共用方式為

Microsoft Defender for Cloud Apps 中的檔案原則

  • 發行項

檔案原則可讓您使用雲端提供者的 API 強制執行各種自動化程式。 您可以設定原則來提供持續合規性掃描、合法電子檔探索工作、公開共用敏感性內容的 DLP,以及更多使用案例。 Defender for Cloud Apps 可以根據超過20個元數據篩選器來監視任何檔類型 (例如存取層級、檔類型) 。

如需可套用的檔案篩選清單,請參閱 Microsoft Defender for Cloud Apps 中的檔案篩選

支援的檔案類型

Defender for Cloud Apps 引擎會從所有常見文件類型擷取文字來執行內容檢查, (100 個以上) 包括 Office、Open Office、壓縮檔、各種 RTF 格式、XML、HTML 等。

原則

引擎結合每個原則下的三個層面:

  • 根據預先設定的範本或自訂的運算式進行內容掃描。

  • 內容篩選器包括使用者角色、檔案元數據、共用層級、組織群組整合、共同作業內容和其他可自定義屬性。

  • 控管和補救的自動化動作。

    注意事項

    保證只會套用第一個觸發原則的治理動作。 例如,如果檔案原則已將敏感度標籤套用至檔案,則第二個檔案原則無法對檔案套用另一個敏感度標籤。

啟用之後,原則會持續掃描您的雲端環境,並識別符合內容和內容篩選的檔案,並套用要求的自動化動作。 這些原則會偵測並補救待用資訊或建立新內容時的任何違規。 您可以使用即時警示或主控台產生的報告來監視原則。

以下是可建立的檔案原則範例:

  • 公開共用檔案 - 選取共用層級為公用的所有檔案,以接收雲端中任何公開共用檔案的警示。

  • 公開共享的檔名包含組織的名稱 - 接收任何包含您組織名稱並公開共用之檔案的警示。 選取檔案名稱包含貴組織名稱且已公開共用的檔案。

  • 與外部網域共用 - 接收與特定外部網域擁有之帳戶共用之任何檔案的相關警示。 例如,與競爭者網域共用的檔案。 選取您要限制共用的外部網域。

  • 隔離上一個期間未修改的共用檔案 - 接收最近沒有人修改的共用檔案警示,以隔離共用檔案或選擇開啟自動化動作。 排除在指定日期範圍內未修改的所有私人檔案。 在 Google Workspace 上,您可以選擇使用原則建立頁面上的 [隔離檔案] 核取方塊來隔離這些檔案。

  • 與未經授權的用戶共用 - 接收與貴組織中未經授權的使用者群組共用之檔案的相關警示。 選取未獲授權共用的使用者。

  • 敏感性擴展名 - 接收有關具有特定擴展名且可能高度公開之檔案的警示。 選取特定的副檔名 (例如 crt,意指憑證) 或檔案名稱,並排除具有私人共用層級的檔案。

注意事項

Defender for Cloud Apps 中只能有 50 個檔案原則。

建立新的檔案原則

若要建立新的檔案原則,請遵循下列程式:

  1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下,移至 [原則 ->原則管理]。 選取 [資訊保護] 索引標籤。

  2. 選取 [建立原則],然後選取 [檔案原則]

    建立 資訊保護 原則。

  3. 如果您想要以範本為基礎,請為原則提供名稱和描述,如需原則範本的詳細資訊,請參閱 使用原則控制雲端應用程式

  4. 為您的原則提供原則 嚴重性。 如果您已設定 Defender for Cloud Apps 針對特定原則重要性層級的原則相符項目向您傳送通知,則此層級會用來決定該原則的相符項目是否觸發通知。

  5. [類別] 中,將原則連結至最適當的風險類型。 此欄位僅提供資訊,可協助您在稍後根據風險類型搜尋特定的原則和警示。 風險可能已根據您選擇用來建立該原則的類別預先選取。 根據預設,檔案原則會設定為 DLP。

  6. 針對此原則將採取動作的檔案建立篩選 ,以設定哪些探索到的應用程式觸發此原則。 縮小原則篩選範圍,直到觸及您要處理的一組正確檔案。 請盡量給予限制,以避免誤判。 例如,如果您想要移除公用許可權,請記得新增 用篩選,如果您想要移除外部使用者,請使用「外部」篩選條件等等。

    注意事項

    使用原則篩選條件時, [包含 ] 只會搜尋完整字組,並以逗號、點、空格或底線分隔。 例如,如果您搜尋 惡意代碼病毒,它會找到 virus_malware_file.exe 但找不到 malwarevirusfile.exe。 如果您搜尋 malware.exe,則會在其檔名中找到具有惡意代碼或 exe 的所有檔案,而如果您搜尋 “malware.exe” (加上引號) 您只會找到完全包含 “malware.exe” 的檔案。 等於 只會搜尋完整的字串,例如,如果您搜尋 malware.exe 它會找到 malware.exe 但找不到 malware.exe.txt。

    如需檔案原則篩選的詳細資訊,請參閱 Microsoft Defender for Cloud Apps 中的檔案篩選

  7. 在第一個 [套用至 篩選] 底下,針對 Box、SharePoint、Dropbox 或 OneDrive 選取 [選取的資料夾 ] 或 [選取的資料夾 ] 之外的所有檔案,您可以在其中對應用程式或特定資料夾上的所有檔案強制執行檔案原則。 系統已將您重新導向以登入雲端應用程式,然後新增相關的資料夾。

  8. 第二個 [ 套用至 篩選] 底下,選取 所有檔案擁有者所選使用者群組中的檔案擁有者 ,或 排除所選群組的所有檔案擁有者。 然後選取相關的使用者群組,以決定哪些使用者和群組應包含在該原則中。

