Filtry souborů v Microsoft Defender for Cloud Apps

  • Článek

Poznámka

Microsoft Defender for Cloud Apps je teď součástí Microsoft 365 Defender a je přístupný přes jeho portál: https://security.microsoft.com. Microsoft 365 Defender koreluje signály ze sady Microsoft Defender napříč koncovými body, identitami, e-maily a aplikacemi SaaS a poskytuje tak možnosti detekce, vyšetřování a výkonné reakce na úrovni incidentů. Zvyšuje efektivitu provozu díky lepšímu stanovení priorit a kratší době odezvy, která efektivněji chrání vaši organizaci. Další informace o těchto změnách najdete v tématu Microsoft Defender for Cloud Apps v Microsoft 365 Defender.

Za účelem zajištění ochrany dat vám Microsoft Defender for Cloud Apps poskytuje přehled o všech souborech z připojených aplikací. Po připojení Microsoft Defender for Cloud Apps k aplikaci pomocí konektoru aplikace Microsoft Defender for Cloud Apps prohledá všechny soubory, například všechny soubory uložené na OneDrivu a Salesforce. Pak Defender for Cloud Apps znovu prohledá každý soubor pokaždé, když se změní – může se jednat o úpravu obsahu, metadat nebo oprávnění ke sdílení. Časy kontrol závisí na počtu souborů uložených ve vaší aplikaci. Stránku Soubory můžete také použít k filtrování souborů, abyste prozkoumali, jaký druh dat je uložený ve vašich cloudových aplikacích.

Poznámka

Monitorování souborů by mělo být povolené v Nastavení. Na portálu Microsoft 365 Defender vyberte Nastavení. Pak zvolte Cloudové aplikace. V části Information Protection vyberte Soubory. Vyberte Povolit monitorování souborů a pak vyberte Uložit.
Pokud neexistují žádné aktivní zásady souborů, bude monitorování souborů neaktivní sedm dní po posledním zapojení stránky souboru.
Pokud neexistují žádné aktivní zásady souborů, začne Defender for Cloud Apps odstraňovat data, která o těchto uložených souborech udržuje Defender for Cloud Apps 35 dní po poslední rezervaci stránky souboru.

Příklady filtrů souborů

Pomocí stránky Soubory můžete například zabezpečit externě sdílené soubory označené jako Důvěrné, a to následujícím způsobem:

Po připojení aplikace k Defenderu for Cloud Apps proveďte integraci s Microsoft Purview Information Protection. Potom na stránce Soubory vyfiltrujte soubory označené jako Důvěrné a vylučte svoji doménu ve filtru Spolupracovníci . Pokud zjistíte, že existují důvěrné soubory sdílené mimo vaši organizaci, můžete vytvořit zásadu souborů, která je rozpozná. U těchto souborů můžete použít automatické akce zásad správného řízení, jako je odebrání externích spolupracovníků a odeslání souhrnu shody zásad vlastníkovi souboru , abyste zabránili ztrátě dat ve vaší organizaci.

Důvěrné filtrování souborů.

Tady je další příklad použití stránky Soubory . Ujistěte se, že nikdo ve vaší organizaci veřejně nebo externě nesdílí soubory, které nebyly změněny za posledních šest měsíců:

Připojte aplikaci k Defenderu for Cloud Apps a přejděte na stránku Soubory . Vyfiltrujte soubory, jejichž úroveň přístupu je Externí nebo Veřejná , a nastavte datum poslední změny na před šesti měsíci. Vytvořte zásadu souborů, která tyto zastaralé veřejné soubory rozpozná, výběrem možnosti Nová zásada z vyhledávání. Použijte u nich automatické akce zásad správného řízení, jako je odebrání externích uživatelů, abyste zabránili ztrátě dat ve vaší organizaci.

Filtr souborů je zastaralý externí.

Základní filtr poskytuje skvělé nástroje, se kterými můžete začít své soubory filtrovat.

Základní filtr protokolu souborů.

Pokud chcete přejít k podrobnostem o konkrétnějších souborech, můžete základní filtr rozbalit výběrem možnosti Rozšířené filtry.

Rozšířený filtr protokolu souborů.

Filtry souborů

Defender for Cloud Apps může monitorovat libovolný typ souboru na základě více než 20 filtrů metadat (například úroveň přístupu, typ souboru).

