Schützen von Dateien mithilfe der Administratorquarantäne

  • Artikel

Dateirichtlinien sind ein hervorragendes Tool zum Erkennen von Bedrohungen Ihrer Richtlinien zum Datenschutz. Erstellen Sie beispielsweise Dateirichtlinien, die Speicherorte ermitteln, an denen Benutzer vertrauliche Informationen, Kreditkartennummern und ICAP-Dateien von Drittanbietern in Ihrer Cloud gespeichert haben.

In diesem Tutorial erfahren Sie mehr darüber, wie Sie mit Microsoft Defender for Cloud Apps unerwünschte Dateien in Ihrer Cloud erkennen können, die Sie angreifbar machen, und wie Sie diese sofort stoppen und diejenigen sperren können, die eine Bedrohung darstellen. Das erreichen Sie mit der Administratorquarantäne, mit der Sie Ihre Dateien in der Cloud schützen, Probleme beheben und Verlusten vorbeugen können.

So funktioniert die Quarantäne

Hinweis

  • Eine Liste von Apps, die die Administratorquarantäne unterstützen finden Sie unter Governanceaktionen.
  • Dateien, die von Defender for Cloud Apps bezeichnet werden, können nicht unter Quarantäne gestellt werden.
  • Defender for Cloud Apps-Administratorquarantäneaktionen sind auf 100 Aktionen pro Tag beschränkt.
  • SharePoint-Websites, die entweder direkt oder als Teil einer Domänenumbenennung umbenannt werden, können nicht als Ordnerspeicherort für Administratorquarantäne verwendet werden.

  1. Wenn eine Datei mit einer Richtlinie übereinstimmt, steht die Option Administratorquarantäne für diese Datei zur Verfügung.

  2. Führen Sie eine der folgenden Aktionen aus, um eine Datei unter Quarantäne zu stellen:

    • Führen Sie die Option Administratorquarantäne manuell durch:

      Quarantäneaktion.

    • Legen Sie sie in der Richtlinie auf eine automatisierte Quarantäneaktion fest:

      Automatische Quarantäne.

  3. Wenn die Administratorquarantäne angewendet wird, erfolgen die folgenden Aktionen im Hintergrund:

    1. Die ursprüngliche Datei wird in den von Ihnen festgelegten Ordner für die Administratorquarantäne verschoben.

    2. Die ursprüngliche Datei wird gelöscht.

    3. Eine Tombstone-Datei wird an den Speicherort der ursprünglichen Datei hochgeladen.

      Quarantäne Tombstone.

    4. Der Benutzer kann nur auf die Tombstone-Datei zugreifen. In der Datei wird er über die speziell von Ihrer IT-Abteilung bereitgestellten Richtlinien und die Korrelations-ID informiert, damit er sich mit der IT-Abteilung in Verbindung setzen kann, um die Datei wieder freizugeben.

  4. Wenn Sie die Warnung erhalten, dass eine Datei unter Quarantäne gestellt wurde, wechseln Sie zu Richtlinien –>Richtlinienverwaltung. Wählen Sie dann die Registerkarte Datenschutz aus. Wählen Sie in der Zeile mit Ihrer Dateirichtlinie die drei Punkte am Ende der Zeile und dann Alle Übereinstimmungen anzeigen aus. Dadurch erhalten Sie den Bericht über Übereinstimmungen, in dem Sie die übereinstimmenden und in Quarantäne befindlichen Dateien sehen können:

    Unter Quarantäne gestellte Dateien.

  5. Nachdem eine Datei unter Quarantäne gestellt wurde, können Sie wie folgt vorgehen, um die Bedrohungssituation zu beheben:

    1. Schauen Sie sich die Datei im Ordner der unter Quarantäne stehenden Dateien in SharePoint Online an.
    2. Außerdem können Sie sich die Überwachungsprotokolle anschauen, um mehr über die Dateieigenschaften zu erfahren.
    3. Wenn Sie feststellen, dass die Datei gegen die Unternehmensrichtlinie verstößt, führen Sie den Reaktionsprozess der Organisation auf einen Vorfall (Incident Response, IR) durch.
    4. Wenn Sie feststellen, dass die Datei harmlos ist, können Sie die Datei aus der Quarantäne wiederherstellen. An diesem Punkt wird die Originaldatei freigegeben, d.h. sie wird zurück an den ursprünglichen Speicherort kopiert, die Tombstone-Datei wird gelöscht, und der Benutzer kann auf die Datei zugreifen.

    Aus Quarantäne wiederherstellen.

  6. Bestätigen Sie, dass die Richtlinie problemlos ausgeführt wird. Anschließend können Sie die automatischen Governanceaktionen der Richtlinie verwenden, um weitere Datenverluste zu verhindern. Dazu können Sie die Administratorquarantäne automatisch anwenden, wenn eine Übereinstimmung mit der Richtlinie vorliegt.

Hinweis

Beachten Sie beim Wiederherstellen einer Datei Folgendes:

  • Ursprüngliche Freigaben werden nicht wiederhergestellt. Die Standardordnervererbung wird angewendet.
  • Die wiederhergestellte Datei enthält nur die aktuellsten Versionen.
  • Die Verwaltung des Zugriffs auf den Standort des Quarantäneordners unterliegt der Verantwortung des Kunden.

Einrichten der Administratorquarantäne

  1. Legen Sie Dateirichtlinien fest, die Sicherheitsverletzungen erkennen können. Beispiele für diese Richtlinientypen sind:

    • Eine Richtlinie nur für Metadaten, etwa Sensitivitätskennzeichnungen in SharePoint Online
    • Eine native DLP-Richtlinie, z. B. eine Richtlinie, die nach Kreditkartennummern sucht.
    • Eine ICAP-Richtlinie von einem Drittanbieter, z. B. eine Richtlinie, die nach Vontu sucht

  2. Legen Sie einen Speicherort für die Quarantäne fest:

    1. Für Microsoft 365 SharePoint oder OneDrive for Business können Sie Dateien als Teil einer Richtlinie erst dann in die Administratorquarantäne verschieben, wenn Sie diese eingerichtet haben: Quarantänewarnung.

      Wählen Sie zum Festlegen von Administrator-Quarantäneeinstellungen im Microsoft Defender Portal Einstellungen aus. Wählen Sie dann Cloud Apps aus. Wählen Sie unter Datenschutz die OptionAdministratorquarantäne aus. Geben Sie einen Speicherort für unter Quarantäne stehende Dateien an sowie eine Benachrichtigung für Benutzer, die diesen angezeigt wird, wenn eine ihrer Dateien unter Quarantäne gestellt wird. Quarantäneeinstellungen.

      Hinweis

      Defender for Cloud Apps erstellt einen Quarantäneordner auf der ausgewählten Website.

    2. Für Box können der Speicherort des Ordners und die Benachrichtigung für den Benutzer nicht angepasst werden. Der Speicherort des Ordners ist das Laufwerk des Administrators, der Box mit Defender for Cloud Apps verknüpft hat, und die Benachrichtigung für den Benutzer lautet: „This file was quarantined to your administrator's drive because it might violate your company's security and compliance policies“ (Diese Datei wurde unter Quarantäne gestellt und befindet sich auf dem Laufwerk Ihres Administrators, da sie möglicherweise die Sicherheits- und Compliancerichtlinien Ihres Unternehmens verletzt). Wenden Sie sich an Ihren IT-Administrator, falls Sie Hilfe benötigen.

Nächste Schritte

Bewährte Methoden zum Schutz Ihrer Organisation

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.