Del via

Undersøke filer med Microsoft Defender for Cloud Apps

  • Artikkel

For å gi databeskyttelse gir Microsoft Defender for Cloud Apps deg innsyn i alle filene fra de tilkoblede appene. Når du har koblet Microsoft Defender for Cloud Apps til en app ved hjelp av App-koblingen, skanner Microsoft Defender for Cloud Apps alle filene, for eksempel alle filene som er lagret i OneDrive og Salesforce. Deretter kan Defender for Cloud Apps skanne hver fil på nytt hver gang den endres – endringen kan være for innhold, metadata eller delingstillatelser. Skannetider avhenger av antall filer som er lagret i appen. Du kan også bruke Filer-siden til å filtrere filer for å undersøke hva slags data som lagres i skyappene dine.

Viktig

Fra og med 1. september 2024 faser vi ut Filer-siden fra Microsoft Defender for Cloud Apps. Kjernefunksjonaliteten på Filer-siden vil være tilgjengelig på policybehandlingssiden for skyapper >>. Vi anbefaler at du bruker policybehandlingssiden til å undersøke filer og opprette, endre og filtrere Information Protection policyer og filer med skadelig programvare. Hvis du vil ha mer informasjon, kan du se Filpolicyer i Microsoft Defender for Cloud Apps.

Obs!

Begrensning på spørringsstørrelse i filpolicyfiltre og «Rediger og forhåndsvis resultater»

  • Når du oppretter eller redigerer en filpolicy, eller når du bruker alternativet Rediger og forhåndsvis resultater, finnes det en begrensning for spørringsstørrelse. Denne begrensningen sikrer optimal ytelse og hindrer systemoverbelastning.
  • Hvis spørringen overskrider tillatt størrelse, må du kanskje begrense vilkårene eller bruke andre filtre for å passe innenfor de akseptable grensene. Hvis policyen for eksempel omfatter «samarbeidspartnere»-kriterier som inkluderer gruppen «alle» eller «alle unntatt eksterne brukere», kan det føre til en feil på grunn av begrensninger for spørringsstørrelse.
  • Vær oppmerksom på at hvis spørringen overskrider størrelsesbegrensningen, angir ikke systemet hvilket filter som forårsaket feilen.

Aktiver filovervåking

Hvis du vil aktivere filovervåking for Defender for Cloud Apps, må du først aktivere filovervåking i Innstillinger-området. Velg Innstillinger> cloudapps> i Microsoft Defender-portalen Information Protection>Files Aktiver>filovervåking>Lagre.

  • Hvis det ikke finnes noen aktive filpolicyer, sju dager etter forrige filsideforhandlingstid, deaktiveres filovervåking automatisk.
  • Hvis det ikke finnes noen aktive filpolicyer, 35 dager etter forrige filsideengasjementstid, begynner Defender for Cloud Apps å slette data som vedlikeholdes av Defender for Cloud-apper om lagrede filer.

Eksempler på filfilter

Du kan for eksempel bruke Filer-siden til å sikre eksternt delte filer merket som Konfidensielt, som følger:

Når du har koblet en app til Defender for Cloud Apps, kan du integrere med Microsoft Purview informasjonsbeskyttelse. Deretter filtrerer du etter filer merket KonfidensieltFiler-siden, og utelater domenet i samarbeidspartnerfilteret. Hvis du ser at det er konfidensielle filer som deles utenfor organisasjonen, kan du opprette en filpolicy for å oppdage dem. Du kan bruke automatiske styringshandlinger på disse filene, for eksempel Fjern eksterne samarbeidspartnere og Send sammendrag av policysamsamsler til eieren av filen for å forhindre tap av data for organisasjonen.

Filfilter konfidensielt.

Her er et annet eksempel på hvordan du kan bruke Filer-siden . Kontroller at ingen i organisasjonen deler filer som ikke har blitt endret offentlig eller eksternt de siste seks månedene:

Koble en app til Defender for Cloud Apps, og gå til Filer-siden. Filtrer for filer som har tilgangsnivå eksternt eller offentlig , og angi datoen for siste endring til seks måneder siden. Opprett en filpolicy som oppdager disse foreldede offentlige filene ved å velge Ny policy fra søk. Bruk automatiske styringshandlinger på dem, for eksempel Fjern eksterne brukere, for å forhindre tap av data i organisasjonen.

Filfilter foreldet eksternt.

Det grunnleggende filteret gir deg flotte verktøy for å komme i gang med filtrering av filene dine.

