共用方式為

使用 Microsoft Defender for Cloud Apps 調查檔案

  • 發行項

為了提供資料保護,Microsoft Defender for Cloud Apps 可讓您查看連線應用程式中的所有檔案。 使用應用程式連接器將 Microsoft Defender for Cloud Apps 連線到應用程式之後,Microsoft Defender for Cloud Apps 會掃描所有檔案,例如儲存在 OneDrive 和 Salesforce 中的所有檔案。 然後,Defender for Cloud Apps 每次修改每個檔案時重新掃描一次 – 修改可以是內容、元數據或共用許可權。 掃描時間取決於您應用程式中儲存的檔案數目。 您也可以使用 [檔案] 頁面來篩選檔案,以調查雲端應用程式中儲存的數據類型。

重要事項

2024 年 9 月 1 日開始,我們將從 Microsoft Defender for Cloud Apps 中逐步執行 [檔案] 頁面。 [檔案] 頁面的核心功能可在 [雲端應用程式原則>>原則管理] 頁面上取得。 建議您使用 [原則管理] 頁面來調查檔案,以及建立、修改和篩選 資訊保護 原則和惡意代碼檔案。 如需詳細資訊,請參閱 Microsoft Defender for Cloud Apps 中的檔案原則

啟用檔案監視

若要啟用 Defender for Cloud Apps 的檔案監視,請先在 [設定] 區域中開啟檔案監視。 在 Microsoft Defender 入口網站中,選取 [設定雲端>應用程式>資訊保護>檔案>啟用檔案監視儲存>]

  • 如果沒有使用中的檔案原則,則會在上一個檔案頁面參與時間的七天后,自動關閉檔案監視。
  • 如果沒有使用中的檔案原則,在上一個檔案頁面參與時間之後的 35 天,Defender for Cloud Apps 開始刪除適用於雲端的 Defender 應用程式所維護的任何儲存盤案相關數據。

檔案篩選範例

例如,使用 [檔案] 頁面來保護標 示為機密的外部共用檔案,如下所示:

將應用程式連線到 Defender for Cloud Apps 之後,請與 Microsoft Purview 資訊保護 整合。 然後,在 [ 檔案] 頁面中,篩選標示為 [ 機密 ] 的檔案,並在 [共同作業者] 篩選 中排除您的網域。 如果您看到組織外部共享機密檔案,您可以建立檔案原則來偵測這些檔案。 您可以將自動治理動作套用至這些檔案,例如 移除外部共同作業者將原則比對摘要傳送給檔案擁有者 ,以防止數據遺失給您的組織。

檔案篩選機密。

以下是如何使用 [檔案 ] 頁面的另一個範例。 請確定貴組織中沒有任何人公開或外部共享過去六個月內未修改過的檔案:

將應用程式連線到 Defender for Cloud Apps,然後移至 [檔案] 頁面。 篩選存取層級為 外部 用的檔案,並將 [上次修改日期] 設定為六個月前。 從搜尋中選取 [新增原則],以建立可偵測這些過時公用檔案 的檔案原則。 對它們套用自動治理動作,例如 移除外部使用者,以防止數據遺失給您的組織。

檔案篩選過時的外部。

基本篩選提供您絕佳的工具,讓您開始篩選檔案。

基本檔案記錄篩選。

若要向下切入到更特定的檔案,您可以選取 [ 進階篩選] 來展開基本篩選。

進階檔案記錄篩選。

檔案篩選

Defender for Cloud Apps 可以根據超過20個元數據篩選器來監視任何檔類型 (例如存取層級、檔類型) 。

內建 Defender for Cloud Apps DLP 引擎會藉由從一般檔類型擷取文字來執行內容檢查。 其中一些包含的文件類型為 PDF、Office 檔案、RTF、HTML 和程式代碼檔案。

以下是可套用的檔案篩選清單。 若要為您提供功能強大的原則建立工具,大部分的篩選條件都支援多個值和 NOT

注意事項

使用檔案原則篩選器時, Contains 只會搜尋 完整字詞 ,並以逗號、點、連字元或空格分隔以搜尋。

  • 單字之間的空格或連字元函數,例如 OR。 例如,如果您搜尋 惡意代碼病毒 ,它會在名稱中找到具有惡意代碼或病毒的所有檔案,因此它會找到 malware-virus.exevirus.exe
  • 如果您想要搜尋字串,請以引號括住文字。 此函 式類似AND。 例如,如果您搜尋「malware」」virus“,它會找到 virus-malware-file.exe,但找不到 malwarevirusfile.exe,而且malware.exe 找不到 。 不過,它會搜尋確切的字串。 如果您搜尋 「惡意代碼病毒」,則找不到 「病毒」「病毒惡意代碼」

Equals 只會搜尋完整的字串。 例如,如果您搜尋 malware.exe 它會找到 malware.exe ,但不會 malware.exe.txt

  • 存取層級 – 共用存取層級;public、external、internal 或 private。

    • 內部 - 您在 [ 一般設定] 中設定的內部網域內的任何檔案。
    • 外部 - 儲存在不在您所設定內部網域內之位置的任何檔案。
    • 共用 - 共用層級高於私人的檔案。 共用包括:

