Udostępnij za pośrednictwem

Zasady plików w Microsoft Defender for Cloud Apps

  • Artykuł

Zasady plików umożliwiają wymuszanie szerokiego zakresu zautomatyzowanych procesów przy użyciu interfejsów API dostawcy usług w chmurze. Można ustawić zasady zapewniające ciągłe skanowanie zgodności, prawne zadania zbierania elektronicznych materiałów dowodowych, DLP dla zawartości poufnej udostępnianej publicznie i wiele innych przypadków użycia. Defender for Cloud Apps może monitorować dowolny typ pliku na podstawie ponad 20 filtrów metadanych (na przykład poziomu dostępu, typu pliku).

Aby uzyskać listę filtrów plików, które można zastosować, zobacz Filtry plików w Microsoft Defender for Cloud Apps.

Obsługiwane typy plików

Aparaty Defender for Cloud Apps przeprowadzają inspekcję zawartości, wyodrębniając tekst ze wszystkich typowych typów plików (100+), w tym pakietu Office, pakietu Open Office, skompresowanych plików, różnych formatów tekstu sformatowanego, XML, HTML i innych.

Policies (zasady)

Aparat łączy trzy aspekty w ramach każdej zasady:

  • Skanowanie zawartości na podstawie wstępnie ustawionych szablonów lub wyrażeń niestandardowych.

  • Filtry kontekstowe, w tym role użytkowników, metadane plików, poziom udostępniania, integracja grup organizacyjnych, kontekst współpracy i dodatkowe dostosowywalne atrybuty.

  • Zautomatyzowane akcje ładu i korygowania.

    Uwaga

    Gwarantowane jest zastosowanie tylko akcji ładu pierwszej wyzwolonej zasady. Jeśli na przykład zasady plików zastosowało już etykietę poufności do pliku, drugie zasady dotyczące plików nie mogą zastosować do niego innej etykiety poufności.

Po włączeniu zasady stale skanują środowisko chmury i identyfikują pliki zgodne z filtrami zawartości i kontekstu oraz stosują żądane zautomatyzowane akcje. Te zasady wykrywają i korygują wszelkie naruszenia informacji o spoczynku lub podczas tworzenia nowej zawartości. Zasady można monitorować przy użyciu alertów w czasie rzeczywistym lub raportów generowanych przez konsolę.

Poniżej przedstawiono przykłady zasad plików, które można utworzyć:

  • Pliki udostępnione publicznie — odbierz alert dotyczący dowolnego pliku w chmurze, który jest publicznie udostępniany, wybierając wszystkie pliki, których poziom udostępniania jest publiczny.

  • Publicznie udostępniona nazwa pliku zawiera nazwę organizacji — odbierz alert dotyczący dowolnego pliku, który zawiera nazwę organizacji i jest udostępniany publicznie. Wybierz pliki o nazwie pliku zawierającej nazwę organizacji, które są publicznie udostępniane.

  • Udostępnianie domenom zewnętrznym — otrzymywanie alertu dotyczącego dowolnego pliku udostępnionego kontom należącym do określonych domen zewnętrznych. Na przykład pliki udostępnione domenie konkurenta. Wybierz domenę zewnętrzną, za pomocą której chcesz ograniczyć udostępnianie.

  • Pliki udostępnione kwarantanny nie zostały zmodyfikowane w ostatnim okresie — otrzymaj alert dotyczący udostępnionych plików, których nikt nie zmodyfikował ostatnio, aby je poddać kwarantannie lub wybrać opcję włączenia zautomatyzowanej akcji. Wyklucz wszystkie pliki prywatne, które nie zostały zmodyfikowane w określonym zakresie dat. W obszarze roboczym Google możesz poddać te pliki kwarantannie przy użyciu pola wyboru "plik kwarantanny" na stronie tworzenia zasad.

  • Udostępnianie nieautoryzowanym użytkownikom — otrzymywanie alertu dotyczącego plików udostępnionych nieautoryzowanej grupie użytkowników w organizacji. Wybierz użytkowników, dla których udostępnianie jest nieautoryzowane.

