Dateirichtlinien

Hinweis

  • Wir haben Microsoft Cloud App Security umbenannt. Es wird jetzt als Microsoft Defender for Cloud Apps bezeichnet. In den kommenden Wochen aktualisieren wir die Screenshots und Anweisungen hier und in verwandten Seiten. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur aktuellen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.

  • Microsoft Defender for Cloud Apps ist jetzt Teil Microsoft 365 Defender. Das Microsoft 365 Defender-Portal ermöglicht Sicherheitsadministratoren, ihre Sicherheitsaufgaben an einem Ort auszuführen. Dadurch werden Workflows vereinfacht und die Funktionalität der anderen Microsoft 365 Defender-Dienste hinzugefügt. Microsoft 365 Defender ist das Zuhause für die Überwachung und Verwaltung von Sicherheit in Ihren Microsoft-Identitäten, Daten, Geräten, Apps und Infrastruktur. Weitere Informationen zu diesen Änderungen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Dateirichtlinien ermöglichen es Ihnen, eine vielzahl automatisierter Prozesse mithilfe der APIs des Cloudanbieters zu erzwingen. Richtlinien können für fortlaufende Kompatibilitätsprüfungen, rechtliche eDiscovery-Aufgaben, DLP für öffentlich freigegebenen vertraulichen Inhalt und viele weitere Anwendungsfälle festgelegt werden. Defender für Cloud Apps kann jeden Dateityp basierend auf mehr als 20 Metadatenfiltern überwachen (z. B. Zugriffsebene, Dateityp).

Unterstützte Dateitypen

Die integrierten DLP-Engines von Defender für Cloud Apps führen Inhaltsüberprüfungen durch Extrahieren von Text aus allen gängigen Dateitypen (100+) wie Office, Open Office, komprimierte Dateien, verschiedene Rich-Text-Formate, XML, HTML und vieles mehr aus.

Richtlinien

Die Engine kombiniert drei Aspekte unter jeder Richtlinie:

  • Überprüfung des Inhalts basierend auf vordefinierten Vorlagen oder benutzerdefinierten Ausdrücken.

  • Kontextfilter einschließlich Benutzerrollen, Dateimetadaten, Freigabestufe, Gruppenintegration in der Organisation, Zusammenarbeitskontext und zusätzliche anpassbare Attribute.

  • Automatisierte Aktionen für Governance und Wiederherstellung. Weitere Informationen finden Sie unter Control (Steuerung).

    Hinweis

    Nur die Governanceaktion der ersten ausgelösten Richtlinie wird garantiert angewendet. Wenn beispielsweise eine Dateirichtlinie bereits eine Vertraulichkeitsbezeichnung auf eine Datei angewendet hat, kann eine zweite Dateirichtlinie keine andere Vertraulichkeitsbezeichnung darauf anwenden.

Nach der Aktivierung überprüft die Richtlinie fortlaufend die Cloudumgebung, identifiziert Dateien, die den Inhalts- und Kontextfiltern entsprechen, und wendet die angeforderten automatisierten Aktionen an. Diese Richtlinien erkennen und beheben alle Verstöße für ruhende Daten oder beim Erstellen neuer Inhalte. Richtlinien können mithilfe von Echtzeitwarnungen oder in der Konsole generierten Berichte überwacht werden.

Es folgen Beispiele für Dateirichtlinien, die erstellt werden können:

  • Öffentlich freigegebene Dateien: Sie erhalten eine Warnung zu einer beliebigen Datei in der Cloud, die öffentlich freigegeben ist, durch Auswahl aller Dateien mit Freigabestufe „Öffentlich“.

  • Öffentlich freigegebener Dateiname enthält den Namen der Organisation – Erhalten Sie eine Warnung zu jeder Datei, die den Namen Ihrer Organisation enthält und öffentlich freigegeben wird. Wählen Sie Dateien, deren Dateiname den Namen Ihrer Organisation enthält, und die öffentlich freigegeben ist.