Integrované moduly ochrany před únikem informací v Defenderu for Cloud Apps provádějí kontrolu obsahu extrahováním textu z běžných typů souborů. Mezi zahrnuté typy souborů patří PDF, soubory Office, RTF, HTML a soubory kódu.

Níže je uveden seznam filtrů souborů, které mohou být použity. Abychom vám poskytli výkonný nástroj pro vytváření zásad, většina filtrů podporuje více hodnot a ne.

Poznámka

Pokud používáte filtry zásad souborů, funkce Obsahuje vyhledá jenom úplná slova oddělená čárkami, tečkami, spojovníky nebo mezerami, které se mají hledat.

  • Mezery nebo spojovníky mezi slovy fungují jako OR. Pokud například hledáte malwarevirus , najde všechny soubory s malwarem nebo virem v názvu, takže najde jakmalware-virus.exe , tak virus.exe.
  • Pokud chcete vyhledat řetězec, uzavřete slova do uvozovek. To funguje jako AND. Pokud například vyhledáte "malware"""virus", najde virus_malware_file.exe ale nenajde malwarevirusfile.exe a nenajde malware.exe. Vyhledá však přesný řetězec. Pokud hledáte "malware virus", nenajde "virus" ani "virus_malware".

Funkce Equals vyhledá pouze úplný řetězec. Pokud například hledáte malware.exe najde malware.exe , ale ne malware.exe.txt.

  • Úroveň přístupu – sdílení úrovně přístupu; veřejné, externí, interní nebo soukromé.

    • Interní – všechny soubory v interních doménách, které jste nastavili v obecném nastavení.
    • Externí – všechny soubory uložené v umístěních, které nejsou v interních doménách, které nastavíte.
    • Sdílené – soubory, které mají úroveň sdílení vyšší než soukromé. Sdílené zahrnuje:

      • Interní sdílení – soubory sdílené v rámci vašich interních domén.

      • Externí sdílení – soubory sdílené v doménách, které nejsou uvedené ve vašich interních doménách.

      • Veřejné s odkazem – soubory, které lze sdílet s kýmkoli prostřednictvím odkazu.

      • Veřejné – soubory, které lze najít vyhledáváním na internetu.

        Poznámka

        Soubory sdílené do připojených aplikací úložiště externími uživateli zpracovávají defender for Cloud Apps následujícím způsobem:

        • OneDrive: OneDrive přiřadí interního uživatele jako vlastníka jakéhokoli souboru umístěného na OneDrive externím uživatelem. Vzhledem k tomu, že tyto soubory jsou pak považovány za vlastněné vaší organizací, Defender for Cloud Apps tyto soubory prohledá a použije zásady stejně jako u jakéhokoli jiného souboru na OneDrivu.
        • Disk Google: Disk Google je považuje za vlastníka externího uživatele a vzhledem k právním omezením souborů a dat, které vaše organizace nevlastní, nemá Defender for Cloud Apps k těmto souborům přístup.
        • Box: Protože Box považuje externě vlastněné soubory za soukromé informace, globální správci Boxu obsah souborů nevidí. Z tohoto důvodu nemá Defender for Cloud Apps přístup k těmto souborům.
        • Dropbox: Protože Dropbox považuje externě vlastněné soubory za soukromé informace, globální správci Dropboxu obsah souborů nevidí. Z tohoto důvodu nemá Defender for Cloud Apps přístup k těmto souborům.

  • Aplikace – vyhledávejte jenom soubory v těchto aplikacích.

  • Spolupracovníci – Zahrňte nebo vylučte konkrétní spolupracovníky nebo skupiny.

    • Libovolný z domény – pokud má některý uživatel z této domény přímý přístup k souboru.

      Poznámka

      • Tento filtr nepodporuje soubory, které byly sdíleny se skupinou, pouze s konkrétními uživateli.
      • U SharePointu a OneDrivu filtr nepodporuje soubory sdílené s konkrétním uživatelem prostřednictvím sdíleného odkazu.

    • Celá organizace – pokud má k souboru přístup celá organizace.

    • Skupiny – pokud má k souboru přístup určitá skupina. Skupiny je možné importovat z adresáře služby Active Directory nebo cloudových aplikací, případě nebo ve službě vytvořit ručně.

    • Users – určitá skupina uživatelů, kteří mohou mít přístup k souboru.

  • Vytvořeno – čas vytvoření souboru. Filtr podporuje data před a po a rozsah dat.

  • Extension – zaměřte se na konkrétní přípony souborů. Například všechny soubory, které jsou spustitelné (*.exe).