  9. 選取 [內容檢查方法]。 您可以選取 [內建 DLP ] 或 [ 數據分類服務]。 建議您使用 數據分類服務

    啟用內容檢查之後,您可以選擇使用預設表達式或搜尋其他自定義表達式。

    此外,您可以指定正則表達式,以從結果中排除檔案。 如果您想要從原則中排除內部分類關鍵字標準,這個選項會非常實用。

    您可以決定在將檔案視為違規之前,設定您想要比對的內容違規數目下限。 例如,如果您想要收到在內容中找到至少 10 個信用卡號碼之檔案的警示,您可以選擇 10。

    當內容與選取的運算式相符時,違規文字會以「X」字元取代。 根據預設,違規部分會被屏蔽並呈現在內容中,該部分的前後 100 個字元會顯示出來。 運算式內容中的數字會以「#」字元取代,而且絕不會儲存在 Defender for Cloud Apps 中。 您可以選取 [ 取消遮罩違規的最後四個字元 ] 選項,以取消遮罩違規本身的最後四個字元。 您必須設定規則運算式要搜尋的資料類型:內容、中繼資料和/或檔案名稱。 根據預設,它會搜尋內容和中繼資料。

  10. 選擇您想要 Defender for Cloud Apps 在偵測到相符項目時採取的治理動作。

  11. 建立原則之後,您可以篩選 [檔案 ] 原則類型來檢視原則。 您一律可以編輯原則、校正其篩選條件,或變更自動化動作。 原則會在建立時自動啟用,並立即開始掃描您的雲端檔案。 當您設定治理動作時,請特別小心,這些動作可能會導致無法復原的檔案訪問許可權遺失。 建議您使用多個搜尋欄位縮小篩選範圍,以完全代表您想要採取動作的檔案。 篩選範圍越窄越好。 如需指引,您可以使用篩選旁的 [編輯和預覽結果 ] 按鈕。

    檔案原則編輯和預覽結果。

  12. 若要檢視檔案原則相符專案、可疑違反原則的檔案,請移至 [原則 ->原則管理]。 使用頂端的 [類型 ] 篩選器,篩選結果以僅顯示檔案原則。 如需每個原則相符項目的詳細資訊,請在 [ 計數 ] 數據行下,選取原則的 相符 項目數目。 或者,針對原則選取數據列結尾的三個點,然後選擇 [ 檢視所有相符專案]。 這會開啟 檔案原則報告。 選取 [ 立即比對] 索引卷標,以查看目前符合原則的檔案。 選取 [ 歷程記錄] 索引卷標,以查看最多六個月符合原則的檔案歷程記錄。

檔案原則最佳做法

  1. 請避免使用 [ 重設結果 ] 重設檔案原則 (,並在生產環境中) 再次套用動作複選框,除非絕對必要,因為這樣做會起始原則所涵蓋檔案的完整掃描,這可能會對其效能造成負面影響。

  2. 將捲標套用至特定父資料夾及其子資料夾中的檔案時,請使用 [套用至 ->選取的資料夾] 選項。 然後新增每個父資料夾。

  3. 將標籤套用至特定資料夾中的檔案時,僅 (排除任何子資料夾) 時,請搭配 Equals 運算子使用檔案原則篩選父資料夾

  4. 相較於寬度準則) ,使用 (範圍範圍篩選準則時,檔案原則會更快。

  5. 將 SharePoint、OneDrive、Box 等相同服務 (的數個檔案原則合併為單一原則) 。

  6. 從 [ 設定 ] 頁面啟用檔案監視 () 時,請建立至少一個檔案原則。 當沒有任何檔案原則存在,或連續七天停用時,會自動進行檔案監視。

檔案原則參考

本節提供原則的參考詳細數據,提供每個原則類型的說明,以及可為每個原則設定的欄位。

檔案原則是以 API 為基礎的原則,可讓您控制您組織在雲端中的內容,並考慮超過 20 個檔案元數據篩選 (包括擁有者和共用層級) 和內容檢查結果。 根據原則結果,可以套用治理動作。 內容檢查引擎可以透過第三方 DLP 引擎和反惡意程式碼解決方案來擴充。

每個原則都由下列部分組成:

  • 檔案篩選 – 可讓您根據元數據建立細微的條件。

  • 內容檢查 – 可讓您根據 DLP 引擎結果縮小原則範圍。 您可以包含自訂表示式或預設表達式。 您可以設定排除專案,而且您可以選擇相符項目數目。 您也可以使用匿名來遮罩使用者名稱。

  • 動作 – 原則提供一組可在發現違規時自動套用的治理動作。 這些動作分為共同作業動作、安全性動作和調查動作。

  • 擴充 功能 - 可透過第三方引擎執行內容檢查,以獲得改良的 DLP 或反惡意代碼功能。

檢視檔案原則結果

您可以移至原則中心來檢閱檔案原則違規。

  1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下,移至 [原則 -> 原則管理],然後選取 [信息保護] 索引卷標。

  2. 針對每個檔案原則,您可以選取 相符專案來查看檔案原則違規。

    PCI 相符範例的螢幕快照。

  3. 您可以選取檔案本身來取得檔案的相關信息。

    PCI 內容相符範例的螢幕快照。

  4. 例如,您可以選取 [共同作業者 ] 以查看誰可以存取此檔案,而且您可以選取 [相符專案 ] 以查看 [社會安全號碼]。 內容符合信用卡號碼。

資訊保護網路研討會

後續步驟

保護組織的最佳做法

如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證