      • 內部共用 - 內部網域內共用的檔案。

      • 外部共用 - 在內部網域中未列出的網域中共用的檔案。

      • 使用連結公開 - 可透過連結與任何人共用的檔案。

      • 公用 - 可藉由搜尋因特網找到的檔案。

        注意事項

        外部使用者分享至連線記憶體應用程式的檔案會依照下列方式處理 Defender for Cloud Apps:

        • OneDrive: OneDrive 會將內部使用者指派為外部使用者放置在 OneDrive 中之任何檔案的擁有者。 因為這些檔案接著會被視為您的組織所擁有,Defender for Cloud Apps 會掃描這些檔案並套用原則,就像對 OneDrive 中的任何其他檔案一樣。
        • Google 雲端硬碟:Google 雲端硬碟會將這些專案視為外部使用者所擁有,而且由於貴組織不擁有之檔案和數據的法律限制,Defender for Cloud Apps 無法存取這些檔案。
        • 箱: 由於 Box 會將外部擁有的檔案視為私人資訊,因此 Box 全域管理員無法查看檔案的內容。 因此,Defender for Cloud Apps 無法存取這些檔案。
        • Dropbox: 由於Dropbox會將外部擁有的檔案視為私人資訊,因此Dropbox全域管理員無法查看檔案的內容。 因此,Defender for Cloud Apps 無法存取這些檔案。

  • 應用程式 – 只搜尋這些應用程式內的檔案。

  • 共同作業者 – 包含/排除特定共同作業者或群組。

    • 任何來自網域 的 – 如果此網域中的任何使用者可以直接存取檔案。

      注意事項

      • 此篩選不支援與群組共用的檔案,僅支援與特定使用者共享的檔案。
      • 針對 SharePoint 和 OneDrive,篩選條件不支援透過共用連結與特定使用者共用的檔案。

    • 整個組織 – 如果整個組織都有檔案的存取權。

    • 群組 – 如果特定群組可以存取檔案。 群組 可以從Active Directory、雲端應用程式匯入,或在服務中手動建立。

      注意事項

      • 此篩選條件可用來搜尋整體的共同作業者群組。 它與個別群組成員不相符。

    • 使用者 – 特定一組可以存取檔案的使用者。

  • 建立 – 檔案建立時間。 篩選條件支援日期之前/之後和日期範圍。

  • 擴充 功能 – 專注於特定的擴展名。 例如,所有可執行檔的檔案 (*.exe) 。

    注意事項

    • 此篩選會區分大小寫。
    • 使用 OR 子句,將篩選套用至多個單一大寫變化。

  • 檔案識別碼 – 搜尋特定檔案識別碼。 檔案標識碼是一項進階功能,可讓您追蹤特定高價值檔案,而不需相依於擁有者、位置或名稱。

  • 檔名 – 名稱的檔名或子字串,如雲端應用程式中所定義。 例如,名稱中具有密碼的所有檔案。

  • 敏感度標籤 - 搜尋已設定特定標籤的檔案。 標籤為:

    注意事項

    如果在文件原則中使用此篩選條件,則原則只會套用至Microsoft Office 檔案,並忽略其他文件類型。

    • Microsoft Purview 資訊保護 - 需要與 Microsoft Purview 資訊保護 整合。
    • Defender for Cloud Apps - 提供其掃描檔案的深入解析。 針對 Defender for Cloud Apps DLP 掃描的每個檔案,您可以知道檢查是否因為檔案加密或損毀而遭到封鎖。 例如,您可以設定原則來警示和隔離外部共用的密碼保護檔案。
      • 已加密的 Azure RMS – 內容因為已設定 Azure RMS 加密而未檢查的檔案。
      • 密碼加密 – 內容因為受到使用者密碼保護而未檢查的檔案。
      • 損毀的檔案 – 因為無法讀取其內容而未檢查其內容的檔案。

  • 檔類型 – Defender for Cloud Apps 會掃描檔案,以判斷真正的檔類型是否符合收到的MIME類型 (查看來自服務的數據表) 。 此掃描適用於與數據掃描相關的檔案, (檔、影像、簡報、電子錶格、文字和 zip/archive 檔案) 。 篩選適用於每個檔案/資料夾類型。 例如,...或所有電子表格檔案的所有資料夾...

