Поделиться через

Анализ файлов с помощью Microsoft Defender for Cloud Apps

  • Статья

Чтобы обеспечить защиту данных, Microsoft Defender for Cloud Apps позволяет просматривать все файлы из подключенных приложений. После подключения Microsoft Defender for Cloud Apps к приложению с помощью соединителя приложений Microsoft Defender for Cloud Apps сканирует все файлы, например все файлы, хранящиеся в OneDrive и Salesforce. Затем Defender for Cloud Apps повторно сканирует каждый файл при каждом его изменении. Изменение может быть в содержимом, метаданных или разрешениях общего доступа. Время проверки зависит от количества файлов, хранящихся в приложении. Вы также можете использовать страницу Файлы для фильтрации файлов, чтобы узнать, какие данные сохраняются в облачных приложениях.

Важно!

Начиная с 1 сентября 2024 г. мы будем постепенно удалять страницуФайлы с Microsoft Defender for Cloud Apps. Основные функции страницы "Файлы" будут доступны на странице Управление политиками облачных > приложений>. Рекомендуется использовать страницу "Управление политиками" для изучения файлов, а также для создания, изменения и фильтрации Information Protection политик и файлов вредоносных программ. Дополнительные сведения см. в разделе Политики файлов в Microsoft Defender for Cloud Apps.

Включение мониторинга файлов

Чтобы включить мониторинг файлов для Defender for Cloud Apps, сначала включите мониторинг файлов в области Параметры. На портале Microsoft Defender выберите Параметры Облачные>приложения>Information Protection>Файлы>Включить мониторинг> файловСохранить.

  • Если активные политики файлов отсутствуют, через семь дней после последнего включения файловой страницы мониторинг файлов автоматически отключается.
  • Если активных политик файлов нет, через 35 дней после последнего использования страницы файла Defender for Cloud Apps начинает удалять все данные о сохраненных файлах, хранящиеся в приложениях Defender для облака.

Примеры фильтров файлов

Например, используйте страницу Файлы для защиты внешних общих файлов, помеченных как Конфиденциальные, как показано ниже.

После подключения приложения к Defender for Cloud Apps выполните интеграцию с Защита информации Microsoft Purview. Затем на странице Файлы отфильтруйте файлы с меткой Конфиденциальные и исключите домен в фильтре Участников совместной работы . Если вы видите, что за пределами вашей организации используются конфиденциальные файлы, можно создать политику файлов для их обнаружения. К этим файлам можно применить действия автоматического управления, такие как Удаление внешних участников совместной работы и Отправка дайджеста соответствия политик владельцу файла , чтобы предотвратить потерю данных в организации.

Конфиденциальный фильтр файлов.

Вот еще один пример использования страницы "Файлы ". Убедитесь, что никто в вашей организации не предоставляет общий доступ к файлам, которые не были изменены за последние шесть месяцев.

Подключите приложение к Defender for Cloud Apps и перейдите на страницу Файлы. Отфильтруйте файлы, уровень доступа которых — Внешний или Общедоступный , и задайте для параметра Дата последнего изменения шесть месяцев назад. Создайте политику файлов, которая обнаруживает эти устаревшие общедоступные файлы, выбрав Создать политику из поиска. Примените к ним действия автоматического управления, например Удаление внешних пользователей, чтобы предотвратить потерю данных в организации.

Устаревший внешний фильтр файлов.

Базовый фильтр предоставляет отличные средства для начала фильтрации файлов.

Базовый фильтр журнала файлов.

Чтобы детализировать более конкретные файлы, можно развернуть базовый фильтр, выбрав Расширенные фильтры.

Расширенный фильтр журнала файлов.

Фильтры файлов

Defender for Cloud Apps может отслеживать любой тип файла на основе более чем 20 фильтров метаданных (например, уровень доступа, тип файла).

Встроенные подсистемы защиты от потери данных Defender for Cloud Apps выполняют проверку содержимого путем извлечения текста из файлов распространенных типов. Некоторые из включенных типов файлов : PDF, Файлы Office, RTF, HTML и файлы кода.

