Zásady souborů v Programu Microsoft Defender for Cloud Apps

  • Článek

Zásady souborů umožňují vynucovat širokou škálu automatizovaných procesů pomocí rozhraní API poskytovatele cloudu. Zásady je možné nastavit tak, aby poskytovaly nepřetržité kontroly dodržování předpisů, úlohy právní eDiscovery, ochrany před únikem informací pro citlivý obsah sdílený veřejně a mnoho dalších případů použití. Defender for Cloud Apps může monitorovat jakýkoli typ souboru na základě více než 20 filtrů metadat (například úrovně přístupu, typu souboru).

Seznam filtrů souborů, které lze použít, najdete v části Filtry souborů v programu Microsoft Defender for Cloud Apps.

Podporované typy souborů

Moduly Defender for Cloud Apps provádějí kontrolu obsahu extrahováním textu ze všech běžných typů souborů (100+), včetně Office, Open Office, komprimovaných souborů, různých formátů RTF, XML, HTML a dalších.

Zásady

Modul v rámci každé zásady kombinuje tři aspekty:

  • Prohledání obsahu na základě přednastavených šablony nebo vlastních výrazů.

  • Kontextové filtry, včetně rolí uživatelů, metadat souborů, úrovně sdílení, integrace organizační skupiny, kontextu spolupráce a dalších přizpůsobitelných atributů.

  • Automatické akce pro zásady správného řízení a nápravu.

    Poznámka:

    Zaručené je použití pouze akce zásad správného řízení prvních aktivovaných zásad. Pokud například zásada souboru už u souboru použila popisek citlivosti, druhá zásada souboru na něj nemůže použít jiný popisek citlivosti.

Po povolení zásady průběžně prohledává vaše cloudové prostředí a identifikuje soubory, které odpovídají obsahu a kontextovým filtrům, a použije požadované automatizované akce. Tyto zásady detekují a opravují všechna porušení neaktivních uložených informací nebo při vytváření nového obsahu. Zásady je možné monitorovat pomocí výstrah v reálném čase nebo pomocí sestav generovaných konzolou.

Následují příklady zásad souborů, které je možné vytvořit:

  • Veřejně sdílené soubory – obdrží upozornění na jakýkoli soubor ve vašem cloudu, který je veřejně sdílený výběrem všech souborů, jejichž úroveň sdílení je veřejná.

  • Veřejně sdílený název souboru obsahuje název organizace – obdrží upozornění na jakýkoli soubor, který obsahuje název vaší organizace a je veřejně sdílený. Vyberte veřejně sdílené soubory s názvem souboru obsahujícím název vaší organizace.

  • Sdílení s externími doménami – Obdrží upozornění na všechny soubory sdílené s účty vlastněnými konkrétními externími doménami. Například soubory sdílené s doménou konkurenta. Vyberte externí doménu, se kterou chcete omezit sdílení.

  • Umístit sdílené soubory do karantény, které nebyly změněny během posledního období – obdrží upozornění na sdílené soubory, které nikdo nedávno nezměnil, pro jejich karanténu nebo se rozhodnete zapnout automatizovanou akci. Vylučte všechny soukromé soubory, které nebyly změněny během zadaného rozsahu kalendářních dat. Ve službě Google Workspace můžete tyto soubory umístit do karantény pomocí zaškrtávacího políčka "soubor karantény" na stránce vytváření zásad.

  • Sdílení s neoprávněnými uživateli – Zobrazí se upozornění na soubory sdílené s neoprávněnou skupinou uživatelů ve vaší organizaci. Vyberte uživatele, pro které je sdílení neoprávněné.

  • Citlivá přípona souboru – obdrží upozornění na soubory s konkrétními příponami, které jsou potenciálně vysoce vystavené. Vyberte konkrétní příponu (například crt pro certifikáty) nebo název souboru a vylučte tyto soubory s úrovní soukromého sdílení.

Poznámka:

V Programu Defender for Cloud Apps máte omezení na 50 zásad souborů.

Vytvoření nové zásady souborů

Pokud budete chtít vytvořit novou zásadu pro soubory, postupujte takto:

  1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad. Vyberte kartu Information Protection.

  2. Vyberte Vytvořit zásadu a vyberte Zásady souborů.

    Create a Information Protection policy.

  3. Zadejte název a popis zásady. Pokud chcete, můžete ji založit na šabloně. Další informace o šablonách zásad najdete v tématu Řízení cloudových aplikací pomocí zásad.

  4. Nastavte závažnost zásady. Pokud jste nastavili Defender for Cloud Apps tak, aby vám odesílal oznámení o shodě zásad pro konkrétní úroveň závažnosti zásad, použije se tato úroveň k určení, jestli shody zásad aktivují oznámení.

