Dateirichtlinien in Microsoft Defender for Cloud Apps

  • Artikel

Mit Dateirichtlinien können Sie eine Vielzahl von automatisierten Prozessen mithilfe von Cloudanbieter-APIs erzwingen. Richtlinien können für fortlaufende Kompatibilitätsprüfungen, rechtliche eDiscovery-Aufgaben, DLP für öffentlich freigegebenen vertraulichen Inhalt und viele weitere Anwendungsfälle festgelegt werden. Defender for Cloud Apps kann jeden Dateityp auf der Grundlage von mehr als 20 Metadatenfiltern (z. B. Zugriffsebene, Dateityp) überwachen.

Eine Liste der anwendbaren Dateifilter finden Sie unter Dateifilter in Microsoft Defender for Cloud Apps.

Unterstützte Dateitypen

Die Engines von Defender for Cloud Apps untersuchen Inhalte durch Extraktion von Text aller gängigen Dateitypen (mehr als 100), einschließlich Office, Open Office, komprimierter Dateien, verschiedener Rich-Text-Formate, XML, HTML usw.

Richtlinien

Die Engine kombiniert drei Aspekte unter jeder Richtlinie:

  • Überprüfung des Inhalts basierend auf vordefinierten Vorlagen oder benutzerdefinierten Ausdrücken.

  • Kontextfilter einschließlich Benutzerrollen, Dateimetadaten, Freigabestufe, Gruppenintegration in der Organisation, Zusammenarbeitskontext und zusätzliche anpassbare Attribute.

  • Automatisierte Aktionen für Governance und Abhilfemaßnahmen.

    Hinweis

    Nur die Governanceaktion der ersten ausgelösten Richtlinie wird garantiert angewendet. Wenn beispielsweise eine Dateirichtlinie bereits eine vertrauliche Bezeichnung auf eine Datei angewandt hat, kann eine zweite Dateirichtlinie keine weitere vertrauliche Bezeichnung auf diese Datei anwenden.

Nach der Aktivierung überprüft die Richtlinie fortlaufend die Cloudumgebung, identifiziert Dateien, die den Inhalts- und Kontextfiltern entsprechen, und wendet die angeforderten automatisierten Aktionen an. Diese Richtlinien erkennen und beheben alle Verstöße für ruhende Daten oder beim Erstellen neuer Inhalte. Richtlinien können mithilfe von Echtzeitwarnungen oder in der Konsole generierten Berichte überwacht werden.

Es folgen Beispiele für Dateirichtlinien, die erstellt werden können:

  • Öffentlich freigegebene Dateien: Sie erhalten eine Warnung zu einer beliebigen Datei in der Cloud, die öffentlich freigegeben ist, durch Auswahl aller Dateien mit Freigabestufe „Öffentlich“.

  • Der öffentlich freigegebene Dateiname enthält den Namen der Organisation: Sie erhalten eine Warnung zu einer beliebigen Datei, die den Namen Ihrer Organisation enthält und öffentlich freigegeben ist. Wählen Sie Dateien aus, deren Dateiname den Namen Ihrer Organisation enthält und die öffentlich freigegeben sind.

  • Gemeinsame Nutzung in externen Domänen: Sie erhalten eine Warnung zu einer beliebigen Datei, die von Konten gemeinsam genutzt wird, die im Besitz bestimmter externer Domänen sind. Zum Beispiel Dateien, die für die Domäne eines Konkurrenten freigegeben sind. Wählen Sie die externe Domäne, für die Sie die Freigabe einschränken möchten.

  • Isolieren freigegebener Dateien, die während der letzten Periode nicht geändert wurden: Sie erhalten eine Warnung zu freigegebenen Dateien, die in letzter Zeit nicht geändert wurden, um sie wahlweise unter Quarantäne zu stellen oder eine automatisierte Aktion zu aktivieren. Schließen Sie alle privaten Dateien aus, die innerhalb eines bestimmten Zeitraums nicht geändert wurden. Bei Google Workspace können Sie auswählen, ob diese Dateien unter Quarantäne gestellt werden sollen, indem Sie das Kontrollkästchen „Quarantäne-Datei“ auf der Seite zur Erstellung der Richtlinie verwenden.

  • Gemeinsame Nutzung mit nicht autorisierten Benutzern: Sie erhalten eine Warnung zu Dateien, die mit einer nicht autorisierten Gruppe von Benutzern in Ihrer Organisation gemeinsam genutzt werden. Wählen Sie die Benutzer aus, für die die Freigabe nicht autorisiert ist.