Ниже приведен список фильтров файлов, которые можно применить. Чтобы предоставить мощный инструмент для создания политик, большинство фильтров поддерживают несколько значений и NOT.

Примечание.

При использовании фильтров политики файлов contains будет искать только полные слова , разделенные запятыми, точками, дефисами или пробелами для поиска.

  • Пробелы или дефисы между словами функционируют как OR. Например, если вы ищете вредоносныйвирус, он найдет все файлы с вредоносной программой или вирусом в имени, поэтому он будет находить какmalware-virus.exe, так иvirus.exe.
  • Если вы хотите найти строку, заключите слова в кавычки. Эта функция выполняется как И. Например, если выполнить поиск по запросу "malware""virus", он найдет virus-malware-file.exe но не найдет malwarevirusfile.exe и не найдетmalware.exe. Однако он будет искать точную строку. Если выполнить поиск по запросу "вредоносный вирус", он не будет находить "virus" или "virus-malware".

Равно будет искать только полную строку. Например, при поиске malware.exe он найдет malware.exe , но не malware.exe.txt.

  • Уровень доступа — уровень доступа совместного доступа; public, external, internal или private.

    • Internal — все файлы во внутренних доменах, заданных в общей настройке.
    • Внешний — все файлы, сохраненные в расположениях, не входящих в заданные внутренние домены.
    • Общий — файлы с уровнем общего доступа выше частного. Общий доступ включает:

      • Внутренний общий доступ — файлы, к которым предоставлен общий доступ во внутренних доменах.

      • Внешний общий доступ — файлы, к которым предоставлен общий доступ в доменах, которые не указаны во внутренних доменах.

      • Общедоступный со ссылкой — файлы, которыми можно делиться с любым пользователем по ссылке.

      • Public — файлы, которые можно найти, выполнив поиск в Интернете.

        Примечание.

        Файлы, совместно используемые в подключенных приложениях хранилища внешними пользователями, обрабатываются следующим образом Defender for Cloud Apps:

        • OneDrive: OneDrive назначает внутреннего пользователя владельцем любого файла, помещенного в OneDrive внешним пользователем. Так как эти файлы считаются принадлежащими вашей организации, Defender for Cloud Apps сканирует эти файлы и применяет политики, как и к любому другому файлу в OneDrive.
        • Google Диск: Google Drive считает, что они принадлежат внешнему пользователю, и из-за юридических ограничений на файлы и данные, которые не принадлежат вашей организации, Defender for Cloud Apps не имеет доступа к этим файлам.
        • Коробка: Так как Box считает, что внешние файлы — это частная информация, глобальные администраторы Box не могут видеть содержимое файлов. По этой причине Defender for Cloud Apps не имеет доступа к этим файлам.
        • Dropbox: Так как Dropbox считает, что внешние файлы — это частная информация, глобальные администраторы Dropbox не могут просматривать содержимое файлов. По этой причине Defender for Cloud Apps не имеет доступа к этим файлам.

  • Приложение — поиск только файлов в этих приложениях.

  • Участники совместной работы — включение или исключение определенных участников совместной работы или групп.

    • Любой из домена — если какой-либо пользователь из этого домена имеет прямой доступ к файлу.

      Примечание.

      • Этот фильтр не поддерживает файлы, к которым был предоставлен общий доступ группе, только для определенных пользователей.
      • Для SharePoint и OneDrive фильтр не поддерживает файлы, к которым предоставлен общий доступ конкретному пользователю через общую ссылку.

    • Вся организация — если вся организация имеет доступ к файлу.

    • Группы — если у определенной группы есть доступ к файлу. Группы можно импортировать из Active Directory, облачных приложений или вручную создать в службе.

      Примечание.

      • Этот фильтр используется для поиска группы участников совместной работы в целом. Он не соответствует отдельным членам группы.

    • Пользователи — определенный набор пользователей, которые могут иметь доступ к файлу.

  • Created — время создания файла. Фильтр поддерживает даты до и после и диапазон дат.