  • Poufne rozszerzenie pliku — odbierz alert dotyczący plików z określonymi rozszerzeniami, które są potencjalnie wysoce uwidocznione. Wybierz określone rozszerzenie (na przykład crt dla certyfikatów) lub nazwę pliku i wyklucz te pliki z poziomem udostępniania prywatnego.

Uwaga

W Defender for Cloud Apps jest ograniczonych do 50 zasad plików.

Tworzenie nowych zasad plików

Aby utworzyć nowe zasady plików, wykonaj następującą procedurę:

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —>zarządzanie zasadami. Wybierz kartę Information Protection.

  2. Wybierz pozycję Utwórz zasady i wybierz pozycję Zasady plików.

    Utwórz zasady Information Protection.

  3. Aby uzyskać więcej informacji na temat szablonów zasad, podaj nazwę i opis zasad. Aby uzyskać więcej informacji na temat szablonów zasad, zobacz Kontrolowanie aplikacji w chmurze za pomocą zasad.

  4. Nadaj zasadom ważność zasad. Jeśli ustawiono Defender for Cloud Apps wysyłania powiadomień dotyczących dopasowań zasad dla określonego poziomu ważności zasad, ten poziom służy do określania, czy dopasowania zasad wyzwalają powiadomienie.

  5. W obszarze Kategoria połącz zasady z najbardziej odpowiednim typem ryzyka. To pole jest tylko pouczające i ułatwia późniejsze wyszukiwanie określonych zasad i alertów na podstawie typu ryzyka. Ryzyko może być już wstępnie wybrane zgodnie z kategorią, dla której wybrano utworzenie zasad. Domyślnie zasady plików są ustawione na DLP.

  6. Utwórz filtr dla plików, w których te zasady będą działać, aby ustawić, które odnalezione aplikacje wyzwalają te zasady. Zawęź filtry zasad, dopóki nie osiągniesz dokładnego zestawu plików, na które chcesz działać. Być tak restrykcyjne, jak to możliwe, aby uniknąć wyników fałszywie dodatnich. Jeśli na przykład chcesz usunąć uprawnienia publiczne, pamiętaj o dodaniu filtru Publiczna , jeśli chcesz usunąć użytkownika zewnętrznego, użyj filtru "Zewnętrzne" itd.

    Uwaga

    W przypadku korzystania z filtrów zasad funkcja Zawiera wyszukuje tylko pełne wyrazy — oddzielone przecinkami, kropkami, spacjami lub podkreśleniami. Jeśli na przykład wyszukasz złośliwe oprogramowanie lub wirus, wyszukuje ono virus_malware_file.exe, ale nie znajduje malwarevirusfile.exe. Jeśli wyszukasz malware.exe, w nazwie pliku znajdziesz wszystkie pliki ze złośliwym oprogramowaniem lub plikami exe, podczas gdy w przypadku wyszukiwania ciągu "malware.exe" (ze znakami cudzysłowu) znajdziesz tylko pliki zawierające dokładnie "malware.exe". Równa się wyszukuje tylko pełny ciąg, na przykład jeśli wyszukasz malware.exe znajdzie malware.exe, ale nie malware.exe.txt.

    Aby uzyskać więcej informacji na temat filtrów zasad plików, zobacz Filtry plików w Microsoft Defender for Cloud Apps.

  7. W obszarze pierwszego filtru Zastosuj do wybierz wszystkie pliki z wyłączeniem wybranych folderów lub wybranych folderów dla usług Box, SharePoint, Dropbox lub OneDrive, gdzie możesz wymusić zasady plików dla wszystkich plików w aplikacji lub w określonych folderach. Nastąpi przekierowanie w celu zalogowania się do aplikacji w chmurze, a następnie dodanie odpowiednich folderów.

