Zelfstudie: Bestanden beveiligen met beheerdersquarantaine

Bestandsbeleid is een uitstekend hulpmiddel voor het vinden van bedreigingen voor uw beleid voor gegevensbeveiliging. Maak bijvoorbeeld bestandsbeleid dat locaties zoekt waar gebruikers gevoelige informatie, creditcardnummers en ICAP-bestanden van derden in uw cloud hebben opgeslagen.

In deze zelfstudie leert u hoe u Microsoft Defender for Cloud Apps kunt gebruiken om ongewenste bestanden te detecteren die in uw cloud zijn opgeslagen en die u kwetsbaar maken, en onmiddellijk actie te ondernemen om ze te stoppen en de bestanden te vergrendelen die een bedreiging vormen met behulp van Beheer quarantaine om uw bestanden in de cloud te beschermen, problemen op te lossen en toekomstige lekken te voorkomen.

• Begrijpen hoe quarantaine werkt
• Beheerdersquarantaine instellen

Belangrijk

Vanaf 1 september 2024 wordt de pagina Bestanden afgeschaft van Microsoft Defender for Cloud Apps. Maak en wijzig op dat moment Information Protection beleid en zoek malwarebestanden op de pagina Beleidsbeheer > voor cloud-apps>. Zie Bestandsbeleid in Microsoft Defender for Cloud Apps voor meer informatie.

Begrijpen hoe quarantaine werkt

Opmerking

• Zie de lijst met beheeracties voor een lijst met apps die ondersteuning bieden voor beheerdersquarantaine.
• Bestanden met het label Defender for Cloud Apps kunnen niet in quarantaine worden geplaatst.
• Defender for Cloud Apps beheerdersquarantaineacties zijn beperkt tot 100 acties per dag.
• SharePoint-sites waarvan de naam rechtstreeks of als onderdeel van de naam van het domein is gewijzigd, kunnen niet worden gebruikt als maplocatie voor beheerdersquarantaine.

1. Wanneer een bestand overeenkomt met een beleid, is de optie Beheer quarantaine beschikbaar voor het bestand.

2. Voer een van de volgende acties uit om het bestand in quarantaine te plaatsen:

   • Pas de actie Beheer quarantaine handmatig toe:

     

   • Stel deze in als een geautomatiseerde quarantaineactie in het beleid:

     

3. Wanneer Beheer quarantaine wordt toegepast, gebeurt het volgende achter de schermen:

   1. Het oorspronkelijke bestand wordt verplaatst naar de map met beheerdersquarantaine die u hebt ingesteld.

   2. Het oorspronkelijke bestand wordt verwijderd.

   3. Een tombstone-bestand wordt geüpload naar de oorspronkelijke bestandslocatie.

      

   4. De gebruiker heeft alleen toegang tot het tombstone-bestand. In het bestand kunnen ze de aangepaste richtlijnen lezen die zijn verstrekt door IT en de correlatie-id om IT te geven het bestand vrij te geven.

4. Wanneer u de waarschuwing ontvangt dat een bestand in quarantaine is geplaatst, gaat u naar Beleid ->Beleidsbeheer. Selecteer vervolgens het tabblad Information Protection. Kies in de rij met uw bestandsbeleid de drie puntjes aan het einde van de regel en selecteer Alle overeenkomsten weergeven. Hiermee krijgt u het rapport van overeenkomsten, waar u de overeenkomende en in quarantaine geplaatste bestanden kunt zien:

   

5. Nadat een bestand in quarantaine is geplaatst, gebruikt u het volgende proces om de bedreigingssituatie op te lossen:

   1. Controleer het bestand in de map in quarantaine op SharePoint online.
   2. U kunt ook de auditlogboeken bekijken om dieper in te gaan op de bestandseigenschappen.
   3. Als u merkt dat het bestand in strijd is met het bedrijfsbeleid, voert u het proces Incident Response (IR) van de organisatie uit.
   4. Als u merkt dat het bestand onschadelijk is, kunt u het bestand herstellen uit quarantaine. Op dat moment wordt het oorspronkelijke bestand vrijgegeven, wat betekent dat het terug wordt gekopieerd naar de oorspronkelijke locatie, de tombstone wordt verwijderd en de gebruiker toegang heeft tot het bestand.

   

6. Controleer of het beleid soepel wordt uitgevoerd. Vervolgens kunt u de automatische governanceacties in het beleid gebruiken om verdere lekken te voorkomen en automatisch een Beheer quarantaine toepassen wanneer het beleid overeenkomt.

Opmerking

Wanneer u een bestand herstelt:

• Oorspronkelijke shares worden niet hersteld, standaardmapovername toegepast.
• Het herstelde bestand bevat alleen de meest recente versie.
• Het toegangsbeheer van de quarantainemapsite is de verantwoordelijkheid van de klant.

Beheerdersquarantaine instellen

1. Stel bestandsbeleid in waarmee schendingen worden gedetecteerd. Voorbeelden van deze typen beleidsregels zijn:

   • Een beleid met alleen metagegevens, zoals een vertrouwelijkheidslabel in SharePoint Online
   • Een systeemeigen DLP-beleid, zoals een beleid waarmee wordt gezocht naar creditcardnummers
   • Een ICAP-beleid van derden, zoals een beleid dat zoekt naar Vontu

2. Stel een quarantainelocatie in:

   1. Voor Microsoft 365 SharePoint of OneDrive voor Bedrijven kunt u bestanden pas in beheerdersquarantaine plaatsen als onderdeel van een beleid als u het hebt ingesteld:

      Als u de instellingen voor beheerdersquarantaine wilt instellen, selecteert u instellingen in de Microsoft Defender Portal. Kies vervolgens Cloud-apps. Kies onder Information ProtectionBeheer quarantaine. Geef een site op voor de locatie van de quarantainemap en een gebruikersmelding die uw gebruiker ontvangt wanneer hun bestand in quarantaine wordt geplaatst.

      Opmerking

      Defender for Cloud Apps maakt een quarantainemap op de geselecteerde site.

   2. Voor Box kunnen de locatie van de quarantainemap en het gebruikersbericht niet worden aangepast. De maplocatie is het station van de beheerder die Box heeft verbonden met Defender for Cloud Apps en het bericht van de gebruiker is: Dit bestand is in quarantaine geplaatst op het station van uw beheerder omdat het mogelijk het beveiligings- en nalevingsbeleid van uw bedrijf schendt. Neem contact op met uw IT-beheerder.

Volgende stappen

Aanbevolen procedures voor het beveiligen van uw organisatie

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.