  • Расширение — сосредоточьтесь на определенных расширениях файлов. Например, все файлы, которые являются исполняемыми файлами (*.exe).

    Примечание.

    • Этот фильтр учитывает регистр.
    • Используйте предложение OR, чтобы применить фильтр к нескольким вариантам заглавной буквы.

  • Идентификатор файла — поиск определенных идентификаторов файлов. Идентификатор файла — это расширенная функция, которая позволяет отслеживать некоторые файлы с высоким значением без зависимости от владельца, расположения или имени.

  • Имя файла — имя файла или подстрока имени, определенного в облачном приложении. Например, все файлы с паролем в имени.

  • Метка конфиденциальности — поиск файлов с определенным набором меток. Метки:

    Примечание.

    Если этот фильтр используется в политике файлов, политика будет применяться только к файлам Microsoft Office и игнорировать файлы других типов.

    • Защита информации Microsoft Purview — требуется интеграция с Защита информации Microsoft Purview.
    • Defender for Cloud Apps — предоставляет дополнительные сведения о сканируемом файле. Для каждого файла, проверенного Defender for Cloud Apps защиты от потери данных, можно узнать, была ли проверка заблокирована, так как файл зашифрован или поврежден. Например, можно настроить политики для оповещений и карантина файлов, защищенных паролем, которые предоставляются извне.
      • Зашифровано Azure RMS — файлы, содержимое которых не проверялось из-за набора шифрования Azure RMS.
      • Зашифрованные паролем — файлы, содержимое которых не было проверено, так как они защищены паролем пользователем.
      • Поврежденный файл — файлы, содержимое которых не было проверено, так как их содержимое не удалось прочитать.

  • Тип файла — Defender for Cloud Apps сканирует файл, чтобы определить, соответствует ли истинный тип файла типу MIME, полученному (см. таблицу) от службы. Эта проверка относится к файлам, которые относятся к сканированию данных (документы, изображения, презентации, электронные таблицы, текстовые и ZIP-архивные файлы). Фильтр работает для каждого типа файла или папки. Например, Все папки, которые ... или Все файлы электронных таблиц, которые...

Тип MIME Тип файла
- application/vnd.openxmlformats-officedocument.wordprocessingml.document
- application/vnd.ms-word.document.macroEnabled.12
— application/msword
- application/vnd.oasis.opendocument.text
- application/vnd.stardivision.writer
- application/vnd.stardivision.writer-global
— application/vnd.sun.xml.writer
- application/vnd.stardivision.math
- application/vnd.stardivision.chart
— application/x-starwriter
— application/x-stardraw
— application/x-starmath
— application/x-starchart
- application/vnd.google-apps.document
- application/vnd.google-apps.kix
— application/pdf
- application/x-pdf
- application/vnd.box.webdoc
- application/vnd.box.boxnote
- application/vnd.jive.document
— text/rtf
— application/rtf		 Документ
— application/vnd.oasis.opendocument.image
- application/vnd.google-apps.photo
- начинается с: image/		 Image
- application/vnd.openxmlformats-officedocument.presentationml.presentation
- application/vnd.ms-powerpoint.template.macroEnabled.12
— application/mspowerpoint
— application/powerpoint
— application/vnd.ms-powerpoint
— application/x-mspowerpoint
— application/mspowerpoint
— application/vnd.ms-powerpoint
- application/vnd.oasis.opendocument.presentation
— application/vnd.sun.xml.impress
- application/vnd.stardivision.impress
— application/x-starimpress
- application/vnd.google-apps.presentation		 Презентация
- application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
- application/vnd.ms-excel.sheet.macroEnabled.12
— application/excel
- application/vnd.ms-excel
— application/x-excel
— application/x-msexcel
- application/vnd.oasis.opendocument.spreadsheet
— application/vnd.sun.xml.calc
- application/vnd.stardivision.calc
— application/x-starcalc
- application/vnd.google-apps.spreadsheet		 Электронная таблица
- начинается с: text/ Текст
Все остальные типы MIME файлов Прочее

policy_file тип фильтров.

  • В корзине — исключить или включить файлы в корзину. Эти файлы по-прежнему могут быть общими и представлять риск.

