Microsoft Defender for Cloud Apps 中的文件策略
文件策略允许使用云提供商的 API 强制实施各种自动化过程。 可以将策略设置为提供持续合规性扫描、法律电子数据展示任务、公开共享敏感内容的 DLP 以及更多用例。 Defender for Cloud Apps可以根据 20 多个元数据筛选器监视任何文件类型, (例如访问级别、文件类型) 。
有关可应用的文件筛选器的列表,请参阅 Microsoft Defender for Cloud Apps 中的文件筛选器。
支持的文件类型
Defender for Cloud Apps引擎通过从所有常见文件类型中提取文本来执行内容检查, (100 多个) 包括 Office、Open Office、压缩文件、各种富文本格式、XML、HTML 等。
策略
引擎在每个策略下组合了三个方面:
基于预设模板或自定义表达式的内容扫描。
上下文筛选器,包括用户角色、文件元数据、共享级别、组织组集成、协作上下文和其他可自定义属性。
用于管理和修正的自动操作。
注意
仅保证应用第一个触发策略的治理操作。 例如,如果文件策略已将敏感度标签应用于某个文件,则第二个文件策略无法向其应用另一个敏感度标签。
启用后,该策略会持续扫描云环境,识别与内容和上下文筛选器匹配的文件,并应用请求的自动操作。 这些策略检测并修正静态信息或创建新内容时的任何违规行为。 可以使用实时警报或控制台生成的报告来监视策略。
下面是可创建的文件策略的示例:
公开共享文件 - 通过选择共享级别为公共的所有文件,接收有关云中公开共享的任何文件的警报。
公开共享文件名包含组织的名称 - 接收有关包含组织名称且公开共享的任何文件的警报。 选择文件名包含组织名称并公开共享的文件。
与外部域共享 - 接收有关与特定外部域拥有的帐户共享的任何文件的警报。 例如,与竞争对手的域共享的文件。 选择要限制共享的外部域。
隔离上次未修改的共享文件 - 接收有关最近没有人修改的共享文件的警报,以隔离它们或选择启用自动操作。 排除在指定日期范围内未修改的所有专用文件。 在 Google Workspace 上,可以选择使用策略创建页面上的“隔离文件”复选框隔离这些文件。
与未经授权的用户共享 - 接收有关与组织中未经授权的用户组共享的文件的警报。 选择未授权共享的用户。
敏感文件扩展名 - 接收有关具有可能高度公开的特定扩展名的文件的警报。 选择特定扩展名(例如证书的 crt)或文件名,并排除具有专用共享级别的文件。
注意
Defender for Cloud Apps中限制为 50 个文件策略。
创建新文件策略
若要创建新的文件策略,请遵循以下过程:
在Microsoft Defender门户中的“云应用”下,转到“策略->策略管理”。 选择“信息保护”选项卡。
选择创建策略,然后选择文件策略。
为策略提供名称和说明,如果需要,可以基于模板,有关策略模板的详细信息,请参阅 使用策略控制云应用。
为策略提供 策略严重性。 如果已将 Defender for Cloud Apps 设置为在特定策略严重级别的策略匹配项上向你发送通知,则此级别用于确定策略的匹配项是否触发通知。
在 “类别”中,将策略链接到最合适的风险类型。 此字段仅供参考,有助于稍后根据风险类型搜索特定策略和警报。 风险可能已根据你选择为其创建策略的类别进行预选。 默认情况下,文件策略设置为 DLP。
为此策略将处理的文件创建筛选器 ,以设置哪些发现的应用触发此策略。 缩小策略筛选器的范围,直到到达要处理的准确文件集。 尽量限制以避免误报。 例如,如果要删除公共权限,请记得添加 公共 筛选器,如果要删除外部用户,请使用“外部”筛选器等。
注意
使用策略筛选器时, Contain 仅搜索完整字词 - 用逗号、点、空格或下划线分隔。 例如,如果搜索 恶意软件 或 病毒,它会找到 virus_malware_file.exe 但找不到 malwarevirusfile.exe。 如果搜索 malware.exe,则会发现文件名中包含恶意软件或 exe 的所有文件,而如果搜索带有引号的 “malware.exe” () 仅发现包含精确“malware.exe”的文件。 Equals 仅搜索完整的字符串,例如,如果搜索 malware.exe 它找到 malware.exe 而不 malware.exe.txt。
有关文件策略筛选器的详细信息,请参阅 Microsoft Defender for Cloud Apps 中的文件筛选器。
在第一个“应用于筛选器”下,为 Box、SharePoint、Dropbox 或 OneDrive 选择除所选文件夹或所选文件夹之外的所有文件,你可以在其中对应用程序上的所有文件或特定文件夹强制实施文件策略。 你已重定向到登录云应用,然后添加相关文件夹。
