Delen via

Bestanden onderzoeken met Microsoft Defender for Cloud Apps

  • Artikel

Om gegevensbeveiliging te bieden, geeft Microsoft Defender for Cloud Apps u inzicht in alle bestanden van uw verbonden apps. Nadat u Microsoft Defender for Cloud Apps verbinding hebt gemaakt met een app via de app-connector, scant Microsoft Defender for Cloud Apps alle bestanden, bijvoorbeeld alle bestanden die zijn opgeslagen in OneDrive en Salesforce. Vervolgens Defender for Cloud Apps elk bestand opnieuw scant wanneer het wordt gewijzigd. De wijziging kan betrekking hebben op inhoud, metagegevens of machtigingen voor delen. Scantijden zijn afhankelijk van het aantal bestanden dat in uw app is opgeslagen. U kunt ook de pagina Bestanden gebruiken om bestanden te filteren om te onderzoeken wat voor soort gegevens worden opgeslagen in uw cloud-apps.

Belangrijk

Vanaf 1 september 2024 wordt de paginaBestanden geleidelijk verwijderd van Microsoft Defender for Cloud Apps. De kernfuncties van de pagina Bestanden zijn beschikbaar op de pagina Beleidsbeheer voor cloud-apps >>. U wordt aangeraden de pagina Beleidsbeheer te gebruiken om bestanden te onderzoeken en Information Protection beleid en malwarebestanden te maken, te wijzigen en te filteren. Zie Bestandsbeleid in Microsoft Defender for Cloud Apps voor meer informatie.

Opmerking

Querygroottebeperking in bestandsbeleidsfilters en 'Bewerken en voorbeeldresultaten'

  • Bij het maken of bewerken van een bestandsbeleid of bij het gebruik van de optie 'Bewerken en voorbeeld van resultaten' is er een beperking van de querygrootte. Deze beperking zorgt voor optimale prestaties en voorkomt overbelasting van het systeem.
  • Als uw query de toegestane grootte overschrijdt, moet u mogelijk uw criteria verfijnen of andere filters gebruiken om binnen de toegestane limieten te passen. Als het beleid bijvoorbeeld criteria voor 'samenwerkers' omvat die de groep 'iedereen' of 'iedereen behalve externe gebruikers' bevatten, kan dit een fout veroorzaken vanwege een beperking van de querygrootte.
  • Houd er rekening mee dat als de query de groottelimiet overschrijdt, het systeem niet opgeeft welk filter de fout heeft veroorzaakt.

Bestandsbewaking inschakelen

Als u bestandsbewaking voor Defender for Cloud Apps wilt inschakelen, schakelt u eerst bestandsbewaking in het gebied Instellingen in. Selecteer in de Microsoft Defender-portalInstellingen>Cloud-apps>Information Protection> Bestanden >Bestandsbewaking>inschakelen Opslaan.

  • Als er geen actief bestandsbeleid is, wordt bestandsbewaking zeven dagen na de laatste tijd van de bestandspagina automatisch weer uitgeschakeld.
  • Als er geen actief bestandsbeleid is, begint Defender for Cloud Apps 35 dagen na de laatste tijd van de bestandspagina met het verwijderen van gegevens die worden onderhouden door Defender for Cloud-apps over opgeslagen bestanden.

Voorbeelden van bestandsfilters

Gebruik bijvoorbeeld de pagina Bestanden om extern gedeelde bestanden met het label Vertrouwelijk als volgt te beveiligen:

Nadat u een app hebt verbonden met Defender for Cloud Apps, integreert u met Microsoft Purview Informatiebeveiliging. Filter vervolgens op de pagina Bestanden op bestanden met het label Vertrouwelijk en sluit uw domein uit in het filter Samenwerkers . Als u ziet dat er vertrouwelijke bestanden worden gedeeld buiten uw organisatie, kunt u een bestandsbeleid maken om deze te detecteren. U kunt automatische governanceacties toepassen op deze bestanden, zoals Externe medewerkers verwijderen en Beleidssamenvatting verzenden naar bestandseigenaar om gegevensverlies voor uw organisatie te voorkomen.

