通过

使用Microsoft Defender for Cloud Apps调查文件

  • 项目

为了提供数据保护,Microsoft Defender for Cloud Apps让你能够查看已连接应用中的所有文件。 使用应用连接器将Microsoft Defender for Cloud Apps连接到应用后,Microsoft Defender for Cloud Apps扫描所有文件,例如存储在 OneDrive 和 Salesforce 中的所有文件。 然后,每次修改时,Defender for Cloud Apps重新扫描每个文件 - 修改可以是内容、元数据或共享权限。 扫描时间取决于应用中存储的文件数。 还可以使用“ 文件” 页筛选文件,以调查云应用中保存的数据类型。

重要

2024 年 9 月 1 日起,我们将从 Microsoft Defender for Cloud Apps 逐步淘汰“文件”。 “文件”页的核心功能将在 “云应用 > 策略 > 管理 ”页上提供。 建议使用“策略管理”页调查文件,并创建、修改和筛选信息保护策略和恶意软件文件。 有关详细信息,请参阅 Microsoft Defender for Cloud Apps 中的文件策略

注意

文件策略筛选器和“编辑和预览结果”中的查询大小限制

  • 创建或编辑文件策略时,或使用“编辑并预览结果”选项时,存在查询大小限制。 此限制可确保最佳性能并防止系统过载。
  • 如果查询超过允许的大小,则可能需要优化条件或使用其他筛选器来符合可接受的限制。 例如,如果策略涉及包含组“每个人”或“除外部用户以外的所有人”的“协作者”条件,则可能会由于查询大小限制导致失败。
  • 请注意,如果查询超出大小限制,则系统不会指定哪个筛选器导致失败。

启用文件监视

若要为Defender for Cloud Apps启用文件监视,请先在“设置”区域中启用文件监视。 在Microsoft Defender门户中,选择“设置>云应用>信息保护>文件>启用文件监视>保存”。

  • 如果没有活动文件策略,在上次文件页参与时间后七天,文件监视会自动关闭。
  • 如果没有活动文件策略,在上次文件页参与时间的 35 天后,Defender for Cloud Apps开始删除 Defender for Cloud 应用维护的有关存储文件的任何数据。

文件筛选器示例

例如,使用“ 文件” 页来保护标记为 “机密”的外部共享文件,如下所示:

将应用连接到Defender for Cloud Apps后,请与 Microsoft Purview 信息保护 集成。 然后,在 “文件” 页中,筛选标记为 “机密 ”的文件,并在 “协作者” 筛选器中排除域。 如果发现有机密文件在组织外部共享,可以创建文件策略来检测它们。 你可以对这些文件应用自动治理操作,例如 “删除外部协作者”“向文件所有者发送策略匹配摘要 ”,以防止组织丢失数据。

文件筛选器机密。

下面是如何使用 “文件” 页的另一个示例。 确保组织中没有人公开或外部共享过去六个月未修改的文件:

将应用连接到Defender for Cloud Apps并转到“文件”页。 筛选其访问级别为 “外部 ”或“ 公共 ”的文件,并将 “上次修改 日期”设置为 6 个月前。 通过 从搜索中选择“新建策略”,创建检测这些过时公共文件的文件策略。 对他们应用自动治理操作,例如 “删除外部用户”,以防止组织数据丢失。

文件筛选器过时的外部。

基本筛选器提供了用于开始筛选文件的绝佳工具。

基本文件日志筛选器。

若要向下钻取到更具体的文件,可以通过选择“高级筛选器”来展开基本 筛选器

高级文件日志筛选器。

文件筛选器

Defender for Cloud Apps可以根据 20 多个元数据筛选器监视任何文件类型, (例如访问级别、文件类型) 。

Defender for Cloud Apps内置的 DLP 引擎通过从常见文件类型中提取文本来执行内容检查。 包含的一些文件类型包括 PDF、Office 文件、RTF、HTML 和代码文件。

下面是可应用的文件筛选器的列表。 为了为你提供用于创建策略的强大工具,大多数筛选器都支持多个值和 NOT

注意

使用文件策略筛选器时, Contains 将仅搜索 完整字词 - 用逗号、点、连字符或空格分隔进行搜索。

  • 单词之间的空格或连字符功能类似于 OR。 例如,如果搜索 恶意软件病毒 ,它将找到名称中带有恶意软件或病毒的所有文件,因此它将找到 malware-virus.exevirus.exe
  • 如果要搜索字符串,请将单词括在引号中。 此函数类似于 AND。 例如,如果搜索 “malware”“virus”,它将找到 virus-malware-file.exe 但找不到 malwarevirusfile.exe 并且找不到 malware.exe。 但是,它将搜索确切的字符串。 如果搜索“恶意软件病毒”,则找不到“病毒”“virus-malware”。