  • Gemeinsame Nutzung in externen Domänen: Sie erhalten eine Warnung zu einer beliebigen Datei, die von Konten gemeinsam genutzt wird, die im Besitz bestimmter externer Domänen sind. Beispielsweise werden Dateien, die für die Domäne eines Wettbewerbers freigegeben wurden, freigegeben. Wählen Sie die externe Domäne aus, für die Sie die Freigabe beschränken möchten.

  • Isolieren freigegebener Dateien, die während der letzten Periode nicht geändert wurden: Sie erhalten eine Warnung zu freigegebenen Dateien, die in letzter Zeit nicht geändert wurden, um sie wahlweise unter Quarantäne zu stellen oder eine automatisierte Aktion zu aktivieren. Schließen Sie alle privaten Dateien aus, die während eines angegebenen Datumsbereichs nicht geändert wurden. Auf Google Workspace können Sie diese Dateien unter Verwendung des Kontrollkästchens "Quarantänedatei" auf der Richtlinienerstellungsseite isolieren.

  • Gemeinsame Nutzung mit nicht autorisierten Benutzern: Sie erhalten eine Warnung zu Dateien, die mit einer nicht autorisierten Gruppe von Benutzern in Ihrer Organisation gemeinsam genutzt werden. Wählen Sie die Benutzer aus, für die die gemeinsame Nutzung nicht autorisiert ist.

  • Erweiterung sensibler Dateien: Sie erhalten eine Warnung zu Dateien mit bestimmten Erweiterungen, die potenziell hoch gefährdet sind. Wählen Sie die spezifische Erweiterung (z.B. „.crt“ für Zertifikate) oder den Dateinamen aus, und schließen Sie diese Dateien mit der privaten Freigabestufe aus.

Hinweis

Sie sind auf 50 Dateirichtlinien in Defender for Cloud Apps beschränkt.

Erstellen einer neuen Dateirichtlinie

Um eine neue Dateirichtlinie zu erstellen, führen Sie die folgenden Schritte aus:

  1. Wechseln Sie zuSteuerelementrichtlinien>>Information Protection.

  2. Klicken Sie auf Richtlinie erstellen und dann auf Dateirichtlinie.

    Erstellen Sie eine Information Protection Richtlinie.

  3. Benennen Sie die Richtlinie, und geben Sie eine Beschreibung an. Die Richtlinie kann auch auf einer Vorlage basieren. Weitere Informationen zu Richtlinienvorlagen finden Sie unter Control cloud apps with policies (Steuern von Cloud-Apps mit Richtlinien).

  4. Legen Sie für Ihre Richtlinie einen Schweregrad der Richtlinie fest. Wenn Sie in Defender für Cloud-Apps festgelegt haben, dass Sie bei Richtlinienübereinstimmungen mit einem bestimmten Schweregrad der Richtlinie benachrichtigt werden, wird anhand dieses Schweregrads bestimmt, ob die Richtlinienübereinstimmungen eine Benachrichtigung auslösen.

  5. Verknüpfen Sie in Kategorie die Richtlinie mit dem passendsten Risikotyp. Dieses Feld ist nur informativ und hilft Ihnen später, bestimmte Richtlinien und Warnungen basierend auf dem Risikotyp zu suchen. Das Risiko ist möglicherweise bereits nach der Kategorie, für die Sie die Richtlinie erstellen möchten, vorab gewählt worden. Standardmäßig wird für Dateirichtlinien DLP festgelegt.

  6. Erstellen Sie einen Filter für die Dateien, auf die diese Richtlinie angewendet wird, um festzulegen, welche ermittelten Apps diese Richtlinie auslösen. Grenzen Sie die Richtlinienfilter ein, bis Sie genau die Dateien erreichen, auf die die Richtlinie angewandt werden soll. Seien Sie so restriktiv wie möglich, um falsch positive Ergebnisse zu vermeiden. Wenn Sie z. B. öffentliche Berechtigungen aufheben möchten, müssen Sie den Filter Öffentlich hinzuzufügen, und wenn Sie einen externen Benutzer entfernen möchten, verwenden Sie den Filter „Extern“ usw.