Bestandsfilter vertrouwelijk.

Hier volgt nog een voorbeeld van hoe u de pagina Bestanden kunt gebruiken. Zorg ervoor dat niemand in uw organisatie openbaar of extern bestanden deelt die de afgelopen zes maanden niet zijn gewijzigd:

Verbind een app met Defender for Cloud Apps en ga naar de pagina Bestanden. Filter op bestanden waarvan het toegangsniveau Extern of Openbaar is en stel de datum Laatst gewijzigd in op zes maanden geleden. Maak een bestandsbeleid dat deze verouderde openbare bestanden detecteert door Nieuw beleid te selecteren in de zoekopdracht. Pas automatische governanceacties toe op hen, zoals Externe gebruikers verwijderen, om gegevensverlies voor uw organisatie te voorkomen.

Bestand filter verouderd extern.

Het basisfilter biedt u geweldige hulpmiddelen om aan de slag te gaan met het filteren van uw bestanden.

Standaardbestandslogboekfilter.

Als u wilt inzoomen op specifiekere bestanden, kunt u het basisfilter uitbreiden door Geavanceerde filters te selecteren.

Geavanceerd bestandslogboekfilter.

Bestandsfilters

Defender for Cloud Apps kunt elk bestandstype controleren op basis van meer dan 20 metagegevensfilters (bijvoorbeeld toegangsniveau, bestandstype).

De Defender for Cloud Apps ingebouwde DLP-engines voeren inhoudsinspectie uit door tekst uit algemene bestandstypen te extraheren. Enkele van de inbegrepen bestandstypen zijn PDF-, Office-, RTF-, HTML- en codebestanden.

Hieronder vindt u een lijst met de bestandsfilters die kunnen worden toegepast. Om u een krachtig hulpprogramma te bieden voor het maken van beleid, ondersteunen de meeste filters meerdere waarden en een NOT.

Opmerking

Wanneer u de bestandsbeleidsfilters gebruikt, zoekt Contains alleen naar volledige woorden , gescheiden door komma's, puntjes, afbreekstreepjes of spaties om te zoeken.

  • Spaties of afbreekstreepjes tussen woorden werken als OF. Als u bijvoorbeeld zoekt naar malware-virus, vindt u alle bestanden met malware of virus in de naam, zodat zowel malware-virus.exe als virus.exeworden gevonden.
  • Als u wilt zoeken naar een tekenreeks, plaatst u de woorden tussen aanhalingstekens. Dit werkt zoals AND. Als u bijvoorbeeld zoekt naar "malware""virus", zal het virus-malware-file.exe vinden, maar het zal niet vindenmalwarevirusfile.exe en het zal niet vindenmalware.exe. Er wordt echter gezocht naar de exacte tekenreeks. Als u zoekt naar 'malware virus', wordt 'virus' of 'virus-malware' niet gevonden.

Equals zoekt alleen naar de volledige tekenreeks. Als u bijvoorbeeld naar malware.exe zoekt, vindt u malware.exe , maar niet malware.exe.txt.

  • Toegangsniveau : toegangsniveau delen; openbaar, extern, intern of privé.

    • Intern : alle bestanden binnen de interne domeinen die u hebt ingesteld in De algemene installatie.
    • Extern : alle bestanden die zijn opgeslagen in locaties die zich niet binnen de interne domeinen bevinden die u hebt ingesteld.
    • Gedeeld : bestanden met een niveau voor delen boven privé. Gedeeld omvat:

      • Intern delen: bestanden die worden gedeeld binnen uw interne domeinen.

      • Extern delen: bestanden die worden gedeeld in domeinen die niet worden vermeld in uw interne domeinen.

      • Openbaar met een koppeling: bestanden die met iedereen kunnen worden gedeeld via een koppeling.

      • Openbaar: bestanden die kunnen worden gevonden door op internet te zoeken.