    Примечание.

    Этот фильтр не применяется к файлам в SharePoint и OneDrive.

    policy_file фильтрует мусор.

  • Последнее изменение — время изменения файла. Фильтр поддерживает даты до и после, диапазон дат и относительные выражения времени. Например, все файлы, которые не были изменены за последние шесть месяцев.

  • Совпадающая политика — файлы, соответствующие активной политике Defender for Cloud Apps.

  • Тип MIME — тип MIME файла проверка. Он принимает бесплатный текст.

  • Владелец — включить или исключить определенных владельцев файлов. Например, отслеживайте все файлы, к которым предоставлен доступ rogue_employee_#100.

  • Подразделение владельца — включает или исключает владельцев файлов, принадлежащих определенным подразделениям. Например, все общедоступные файлы, кроме файлов, совместно используемых EMEA_marketing. Применяется только к файлам, хранящимся в Google Диск.

  • Родительская папка — включает или исключает определенную папку (не применяется к вложенным папкам). Например, все общедоступные файлы, кроме файлов в этой папке.

    Примечание.

    Defender for Cloud Apps обнаруживает новые папки SharePoint и OneDrive только после выполнения в них некоторых действий с файлами.

  • В карантине — если файл помещен в карантин службой. Например, покажите все файлы, помещенные в карантин.

При создании политики можно также настроить ее для запуска в определенных файлах, задав фильтр Применить к . Отфильтруйте все файлы, выбранные папки (включены вложенные папки) или все файлы, за исключением выбранных папок. Затем выберите нужные файлы или папки.

применить к фильтру.

Авторизация файлов

После того как Defender for Cloud Apps идентифицирует файлы как представляющие угрозу вредоносных программ или защиты от потери данных, рекомендуется исследовать файлы. Если вы определили, что файлы безопасны, вы можете авторизовать их. Авторизация файла удаляет его из отчета об обнаружении вредоносных программ и подавляет будущие совпадения в этом файле.

Авторизация файлов

  1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Выберите вкладку Защита информации.

  2. В списке политик в строке, в которой отображается политика, активировавшая исследование, в столбце Счетчик выберите ссылку соответствия .

    Совет

    Список политик можно отфильтровать по типу. В следующей таблице указан тип фильтра для каждого типа риска.

    Тип риска Тип фильтра
    Защита от потери данных Политика файлов
    Вредоносная программа Политика обнаружения вредоносных программ

  3. В списке соответствующих файлов в строке, в которой отображается исследуемый файл, выберите ✓ для авторизации.

Работа с панелью файлов

Дополнительные сведения о каждом файле можно просмотреть, выбрав сам файл в журнале файлов. При его выборе откроется панель файлов , которая предоставляет следующие дополнительные действия, которые можно выполнить с файлом:

  • URL-адрес . Вы перейдете к расположению файла.
  • Идентификаторы файлов . Открывает всплывающее окно с необработанными данными о файле, включая идентификатор файла и ключи шифрования, если они доступны.
  • Владелец — просмотр страницы пользователя для владельца этого файла.
  • Совпадаемые политики . См. список политик, которые соответствуют файлу.
  • Метки конфиденциальности. Просмотрите список меток конфиденциальности из Защита информации Microsoft Purview, найденных в этом файле. Затем можно выполнить фильтрацию по всем файлам, соответствующим этой метки.

Поля в панели "Файл" предоставляют контекстные ссылки на дополнительные файлы и детализацию, которую можно выполнить непосредственно из панели. Например, при перемещении курсора рядом с полем Владелец можно использовать значок "добавить для фильтрации" для фильтрации. Чтобы сразу добавить владельца в фильтр текущей страницы. Вы также можете использовать значок параметров шестеренки параметров. Он открывается, чтобы перейти непосредственно на страницу параметров, необходимую для изменения конфигурации одного из полей, например меток конфиденциальности.

Панель файлов.

Список доступных действий по управлению см. в разделе Действия управления файлами.

Дальнейшие действия

Рекомендации по защите организации

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.