Tutorial: proteja seus arquivos com a quarentena de administrador

As políticas de ficheiros são uma ótima ferramenta para encontrar ameaças às suas políticas de proteção de informações. Por exemplo, crie políticas de ficheiros que localizem locais onde os utilizadores armazenavam informações confidenciais, números de card de crédito e ficheiros ICAP de terceiros na sua nuvem.

Neste tutorial, irá aprender a utilizar Microsoft Defender para Aplicativos de Nuvem para detetar ficheiros indesejados armazenados na sua nuvem que o deixam vulnerável e tomar medidas imediatas para os parar nos seus rastos e bloquear os ficheiros que representam uma ameaça ao utilizar Administração quarentena para proteger os seus ficheiros na cloud, remediar problemas e impedir a ocorrência de fugas futuras.

• Compreender como funciona a quarentena
• Configurar a quarentena de administrador

Importante

A partir de 1 de setembro de 2024, vamos preterir a página Ficheiros de Microsoft Defender para Aplicativos de Nuvem. Nessa altura, crie e modifique Proteção de Informações políticas e encontre ficheiros de software maligno na página Gestão de Políticas de Aplicações >> na Cloud. Para obter mais informações, veja Políticas de ficheiros no Microsoft Defender para Aplicativos de Nuvem.

Compreender como funciona a quarentena

Observação

• Para obter uma lista das aplicações que suportam a quarentena de administrador, veja a lista de ações de governação.
• Os ficheiros etiquetados por Defender para Aplicativos de Nuvem não podem ser colocados em quarentena.
• Defender para Aplicativos de Nuvem ações de quarentena de administradores estão limitadas a 100 ações por dia.
• Os sites do Sharepoint cujo nome foi mudado diretamente ou como parte do nome do domínio não podem ser utilizados como uma localização de pasta para quarentena de administrador.

1. Quando um ficheiro corresponde a uma política, a opção de quarentena Administração estará disponível para o ficheiro.

2. Efetue uma das seguintes ações para colocar o ficheiro em quarentena:

   • Aplique manualmente a ação de quarentena Administração:

     

   • Defina-a como uma ação de quarentena automatizada na política:

     

3. Quando Administração quarentena é aplicada, ocorrem os seguintes itens em segundo plano:

   1. O ficheiro original é movido para a pasta de quarentena de administrador que definiu.

   2. O ficheiro original é eliminado.

   3. Um ficheiro tombstone é carregado para a localização do ficheiro original.

      

   4. O utilizador só pode aceder ao ficheiro tombstone. No ficheiro, podem ler as diretrizes personalizadas fornecidas pelas TI e o ID de correlação para fornecer ti para libertar o ficheiro.

4. Quando receber o alerta de que um ficheiro foi colocado em quarentena, aceda a Políticas ->Gestão de Políticas. Em seguida, selecione o separador Proteção de Informações. Na linha com a política de ficheiros, selecione as reticências no final da linha e selecione Ver todas as correspondências. Isto irá trazer-lhe o relatório de correspondências, onde pode ver os ficheiros correspondentes e em quarentena:

   

5. Depois de colocar um ficheiro em quarentena, utilize o seguinte processo para remediar a situação de ameaça:

   1. Inspecione o ficheiro na pasta em quarentena no SharePoint Online.
   2. Também pode ver os registos de auditoria para aprofundar as propriedades do ficheiro.
   3. Se descobrir que o ficheiro é contra a política empresarial, execute o processo de Resposta a Incidentes (IR) da organização.
   4. Se achar que o ficheiro é inofensivo, pode restaurar o ficheiro a partir da quarentena. Nessa altura, o ficheiro original é libertado, o que significa que é copiado de volta para a localização original, a lápide é eliminada e o utilizador pode aceder ao ficheiro.

   

6. Valide se a política é executada sem problemas. Em seguida, pode utilizar as ações de governação automática na política para evitar fugas adicionais e aplicar automaticamente um Administração quarentena quando a política for correspondida.

Observação

Quando restaura um ficheiro:

• As partilhas originais não são restauradas, herança de pastas predefinida aplicada.
• O ficheiro restaurado contém apenas a versão mais recente.
• A gestão do acesso ao site da pasta de quarentena é da responsabilidade do cliente.

Configurar a quarentena de administrador

1. Defina políticas de ficheiros que detetem falhas. Exemplos destes tipos de políticas incluem:

   • Uma política apenas de metadados, como uma etiqueta de confidencialidade no SharePoint Online
   • Uma política DLP nativa, como uma política que procura números de card de crédito
   • Uma política de terceiros do ICAP, como uma política que procura Vontu

2. Definir uma localização de quarentena:

   1. Para o Microsoft 365 SharePoint ou OneDrive for Business, não pode colocar ficheiros em quarentena de administrador como parte de uma política até que o configure:

      Para definir as definições de quarentena de administrador, no Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud. Em Proteção de Informações, selecione Administração quarentena. Forneça um site para a localização da pasta de quarentena e uma notificação do utilizador que o utilizador receberá quando o ficheiro for colocado em quarentena.

      Observação

      Defender para Aplicativos de Nuvem criará uma pasta de quarentena no site selecionado.

   2. Para o Box, a localização da pasta de quarentena e a mensagem de utilizador não podem ser personalizadas. A localização da pasta é a unidade do administrador que ligou o Box ao Defender para Aplicativos de Nuvem e a mensagem do utilizador é: Este ficheiro foi colocado em quarentena na unidade do administrador porque pode violar as políticas de segurança e conformidade da sua empresa. Contate o administrador de TI para obter ajuda.

Próximas etapas

Melhores práticas para proteger a sua organização

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.