        Opmerking

        Bestanden die door externe gebruikers in uw verbonden opslag-apps worden gedeeld, worden als volgt verwerkt door Defender for Cloud Apps:

        • OneDrive: OneDrive wijst een interne gebruiker toe als de eigenaar van een bestand dat door een externe gebruiker in uw OneDrive is geplaatst. Omdat deze bestanden vervolgens worden beschouwd als eigendom van uw organisatie, scant Defender for Cloud Apps deze bestanden en past het beleid toe op elk ander bestand in uw OneDrive.
        • Google Drive: Google Drive beschouwt deze als eigendom van de externe gebruiker en vanwege wettelijke beperkingen op bestanden en gegevens die niet in de bezit zijn van uw organisatie, Defender for Cloud Apps geen toegang heeft tot deze bestanden.
        • Doos: Omdat Box bestanden in extern eigendom beschouwt als persoonlijke informatie, kunnen globale beheerders van Box de inhoud van de bestanden niet zien. Daarom heeft Defender for Cloud Apps geen toegang tot deze bestanden.
        • Dropbox: Omdat Dropbox bestanden in extern eigendom beschouwt als persoonlijke gegevens, kunnen globale Dropbox-beheerders de inhoud van de bestanden niet zien. Daarom heeft Defender for Cloud Apps geen toegang tot deze bestanden.

  • App : alleen zoeken naar bestanden in deze apps.

  • Samenwerkers : specifieke samenwerkers of groepen opnemen/uitsluiten.

    • Elke van domein : als een gebruiker uit dit domein directe toegang heeft tot het bestand.

      Opmerking

      • Dit filter biedt geen ondersteuning voor bestanden die zijn gedeeld met een groep, alleen met specifieke gebruikers.
      • Voor SharePoint en OneDrive biedt het filter geen ondersteuning voor bestanden die worden gedeeld met een specifieke gebruiker via een gedeelde koppeling.

    • Hele organisatie : als de hele organisatie toegang heeft tot het bestand.

    • Groepen: als een specifieke groep toegang heeft tot het bestand. Groepen kunnen worden geïmporteerd uit Active Directory, cloud-apps of handmatig worden gemaakt in de service.

      Opmerking

      • Dit filter wordt gebruikt om te zoeken naar een samenwerkersgroep als geheel. Dit komt niet overeen met afzonderlijke groepsleden.

    • Gebruikers : bepaalde set gebruikers die mogelijk toegang hebben tot het bestand.

  • Gemaakt : aanmaaktijd van bestand. Het filter ondersteunt voor/na datums en een datumbereik.

  • Extensie : focus op specifieke bestandsextensies. Bijvoorbeeld alle bestanden die uitvoerbaar zijn (*.exe).

    Opmerking

    • Dit filter is hoofdlettergevoelig.
    • Gebruik de OF-component om het filter toe te passen op meer dan één hoofdlettervariatie.

  • Bestands-id : zoek naar specifieke bestands-id's. Bestands-id is een geavanceerde functie waarmee u bepaalde bestanden met een hoge waarde kunt bijhouden zonder afhankelijkheid van eigenaar, locatie of naam.

  • Bestandsnaam : bestandsnaam of subtekenreeks van de naam zoals gedefinieerd in de cloud-app. Bijvoorbeeld alle bestanden met een wachtwoord in hun naam.

  • Vertrouwelijkheidslabel : zoeken naar bestanden waarvoor specifieke labels zijn ingesteld. Labels zijn:

    Opmerking

    Als dit filter wordt gebruikt in een bestandsbeleid, is het beleid alleen van toepassing op Microsoft Office-bestanden en worden andere bestandstypen genegeerd.

    • Microsoft Purview Informatiebeveiliging: integratie met Microsoft Purview Informatiebeveiliging vereist.
    • Defender for Cloud Apps: biedt meer inzicht in de bestanden die worden gescand. Voor elk bestand dat wordt gescand door Defender for Cloud Apps DLP, kunt u weten of de inspectie is geblokkeerd omdat het bestand is versleuteld of beschadigd. U kunt bijvoorbeeld beleid instellen om bestanden die extern worden gedeeld te waarschuwen en in quarantaine te plaatsen.
      • Azure RMS versleuteld : bestanden waarvan de inhoud niet is geïnspecteerd omdat ze een Azure RMS-versleutelingsset hebben.
      • Wachtwoord versleuteld : bestanden waarvan de inhoud niet is geïnspecteerd omdat ze met een wachtwoord zijn beveiligd door de gebruiker.
      • Beschadigd bestand : bestanden waarvan de inhoud niet is geïnspecteerd omdat de inhoud ervan niet kan worden gelezen.

