

  • Handlinger – Policyen inneholder et sett med styringshandlinger som kan brukes automatisk når brudd blir funnet. Disse handlingene er delt inn i samarbeidshandlinger, sikkerhetshandlinger og undersøkelseshandlinger.

  • Utvidelser – Innholdsinspeksjon kan utføres via tredjepartsmotorer for forbedret DLP- eller anti-malware-funksjoner.

Vis resultater for filpolicyer

Du kan gå til policysenteret for å se gjennom brudd på filpolicyer.

  1. Gå til Policyer ->Policybehandling under Skyapper i Microsoft Defender Portal, og velg deretter fanen Informasjonsbeskyttelse.

  2. For hver filpolicy kan du se brudd på filpolicyen ved å velge treff.

    Skjermbilde av PCI-eksempelsamsvar.

  3. Du kan velge selve filen for å få informasjon om filene.

    Skjermbilde av eksempel på samsvar med PCI-innhold.

  4. Du kan for eksempel velge Samarbeidspartnere for å se hvem som har tilgang til denne filen, og du kan velge Treff for å se personnummeret.

    Innhold samsvarer med personnummer.

Nettseminar om informasjonsbeskyttelse

Neste trinn

Anbefalte fremgangsmåter for å beskytte organisasjonen

Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.