Поделиться через

Руководство. Защита файлов с помощью карантина администратора

  • Статья

Политики файлов — это отличный инструмент для поиска угроз для политик защиты информации. Например, создайте политики файлов, которые будут находить места, где пользователи хранят конфиденциальную информацию, кредиты карта номера и сторонние файлы ICAP в облаке.

В этом руководстве вы узнаете, как использовать Microsoft Defender for Cloud Apps для обнаружения нежелательных файлов, хранящихся в облаке, которые оставляют вас уязвимыми, и принять немедленные меры, чтобы остановить их в своих дорожках и заблокировать файлы, которые представляют угрозу, с помощью Администратор карантина для защиты файлов в облаке, устранения проблем и предотвращения будущих утечек.

Важно!

Начиная с 1 сентября 2024 г. мы будем нерекомендуемую страницу "Файлы" с Microsoft Defender for Cloud Apps. На этом этапе создайте и измените политики Information Protection и найдите файлы вредоносных программ на странице Управление политиками политик > облачных приложений>. Дополнительные сведения см. в разделе Политики файлов в Microsoft Defender for Cloud Apps.

Общие сведения о работе карантина

Примечание.

  • Список приложений, поддерживающих карантин администратора, см. в списке действий по управлению.
  • Файлы, помеченные Defender for Cloud Apps, нельзя поместить в карантин.
  • Defender for Cloud Apps действия, выполняемые администратором в карантине, ограничены 100 действиями в день.
  • Сайты Sharepoint, переименованные напрямую или как часть переименования домена, не могут использоваться в качестве расположения папки для карантина администратора.

  1. Если файл соответствует политике, для файла будет доступен параметр карантина Администратор.

  2. Выполните одно из следующих действий, чтобы поместить файл в карантин:

    • Примените действие карантина Администратор вручную:

      действие карантина.

    • Задайте его в качестве действия автоматического карантина в политике:

      автоматический карантин.

  3. При применении Администратор карантина происходит следующее:

    1. Исходный файл перемещается в заданную папку карантина администратора.

    2. Исходный файл удаляется.

    3. Файл надгробия передается в исходное расположение файла.

      карантинный надгробие.

    4. Пользователь может получить доступ только к файлу надгробия. В файле они могут прочитать пользовательские рекомендации, предоставляемые ИТ-специалистом, и идентификатор корреляции, чтобы предоставить ИТ-специалисту возможность освободить файл.

  4. Когда вы получите оповещение о том, что файл помещен в карантин, перейдите в раздел Политики ->Управление политиками. Затем перейдите на вкладку Information Protection. В строке с политикой файлов выберите три точки в конце строки и выберите Просмотреть все совпадения. При этом вы получите отчет о совпадениях, где можно просмотреть соответствующие и помещенные в карантин файлы:

    Файлы, помещенные в карантин.

  5. После помещения файла в карантин используйте следующий процесс, чтобы исправить ситуацию с угрозами:

    1. Проверьте файл в папке на карантине в SharePoint Online.
    2. Вы также можете просмотреть журналы аудита, чтобы подробно ознакомиться со свойствами файла.
    3. Если вы обнаружите, что файл противоречит корпоративной политике, запустите процесс реагирования на инциденты (IR) организации.
    4. Если вы обнаружите, что файл безвреден, его можно восстановить из карантина. В этот момент исходный файл освобождается, то есть он копируется обратно в исходное расположение, надгробие удаляется, и пользователь может получить доступ к файлу.

    восстановление карантина.

  6. Убедитесь, что политика работает гладко. Затем можно использовать действия автоматического управления в политике, чтобы предотвратить дальнейшие утечки и автоматически применить Администратор карантин при совпадении политики.

Примечание.

При восстановлении файла:

  • Исходные общие папки не восстанавливаются, применяется наследование папок по умолчанию.
  • Восстановленный файл содержит только последнюю версию.
  • Ответственность за управление доступом к сайту папки карантина лежит на клиенте.

Настройка карантина администратора

  1. Настройте политики файлов, которые обнаруживают нарушения. Примеры таких типов политик:

    • Политика только метаданных, например метка конфиденциальности в SharePoint Online
    • Собственная политика защиты от потери данных, например политика, которая ищет номера кредитов карта
    • Политика стороннего поставщика ICAP, например политика, которая ищет Vontu

  2. Задайте расположение для карантина:

    1. Для Microsoft 365 SharePoint или OneDrive для бизнеса нельзя поместить файлы в карантин администратора в рамках политики, пока не настроите ее: предупреждение о карантине.

      Чтобы задать параметры карантина администратора, на портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Information Protection выберите Администратор карантин. Укажите сайт для расположения папки карантина и уведомление пользователя, которое пользователь получит при помещении файла в карантин. параметры карантина.

      Примечание.

      Defender for Cloud Apps создаст папку карантина на выбранном сайте.

    2. Для Box невозможно настроить расположение папки карантина и сообщение пользователя. Расположение папки — это диск администратора, подключившего Box к Defender for Cloud Apps, а сообщение пользователя: Этот файл помещен в карантин на диск администратора, так как он может нарушить политики безопасности и соответствия требованиям вашей компании. Обратитесь за помощью к ИТ-администратору.

Дальнейшие действия

Рекомендации по защите организации

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.