  • Bestandstype: Defender for Cloud Apps scant het bestand om te bepalen of het werkelijke bestandstype overeenkomt met het MIME-type dat is ontvangen van de service (zie tabel). Deze scan is bedoeld voor bestanden die relevant zijn voor het scannen van gegevens (documenten, afbeeldingen, presentaties, spreadsheets, tekst en zip-/archiefbestanden). Het filter werkt per bestand/maptype. Bijvoorbeeld Alle mappen die ... of Alle spreadsheetbestanden zijn die...

MIME-type Bestandstype
- application/vnd.openxmlformats-officedocument.wordprocessingml.document
- application/vnd.ms-word.document.macroEnabled.12
- toepassing/msword
- application/vnd.oasis.opendocument.text
- application/vnd.stardivision.writer
- application/vnd.stardivision.writer-global
- application/vnd.sun.xml.writer
- application/vnd.stardivision.math
- application/vnd.stardivision.chart
- toepassing/x-starwriter
- application/x-stardraw
- toepassing/x-starmath
- toepassing/x-starchart
- application/vnd.google-apps.document
- application/vnd.google-apps.kix
- toepassing/pdf
- application/x-pdf
- application/vnd.box.webdoc
- application/vnd.box.boxnote
- application/vnd.jive.document
- tekst/rtf
- toepassing/rtf		 Document
- application/vnd.oasis.opendocument.image
- application/vnd.google-apps.photo
- begint met: image/		 Afbeelding
- application/vnd.openxmlformats-officedocument.presentationml.presentation
- application/vnd.ms-powerpoint.template.macroEnabled.12
- application/mspowerpoint
- toepassing/powerpoint
- application/vnd.ms-powerpoint
- application/x-mspowerpoint
- application/mspowerpoint
- application/vnd.ms-powerpoint
- application/vnd.oasis.opendocument.presentation
- application/vnd.sun.xml.impress
- application/vnd.stardivision.impress
- toepassing/x-starimpress
- application/vnd.google-apps.presentation		 Presentatie
- application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
- application/vnd.ms-excel.sheet.macroEnabled.12
- toepassing/excel
- application/vnd.ms-excel
- application/x-excel
- application/x-msexcel
- application/vnd.oasis.opendocument.spreadsheet
- application/vnd.sun.xml.calc
- application/vnd.stardivision.calc
- toepassing/x-starcalc
- application/vnd.google-apps.spreadsheet		 Spreadsheet
- begint met: text/ Tekst
Alle andere MIME-typen bestanden Overige

policy_file filtertype.

  • In prullenbak : bestanden uitsluiten/opnemen in de prullenbak. Deze bestanden kunnen nog steeds worden gedeeld en vormen een risico.

    Opmerking

    Dit filter is niet van toepassing op bestanden in SharePoint en OneDrive.

    policy_file filtert prullenbak.

  • Laatst gewijzigd : tijdstip van bestandswijziging. Het filter ondersteunt expressies voor en na datums, datumbereik en relatieve tijd. Bijvoorbeeld alle bestanden die de afgelopen zes maanden niet zijn gewijzigd.

  • Overeenkomend beleid: bestanden die worden vergeleken met een actief Defender for Cloud Apps-beleid.

  • MIME-type : controle van het MIME-type van het bestand. Het accepteert vrije tekst.

  • Eigenaar : specifieke bestandseigenaren opnemen/uitsluiten. Houd bijvoorbeeld alle bestanden bij die worden gedeeld door rogue_employee_#100.

  • OE van eigenaar : bestandseigenaren opnemen of uitsluiten die deel uitmaken van bepaalde organisatie-eenheden. Bijvoorbeeld: alle openbare bestanden, behalve bestanden die worden gedeeld door EMEA_marketing. Is alleen van toepassing op bestanden die zijn opgeslagen in Google Drive.