    Hinweis

    Wenn Sie die Richtlinienfilter verwenden, sucht nur nach vollständigen Wörtern – getrennt durch Kommas, Punkte, Leerzeichen oder Unterstriche. Suchen Sie beispielsweise nach malware oder virus, wird „virus_malware_file.exe“ gefunden, „malwarevirusfile.exe“ hingegen nicht. Wenn Sie nach malware.exesuchen, finden Sie alle Dateien mit Schadsoftware oder exe in ihrem Dateinamen, während Sie nach "malware.exe" (mit den Anführungszeichen) suchen, finden Sie nur Dateien, die genau "malware.exe" enthalten. Euqals sucht nur nach der vollständigen Zeichenfolge. Suchen Sie z.B. nach malware.exe, finden Sie zwar „malware.exe“, aber nicht „malware.exe.txt“.

  7. Wählen Sie unter dem ersten "Anwenden auf Filtern" alle Dateien aus, die ausgewählte Ordner oder ausgewählte Ordner für Box, SharePoint, Dropbox, OneDrive, aus denen Sie ihre Dateirichtlinie über alle Dateien in der App oder in bestimmten Ordnern erzwingen können. Sie werden zum Protokoll in der Cloud-App weitergeleitet. Fügen Sie dann die relevanten Ordner hinzu.

  8. Wählen Sie unter dem zweiten "Anwenden auf Filtern" entweder alle Dateibesitzer, Dateibesitzeraus ausgewählten Benutzergruppen oder alle Dateibesitzer aus, die ausgewählte Gruppen ausschließen. Wählen Sie anschließend die relevanten Benutzergruppen, um zu bestimmen, welche Benutzer und Gruppen in der Richtlinie enthalten sein sollen.

  9. Wählen Sie die Inhaltsüberprüfungsmethode aus. Sie können entweder integrierte DLP- oder Datenklassifizierungsdienste auswählen. Es wird empfohlen, den Datenklassifizierungsdienst zu verwenden.

    Sobald Sie die Inhaltsüberprüfung aktivieren, können Sie vordefinierte Ausdrücke verwenden oder nach benutzerdefinierten Ausdrücken suchen.

    Darüber hinaus können Sie einen regulären Ausdruck angeben, um eine Datei aus den Ergebnissen auszuschließen. Diese Option ist sehr nützlich, wenn Sie über einen inneren Klassifizierungsschlüsselwort-Standard verfügen, den Sie aus der Richtlinie ausschließen möchten.

    Sie können festlegen, welche minimale Anzahl von Inhaltsverstößen festgestellt werden soll, bevor die Datei als Verstoß betrachtet wird. Sie können z.B. 10 auswählen, wenn Sie Warnungen zu Dateien erhalten möchten, die mindestens 10 Kreditkartennummern enthalten.

    Wenn Inhalte mit dem ausgewählten Ausdruck übereinstimmen, wird der Verstoßtext durch „X“-Zeichen ersetzt. Standardmäßig werden Verstöße maskiert und in ihrem Kontext angezeigt, wobei 100 Zeichen vor und nach dem Verstoß angezeigt werden. Zahlen im Kontext des Ausdrucks werden durch "#"-Zeichen ersetzt und werden nie in Defender for Cloud Apps gespeichert. Sie können die Option zum Aufheben der Maskierung der letzten vier Zeichen eines Verstoßes auswählen, um die letzten vier Zeichen des Verstoßes selbst auszuwählen. Sie müssen festlegen, welche Datentypen der reguläre Ausdruck durchsucht: Inhalt, Metadaten und/oder Dateinamen. Standardmäßig werden der Inhalt und die Metadaten durchsucht.

  10. Wählen Sie die Governance-Aktionen aus, die Defender für Cloud Apps ausführen möchten, wenn eine Übereinstimmung erkannt wird.

