Udostępnij za pośrednictwem

Badanie plików za pomocą Microsoft Defender for Cloud Apps

  • Artykuł

Aby zapewnić ochronę danych, Microsoft Defender for Cloud Apps zapewnia wgląd we wszystkie pliki z połączonych aplikacji. Po nawiązaniu połączenia Microsoft Defender for Cloud Apps z aplikacją przy użyciu łącznika aplikacji Microsoft Defender for Cloud Apps skanuje wszystkie pliki, na przykład wszystkie pliki przechowywane w usługach OneDrive i Salesforce. Następnie Defender for Cloud Apps ponownie skanuje każdy plik za każdym razem, gdy jest modyfikowany — modyfikacja może mieć uprawnienia do zawartości, metadanych lub udostępniania. Czas skanowania zależy od liczby plików przechowywanych w aplikacji. Możesz również użyć strony Pliki do filtrowania plików w celu zbadania, jakiego rodzaju dane są zapisywane w aplikacjach w chmurze.

Ważna

Od 1 września 2024 r. będziemy stopniowo wycofywać stronęPliki z Microsoft Defender for Cloud Apps. Podstawowe funkcje strony Pliki będą dostępne na stronie Zarządzanie zasadami zasad > aplikacji > w chmurze. Zalecamy używanie strony Zarządzanie zasadami do badania plików oraz tworzenia, modyfikowania i filtrowania zasad Information Protection i plików złośliwego oprogramowania. Aby uzyskać więcej informacji, zobacz Zasady plików w Microsoft Defender for Cloud Apps.

Uwaga

Ograniczenie rozmiaru zapytania w filtrach zasad plików oraz "Edytowanie i wyświetlanie podglądu wyników"

  • Podczas tworzenia lub edytowania zasad plików lub korzystania z opcji "Edytuj i podgląd wyników" występuje ograniczenie rozmiaru zapytania. To ograniczenie zapewnia optymalną wydajność i zapobiega przeciążeniu systemu.
  • Jeśli zapytanie przekroczy dozwolony rozmiar, może być konieczne doprecyzowanie kryteriów lub użycie innych filtrów w celu dopasowania do dopuszczalnych limitów. Jeśli na przykład zasady obejmują kryteria "współpracownicy", które obejmują grupę "wszyscy" lub "wszyscy z wyjątkiem użytkowników zewnętrznych", może to spowodować niepowodzenie z powodu ograniczenia rozmiaru zapytania.
  • Należy pamiętać, że jeśli zapytanie przekroczy ograniczenie rozmiaru, system nie określi, który filtr spowodował awarię.

Włączanie monitorowania plików

Aby włączyć monitorowanie plików dla Defender for Cloud Apps, najpierw włącz monitorowanie plików w obszarze Ustawienia. W portalu Microsoft Defender wybierz pozycję Ustawienia>Aplikacje w> chmurze Information Protection>File Włącz zapisywanie>monitorowania> plików.

  • Jeśli nie ma aktywnych zasad plików, siedem dni po czasie ostatniego zakontraktowania strony pliku monitorowanie plików jest automatycznie wyłączane.
  • Jeśli nie ma aktywnych zasad plików, 35 dni po czasie ostatniego zakontraktowania strony plików Defender for Cloud Apps rozpoczyna usuwanie wszelkich danych przechowywanych plików przechowywanych przez aplikacje usługi Defender for Cloud.

Przykłady filtru plików

Na przykład użyj strony Pliki , aby zabezpieczyć zewnętrzne pliki udostępnione oznaczone jako Poufne w następujący sposób:

Po połączeniu aplikacji z Defender for Cloud Apps zintegruj aplikację z Microsoft Purview Information Protection. Następnie na stronie Pliki odfiltruj pliki z etykietą Poufne i wyklucz domenę w filtrze Współpracownicy. Jeśli zobaczysz, że istnieją poufne pliki udostępnione poza organizacją, możesz utworzyć zasady plików w celu ich wykrycia. Możesz zastosować automatyczne akcje ładu do tych plików, takie jak Usuwanie zewnętrznych współpracowników i Wysyłanie skrótu dopasowania zasad do właściciela pliku , aby zapobiec utracie danych w organizacji.

