Udostępnij za pośrednictwem

Samouczek: ochrona plików przy użyciu kwarantanny administratora

  • Artykuł

Zasady plików to doskonałe narzędzie do znajdowania zagrożeń dla zasad ochrony informacji. Na przykład utwórz zasady plików, które znajdują miejsca, w których użytkownicy przechowują informacje poufne, numery kart kredytowych i pliki ICAP innych firm w chmurze.

W tym samouczku dowiesz się, jak używać Microsoft Defender for Cloud Apps do wykrywania niechcianych plików przechowywanych w chmurze, które cię narażają, i podjąć natychmiastowe działania, aby zatrzymać je na swoich torach i zablokować pliki, które stanowią zagrożenie przy użyciu kwarantanny Administracja aby chronić pliki w chmurze, korygować problemy i zapobiegać występowaniu przyszłych przecieków.

Ważna

Od 1 września 2024 r. będziemy wycofywać stronę Pliki z Microsoft Defender for Cloud Apps. W tym momencie utwórz i zmodyfikuj zasady Information Protection oraz znajdź pliki złośliwego oprogramowania na stronie Zarządzanie zasadami zasad > aplikacji > w chmurze. Aby uzyskać więcej informacji, zobacz Zasady plików w Microsoft Defender for Cloud Apps.

Informacje o sposobie działania kwarantanny

Uwaga

  • Aby uzyskać listę aplikacji, które obsługują kwarantannę administratora, zobacz listę akcji ładu.
  • Nie można poddać kwarantannie plików oznaczonych etykietą Defender for Cloud Apps.
  • Defender for Cloud Apps akcje kwarantanny administratora są ograniczone do 100 akcji dziennie.
  • Lokacje programu Sharepoint, których nazwa została zmieniona bezpośrednio lub w ramach zmiany nazwy domeny, nie mogą być używane jako lokalizacja folderu kwarantanny administratora.

  1. Gdy plik jest zgodny z zasadami, opcja kwarantanny Administracja będzie dostępna dla pliku.

  2. Wykonaj jedną z następujących akcji, aby poddać plik kwarantannie:

    • Ręcznie zastosuj akcję kwarantanny Administracja:

      akcji kwarantanny.

    • Ustaw ją jako zautomatyzowaną akcję kwarantanny w zasadach:

      kwarantanny automatycznie.

  3. Po zastosowaniu Administracja kwarantanny w tle występują następujące elementy:

    1. Oryginalny plik zostanie przeniesiony do ustawionego folderu kwarantanny administratora.

    2. Oryginalny plik zostanie usunięty.

    3. Plik nagrobka jest przekazywany do oryginalnej lokalizacji pliku.

      nagrobek kwarantanny.

    4. Użytkownik może uzyskać dostęp tylko do pliku nagrobka. W pliku mogą odczytać niestandardowe wytyczne dostarczone przez it i identyfikator korelacji, aby nadać it do wydania pliku.

  4. Po otrzymaniu alertu o kwarantannie pliku przejdź do obszaru Zasady —>Zarządzanie zasadami. Następnie wybierz kartę Information Protection. W wierszu z zasadami plików wybierz trzy kropki na końcu wiersza i wybierz pozycję Wyświetl wszystkie dopasowania. Spowoduje to wyświetlenie raportu dopasowań, w którym można zobaczyć pasujące i poddane kwarantannie pliki:

    Pliki poddane kwarantannie.

  5. Po poddaniu pliku kwarantannie użyj następującego procesu, aby skorygować sytuację zagrożenia:

    1. Sprawdź plik w folderze poddanym kwarantannie w usłudze SharePoint w trybie online.
    2. Możesz również zapoznać się z dziennikami inspekcji, aby dokładnie zapoznać się z właściwościami pliku.
    3. Jeśli okaże się, że plik jest w stosunku do zasad firmy, uruchom proces reagowania na zdarzenia (IR) organizacji.
    4. Jeśli okaże się, że plik jest nieszkodliwy, możesz przywrócić plik z kwarantanny. W tym momencie oryginalny plik jest zwalniany, co oznacza, że jest kopiowany z powrotem do oryginalnej lokalizacji, nagrobek jest usuwany, a użytkownik może uzyskać dostęp do pliku.

    przywracanie kwarantanny.

  6. Sprawdź, czy zasady są uruchamiane bezproblemowo. Następnie możesz użyć automatycznych akcji ładu w zasadach, aby zapobiec dalszym wyciekom i automatycznie zastosować kwarantannę Administracja po dopasowaniu zasad.

Uwaga

Podczas przywracania pliku:

  • Oryginalne udziały nie są przywracane, zastosowano domyślne dziedziczenie folderów.
  • Przywrócony plik zawiera tylko najnowszą wersję.
  • Zarządzanie dostępem do lokacji folderu kwarantanny jest obowiązkiem klienta.

Konfigurowanie kwarantanny administratora

  1. Ustaw zasady plików, które wykrywają naruszenia. Przykłady tych typów zasad obejmują:

    • Zasady tylko metadanych, takie jak etykieta poufności w usłudze SharePoint Online
    • Natywne zasady DLP, takie jak zasady wyszukujące numery kart kredytowych
    • Zasady innych firm ICAP, takie jak zasady, które szukają rozwiązania Vontu

  2. Ustawianie lokalizacji kwarantanny:

    1. W przypadku programu Microsoft 365 SharePoint lub OneDrive dla Firm nie można umieścić plików w kwarantannie administratora w ramach zasad, dopóki nie zostanie skonfigurowane: ostrzeżenie o kwarantannie.

      Aby ustawić ustawienia kwarantanny administratora, w portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. W obszarze Information Protection wybierz pozycję Administracja kwarantanny. Podaj witrynę dla lokalizacji folderu kwarantanny i powiadomienie użytkownika, które użytkownik otrzyma, gdy jego plik zostanie poddany kwarantannie. ustawień kwarantanny.

      Uwaga

      Defender for Cloud Apps utworzy folder kwarantanny w wybranej witrynie.

    2. W przypadku urządzenia Box nie można dostosować lokalizacji folderu kwarantanny ani komunikatu użytkownika. Lokalizacja folderu to dysk administratora, który połączył usługę Box z Defender for Cloud Apps, a komunikat użytkownika: Ten plik został poddany kwarantannie na dysku administratora, ponieważ może naruszać zasady zabezpieczeń i zgodności twojej firmy. Skontaktuj się z administratorem działu informatycznego, aby uzyskać pomoc.

Następne kroki

Najlepsze rozwiązania dotyczące ochrony organizacji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.