Equals 将仅搜索完整的字符串。 例如,如果搜索 malware.exe 它将找到 malware.exe 但不 malware.exe.txt

  • 访问级别 - 共享访问级别;public、external、internal 或 private。

    • 内部 - 在 常规设置中设置的内部域中的任何文件。
    • 外部 - 保存在非你设置的内部域中的位置的任何文件。
    • 共享 - 共享级别高于私有的文件。 共享包括:

      • 内部共享 - 内部域中共享的文件。

      • 外部共享 - 未在内部域中列出的域中共享的文件。

      • 公共链接 - 可通过链接与任何人共享的文件。

      • 公共 - 可通过搜索 Internet 找到的文件。

        注意

        外部用户共享到连接存储应用中的文件按如下方式处理Defender for Cloud Apps:

        • OneDrive: OneDrive 将内部用户分配为外部用户放入 OneDrive 中的任何文件的所有者。 由于这些文件随后被视为你的组织所有,因此Defender for Cloud Apps扫描这些文件,并像对 OneDrive 中的任何其他文件一样应用策略。
        • Google Drive:Google Drive 将其视为外部用户所有,并且由于您的组织不拥有的文件和数据受到法律限制,Defender for Cloud Apps无权访问这些文件。
        • 箱: 由于 Box 将外部拥有的文件视为私人信息,因此 Box 全局管理员无法看到文件的内容。 因此,Defender for Cloud Apps无权访问这些文件。
        • Dropbox: 由于 Dropbox 认为外部拥有的文件是私人信息,因此 Dropbox 全局管理员无法看到文件的内容。 因此,Defender for Cloud Apps无权访问这些文件。

  • 应用 - 仅搜索这些应用中的文件。

  • 协作者 – 包括/排除特定协作者或组。

    • 任何来自域 – 如果此域中的任何用户对文件具有直接访问权限。

      注意

      • 此筛选器不支持与组共享的文件,仅支持与特定用户共享的文件。
      • 对于 SharePoint 和 OneDrive,筛选器不支持通过共享链接与特定用户共享的文件。

    • 整个组织 – 如果整个组织有权访问该文件,

    • – 如果特定组有权访问该文件。 可以从 Active Directory、云应用导入组,也可以在服务中手动创建。

      注意

      • 此筛选器用于作为一个整体搜索协作者组。 它与单个组成员不匹配。

    • 用户 - 可能有权访问文件的某些用户集。

  • 已创建 – 文件创建时间。 筛选器支持日期之前/之后和日期范围。

  • 扩展名 – 重点介绍特定的文件扩展名。 例如,所有可执行文件 (*.exe) 。

    注意

    • 此筛选器区分大小写。
    • 使用 OR 子句可对多个大写变体应用筛选器。

  • 文件 ID – 搜索特定文件 ID。 文件 ID 是一项高级功能,可用于跟踪某些高价值文件,而无需依赖于所有者、位置或名称。

  • 文件名 – 云应用中定义的文件名或名称的子字符串。 例如,名称中具有密码的所有文件。

  • 敏感度标签 - 搜索设置了特定标签的文件。 标签包括:

    注意

    如果在文件策略中使用此筛选器,该策略将仅适用于Microsoft Office 文件,并将忽略其他文件类型。

    • Microsoft Purview 信息保护 - 需要与 Microsoft Purview 信息保护 集成。
    • Defender for Cloud Apps - 更深入地了解它扫描的文件。 对于Defender for Cloud Apps DLP 扫描的每个文件,可以知道检查是否因为文件已加密或损坏而被阻止。 例如,可以设置策略来对外部共享的受密码保护的文件发出警报和隔离。
      • Azure RMS 加密 - 未检查其内容的文件,因为它们具有 Azure RMS 加密集。
      • 密码加密 - 由于受用户密码保护而未检查其内容的文件。
      • 损坏的文件 – 由于无法读取其内容而未检查其内容的文件。

  • 文件类型 – Defender for Cloud Apps扫描文件以确定真正的文件类型是否与收到的 MIME 类型匹配, (查看服务中的表) 。 此扫描适用于与数据扫描相关的文件, (文档、图像、演示文稿、电子表格、文本和 zip/存档文件) 。 筛选器按文件/文件夹类型工作。 例如, 为 ... 的所有文件夹属于... 的所有电子表格文件...