Filtr plików jest poufny.

Oto kolejny przykład użycia strony Pliki . Upewnij się, że nikt w organizacji nie udostępnia publicznie ani zewnętrznie plików, które nie zostały zmodyfikowane w ciągu ostatnich sześciu miesięcy:

Połącz aplikację z Defender for Cloud Apps i przejdź do strony Pliki. Filtruj pliki, których poziom dostępu to Zewnętrzny lub Publiczny , i ustaw datę ostatniej modyfikacji na sześć miesięcy temu. Utwórz zasady plików, które wykrywają te nieaktualne pliki publiczne, wybierając pozycję Nowe zasady z wyszukiwania. Zastosuj do nich automatyczne akcje ładu, takie jak Usuwanie użytkowników zewnętrznych, aby zapobiec utracie danych w organizacji.

Filtr pliku nieaktualne zewnętrzne.

Podstawowy filtr udostępnia doskonałe narzędzia umożliwiające rozpoczęcie filtrowania plików.

Podstawowy filtr dziennika plików.

Aby przejść do bardziej szczegółowych plików, możesz rozwinąć filtr podstawowy, wybierając pozycję Filtry zaawansowane.

Zaawansowany filtr dziennika plików.

Filtry plików

Defender for Cloud Apps może monitorować dowolny typ pliku na podstawie ponad 20 filtrów metadanych (na przykład poziomu dostępu, typu pliku).

Defender for Cloud Apps wbudowane aparaty DLP przeprowadzają inspekcję zawartości, wyodrębniając tekst z typowych typów plików. Niektóre z uwzględnionych typów plików to PLIKI PDF, Pliki pakietu Office, RTF, HTML i pliki kodu.

Poniżej znajduje się lista filtrów plików, które można zastosować. Aby zapewnić zaawansowane narzędzie do tworzenia zasad, większość filtrów obsługuje wiele wartości i NIE.

Uwaga

W przypadku korzystania z filtrów zasad plików funkcja Contains będzie wyszukiwać tylko pełne wyrazy — rozdzielone przecinkami, kropkami, łącznikami lub spacjami do wyszukania.

  • Spacje lub łączniki między wyrazami działają jak OR. Jeśli na przykład wyszukasz wirusazłośliwego oprogramowania, w nazwie znajdziesz wszystkie pliki ze złośliwym oprogramowaniem lub wirusem, więc znajdzie zarówno malware-virus.exe, jak i virus.exe.
  • Jeśli chcesz wyszukać ciąg, umieść je w cudzysłowie. Ta funkcja działa jak AND. Jeśli na przykład wyszukasz "malware""virus", znajdzie onvirus-malware-file.exe ale nie znajdzie malwarevirusfile.exe i nie znajdzie malware.exe. Będzie jednak wyszukiwać dokładny ciąg. Jeśli wyszukujesz "wirus złośliwego oprogramowania", nie znajdzie on "wirusa" ani "złośliwego oprogramowania".

Wartość equals będzie wyszukiwać tylko pełny ciąg. Jeśli na przykład wyszukasz malware.exe , znajdzie onmalware.exe , ale nie malware.exe.txt.

  • Poziom dostępu — poziom dostępu do udostępniania; publiczne, zewnętrzne, wewnętrzne lub prywatne.

    • Wewnętrzne — wszystkie pliki w domenach wewnętrznych ustawione w obszarze Konfiguracja ogólna.
    • Zewnętrzne — wszystkie pliki zapisane w lokalizacjach, które nie znajdują się w ustawionych domenach wewnętrznych.
    • Udostępnione — pliki, które mają poziom udostępniania powyżej poziomu prywatnego. Udostępnione elementy obejmują:

      • Udostępnianie wewnętrzne — pliki udostępnione w domenach wewnętrznych.

      • Udostępnianie zewnętrzne — pliki udostępnione w domenach, które nie są wymienione w domenach wewnętrznych.

      • Publiczne z linkiem — pliki, które mogą być udostępniane wszystkim osobom za pośrednictwem linku.