  • Bovenliggende map : een specifieke map opnemen of uitsluiten (is niet van toepassing op submappen). Bijvoorbeeld alle openbaar gedeelde bestanden, behalve bestanden in deze map.

    Opmerking

    Defender for Cloud Apps detecteert alleen nieuwe SharePoint- en OneDrive-mappen nadat er een bestandsactiviteit in is uitgevoerd.

  • In quarantaine: als het bestand in quarantaine is geplaatst door de service. Laat me bijvoorbeeld alle bestanden zien die in quarantaine zijn geplaatst.

Wanneer u een beleid maakt, kunt u ook instellen dat het wordt uitgevoerd op specifieke bestanden door het filter Toepassen op in te stellen. Filter op alle bestanden, geselecteerde mappen (inclusief submappen) of alle bestanden, met uitzondering van geselecteerde mappen. Selecteer vervolgens de bestanden of mappen die relevant zijn.

toepassen op filter.

Bestanden autoriseren

Nadat Defender for Cloud Apps bestanden heeft geïdentificeerd als een malware- of DLP-risico, raden we u aan de bestanden te onderzoeken. Als u vaststelt dat de bestanden veilig zijn, kunt u ze autoriseren. Als u een bestand autoriseert, wordt dit verwijderd uit het malwaredetectierapport en worden toekomstige overeenkomsten in dit bestand onderdrukt.

Bestanden autoriseren

  1. Selecteer in de Microsoft Defender Portal onder Cloud-appsde optie Beleid ->Beleidsbeheer. Selecteer het tabblad Informatiebeveiliging .

  2. Selecteer in de lijst met beleidsregels in de rij waarin het beleid dat het onderzoek heeft geactiveerd, in de kolom Aantal de koppeling overeenkomsten .

    Tip

    U kunt de lijst met beleidsregels filteren op type. In de volgende tabel ziet u per risicotype welk filtertype moet worden gebruikt:

    Risicotype Filtertype
    DLP Bestandsbeleid
    Malware Malwaredetectiebeleid

  3. Selecteer in de lijst met overeenkomende bestanden in de rij waarin het onderzochte bestand wordt weergegeven de ✓ om te autoriseren.

Werken met de bestandenlade

U kunt meer informatie over elk bestand bekijken door het bestand zelf te selecteren in het bestandslogboek. Als u deze selecteert, wordt de bestandslade geopend met de volgende extra acties die u voor het bestand kunt uitvoeren:

  • URL : hiermee gaat u naar de bestandslocatie.
  • Bestands-id's : hiermee opent u een pop-up met onbewerkte gegevens over het bestand, inclusief bestands-id en versleutelingssleutels wanneer deze beschikbaar zijn.
  • Eigenaar : bekijk de gebruikerspagina voor de eigenaar van dit bestand.
  • Overeenkomende beleidsregels : bekijk een lijst met beleidsregels die overeenkomen met het bestand.
  • Vertrouwelijkheidslabels: bekijk de lijst met vertrouwelijkheidslabels van Microsoft Purview Informatiebeveiliging gevonden in dit bestand. U kunt vervolgens filteren op alle bestanden die overeenkomen met dit label.

De velden in de bestandslade bevatten contextuele koppelingen naar aanvullende bestanden en inzoomen die u mogelijk rechtstreeks vanuit de lade wilt uitvoeren. Als u bijvoorbeeld de cursor naast het veld Eigenaar verplaatst, kunt u het pictogram 'toevoegen aan filter' gebruiken om de eigenaar onmiddellijk toe te voegen aan het filter van de huidige pagina. U kunt ook het tandwielpictogram Instellingen voor instellingen gebruiken. Dit pictogram verschijnt om rechtstreeks op de instellingenpagina te komen die nodig is om de configuratie van een van de velden, zoals Vertrouwelijkheidslabels, te wijzigen.

Bestandenlade.

Zie Bestandsbeheeracties voor een lijst met beschikbare governanceacties.

Volgende stappen

Aanbevolen procedures voor het beveiligen van uw organisatie

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.