  11. Nachdem Sie Ihre Richtlinie erstellt haben, können Sie sie auf der Registerkarte "Dateirichtlinie " anzeigen. Sie können eine Richtlinie immer bearbeiten, ihre Filter kalibrieren oder die automatisierten Aktionen ändern. Die Richtlinie wird bei der Erstellung automatisch aktiviert und beginnt sofort damit, Ihre Clouddateien zu überprüfen. Gehen Sie besonders sorgfältig vor, wenn Sie Governanceaktionen festlegen, denn sie könnten zum unwiderruflichen Verlust der Zugriffsberechtigungen für Ihre Dateien führen. Es wird empfohlen, die Filter mit mehreren Suchfeldern einzugrenzen, sodass sie genau die von Ihnen gewünschten Dateien betreffen. Je schmaler die Filter, desto besser. Anleitung bietet Ihnen die Schaltfläche Ergebnisse bearbeiten und Vorschau anzeigen im Bereich Filter.

    Dateirichtlinienbearbeitungs- und Vorschauergebnisse.

  12. Um Treffer für Dateirichtlinien anzuzeigen, d.h. Dateien, die mutmaßlich gegen die Richtlinie verstoßen, klicken Sie auf Steuern und anschließend auf Richtlinien. Filtern Sie die Ergebnisse, um nur die Dateirichtlinien mithilfe des Filters Typ oben anzuzeigen. Weitere Informationen zu den Übereinstimmungen zu jeder Richtlinie finden Sie, indem Sie auf die Richtlinie klicken. Dadurch werden die Dateien unter „Aktuelle Übereinstimmungen“ für die Richtlinie angezeigt. Klicken Sie auf die Registerkarte Verlauf, um den Verlauf der Dateien der letzten sechs Monate anzuzeigen, für die die Richtlinie gilt.

Dateirichtlinienreferenz

Dieser Abschnitt enthält die Referenzdetails zu Richtlinien und bietet Erklärungen zu jedem Richtlinientyp und den Feldern, die für jede Richtlinie konfiguriert werden können.

Eine Dateirichtlinie ist eine Richtlinie auf API-Basis, mit der Sie den Cloudinhalt Ihrer Organisation steuern können, wobei über 20 Dateimetadatenfilter (einschließlich Besitzer und Freigabestufe) sowie Ergebnisse der Inhaltsuntersuchung berücksichtigt werden. Auf Basis der Richtlinienergebnisse können Governanceaktionen angewendet werden. Die Inhaltsuntersuchungs-Engine kann sowohl über Drittanbieter-DLP-Engines als auch Antischadsoftware-Lösungen erweitert werden.

Jede Richtlinie besteht aus folgenden Teilen:

  • Dateifilter – Ermöglichen Sie es Ihnen, präzise Bedingungen basierend auf Metadaten zu erstellen.

  • Inhaltsüberprüfung – Ermöglichen Sie es Ihnen, die Richtlinie basierend auf DLP-Modulergebnissen einzugrenzen. Sie können einen benutzerdefinierten Ausdruck oder einen vordefinierten Ausdruck einschließen. Ausschlüsse können festgelegt werden, und Sie können die Anzahl von Übereinstimmungen auswählen. Mithilfe der Anonymisierung können Sie auch den Benutzernamen maskieren.

  • Aktionen – Die Richtlinie bietet eine Reihe von Governanceaktionen, die automatisch angewendet werden können, wenn Verstöße gefunden werden. Diese Aktionen werden in Zusammenarbeits-, Sicherheits- und Untersuchungsaktionen unterteilt.

  • Erweiterungen: Die Inhaltsuntersuchung kann mittels Drittanbieter-Engines ausgeführt werden, um verbesserte DLP- oder Antischadsoftware-Funktionen zu nutzen.

Dateiabfragen

Sie können jetzt benutzerdefinierte Abfragen erstellen und diese für die spätere Verwendung speichern, um die Überprüfung einfacher zu gestalten.

  1. Verwenden Sie auf der Seite "Datei " die oben beschriebenen Filter, um nach Bedarf einen Drilldown in Ihre Apps durchzuführen.

  2. Nachdem Sie die Abfrage erstellt haben, klicken Sie auf die Schaltfläche Speichern unter in der oberen rechten Ecke der Filter.

  3. Geben Sie im Popup " Abfrage speichern " Ihre Abfrage an.

  4. Scrollen Sie unter Abfragen zu Gespeicherte Abfragen, und wählen Sie Ihre Abfrage aus, um sie zu einem späteren Zeitpunkt wiederzuverwenden.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.