Grunnleggende filloggfilter.

Hvis du vil drille ned i mer spesifikke filer, kan du utvide det grunnleggende filteret ved å velge Avanserte filtre.

Avansert filloggfilter.

Filfiltre

Defender for Cloud Apps kan overvåke alle filtyper basert på mer enn 20 metadatafiltre (for eksempel tilgangsnivå, filtype).

De Defender for Cloud Apps innebygde DLP-motorene utfører innholdsinspeksjon ved å trekke ut tekst fra vanlige filtyper. Noen av de inkluderte filtypene er PDF-, Office-filer, RTF-, HTML- og kodefiler.

Nedenfor finner du en liste over filfiltrene som kan brukes. For å gi deg et kraftig verktøy for policyoppretting, støtter de fleste filtre flere verdier og en NOT.

Obs!

Når du bruker filpolicyfiltrene, søker Contains bare etter hele ord , atskilt med komma, prikker, bindestreker eller mellomrom for å søke.

  • Mellomrom eller bindestreker mellom ord fungerer som ELLER. Hvis du for eksempel søker etter virus med skadelig programvare, finner den alle filer med enten skadelig programvare eller virus i navnet, slik at den finner både malware-virus.exe og virus.exe.
  • Hvis du vil søke etter en streng, setter du ordene i anførselstegn. Dette fungerer som AND. Hvis du for eksempel søker etter virus med skadelig programvare, finner den virus-malware-file.exe men finner ikke malwarevirusfile.exe og finner ikke malware.exe. Det vil imidlertid søke etter den nøyaktige strengen. Hvis du søker etter «virus med skadelig programvare», finner den ikke «virus» eller «virus-malware».

Er lik søker bare etter den fullstendige strengen. Hvis du for eksempel søker etter malware.exe finner den malware.exe men ikke malware.exe.txt.

  • Tilgangsnivå – tilgangsnivå for deling; offentlig, ekstern, intern eller privat.

    • Intern – Alle filer i de interne domenene du angir i generelt oppsett.
    • Ekstern – Alle filer som er lagret på plasseringer som ikke er innenfor de interne domenene du angir.
    • Delt – Filer som har et delingsnivå over privat. Delte inkluderinger:

      • Intern deling – Filer som deles i interne domener.

      • Ekstern deling – Filer som deles i domener som ikke er oppført i de interne domenene.

      • Offentlig med en kobling – Filer som kan deles med hvem som helst via en kobling.

      • Offentlig – Filer som du finner ved å søke på Internett.

        Obs!

        Filer som deles inn i tilkoblede lagringsapper av eksterne brukere, håndteres som følger av Defender for Cloud Apps:

        • OneDrive: OneDrive tilordner en intern bruker som eier av en fil som er plassert i OneDrive av en ekstern bruker. Siden disse filene deretter betraktes som eid av organisasjonen, skanner Defender for Cloud Apps disse filene og bruker policyer på samme måte som i andre filer i OneDrive.
        • Google Drive: Google Drive anser disse som eid av den eksterne brukeren, og på grunn av juridiske begrensninger på filer og data som organisasjonen ikke eier, har Defender for Cloud Apps ikke tilgang til disse filene.
        • Eske: Fordi Box anser eksternt eide filer som privat informasjon, kan ikke globale box-administratorer se innholdet i filene. Derfor har Defender for Cloud Apps ikke tilgang til disse filene.
        • Dropbox: Fordi Dropbox anser eksternt eide filer for å være privat informasjon, kan ikke globale Dropbox-administratorer se innholdet i filene. Derfor har Defender for Cloud Apps ikke tilgang til disse filene.

  • App – Søk bare etter filer i disse appene.

  • Samarbeidspartnere – Inkluder/utelat bestemte samarbeidspartnere eller grupper.

    • Alle fra domene – Hvis en bruker fra dette domenet har direkte tilgang til filen.

      Obs!

      • Dette filteret støtter ikke filer som ble delt med en gruppe, bare med bestemte brukere.
      • For SharePoint og OneDrive støtter ikke filteret filer som deles med en bestemt bruker via en delt kobling.

    • Hele organisasjonen – hvis hele organisasjonen har tilgang til filen.

    • Grupper – Hvis en bestemt gruppe har tilgang til filen. Grupper kan importeres fra Active Directory, skyapper eller opprettes manuelt i tjenesten.

      Obs!

