Del via

Opplæring: Beskytt filer med administratorkarantene

  • Artikkel

Filpolicyer er et flott verktøy for å finne trusler mot policyene for informasjonsbeskyttelse. Du kan for eksempel opprette filpolicyer som finner steder der brukere lagret sensitiv informasjon, kredittkortnumre og tredjeparts ICAP-filer i skyen.

I denne opplæringen lærer du hvordan du bruker Microsoft Defender for Cloud Apps til å oppdage uønskede filer lagret i skyen som gjør deg sårbar, og iverksette umiddelbare tiltak for å stoppe dem i deres spor og låse ned filene som utgjør en trussel ved å bruke Admin karantene for å beskytte filene dine i skyen, utbedre problemer og forhindre fremtidige lekkasjer fra å oppstå.

Forstå hvordan karantene fungerer

Obs!

  • Hvis du vil ha en liste over apper som støtter karantene for administratorer, kan du se listen over styringshandlinger.
  • Filer merket av Defender for Cloud Apps kan ikke settes i karantene.
  • Defender for Cloud Apps handlinger for karantene for administratorer er begrenset til 100 handlinger per dag.
  • Sharepoint-områder som har fått nytt navn, enten direkte eller som en del av domenenavnet, kan ikke brukes som mappeplassering for karantene for administratorer.

  1. Når en fil samsvarer med en policy, er alternativet Admin karantene tilgjengelig for filen.

  2. Gjør én av følgende handlinger for å sette filen i karantene:

    • Bruk handlingen Admin karantene manuelt:

      karantenehandling.

    • Angi den som en automatisk karantenehandling i policyen:

      karantene automatisk.

  3. Når Admin er satt i karantene, skjer følgende i bakgrunnen:

    1. Den opprinnelige filen flyttes til mappen for karantene for administratorer du angir.

    2. Den opprinnelige filen slettes.

    3. En gravsteinfil lastes opp til den opprinnelige filplasseringen.

      karantene gravstein.

    4. Brukeren kan bare få tilgang til gravsteinfilen. I filen kan de lese de egendefinerte retningslinjene fra IT og korrelasjons-ID-en for å gi IT for å frigi filen.

  4. Når du mottar varselet om at en fil er satt i karantene, går du til Policyer ->Policy Management. Velg deretter fanen Information Protection. Velg de tre prikkene på slutten av linjen i raden med filpolicyen, og velg Vis alle treff. Dette gir deg rapporten over treff, der du kan se filene som samsvarer og settes i karantene:

    Filer som er satt i karantene.

  5. Når en fil er satt i karantene, kan du bruke følgende prosess til å utbedre trusselsituasjonen:

    1. Undersøk filen i mappen som er satt i karantene på SharePoint Online.

    2. Du kan også se på overvåkingsloggene for å fordype deg i filegenskapene.

    3. Hvis du finner at filen er i strid med bedriftens retningslinjer, kjører du organisasjonens hendelsesresponsprosess (IR).

    4. Hvis du finner ut at filen er ufarlig, kan du gjenopprette filen fra karantene. På det tidspunktet utgis den opprinnelige filen, noe som betyr at den kopieres tilbake til den opprinnelige plasseringen, gravsteinen slettes, og brukeren har tilgang til filen.

      karantenegjenoppretting.

  6. Valider at policyen kjører problemfritt. Deretter kan du bruke de automatiske styringshandlingene i policyen for å forhindre ytterligere lekkasjer og automatisk bruke en Admin karantene når policyen samsvarer.

Obs!

Når du gjenoppretter en fil:

  • Opprinnelige delte ressurser gjenopprettes ikke, standard mappearv brukes.
  • Den gjenopprettede filen inneholder bare den nyeste versjonen.
  • Tilgangsbehandling for områdetilgang i karantenemappen er kundens ansvar.

Konfigurere karantene for administratorer

  1. Angi filpolicyer som oppdager brudd. Eksempler på disse policytypene inkluderer:

    • En policy bare for metadata, for eksempel en følsomhetsetikett i SharePoint Online
    • En opprinnelig DLP-policy, for eksempel en policy som søker etter kredittkortnumre
    • En ICAP tredjepartspolitikk som en politikk som ser etter Vontu

  2. Angi en karanteneplassering:

    1. For Microsoft 365 SharePoint eller OneDrive for Business kan du ikke sette filer i karantene for administratorer som en del av en policy før du konfigurerer den:

      karanteneadvarsel.

      Hvis du vil angi innstillinger for karantene for administratorer, velger du Innstillinger i Microsoft Defender-portalen. Velg deretter Skyapper. Velg Admin karantene under Information Protection. Angi et område for plasseringen av karantenemappen og et brukervarsel som brukeren mottar når filen er satt i karantene.

      karanteneinnstillinger.

      Obs!

      Defender for Cloud Apps oppretter en karantenemappe på det valgte området.

    2. For Box kan ikke plassering av karantenemappen og brukermeldingen tilpasses. Mappeplasseringen er stasjonen til administratoren som koblet Box til Defender for Cloud Apps, og brukermeldingen er: Denne filen ble satt i karantene på administratorens stasjon fordi den kan bryte firmaets sikkerhets- og samsvarspolicyer. Kontakt IT-administratoren din for hjelp.

Neste trinn

Anbefalte fremgangsmåter for å beskytte organisasjonen

Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.