  • Erweiterung sensibler Dateien: Sie erhalten eine Warnung zu Dateien mit bestimmten Erweiterungen, die potenziell hoch gefährdet sind. Wählen Sie die spezifische Erweiterung (z.B. crt für Zertifikate) oder den Dateinamen und schließen Sie die Dateien mit privater Freigabe aus.

Hinweis

Sie sind auf 50 Dateirichtlinien in Defender for Cloud Apps beschränkt.

Erstellen Sie eine neue Richtlinie

Um eine neue Dateirichtlinie zu erstellen, führen Sie die folgenden Schritte aus:

  1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Richtlinien – >Richtlinienverwaltung. Wählen Sie die Registerkarte Informationsschutz.

  2. Klicken Sie auf Richtlinie erstellen und anschließend auf Dateirichtlinie.

    Create a Information Protection policy.

  3. Benennen Sie die Richtlinie, und geben Sie eine Beschreibung an. Die Richtlinie kann auch auf einer Vorlage basieren. Weitere Informationen zu Richtlinienvorlagen finden Sie unter Control cloud apps with policies (Steuern von Cloud-Apps mit Richtlinien).

  4. Legen Sie für Ihre Richtlinie einen Schweregrad der Richtlinie fest. Wenn Sie in Defender for Cloud-Apps festgelegt haben, dass Sie bei Richtlinienübereinstimmungen mit einem bestimmten Schweregrad der Richtlinie benachrichtigt werden, wird anhand dieses Schweregrads bestimmt, ob die Richtlinienübereinstimmungen eine Benachrichtigung auslösen.

  5. Verknüpfen Sie in Kategorie die Richtlinie mit dem passendsten Risikotyp. Dieses Feld ist nur informativ und hilft Ihnen später, bestimmte Richtlinien und Warnungen basierend auf dem Risikotyp zu suchen. Das Risiko ist möglicherweise bereits nach der Kategorie, für die Sie die Richtlinie erstellen möchten, vorab gewählt worden. Standardmäßig wird für Dateirichtlinien DLP festgelegt.

  6. Erstellen Sie einen Filter für die Dateien, auf die diese Richtlinie angewendet wird, um festzulegen, welche ermittelten Apps diese Richtlinie auslösen. Grenzen Sie die Richtlinienfilter ein, bis Sie eine genaue Anzahl von Dateien festgelegt haben, auf die Sie reagieren möchten. Seien Sie so restriktiv wie möglich, um Fehlalarme zu vermeiden. Wenn Sie z. B. öffentliche Berechtigungen aufheben möchten, müssen Sie den Filter Öffentlich hinzuzufügen, und wenn Sie eine/n externe/n Benutzer*in entfernen möchten, verwenden Sie den Filter „Extern“ usw.

    Hinweis

    Bei Verwendung der Richtlinienfilter sucht Enthält nur nach vollständigen Wörtern, die durch Kommas, Punkte, Leerzeichen oder Unterstriche getrennt sind. Suchen Sie beispielsweise nach malware oder virus, wird „virus_malware_file.exe“ gefunden, „malwarevirusfile.exe“ hingegen nicht. Suchen Sie nach malware.exe, dann finden Sie ALLE Dateien, deren Name entweder „malware“ oder „exe“ enthält. Suchen Sie aber nach „malware.exe“ (in Anführungszeichen), finden Sie nur die Dateien, die genau „malware.exe“ heißen. Equals sucht nur nach der vollständigen Zeichenfolge. Suchen Sie z.B. nach malware.exe, finden Sie zwar „malware.exe“, aber nicht „malware.exe.txt“.

    Weitere Informationen zu Dateirichtlinienfiltern finden Sie unter Dateifilter in Microsoft Defender for Cloud Apps.

  7. Wählen Sie unter dem ersten Übernehmen für-Filter alle Dateien außer ausgewählte Ordner oder ausgewählte Ordner für Box, SharePoint, Dropbox, OneDrive aus, wobei Sie das Anwenden Ihrer Dateirichtlinie auf alle Dateien in der App oder auf bestimmte Ordner erzwingen können. Sie werden weitergeleitet, um sich in der Cloud-App anzumelden und dann die entsprechenden Ordner hinzuzufügen.

  8. Wählen Sie unter dem zweiten Übernehmen für-Filter entweder alle Dateibesitzer, Dateibesitzer aus ausgewählten Benutzergruppen oder all file owners excluding selected groups (alle Dateibesitzer außer ausgewählte Gruppen) aus. Wählen Sie anschließend die relevanten Benutzergruppen, um zu bestimmen, welche Benutzer und Gruppen in der Richtlinie enthalten sein sollen.

  9. Wählen Sie die Inhaltsuntersuchungsmethode. Sie haben die Wahl zwischen der integrierten DLP oder dem Datenklassifizierungsdienst. Es wird empfohlen, den Datenklassifizierungsdienst zu verwenden.