      • Dette filteret brukes til å søke etter en samarbeidspartnergruppe som helhet. Det samsvarer ikke med individuelle gruppemedlemmer.

    • Brukere – enkelte brukere som kan ha tilgang til filen.

  • Opprettet – opprettelsestidspunkt for fil. Filteret støtter datoer før/etter og et datointervall.

  • Filtype – fokuser på bestemte filtyper. For eksempel alle filer som er kjørbare filer (*.exe).

    Obs!

    • Dette filteret skiller mellom store og små bokstaver.
    • Bruk OR-setningsdelen til å bruke filteret på mer enn én enkelt variasjon av stor forbokstav.

  • Fil-ID – Søk etter bestemte fil-IDer. Fil-ID er en avansert funksjon som lar deg spore visse filer med høy verdi uten avhengighet av eier, plassering eller navn.

  • Filnavn – filnavn eller understreng med navnet som definert i skyappen. For eksempel alle filer med et passord i navnet.

  • Følsomhetsetikett – Søk etter filer med bestemte etiketter angitt. Etiketter er enten:

    Obs!

    Hvis dette filteret brukes i en filpolicy, gjelder policyen bare for Microsoft Office-filer, og vil ignorere andre filtyper.

    • Microsoft Purview informasjonsbeskyttelse – Krever integrering med Microsoft Purview informasjonsbeskyttelse.
    • Defender for Cloud Apps – gir mer innsikt i filene den skanner. For hver fil som skannes av Defender for Cloud Apps DLP, kan du vite om inspeksjonen ble blokkert fordi filen er kryptert eller skadet. Du kan for eksempel konfigurere policyer for å varsle og sette passordbeskyttede filer i karantene som deles eksternt.
      • Azure RMS kryptert – filer med innhold som ikke ble inspisert fordi de har et Azure RMS-krypteringssett.
      • Passord kryptert – filer med innhold som ikke ble inspisert fordi de er passordbeskyttet av brukeren.
      • Skadet fil – filer med innhold som ikke ble kontrollert fordi innholdet ikke kunne leses.

  • Filtype – Defender for Cloud Apps skanner filen for å finne ut om den sanne filtypen samsvarer med den mottatte MIME-typen (se tabell) fra tjenesten. Denne skanningen er for filer som er relevante for dataskanning (dokumenter, bilder, presentasjoner, regneark, tekst og zip/arkivfiler). Filteret fungerer per fil-/mappetype. For eksempel alle mapper som er ... eller alle regnearkfiler som er ...

MIME-type Filtype
- application/vnd.openxmlformats-officedocument.wordprocessingml.document
- application/vnd.ms-word.document.macroEnabled.12
- program/msword
- application/vnd.oasis.opendocument.text
- application/vnd.stardivision.writer
- application/vnd.stardivision.writer-global
- application/vnd.sun.xml.writer
- application/vnd.stardivision.math
- application/vnd.stardivision.chart
- program/x-starwriter
- program/x-stardraw
- program/x-starmath
- program/x-starchart
– application/vnd.google-apps.document
– application/vnd.google-apps.kix
– program/pdf
– program/x-pdf
- application/vnd.box.webdoc
- application/vnd.box.boxnote
- application/vnd.jive.document
- tekst/rtf
- program/rtf		 Dokument
- application/vnd.oasis.opendocument.image
– application/vnd.google-apps.photo
- begynner med: bilde/		 Bilde
- application/vnd.openxmlformats-officedocument.presentationml.presentation
- application/vnd.ms-powerpoint.template.macroEnabled.12
- program/mspowerpoint
– program/powerpoint
- program/vnd.ms-powerpoint
- program/x-mspowerpoint
- program/mspowerpoint
- program/vnd.ms-powerpoint
- application/vnd.oasis.opendocument.presentation
- application/vnd.sun.xml.impress
- application/vnd.stardivision.impress
- program/x-starimpress
– application/vnd.google-apps.presentation		 Presentasjon
- application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
- application/vnd.ms-excel.sheet.macroEnabled.12
– program/excel
- application/vnd.ms-excel
– program/x-excel
- program/x-msexcel
- application/vnd.oasis.opendocument.spreadsheet
- application/vnd.sun.xml.calc
- application/vnd.stardivision.calc
- program/x-stjerneberegning
– application/vnd.google-apps.spreadsheet		 Regneark
- begynner med: tekst/ Tekst
Alle andre mime-filtyper Annet

policy_file filtertype.

  • I papirkurven – Utelat/inkluder filer i papirkurvmappen. Disse filene kan fremdeles deles og utgjøre en risiko.