      • Publiczne — pliki, które można znaleźć, przeszukując Internet.

        Uwaga

        Pliki udostępnione w połączonych aplikacjach magazynu przez użytkowników zewnętrznych są obsługiwane w następujący sposób przez Defender for Cloud Apps:

        • OneDrive: Usługa OneDrive przypisuje użytkownika wewnętrznego jako właściciela dowolnego pliku umieszczonego w usłudze OneDrive przez użytkownika zewnętrznego. Ponieważ te pliki są następnie uważane za należące do Organizacji, Defender for Cloud Apps skanuje te pliki i stosuje zasady tak samo jak w przypadku innych plików w usłudze OneDrive.
        • Dysk Google: Dysk Google uważa je za należące do użytkownika zewnętrznego i ze względu na ograniczenia prawne dotyczące plików i danych, których organizacja nie posiada, Defender for Cloud Apps nie ma dostępu do tych plików.
        • Pudełko: Ponieważ usługa Box uważa pliki będące własnością zewnętrzną za prywatne informacje, administratorzy globalni usługi Box nie widzą zawartości plików. Z tego powodu Defender for Cloud Apps nie ma dostępu do tych plików.
        • Dropbox: Ponieważ Usługa Dropbox uważa pliki należące do zewnętrznych użytkowników za prywatne informacje, administratorzy globalni usługi Dropbox nie widzą zawartości plików. Z tego powodu Defender for Cloud Apps nie ma dostępu do tych plików.

  • Aplikacja — wyszukiwanie tylko plików w tych aplikacjach.

  • Współpracownicy — dołączanie/wykluczanie określonych współpracowników lub grup.

    • Dowolny z domeny — jeśli jakikolwiek użytkownik z tej domeny ma bezpośredni dostęp do pliku.

      Uwaga

      • Ten filtr nie obsługuje plików udostępnionych grupie, tylko określonym użytkownikom.
      • W przypadku programów SharePoint i OneDrive filtr nie obsługuje plików udostępnionych konkretnemu użytkownikowi za pośrednictwem łącza udostępnionego.

    • Cała organizacja — jeśli cała organizacja ma dostęp do pliku.

    • Grupy — jeśli określona grupa ma dostęp do pliku. Grupy można zaimportować z usługi Active Directory, aplikacji w chmurze lub ręcznie utworzyć w usłudze.

      Uwaga

      • Ten filtr służy do wyszukiwania całej grupy współpracowników. Nie pasuje do poszczególnych członków grupy.

    • Użytkownicy — określony zestaw użytkowników, którzy mogą mieć dostęp do pliku.

  • Utworzono — czas tworzenia pliku. Filtr obsługuje daty przed/po i zakres dat.

  • Rozszerzenie — skup się na określonych rozszerzeniach plików. Na przykład wszystkie pliki, które są plikami wykonywalnymi (*.exe).

    Uwaga

    • Ten filtr uwzględnia wielkość liter.
    • Użyj klauzuli OR, aby zastosować filtr dla więcej niż jednej odmiany wielkie litery.

  • Identyfikator pliku — wyszukaj określone identyfikatory plików. Identyfikator pliku to zaawansowana funkcja, która umożliwia śledzenie niektórych plików o wysokiej wartości bez zależności od właściciela, lokalizacji lub nazwy.

  • Nazwa pliku — nazwa pliku lub podciąg nazwy zdefiniowany w aplikacji w chmurze. Na przykład wszystkie pliki z hasłem w nazwie.

  • Etykieta poufności — wyszukaj pliki z ustawionymi określonymi etykietami. Etykiety są następujące:

    Uwaga

    Jeśli ten filtr jest używany w zasadach plików, zasady będą stosowane tylko do plików pakietu Microsoft Office i będą ignorować inne typy plików.