在“第二个 应用筛选器 ”下,选择 所有文件所有者、 所选用户组中的文件所有者 或 不包括所选组的所有文件所有者。 然后选择相关的用户组,以确定策略中应包含哪些用户和组。
选择 内容检查方法。 可以选择 “内置 DLP ”或 “数据分类服务”。 建议使用 数据分类服务。
启用内容检查后,可以选择使用预设表达式或搜索其他自定义表达式。
此外,可以指定正则表达式以从结果中排除文件。 如果具有要从策略中排除的内部分类关键字标准,则此选项非常有用。
可以决定在文件被视为冲突之前,设置要匹配的最小内容冲突数。 例如,如果要在内容中找到至少 10 个信用卡号的文件上收到警报,则可以选择 10。
当内容与所选表达式匹配时,冲突文本将替换为 ”X>字符。 默认情况下,冲突会被屏蔽,并显示在其上下文中,在冲突前后显示 100 个字符。 表达式上下文中的数字替换为 “#”字符,从不存储在 Defender for Cloud Apps 中。 可以选择取消 屏蔽冲突的最后四个字符 的选项,以取消屏蔽冲突本身的最后四个字符。 必须设置正则表达式搜索的数据类型:内容、元数据和/或文件名。 默认情况下,它会搜索内容和元数据。
选择要在检测到匹配时Defender for Cloud Apps采取的治理操作。
创建策略后,可以通过筛选 文件策略 类型来查看它。 始终可以编辑策略、校准其筛选器或更改自动操作。 策略在创建时自动启用,并立即开始扫描云文件。 设置治理操作时,请格外小心,这些操作可能会导致对文件的访问权限不可逆地丢失。 建议使用多个搜索字段缩小筛选器范围,以准确表示要对其执行操作的文件。 筛选器越窄越好。 有关指导,可以使用筛选器旁边的 “编辑和预览结果 ”按钮。
若要查看文件策略匹配项(疑似违反策略的文件),请转到 策略 ->策略管理。 使用顶部的 “类型 ”筛选器筛选结果以仅显示文件策略。 有关每个策略的匹配项的详细信息,请在 “计数 ”列下选择策略的 匹配 项数。 或者,选择策略行末尾的三个点,然后选择 “查看所有匹配项”。 这会打开 “文件策略”报表。 选择“ 立即匹配 ”选项卡,查看当前与策略匹配的文件。 选择“ 历史记录 ”选项卡可查看最多 6 个月与策略匹配的文件的历史记录。
文件策略最佳做法
在生产环境中使用 “重置结果并再次应用操作 ”复选框) 避免重置文件策略 (,除非绝对必要,否则这样做将启动策略涵盖的文件的完全扫描,这可能会对其性能产生负面影响。
将标签应用于特定 父文件夹及其 子文件夹中的文件时,请使用 “应用于 所选>文件夹” 选项。 然后添加每个父文件夹。
将标签仅应用于特定文件夹中的文件 (排除) 的任何子文件夹时,请使用文件策略筛选器 “父文件夹 ”和 Equals 运算符。
与宽条件) 相比, (使用窄筛选条件时,文件策略速度更快。
将同一服务 ((如 SharePoint、OneDrive、Box 等)的多个文件策略) 合并为单个策略。
从 “设置” 页) 启用文件监视 (时,请至少创建一个文件策略。 当不存在文件策略或连续 7 天禁用时,文件监视会自动显示。
文件策略参考
本部分提供有关策略的参考详细信息,并提供有关每种策略类型和可为每个策略配置的字段的说明。
文件策略是基于 API 的策略,使你能够控制组织在云中的内容,同时考虑 20 多个文件元数据筛选器 (包括所有者和共享级别) 和内容检查结果。 根据策略结果,可以应用治理操作。 内容检查引擎可以通过第三方 DLP 引擎和反恶意软件解决方案进行扩展。
每个策略由以下部分组成:
文件筛选器 - 使你能够基于元数据创建精细条件。
内容检查 - 使你能够根据 DLP 引擎结果缩小策略范围。 可以包括自定义表达式或预设表达式。 可以设置排除项,并且可以选择匹配项数。 还可以使用匿名化来屏蔽用户名。
操作 – 策略提供一组可在发现冲突时自动应用的治理操作。 这些操作分为协作操作、安全操作和调查操作。
扩展 - 可以通过第三方引擎执行内容检查,以改进 DLP 或反恶意软件功能。
查看文件策略结果
可以转到策略中心查看文件策略冲突。
在Microsoft Defender门户中的“云应用”下,转到“策略 ->策略管理”,然后选择“信息保护”选项卡。
对于每个文件策略,可以通过选择 匹配项来查看文件策略冲突。
可以选择文件本身来获取有关文件的信息。
例如,可以选择“ 协作者” 以查看谁有权访问此文件,还可以选择“ 匹配” 来查看社会保险号码。
相关视频
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。