  5. V kategorii propojte zásadu s nejvhodnějším typem rizika. Toto pole je pouze informativní a pomůže vám později vyhledat konkrétní zásady a upozornění v závislosti na typu rizika. Riziko už může být předvoleno podle kategorie, pro kterou zásadu vytváříte. Ve výchozím nastavení jsou zásady souborů nastavené na Ochrana před únikem informací.

  6. Vytvořte filtr pro soubory, na kterých budou tyto zásady fungovat, a nastaví, které zjištěné aplikace tuto zásadu aktivují. Zužte filtry zásad, dokud nedosáhnete přesné sady souborů, na které chcete reagovat. Buďte co nejvíce omezující, abyste se vyhnuli falešně pozitivním výsledkům. Pokud například chcete odebrat veřejná oprávnění, nezapomeňte přidat veřejný filtr, pokud chcete odebrat externího uživatele, použijte filtr Externí atd.

    Poznámka:

    Pokud používáte filtry zásad, obsahuje vyhledávání pouze pro úplná slova – oddělená čárkami, tečkami, mezerami nebo podtržítky. Pokud například hledáte malware nebo virus, najde virus_malware_file.exe, ale nenajde malwarevirusfile.exe. Pokud hledáte malware.exe, najdete všechny soubory s malwarem nebo exe v jejich názvu souboru, zatímco pokud hledáte "malware.exe" (s uvozovkami), najdete pouze soubory, které obsahují přesně "malware.exe". Rovná se hledá pouze pro celý řetězec, například pokud hledáte malware.exe najde malware.exe , ale ne malware.exe.txt.

    Další informace o filtrech zásad souborů najdete v tématu Filtry souborů v programu Microsoft Defender for Cloud Apps.

  7. V první části Použít pro filtrování vyberte všechny soubory kromě vybraných složek nebo vybraných složek pro Box, SharePoint, Dropbox nebo OneDrive, kde můžete vynutit zásady souborů pro všechny soubory v aplikaci nebo u konkrétních složek. Budete přesměrováni, abyste se přihlásili ke cloudové aplikaci a pak přidali příslušné složky.

  8. Pod druhou možností Použít pro filtrování vyberte buď všechny vlastníky souborů, vlastníky souborů z vybraných skupin uživatelů nebo všechny vlastníky souborů kromě vybraných skupin. Pak vyberte příslušné skupiny uživatelů a určete, kteří uživatelé a skupiny mají být zahrnuti do zásad.

  9. Vyberte Metoda kontroly obsahu. Můžete vybrat předdefinované ochrany před únikem informací nebo služby klasifikace dat. Doporučujeme používat služby klasifikace dat.

    Po povolení kontroly obsahu můžete použít přednastavené výrazy nebo vyhledat další přizpůsobené výrazy.

    Kromě toho můžete zadat regulární výraz k vyloučení souboru z výsledků. Tato možnost je vysoce užitečná, pokud máte standard klíčového slova vnitřní klasifikace, který chcete ze zásady vyloučit.

    Můžete se rozhodnout nastavit minimální počet porušení zásad obsahu, po kterém se soubor vyhodnotí jako porušení zásad. Můžete například zvolit hodnotu 10, pokud chcete být upozorněni na soubory, které obsahují minimálně 10 čísel platebních karet.

    Pokud se obsah shoduje s vybraným výrazem, text porušení se nahradí znaky "X". Ve výchozím nastavení jsou porušení maskována a zobrazena v kontextu, který zobrazuje 100 znaků před a po porušení. Čísla v kontextu výrazu se nahradí znaky "#" a nikdy se neukládají v programu Defender for Cloud Apps. Pokud chcete odmaskovat poslední čtyři znaky porušení, můžete vybrat možnost Odmaskovat poslední čtyři znaky samotného porušení. Je nutné nastavit, které datové typy regulárního výrazu prohledávají: obsah, metadata nebo název souboru. Ve výchozím nastavení prohledá obsah a metadata.

  10. Zvolte akce zásad správného řízení, které má Defender for Cloud Apps provést při zjištění shody.

  11. Jakmile zásadu vytvoříte, můžete ji zobrazit filtrováním pro typ zásady souboru. Zásady můžete upravovat, kalibrovat filtry nebo měnit automatizované akce. Zásada se automaticky povolí při vytváření a začne okamžitě kontrolovat cloudové soubory. Při nastavování akcí zásad správného řízení postupujte velmi opatrně, protože by mohlo dojít k nevratné ztrátě přístupových oprávnění k souborům. Doporučujeme zúžit filtry tak, aby přesně představovaly soubory, se kterými chcete pracovat, pomocí více vyhledávacích polí. Čím užší filtry jsou, tím lépe. Pokyny najdete v tlačítku Upravit a zobrazit náhled výsledků vedle filtrů.

    File policy edit and preview results.