MIME 类型 文件类型
- application/vnd.openxmlformats-officedocument.wordprocessingml.document
- application/vnd.ms-word.document.macroEnabled.12
- application/msword
- application/vnd.oasis.opendocument.text
- application/vnd.stardivision.writer
- application/vnd.stardivision.writer-global
- application/vnd.sun.xml.writer
- application/vnd.stardivision.math
- application/vnd.stardivision.chart
- application/x-starwriter
- application/x-stardraw
- application/x-starmath
- application/x-淀粉艺术
- application/vnd.google-apps.document
- application/vnd.google-apps.kix
- application/pdf
- application/x-pdf
- application/vnd.box.webdoc
- application/vnd.box.boxnote
- application/vnd.jive.document
- text/rtf
- application/rtf		 文档
- application/vnd.oasis.opendocument.image
- application/vnd.google-apps.photo
- 开头: image/		 图像
- application/vnd.openxmlformats-officedocument.presentationml.presentation
- application/vnd.ms-powerpoint.template.macroEnabled.12
- application/mspowerpoint
- application/powerpoint
- application/vnd.ms-powerpoint
- application/x-mspowerpoint
- application/mspowerpoint
- application/vnd.ms-powerpoint
- application/vnd.oasis.opendocument.presentation
- application/vnd.sun.xml.impress
- application/vnd.stardivision.impress
- application/x-starimpress
- application/vnd.google-apps.presentation		 演示文稿
- application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
- application/vnd.ms-excel.sheet.macroEnabled.12
- application/excel
- application/vnd.ms-excel
- application/x-excel
- application/x-msexcel
- application/vnd.oasis.opendocument.spreadsheet
- application/vnd.sun.xml.calc
- application/vnd.stardivision.calc
- application/x-starcalc
- application/vnd.google-apps.spreadsheet		 XML 电子表格
- 开头: text/ Text
所有其他文件 MIME 类型 其他

policy_file筛选器类型。

  • 回收站中 – 排除/包含回收站文件夹中的文件。 这些文件可能仍会共享并带来风险。

    注意

    此筛选器不适用于 SharePoint 和 OneDrive 上的文件。

    policy_file筛选器回收站。

  • 上次修改 时间 – 文件修改时间。 筛选器支持日期之前和之后的日期、日期范围和相对时间表达式。 例如,过去六个月内未修改的所有文件。

  • 匹配策略 - 活动Defender for Cloud Apps策略匹配的文件。

  • MIME 类型 – 文件 MIME 类型检查。 它接受自由文本。

  • 所有者 - 包括/排除特定文件所有者。 例如,跟踪 rogue_employee_#100 共享的所有文件。

  • 所有者 OU – 包括或排除属于某些组织单位的文件所有者。 例如,除 EMEA_marketing共享的文件之外的所有公共文件。 仅适用于存储在 Google Drive 中的文件。

  • 父文件夹 – 包括或排除特定文件夹 (不适用于子文件夹) 。 例如,除此文件夹中的文件之外的所有公开共享文件。

    注意

    Defender for Cloud Apps仅在新 SharePoint 和 OneDrive 文件夹执行某些文件活动后检测到这些文件夹。

  • 已隔离 – 如果文件由服务隔离。 例如,显示已隔离的所有文件。

创建策略时,还可以通过设置 “应用于 ”筛选器,将其设置为在特定文件上运行。 筛选到) 包含 的所有文件所选文件夹 (子文件夹,或 排除所选文件夹的所有文件。 然后选择相关的文件或文件夹。

应用于筛选器。

授权文件

Defender for Cloud Apps确定文件存在恶意软件或 DLP 风险后,建议调查这些文件。 如果确定文件是安全的,可以对其进行授权。 授权文件会将其从恶意软件检测报告中删除,并取消此文件的未来匹配项。

授权文件

  1. 在Microsoft Defender门户中的“云应用”下,选择“策略->策略管理”。 选择 信息保护 选项卡。

  2. 在策略列表中,在触发调查的策略所在的行上,在 “计数 ”列中,选择 “匹配” 链接。

    提示

    可以按类型筛选策略列表。 下表列出了每个风险类型要使用的筛选器类型:

    风险类型 筛选器类型
    DLP 文件策略
    恶意软件 恶意软件检测策略

  3. 在匹配文件列表中,在显示正在调查的文件所在的行上,选择 “ ” 以 授权 “ 。

使用文件抽屉

可以通过在文件日志中选择文件本身来查看每个文件的详细信息。 选择它可打开 文件抽屉,该抽屉 提供可对文件执行的以下附加操作:

  • URL - 转到文件位置。
  • 文件标识符 - 打开一个弹出窗口,其中包含有关文件的原始数据详细信息,包括文件 ID 和加密密钥(如果可用)。
  • 所有者 - 查看此文件所有者的用户页。
  • 匹配的策略 - 查看文件匹配的策略列表。
  • 敏感度标签 - 查看此文件中Microsoft Purview 信息保护的敏感度标签列表。 然后,可以按与此标签匹配的所有文件进行筛选。

文件抽屉中的字段提供指向其他文件的上下文链接,并可能希望直接从抽屉执行向下钻取。 例如,如果将光标移到 “所有者 ”字段旁边,则可以使用“添加到筛选器”图标 添加到筛选器 。将所有者立即添加到当前页的筛选器。 还可以使用设置齿轮图标 设置图标设置图标。 该图标会弹出以直接到达修改其中一个字段(例如 敏感度标签)配置所需的设置页面。

文件抽屉。

有关可用治理操作的列表,请参阅 文件治理操作

后续步骤

保护组织的最佳做法

如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证