    Poznámka

    • V tomto filtru se rozlišují malá a velká písmena.
    • Pomocí klauzule OR použijte filtr na více než jednu variantu velkých písmen.

  • ID souboru – Vyhledá konkrétní ID souborů. ID souboru je pokročilá funkce, která umožňuje sledovat určité soubory s vysokou hodnotou bez závislosti na vlastníkovi, umístění nebo jménu.

  • Název souboru – název souboru nebo podřetězce názvu definovaného v cloudové aplikaci. Například všechny soubory s heslem v názvu.

  • Popisek citlivosti – Vyhledá soubory s nastavenými konkrétními popisky. Popisky jsou:

    • Microsoft Purview Information Protection – vyžaduje integraci s Microsoft Purview Information Protection.
    • Defender for Cloud Apps – poskytuje lepší přehled o souborech, které prohledává. U každého souboru, který Defender for Cloud Apps kontroloval, můžete zjistit, jestli kontrola nebyla zablokovaná, protože soubor je zašifrovaný nebo poškozený. Můžete například nastavit zásady pro upozorňování a karanténu souborů chráněných heslem, které jsou sdíleny externě.
      • Azure RMS encrypted – soubory, jejichž obsah nebyl zkontrolován, protože mají nastavené šifrování Azure RMS.
      • Zašifrované heslem – soubory, jejichž obsah nebyl zkontrolován, protože jsou heslem chráněné uživatelem.
      • Poškozený soubor – soubory, jejichž obsah nebyl zkontrolován, protože jejich obsah se nedá přečíst.

  • Typ souboru – Defender for Cloud Apps prohledá soubor a zjistí, jestli typ souboru true odpovídá typu MIME přijatému ze služby (viz tabulka). Tato kontrola je určená pro soubory, které jsou relevantní pro skenování dat (dokumenty, obrázky, prezentace, tabulky, text a soubory zip/archiv). Filtr funguje podle typu souboru nebo složky. Například Všechny složky, které jsou ... nebo Všechny soubory tabulek, které jsou...

    Typ MIME Typ souboru
    – application/vnd.openxmlformats-officedocument.wordprocessingml.document
    – application/vnd.ms-word.document.macroEnabled.12
    – application/msword
    – application/vnd.oasis.opendocument.text
    – application/vnd.stardivision.writer
    – application/vnd.stardivision.writer-global
    – application/vnd.sun.xml.writer
    – application/vnd.stardivision.math
    – application/vnd.stardivision.chart
    - application/x-starwriter
    - application/x-stardraw
    - application/x-starmath
    - application/x-starchart
    – application/vnd.google-apps.document
    - application/vnd.google-apps.kix
    - aplikace/pdf
    - application/x-pdf
    – application/vnd.box.webdoc
    – application/vnd.box.boxnote
    – application/vnd.jive.document
    – text/rtf
    - application/rtf    		 Dokument
    – application/vnd.oasis.opendocument.image
    - application/vnd.google-apps.photo
    - začíná na: image/    		 Image
    – application/vnd.openxmlformats-officedocument.presentationml.presentation
    – application/vnd.ms-powerpoint.template.macroEnabled.12
    – application/mspowerpoint
    - aplikace/powerpoint
    – application/vnd.ms-powerpoint
    - application/x-mspowerpoint
    – application/mspowerpoint
    – application/vnd.ms-powerpoint
    – application/vnd.oasis.opendocument.presentation
    - application/vnd.sun.xml.impress
    – application/vnd.stardivision.impress
    - application/x-starimpress
    - application/vnd.google-apps.presentation    		 Zobrazení
    – application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
    – application/vnd.ms-excel.sheet.macroEnabled.12
    - aplikace/excel
    – application/vnd.ms-excel
    - application/x-excel
    - application/x-msexcel
    – application/vnd.oasis.opendocument.spreadsheet
    – application/vnd.sun.xml.calc
    – application/vnd.stardivision.calc
    - application/x-starcalc
    – application/vnd.google-apps.spreadsheet    		 Tabulky
    - začíná na: text/ Text
    Všechny ostatní typy MIME souborů Jiné

    policy_file typ filtrů.

  • V koši – Vyloučí nebo zahrňte soubory do složky koše. Tyto soubory mohou být stále sdíleny a představovat riziko.

    policy_file filtruje koš.

  • Poslední změna – čas změny souboru. Filtr podporuje data před a po, rozsah dat a výrazy relativního času. Například všechny soubory, které nebyly změněny v posledních šesti měsících.