  8. W drugim filtrze Zastosuj do wybierz wszystkich właścicieli plików, właścicieli plików z wybranych grup użytkowników lub wszystkich właścicieli plików z wyłączeniem wybranych grup. Następnie wybierz odpowiednie grupy użytkowników, aby określić, którzy użytkownicy i grupy mają zostać uwzględnieni w zasadach.

  9. Wybierz metodę inspekcji zawartości. Możesz wybrać wbudowane usługi DLP lub Data Classification Services. Zalecamy korzystanie z usług klasyfikacji danych.

    Po włączeniu inspekcji zawartości można użyć wstępnie ustawionych wyrażeń lub wyszukać inne niestandardowe wyrażenia.

    Ponadto można określić wyrażenie regularne, aby wykluczyć plik z wyników. Ta opcja jest bardzo przydatna, jeśli masz wewnętrzny standard słowa kluczowego klasyfikacji, który chcesz wykluczyć z zasad.

    Możesz zdecydować o ustawieniu minimalnej liczby naruszeń zawartości, które mają być zgodne, zanim plik zostanie uznany za naruszenie. Na przykład możesz wybrać opcję 10, jeśli chcesz otrzymywać alerty dotyczące plików z co najmniej 10 numerami kart kredytowych znajdującymi się w jej zawartości.

    Gdy zawartość jest dopasowywana do wybranego wyrażenia, tekst naruszenia jest zastępowany znakami "X". Domyślnie naruszenia są maskowane i wyświetlane w ich kontekście, wyświetlając 100 znaków przed i po naruszeniu. Liczby w kontekście wyrażenia są zastępowane znakami "#" i nigdy nie są przechowywane w Defender for Cloud Apps. Możesz wybrać opcję Zdemaskowanie ostatnich czterech znaków naruszenia w celu zdemaskowania ostatnich czterech znaków samego naruszenia. Należy ustawić, które dane są typami wyszukiwań wyrażeń regularnych: zawartość, metadane i/lub nazwa pliku. Domyślnie wyszukuje zawartość i metadane.

  10. Wybierz akcje ładu, które mają być wykonywane Defender for Cloud Apps po wykryciu dopasowania.

  11. Po utworzeniu zasad możesz je wyświetlić, filtrując pod kątem typu zasad plików . Zawsze można edytować zasady, kalibrować ich filtry lub zmieniać zautomatyzowane akcje. Zasady są automatycznie włączane po utworzeniu i natychmiast rozpoczynają skanowanie plików w chmurze. Podczas ustawiania akcji ładu należy zachować szczególną ostrożność, co może prowadzić do nieodwracalnej utraty uprawnień dostępu do plików. Zaleca się zawężenie filtrów w celu dokładnego reprezentowania plików, które mają być używane, przy użyciu wielu pól wyszukiwania. Tym węższe filtry, tym lepiej. Aby uzyskać wskazówki, możesz użyć przycisku Edytuj i wyświetl podgląd wyników obok filtrów.

    Edytowanie zasad plików i wyświetlanie podglądu wyników.

  12. Aby wyświetlić dopasowania zasad plików, pliki, które są podejrzane o naruszenie zasad, przejdź do obszaru Zasady —>Zarządzanie zasadami. Przefiltruj wyniki, aby wyświetlić tylko zasady plików przy użyciu filtru Typ u góry. Aby uzyskać więcej informacji na temat dopasowań dla poszczególnych zasad, w kolumnie Count (Liczba ) wybierz liczbę dopasowań dla zasad. Alternatywnie wybierz trzy kropki na końcu wiersza dla zasad i wybierz pozycję Wyświetl wszystkie dopasowania. Spowoduje to otwarcie raportu zasad plików. Wybierz kartę Dopasowywanie teraz , aby wyświetlić pliki, które są obecnie zgodne z zasadami. Wybierz kartę Historia , aby wyświetlić historię z powrotem do sześciu miesięcy plików zgodnych z zasadami.