    • Microsoft Purview Information Protection — wymaga integracji z Microsoft Purview Information Protection.
    • Defender for Cloud Apps — zapewnia lepszy wgląd w skanowane pliki. Dla każdego pliku skanowanego przez Defender for Cloud Apps DLP możesz wiedzieć, czy inspekcja została zablokowana, ponieważ plik jest zaszyfrowany lub uszkodzony. Na przykład można skonfigurować zasady do alertów i kwarantanny plików chronionych hasłem, które są udostępniane zewnętrznie.
      • Zaszyfrowane usługi Azure RMS — pliki, których zawartość nie została sprawdzona, ponieważ mają zestaw szyfrowania usługi Azure RMS.
      • Szyfrowane hasła — pliki, których zawartość nie została sprawdzona, ponieważ są chronione hasłem przez użytkownika.
      • Uszkodzony plik — pliki, których zawartość nie została sprawdzona, ponieważ nie można odczytać ich zawartości.

  • Typ pliku — Defender for Cloud Apps skanuje plik, aby ustalić, czy prawdziwy typ pliku jest zgodny z odebranym typem MIME (patrz tabela) z usługi. To skanowanie dotyczy plików odpowiednich do skanowania danych (dokumentów, obrazów, prezentacji, arkuszy kalkulacyjnych, tekstu i plików zip/archiwum). Filtr działa według typu pliku/folderu. Na przykład wszystkie foldery, które są ... lub Wszystkie pliki arkusza kalkulacyjnego, które są...

Typ MIME Typ pliku
- application/vnd.openxmlformats-officedocument.wordprocessingml.document
- application/vnd.ms-word.document.macroEnabled.12
- application/msword
- application/vnd.oasis.opendocument.text
- application/vnd.stardivision.writer
- application/vnd.stardivision.writer-global
- application/vnd.sun.xml.writer
- application/vnd.stardivision.math
- application/vnd.stardivision.chart
- application/x-starwriter
- application/x-stardraw
- application/x-starmath
- application/x-starchart
- application/vnd.google-apps.document
- application/vnd.google-apps.kix
- application/pdf
- application/x-pdf
- application/vnd.box.webdoc
- application/vnd.box.boxnote
— application/vnd.jive.document
- text/rtf
- application/rtf		 Dokument
- application/vnd.oasis.opendocument.image
- application/vnd.google-apps.photo
- rozpoczyna się od: image/		 Obraz
- application/vnd.openxmlformats-officedocument.presentationml.presentation
- application/vnd.ms-powerpoint.template.macroEnabled.12
- application/mspowerpoint
— aplikacja/powerpoint
- application/vnd.ms-powerpoint
- application/x-mspowerpoint
- application/mspowerpoint
- application/vnd.ms-powerpoint
- application/vnd.oasis.opendocument.presentation
- application/vnd.sun.xml.impress
- application/vnd.stardivision.impress
- application/x-starimpress
- application/vnd.google-apps.presentation		 Prezentacja
- application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
- application/vnd.ms-excel.sheet.macroEnabled.12
— aplikacja/excel
- application/vnd.ms-excel
- application/x-excel
- application/x-msexcel
- application/vnd.oasis.opendocument.spreadsheet
- application/vnd.sun.xml.calc
- application/vnd.stardivision.calc
- application/x-starcalc
— application/vnd.google-apps.spreadsheet		 Arkusz kalkulacyjny
- rozpoczyna się od: tekst/ Tekst
Wszystkie inne typy mime plików Inne

typ filtrów policy_file.

  • W koszu — wyklucz/uwzględnij pliki w folderze kosza. Te pliki mogą być nadal udostępniane i stanowić zagrożenie.

    Uwaga

    Ten filtr nie ma zastosowania do plików w programach SharePoint i OneDrive.

    policy_file filtruje śmieci.

  • Ostatnia modyfikacja — czas modyfikacji pliku. Filtr obsługuje daty przed i po, zakres dat i wyrażenia czasu względnego. Na przykład wszystkie pliki, które nie zostały zmodyfikowane w ciągu ostatnich sześciu miesięcy.

  • Dopasowane zasady — pliki zgodne z aktywnymi zasadami Defender for Cloud Apps.

  • Typ MIME — sprawdzanie typu MIME pliku. Akceptuje bezpłatny tekst.

  • Właściciel — uwzględnij/wyklucz określonych właścicieli plików. Na przykład śledź wszystkie pliki udostępnione przez rogue_employee_#100.