    Obs!

    Dette filteret gjelder ikke for filer på SharePoint og OneDrive.

    policy_file filtrerer søppel.

  • Sist endret – tidspunkt for filendring. Filteret støtter før og etter datoer, datointervall og relative tidsuttrykk. For eksempel alle filer som ikke ble endret de siste seks månedene.

  • Samsvarende policy – filer som samsvarer med en aktiv Defender for Cloud Apps-policy.

  • MIME-type – kontroll av fil-MIME-type. Den godtar fri tekst.

  • Eier – Inkluder/utelat bestemte fileiere. Du kan for eksempel spore alle filer som deles av rogue_employee_#100.

  • Eier-OU – Inkluder eller utelat fileiere som tilhører bestemte organisasjonsenheter. For eksempel alle offentlige filer unntatt filer som deles av EMEA_marketing. Gjelder bare for filer som er lagret i Google Drive.

  • Overordnet mappe – Inkluder eller utelat en bestemt mappe (gjelder ikke for undermapper). Alle offentlig delte filer bortsett fra filer i denne mappen, for eksempel.

    Obs!

    Defender for Cloud Apps oppdager bare nye SharePoint- og OneDrive-mapper etter at noe filaktivitet er utført i dem.

  • Satt i karantene – hvis filen er satt i karantene av tjenesten. Vis meg for eksempel alle filer som er satt i karantene.

Når du oppretter en policy, kan du også angi at den skal kjøre på bestemte filer ved å angi Bruk på filter. Filtrer til enten alle filer, valgte mapper (undermapper inkludert) eller alle filer unntatt valgte mapper. Velg deretter filene eller mappene som er relevante.

bruk på filter.

Godkjenne filer

Når Defender for Cloud Apps har identifisert filer som utgjør en skadelig programvare- eller DLP-risiko, anbefaler vi at du undersøker filene. Hvis du finner ut at filene er trygge, kan du godkjenne dem. Godkjenning av en fil fjerner den fra rapporten for registrering av skadelig programvare og undertrykker fremtidige treff på denne filen.

Slik godkjenner du filer

  1. Velg Policybehandling> under Skyapper i Microsoft Defender-portalen. Velg fanen Informasjonsbeskyttelse .

  2. Velg treff-koblingen i antall-kolonnen i listen over policyer i raden der policyen som utløste undersøkelsen vises.

    Tips

    Du kan filtrere listen over policyer etter type. Tabellen nedenfor viser, per risikotype, hvilken filtertype som skal brukes:

    Risikotype Filtertype
    DLP Filpolicy
    Skadelig programvare Policy for gjenkjenning av skadelig programvare

  3. Velg ✓ å godkjenne i listen over samsvarende filer, på raden der filen under undersøkelse vises.

Arbeide med Fil-skuffen

Du kan vise mer informasjon om hver fil ved å velge selve filen i filloggen. Hvis du velger den, åpnes Fil-skuffen som inneholder følgende tilleggshandlinger du kan utføre på filen:

  • NETTADRESSE – Tar deg til filplasseringen.
  • Filidentifikatorer – Åpner et popup-vindu med rådatadetaljer om filen, inkludert fil-ID og krypteringsnøkler når de er tilgjengelige.
  • Eier – Vis brukersiden for eieren av denne filen.
  • Samsvarende policyer – Se en liste over policyer filen samsvarte med.
  • Følsomhetsetiketter – Vis listen over følsomhetsetiketter fra Microsoft Purview informasjonsbeskyttelse som finnes i denne filen. Deretter kan du filtrere etter alle filer som samsvarer med denne etiketten.

Feltene i Fil-skuffen inneholder kontekstavhengige koblinger til flere filer og neddrillinger du kanskje vil utføre direkte fra skuffen. Hvis du for eksempel flytter markøren ved siden av Eier-feltet , kan du bruke legg til i filterikonet for å filtrere. Hvis du vil legge til eieren umiddelbart i filteret på gjeldende side. Du kan også bruke ikonikonet for innstillinger for tannhjulikon. Det dukker opp for å komme direkte til innstillingssiden som er nødvendig for å endre konfigurasjonen av ett av feltene, for eksempel følsomhetsetiketter.

Filskuff.

Hvis du vil ha en liste over tilgjengelige styringshandlinger, kan du se Handlinger for filstyring.

Neste trinn

Anbefalte fremgangsmåter for å beskytte organisasjonen

Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.