MIME 類型 檔案類型
- application/vnd.openxmlformats-officedocument.wordprocessingml.document
- application/vnd.ms-word.document.macroEnabled.12
- application/msword
- application/vnd.oasis.opendocument.text
- application/vnd.stardivision.writer
- application/vnd.stardivision.writer-global
- application/vnd.sun.xml.writer
- application/vnd.stardivision.math
- application/vnd.stardivision.chart
- application/x-starwriter
- application/x-stardraw
- application/x-starmath
- application/x-starchart
- application/vnd.google-apps.document
- application/vnd.google-apps.kix
- application/pdf
- application/x-pdf
- application/vnd.box.webdoc
- application/vnd.box.boxnote
- application/vnd.jive.document
- text/rtf
- application/rtf		 Document
- application/vnd.oasis.opendocument.image
- application/vnd.google-apps.photo
- 開頭為: image/		 影像
- application/vnd.openxmlformats-officedocument.presentationml.presentation
- application/vnd.ms-powerpoint.template.macroEnabled.12
- application/mspowerpoint
- application/powerpoint
- application/vnd.ms-powerpoint
- application/x-mspowerpoint
- application/mspowerpoint
- application/vnd.ms-powerpoint
- application/vnd.oasis.opendocument.presentation
- application/vnd.sun.xml.impress
- application/vnd.stardivision.impress
- application/x-starimpress
- application/vnd.google-apps.presentation		 Presentation
- application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
- application/vnd.ms-excel.sheet.macroEnabled.12
- application/excel
- application/vnd.ms-excel
- application/x-excel
- application/x-msexcel
- application/vnd.oasis.opendocument.spreadsheet
- application/vnd.sun.xml.calc
- application/vnd.stardivision.calc
- application/x-starcalc
- application/vnd.google-apps.spreadsheet		 試算表
- 開頭為: text/ Text
所有其他檔案MIME類型 其他

policy_file篩選類型。

  • 在垃圾桶 中 – 排除/包含垃圾桶資料夾中的檔案。 這些檔案可能仍會共用,並造成風險。

    注意事項

    此篩選不適用於 SharePoint 和 OneDrive 上的檔案。

    policy_file篩選垃圾桶。

  • 上次修改 – 檔案修改時間。 篩選條件支援日期、日期範圍和相對時間表達式前後。 例如,過去六個月內未修改的所有檔案。

  • 相符的原則 - 由作用中 Defender for Cloud Apps 原則比對的檔案。

  • MIME 類型 – 檔案 MIME 類型檢查。 它接受免費文字。

  • 擁有者 -包含/排除特定檔案擁有者。 例如,追蹤 rogue_employee_#100 共用的所有檔案。

  • 擁有者 OU – 包含或排除屬於特定組織單位的檔案擁有者。 例如,除了 EMEA_marketing 共用的檔案以外,所有公用檔案。 僅適用於儲存在Google雲端硬盤中的檔案。

  • 父資料夾 – 包含或排除特定資料夾 (不適用於子資料夾) 。 例如,除了此資料夾中的檔案以外,所有公開共用的檔案。

    注意事項

    Defender for Cloud Apps 只會在其中執行一些檔案活動之後,偵測到新的SharePoint和 OneDrive 資料夾。

  • 已隔離 – 如果檔案由服務隔離。 例如,顯示所有已隔離的檔案。

建立原則時,您也可以設定 [套用至] 篩選條件,將它設定 在特定檔案上執行。 篩選所有 檔案選取的資料夾 (包含) 子資料夾,或 是排除所選資料夾的所有檔案。 然後選取相關的檔案或資料夾。

套用至篩選。

授權檔案

在 Defender for Cloud Apps 將檔案識別為惡意代碼或 DLP 風險之後,建議您調查檔案。 如果您判斷檔案是安全的,您可以授權檔案。 授權檔案會將它從惡意代碼偵測報告中移除,並隱藏此檔案的未來相符專案。

若要授權檔案

  1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 下,選取 [原則 ->原則管理]。 選取 [資訊保護] 索引標籤。

  2. 在原則清單中,於觸發調查的原則出現的數據列上,於 [ 計數 ] 數據行中,選取 [相符專案 ] 連結。

    提示

    您可以依類型篩選原則清單。 下表列出每個風險類型要使用的篩選類型:

    風險類型 篩選器類型
    DLP 檔案原則
    惡意程式碼 惡意軟體偵測原則

  3. 在相符的檔案清單中,選取要 授權的 ✓,

使用檔案隱藏式選取器

您可以在檔案記錄檔中選取檔案本身,以檢視每個檔案的詳細資訊。 選取它會開啟 [檔案] 隱藏式選單 ,提供您可以對檔案採取的下列額外動作:

  • URL - 帶您前往檔案位置。
  • 檔案識別碼 - 開啟快顯,其中包含檔案的原始數據詳細數據,包括可用的檔案識別碼和加密密鑰。
  • 擁有者 - 檢視此檔案擁有者的用戶頁面。
  • 相符的原則 - 查看檔案相符的原則清單。
  • 敏感度標籤 - 檢視此檔案中 Microsoft Purview 資訊保護 的敏感度標籤清單。 然後,您可以依符合此標籤的所有檔案進行篩選。

[檔案] 隱藏式選單中的字段會提供其他檔案的內容連結,以及您可能想要直接從隱藏式選單執行的向下切入。 例如,如果您將游標移到 [ 擁有者 ] 欄位旁邊,您可以使用 [加入至篩選] 圖示 新增到篩選 。將擁有者立即新增至目前頁面的篩選。 您也可以使用設定齒輪圖示 設定圖示 。此圖示會快顯,直接抵達修改其中一個字段設定所需的設定頁面,例如 敏感度標籤

檔案隱藏式選取器。

如需可用的治理動作清單,請參閱 檔案治理動作

後續步驟

保護組織的最佳做法

如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證