  12. Pokud chcete zobrazit shody zásad souborů, soubory, u nichž je podezření, že zásady porušují, přejděte do části Zásady ->Správa zásad. Proveďte filtrování výsledků, aby se zobrazily pouze zásady souborů, které používají filtr Typ vybraný v horní části. Další informace o shodě pro každou zásadu v části Počet vyberte počet shod pro zásadu. Případně vyberte tři tečky na konci řádku pro zásadu a zvolte Zobrazit všechny shody. Tím se otevře sestava zásad souborů. Když vyberete kartu Párování, zobrazí se soubory, které aktuálně odpovídají zásadám. Výběrem karty Historie zobrazíte historii až šest měsíců souborů, které odpovídaly zásadám.

Osvědčené postupy zásad souborů

  1. Vyhněte se resetování zásad souborů (pomocí výsledků resetování a opětovnému použití akcí) v produkčních prostředích, pokud to není nezbytně nutné, protože tím zahájíte úplnou kontrolu souborů, na které se vztahuje zásada, což může mít negativní dopad na jeho výkon.

  2. Při použití popisků u souborů v konkrétní nadřazené složce a jejích podsložkách použijte možnost Použít u vybraných> složek. Pak přidejte všechny nadřazené složky.

  3. Při použití popisků u souborů pouze v určité složce (s výjimkou podsložek) použijte filtr nadřazené složky zásad souborů s operátorem Equals .

  4. Zásady souborů jsou rychlejší při použití úzkých kritérií filtrování (ve srovnání s širokými kritérii).

  5. Sloučit několik zásad souborů pro stejnou službu (například SharePoint, OneDrive, Box atd.) do jedné zásady.

  6. Při povolování monitorování souborů (na stránce Nastavení) vytvořte alespoň jednu zásadu souboru. Pokud žádná zásada souboru neexistuje nebo je zakázaná po dobu sedmi po sobě jdoucích dnů, monitorování souborů se automaticky rozpozná.

Referenční informace k zásadám souborů

Tato část obsahuje podrobné referenční informace o zásadách včetně vysvětlení jednotlivých typů zásad a polí, která je možné pro jednotlivé zásady konfigurovat.

Zásady souborů jsou zásady založené na rozhraní API, které umožňují řídit obsah vaší organizace v cloudu s ohledem na více než 20 filtrů metadat souborů (včetně úrovně vlastníka a sdílení) a výsledků kontroly obsahu. Na základě výsledků zásady je možné aplikovat akce zásad správného řízení. Modul pro kontrolu obsahu je možné rozšířit prostřednictvím modulů ochrany před únikem informací třetích stran a antimalwarových řešení.

Každá zásada se skládá z následujících částí:

  • Filtry souborů – Umožňují vytvářet podrobné podmínky na základě metadat.

  • Kontrola obsahu – Umožňuje zúžit zásady na základě výsledků modulu ochrany před únikem informací. Můžete zahrnout vlastní nebo přednastavený výraz. Můžete nastavit vyloučení a můžete zvolit počet shod. Můžete také zamaskovat uživatelské jméno.

  • Akce – Zásady poskytují sadu akcí zásad správného řízení, které se dají automaticky použít při nalezení porušení. Tyto akce jsou rozdělené na akce spolupráce, akce zabezpečení a akce šetření.

  • Rozšíření – Kontrolu obsahu je možné provádět prostřednictvím modulů třetích stran, které umožňují lepší ochranu před únikem informací nebo antimalwarové funkce.

Dotazy na soubory

Pokud chcete šetření ještě zjednodušit, můžete teď vytvářet vlastní dotazy a ukládat je pro pozdější použití.

  1. Na stránce Soubory použijte filtry, jak je popsáno dříve, a podle potřeby přejděte k podrobnostem o aplikacích.

  2. Po vytvoření dotazu vyberte nad filtry tlačítko Uložit jako .

  3. V místní nabídce Uložit dotaz pojmenujte svůj dotaz.

  4. Pokud chcete tento dotaz použít znovu v budoucnu, v části Dotazy se posuňte dolů k uloženým dotazům a vyberte svůj dotaz.

Zobrazení výsledků zásad souborů

Můžete přejít do Centra zásad a zkontrolovat porušení zásad souborů.

  1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad a pak vyberte kartu Ochrana informací.

  2. Pro každou zásadu souborů můžete zobrazit porušení zásad souborů tak, že vyberete odpovídající hodnoty.
    PCI matches.

  3. Vybráním souboru zobrazíte příslušné informace.
    PCI content matches.

  4. Můžete například vybrat Spolupracovníci, abyste viděli , kdo má k tomuto souboru přístup, a výběrem možnosti Shoda můžete zobrazit čísla sociálního pojištění. Content matches credit card numbers.

Webinář o ochraně informací

Další kroky

Osvědčené postupy pro ochranu vaší organizace

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.