  • Spárované zásady – soubory, které odpovídají aktivní zásady Defenderu for Cloud Apps.

  • Typ MIME – kontrola typu MIME souboru. Přijímá volný text.

  • Vlastník – Zahrnout nebo vyloučit konkrétní vlastníky souborů. Můžete například sledovat všechny soubory sdílené uživatelem rogue_employee_#100.

  • Organizační jednotka vlastníka – Zahrňte nebo vylučte vlastníky souborů, kteří patří do určitých organizačních jednotek. Například všechny veřejné soubory s výjimkou souborů sdílených EMEA_marketing. Platí jenom pro soubory uložené na Disku Google.

  • Nadřazená složka – Zahrnout nebo vyloučit konkrétní složku (nevztahuje se na podsložky). Například všechny veřejně sdílené soubory s výjimkou souborů v této složce.

    Poznámka

    Defender for Cloud Apps rozpozná nové složky SharePointu a OneDrivu až poté, co se v nich provede nějaká aktivita se soubory.

  • V karanténě – pokud je soubor umístěn do karantény službou. Můžete mi například zobrazit všechny soubory, které jsou v karanténě.

Když vytváříte zásadu, můžete ji také nastavit tak, aby se spouštěla u konkrétních souborů, a to nastavením filtru Použít na . Vyfiltrujte buď všechny soubory, vybrané složky (zahrnuté podsložky), nebo všechny soubory s výjimkou vybraných složek. Pak vyberte soubory nebo složky, které jsou relevantní.

použít pro filtr.

Autorizace souborů

Jakmile Defender for Cloud Apps identifikuje soubory, které představují riziko malwaru nebo ochrany před únikem informací, doporučujeme soubory prozkoumat. Pokud zjistíte, že jsou soubory bezpečné, můžete je autorizovat. Autorizací souboru se odebere ze sestavy detekce malwaru a potlačí se budoucí shody v tomto souboru.

Autorizace souborů

  1. Na portálu Microsoft 365 Defender v části Cloud Apps vyberte Zásady –>Správa zásad. Vyberte kartu Information Protection .

  2. V seznamu zásad na řádku, na kterém se zobrazí zásada, která aktivovala šetření, ve sloupci Počet vyberte odkaz shody .

    Tip

    Seznam zásad můžete filtrovat podle typu. Následující tabulka uvádí podle typu rizika, který typ filtru se má použít:

    Typ rizika Typ filtru
    DLP Zásady souborů
    Malware Zásady detekce malwaru

  3. V seznamu shodných souborů vyberte na řádku, na kterém se zobrazuje prošetřovaný soubor, možnostUjete.

Práce se zásuvkou souboru

Další informace o každém souboru zobrazíte tak, že v protokolu souborů vyberete samotný soubor. Když ho vyberete, otevře se panel souborů s následujícími dalšími akcemi, které můžete se souborem provést:

  • URL – přejdete do umístění souboru.
  • Identifikátory souborů – Otevře automaticky otevírané okno s nezpracovanými daty o souboru, včetně ID souboru a šifrovacích klíčů, pokud jsou k dispozici.
  • Vlastník – zobrazí uživatelskou stránku vlastníka tohoto souboru.
  • Shodné zásady – podívejte se na seznam zásad, které soubor odpovídá.
  • Popisky citlivosti – Zobrazí seznam popisků citlivosti z Microsoft Purview Information Protection nalezených v tomto souboru. Potom můžete filtrovat podle všech souborů, které tomuto popisku odpovídají.

Pole v zásuvce souboru poskytují kontextové odkazy na další soubory a podrobné akce, které můžete provést přímo ze zásuvky. Pokud například přesunete kurzor vedle pole Vlastník , můžete pomocí ikony přidat do filtru přidat do filtru vlastníka okamžitě do filtru aktuální stránky. Můžete také použít ikonu nastavení ikona nastavení ikona nastavení. Tato ikona se zobrazí a zobrazí se přímo na stránku nastavení, která je nezbytná k úpravě konfigurace jednoho z polí, jako jsou popisky citlivosti.

Zásuvka souborů.

Seznam dostupných akcí zásad správného řízení najdete v tématu Akce zásad správného řízení souborů.

Další kroky

Osvědčené postupy pro ochranu organizace

Pokud narazíte na nějaké problémy, jsme tu, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu pro váš problém s produktem, otevřete lístek podpory.