    Sobald Sie die Inhaltsüberprüfung aktivieren, können Sie vordefinierte Ausdrücke verwenden oder nach benutzerdefinierten Ausdrücken suchen.

    Darüber hinaus können Sie einen regulären Ausdruck angeben, um eine Datei aus den Ergebnissen auszuschließen. Diese Option ist sehr nützlich, wenn Sie einen inneren Standard für Klassifizierungsschlüsselwörter haben, den Sie von der Richtlinie ausschließen möchten.

    Sie können festlegen, welche minimale Anzahl von Inhaltsverstößen festgestellt werden soll, bevor die Datei als Verstoß betrachtet wird. Sie können beispielsweise 10 auswählen, wenn Sie bei Dateien mit mindestens 10 Kreditkartennummern im Inhalt benachrichtigt werden möchten.

    Wenn der Inhalt mit dem ausgewählten Ausdruck abgeglichen wird, wird der verletzte Text durch „X“-Zeichen ersetzt. Standardmäßig werden die Verstöße maskiert und in ihrem Kontext angezeigt, wobei 100 Zeichen vor und nach dem Verstoß angezeigt werden. Zahlen im Kontext des Ausdrucks werden durch „#“-Zeichen ersetzt und nie in Defender for Cloud Apps gespeichert. Sie können die Option zum Aufheben der Maskierung der letzten vier Zeichen eines Verstoßes auswählen, um die letzten vier Zeichen des Verstoßes selbst auszuwählen. Sie müssen festlegen, welche Datentypen der reguläre Ausdruck durchsucht: Inhalt, Metadaten und/oder Dateinamen. Standardmäßig durchsucht es den Inhalt und die Metadaten.

  10. Wählen Sie die Governanceaktionen aus, die Defender for Cloud Apps ausführen soll, wenn eine Übereinstimmung erkannt wird.

  11. Nachdem Sie Ihre Richtlinie erstellt haben, können Sie sie anzeigen, indem Sie nach dem Typ Dateirichtlinie filtern. Sie können immer eine Richtlinie bearbeiten, ihre Filter kalibrieren oder die automatisierten Aktionen ändern. Die Richtlinie wird bei der Erstellung automatisch aktiviert und beginnt sofort damit, Ihre Clouddateien zu überprüfen. Gehen Sie besonders sorgfältig vor, wenn Sie Governanceaktionen festlegen, denn sie könnten zum unwiderruflichen Verlust der Zugriffsberechtigungen für Ihre Dateien führen. Es wird empfohlen, die Filter mit mehreren Suchfeldern einzugrenzen, sodass sie genau die von Ihnen gewünschten Dateien betreffen. Je detaillierter die Filter sind, desto besser. Eine entsprechende Anleitung bietet Ihnen die Schaltfläche Ergebnisse bearbeiten und in der Vorschau anzeigen im Bereich Filter.

    File policy edit and preview results.

  12. Um Treffer für Dateirichtlinien anzuzeigen, d. h. Dateien, die mutmaßlich gegen die Richtlinie verstoßen, wechseln Sie zu Richtlinien ->Richtlinienverwaltung. Filtern Sie die Ergebnisse, um nur die Dateirichtlinien mithilfe des Filters Typ oben anzuzeigen. Wenn Sie weitere Informationen zu den Übereinstimmungen für jede Richtlinie wünschen, wählen Sie unter der Spalte Anzahl die Anzahl der Übereinstimmungen für eine Richtlinie. Wählen Sie alternativ die drei Punkte am Ende der Zeile einer Richtlinie und anschließend Alle Übereinstimmungen anzeigen. Dadurch wird der Dateirichtlinienbericht geöffnet. Wählen Sie die Registerkarte Jetzt abgleichen, um Dateien anzuzeigen, die derzeit der Richtlinie entsprechen. Klicken Sie auf die Registerkarte Verlauf, um den Verlauf der Dateien der letzten sechs Monate anzuzeigen, für die die Richtlinie gilt.

Bewährte Methoden für Dateirichtlinien

  1. Vermeiden Sie das Zurücksetzen der Dateirichtlinie (indem Sie die Ergebnisse zurücksetzen und Aktionen erneut anwenden) in Produktionsumgebungen, sofern nicht unbedingt erforderlich, da dadurch eine vollständige Überprüfung der von der Richtlinie betroffenen Dateien gestartet wird, was sich negativ auf die Leistung auswirken kann.

  2. Wenn Bezeichnungen auf Dateien in einem bestimmten übergeordneten Ordner und seinen Unterordnern angewendet werden, verwenden Sie die Option Anwenden auf –>Ausgewählte Ordner. Fügen Sie dann alle übergeordneten Ordner hinzu.