  • Jednostka organizacyjna właściciela — uwzględnij lub wyklucz właścicieli plików należących do określonych jednostek organizacyjnych. Na przykład wszystkie pliki publiczne z wyjątkiem plików udostępnionych przez EMEA_marketing. Dotyczy tylko plików przechowywanych na Dysku Google.

  • Folder nadrzędny — uwzględnij lub wyklucz określony folder (nie dotyczy podfolderów). Na przykład wszystkie publicznie udostępnione pliki z wyjątkiem plików w tym folderze.

    Uwaga

    Defender for Cloud Apps wykrywa nowe foldery programu SharePoint i OneDrive tylko po wykonaniu w nich pewnych działań plików.

  • Poddane kwarantannie — jeśli plik został poddany kwarantannie przez usługę. Na przykład pokaż wszystkie pliki poddane kwarantannie.

Podczas tworzenia zasad można również ustawić ją tak, aby działała w określonych plikach, ustawiając filtr Zastosuj do . Filtruj do wszystkich plików, wybranych folderów (dołączonych podfolderów) lub wszystkich plików z wyłączeniem wybranych folderów. Następnie wybierz odpowiednie pliki lub foldery.

zastosuj do filtru.

Autoryzowanie plików

Po Defender for Cloud Apps zidentyfikowano pliki jako stwarzające zagrożenie złośliwym oprogramowaniem lub DLP, zalecamy zbadanie plików. Jeśli określisz, że pliki są bezpieczne, możesz je autoryzować. Autoryzowanie pliku powoduje usunięcie go z raportu wykrywania złośliwego oprogramowania i pomija przyszłe dopasowania w tym pliku.

Aby autoryzować pliki

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Zasady —>Zarządzanie zasadami. Wybierz kartę Ochrona informacji .

  2. Na liście zasad w wierszu, w którym zostaną wyświetlone zasady, które wyzwoliły badanie, w kolumnie Count (Liczba ) wybierz link dopasowania .

    Porada

    Listę zasad można filtrować według typu. W poniższej tabeli wymieniono typ ryzyka, którego typu filtru użyć:

    Typ ryzyka Typ filtru
    DLP Zasady plików
    Złośliwe oprogramowanie Zasady wykrywania złośliwego oprogramowania

  3. Na liście dopasowanych plików w wierszu, w którym jest wyświetlany badany plik, wybierz pozycję √ w pozycji Autoryzuj.

Praca z szufladą plików

Aby wyświetlić więcej informacji na temat każdego pliku, wybierz sam plik w dzienniku plików. Wybranie go powoduje otwarcie szuflady Plik , która udostępnia następujące dodatkowe akcje, które można wykonać w pliku:

  • Adres URL — prowadzi do lokalizacji pliku.
  • Identyfikatory plików — otwiera wyskakujące okienko z nieprzetworzonymi danymi dotyczącymi pliku, w tym identyfikatorem pliku i kluczami szyfrowania, gdy są dostępne.
  • Właściciel — wyświetl stronę użytkownika właściciela tego pliku.
  • Dopasowane zasady — zobacz listę zasad dopasowanych do pliku.
  • Etykiety poufności — wyświetl listę etykiet poufności z Microsoft Purview Information Protection znalezionych w tym pliku. Następnie można filtrować według wszystkich plików pasujących do tej etykiety.

Pola w szufladzie Plik zawierają linki kontekstowe do dodatkowych plików i przechodzenie do szczegółów, które można wykonać bezpośrednio z szuflady. Jeśli na przykład przesuniesz kursor obok pola Właściciel , możesz użyć ikony "dodaj do filtru", aby filtrować. Aby natychmiast dodać właściciela do filtru bieżącej strony. Możesz również użyć ikony ustawień ikony koła zębatego. Pojawi się ona bezpośrednio na stronie ustawień niezbędnej do zmodyfikowania konfiguracji jednego z pól, takich jak etykiety poufności.

Szuflada pliku.

Aby uzyskać listę dostępnych akcji ładu, zobacz Akcje ładu plików.

Następne kroki

Najlepsze rozwiązania dotyczące ochrony organizacji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.