Najlepsze rozwiązania dotyczące zasad plików

  1. Unikaj resetowania zasad plików (przy użyciu pola wyboru Resetuj wyniki i ponownie zastosuj akcje ) w środowiskach produkcyjnych, chyba że jest to absolutnie konieczne, ponieważ spowoduje to zainicjowanie pełnego skanowania plików objętych zasadami, co może mieć negatywny wpływ na jej wydajność.

  2. Podczas stosowania etykiet do plików w określonym folderze nadrzędnym i jego podfolderach użyj opcji Zastosuj do wybranych>folderów. Następnie dodaj każdy z folderów nadrzędnych.

  3. Podczas stosowania etykiet tylko do plików w określonym folderze (z wyłączeniem podfolderów) użyj filtru zasad plików Folder nadrzędny z operatorem Equals .

  4. Zasady plików są szybsze w przypadku stosowania wąskich kryteriów filtrowania (w porównaniu z szerokimi kryteriami).

  5. Konsoliduj kilka zasad plików dla tej samej usługi (na przykład SharePoint, OneDrive, Box itd.) do jednej zasady.

  6. Podczas włączania monitorowania plików (na stronie Ustawienia ) utwórz co najmniej jedną zasadę plików. Jeśli żadne zasady plików nie istnieją lub są wyłączone przez siedem kolejnych dni, monitorowanie plików jest automatycznie usuwane.

Dokumentacja zasad plików

Ta sekcja zawiera szczegółowe informacje o zasadach, podając objaśnienia dla każdego typu zasad i pól, które można skonfigurować dla poszczególnych zasad.

Zasady dotyczące plików to zasady oparte na interfejsie API, które umożliwiają kontrolowanie zawartości organizacji w chmurze, uwzględniając ponad 20 filtrów metadanych plików (w tym poziom właściciela i udostępniania) oraz wyniki inspekcji zawartości. Na podstawie wyników zasad można zastosować akcje ładu. Aparat kontroli zawartości można rozszerzyć za pośrednictwem silników DLP innych firm i rozwiązań chroniących przed złośliwym oprogramowaniem.

Każda zasada składa się z następujących części:

  • Filtry plików — umożliwiają tworzenie szczegółowych warunków na podstawie metadanych.

  • Inspekcja zawartości — umożliwia zawężenie zasad na podstawie wyników aparatu DLP. Możesz dołączyć wyrażenie niestandardowe lub wyrażenie wstępnie ustawione. Można ustawić wykluczenia i wybrać liczbę dopasowań. Możesz również użyć anonimizowania, aby zamaskować nazwę użytkownika.

  • Akcje — zasady udostępniają zestaw akcji ładu, które mogą być automatycznie stosowane po znalezieniu naruszeń. Te akcje są podzielone na akcje współpracy, akcje zabezpieczeń i akcje badania.

  • Rozszerzenia — inspekcję zawartości można przeprowadzać za pośrednictwem aparatów innych firm w celu zwiększenia możliwości DLP lub ochrony przed złośliwym oprogramowaniem.

Wyświetlanie wyników zasad plików

Możesz przejść do Centrum zasad, aby przejrzeć naruszenia zasad plików.

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —>Zarządzanie zasadami, a następnie wybierz kartę Ochrona informacji.

  2. Dla każdej zasady plików można zobaczyć naruszenia zasad plików, wybierając dopasowania.

    Zrzut ekranu przedstawiający przykładowe dopasowania pci.

  3. Możesz wybrać sam plik, aby uzyskać informacje o plikach.

    Zrzut ekranu przedstawiający przykładowe dopasowania zawartości PCI.

  4. Możesz na przykład wybrać pozycję Współpracownicy , aby zobaczyć, kto ma dostęp do tego pliku, a następnie wybrać pozycję Dopasowania , aby wyświetlić numery ubezpieczenia społecznego. Zawartość jest zgodna z numerami kart kredytowych.

Seminarium internetowe dotyczące ochrony informacji

Następne kroki

Najlepsze rozwiązania dotyczące ochrony organizacji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.