  3. Verwenden Sie beim Anwenden von Bezeichnungen nur auf Dateien in einem bestimmten Ordner (mit Ausnahme aller Unterordner) den Dateirichtlinienfilter Übergeordneter Ordner mit dem Operator Entspricht.

  4. Die Dateirichtlinie ist schneller, wenn enge Filterkriterien verwendet werden (im Vergleich zu breiten Kriterien).

  5. Konsolidieren Sie mehrere Dateirichtlinien für denselben Dienst (z. B. SharePoint, OneDrive, Box usw.) in einer einzigen Richtlinie.

  6. Erstellen Sie beim Aktivieren der Dateiüberwachung (auf der Seite Einstellungen) mindestens eine Dateirichtlinie. Wenn keine Dateirichtlinie vorhanden ist oder die Dateirichtlinie für sieben aufeinander folgende Tage deaktiviert ist, kann die Dateiüberwachung automatisch deaktiviert werden.

Dateirichtlinienreferenz

Dieser Abschnitt enthält die Referenzdetails zu Richtlinien und bietet Erklärungen zu jedem Richtlinientyp und den Feldern, die für jede Richtlinie konfiguriert werden können.

Eine Dateirichtlinie ist eine Richtlinie auf API-Basis, mit der Sie den Cloudinhalt Ihrer Organisation steuern können, wobei über 20 Dateimetadatenfilter (einschließlich Besitzer und Freigabestufe) sowie Ergebnisse der Inhaltsuntersuchung berücksichtigt werden. Auf Basis der Richtlinienergebnisse können Governanceaktionen angewendet werden. Die Inhaltsuntersuchungs-Engine kann sowohl über Drittanbieter-DLP-Engines als auch Antischadsoftware-Lösungen erweitert werden.

Jede Richtlinie besteht aus folgenden Teilen:

  • Dateifilter: Ermöglichen Ihnen anhand von Metadaten das Festlegen genauer Bedingungen.

  • Inhaltsuntersuchung: Ermöglicht Ihnen, die Richtlinie auf Grundlage von DLP-Engine-Ergebnissen einzugrenzen. Sie können einen benutzerdefinierten Ausdruck oder einen vordefinierten Ausdruck einschließen. Ausschlüsse können festgelegt werden, und Sie können die Anzahl von Übereinstimmungen auswählen. Mithilfe der Anonymisierung können Sie auch den Benutzernamen maskieren.

  • Aktionen: Die Richtlinie stellt mehrere Governanceaktionen bereit, die automatisch angewendet werden können, wenn Verstöße gefunden werden. Diese Aktionen werden in Zusammenarbeits-, Sicherheits- und Untersuchungsaktionen unterteilt.

  • Erweiterungen: Die Inhaltsuntersuchung kann mittels Drittanbieter-Engines ausgeführt werden, um verbesserte DLP- oder Antischadsoftware-Funktionen zu nutzen.

Dateiabfragen

Sie können jetzt benutzerdefinierte Abfragen erstellen und diese für die spätere Verwendung speichern, um die Überprüfung einfacher zu gestalten.

  1. Verwenden Sie auf der Seite Dateien die oben beschriebenen Filter, um nach Bedarf einen Drilldown in Ihren Apps auszuführen.

  2. Nachdem Sie die Abfrage erstellt haben, klicken Sie oben um Bereich Filter auf die Schaltfläche Speichern unter.

  3. Geben Sie im Popupfenster Abfrage speichern Ihrer Abfrage einen Namen.

  4. Scrollen Sie unter Abfragen zu Gespeicherte Abfragen, und wählen Sie Ihre Abfrage aus, um sie zu einem späteren Zeitpunkt wiederzuverwenden.

Anzeigen von Dateienrichtlinienergebnissen

Sie können zum Richtliniencenter wechseln, um Verstöße gegen Dateirichtlinien zu überprüfen.

  1. Wechseln Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien –>Richtlinienverwaltung, und wählen Sie dann die Registerkarte Informationsschutz.

  2. Sie können für jede Dateirichtlinie die Verstöße anzeigen, indem Sie die Übereinstimmungen auswählen.
    PCI matches.

  3. Sie können die Datei selbst auswählen, um Informationen zu den Dateien zu erhalten.
    PCI content matches.

  4. Sie können beispielsweise Mitarbeiter auswählen, um anzuzeigen, wer Zugriff auf diese Datei hat, und Sie können Übereinstimmungen auswählen, um die Sozialversicherungsnummern anzuzeigen. Content matches credit card numbers.

Informationsschutz-Webinar

Nächste Schritte

Bewährte Methoden zum Schutz Ihrer Organisation

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.