Investigación de archivos con Microsoft Defender for Cloud Apps
Para proporcionar protección de datos, Microsoft Defender for Cloud Apps le ofrece visibilidad de todos los archivos de las aplicaciones conectadas. Después de conectar Microsoft Defender for Cloud Apps a una aplicación mediante el conector de aplicaciones, Microsoft Defender for Cloud Apps examina todos los archivos, como, por ejemplo, todos los archivos almacenados en OneDrive y Salesforce. Después, Defender for Cloud Apps vuelve a examinar todos los archivos cada vez que se modifican (la modificación puede ser de contenido, metadatos o permisos de uso compartido). Los tiempos de examen dependen del número de archivos almacenados en la aplicación. También puede usar la página Archivos para filtrar archivos e investigar qué tipo de datos se guarda en las aplicaciones en la nube.
Importante
A partir del 1 de septiembre de 2024, dejaremos de usar la página Archivos de Microsoft Defender for Cloud Apps. En ese momento, cree y modifique las directivas de Information Protection y busque archivos de malware desde la página >Administración de directivasde las directivas de Cloud Apps>. Para obtener más información, vea Directivas de archivos en Microsoft Defender for Cloud Apps.
Habilitar la supervisión de archivos
Para habilitar la supervisión de archivos para Defender for Cloud Apps, active primero la supervisión de archivos en el área Configuración . En el portal de Microsoft Defender, seleccione Configuración>Cloud Apps>Information Protection>Archivos>Habilitar supervisión de archivos>Guardar.
- Si no hay directivas de archivos activas, transcurridos siete días desde la última vez que se activó la página de archivos, la supervisión de archivos se desactiva automáticamente.
- Si no hay directivas de archivos activas, 35 días después de la última vez que se activó la página de archivos, Defender for Cloud Apps comienza a eliminar todos los datos que Defender for Cloud Apps mantiene sobre los archivos almacenados.
Ejemplos de filtros de archivo
Por ejemplo, use la página Archivos para proteger archivos compartidos de forma externa etiquetados como confidenciales, de la siguiente forma:
Después de conectar una aplicación a Defender for Cloud Apps, intégrela con Microsoft Purview Information Protection. Luego, en la página Archivos, filtre los archivos etiquetados con confidencial y excluya su dominio en el filtro Colaboradores. Si ve que hay archivos confidenciales compartidos fuera de la organización, puede crear una directiva de archivo para detectarlos. Puede aplicar acciones de gobernanza automáticas a estos archivos, tales como Quitar colaboradores externos y Enviar un resumen de coincidencias de directiva al propietario del archivo para evitar la pérdida de datos a la organización.
Este es otro ejemplo de cómo puede usar la página Archivos. Asegúrese de que nadie de la organización comparte de forma pública o externa archivos que no se han modificado en los últimos seis meses:
Conecte una aplicación a Defender for Cloud Apps y vaya a la página Archivos. Filtre los archivos cuyo nivel de acceso es Externo o Público, y establezca la fecha de Última modificación en hace seis meses. Cree una directiva de archivo que detecte estos archivos obsoletos públicos seleccionando Nueva directiva de búsqueda. Aplique acciones de gobernanza automáticas, como Quitar usuarios externos, para evitar la pérdida de datos a la organización.
El filtro básico proporciona excelentes herramientas para empezar a filtrar los archivos.
Para profundizar en archivos más específicos, puede ampliar el filtro básico seleccionando Filtros avanzados.
Filtros de archivo
Defender for Cloud Apps puede supervisar cualquier tipo de archivo en función de más de 20 filtros de metadatos (por ejemplo, nivel de acceso, tipo de archivo).
Los motores DLP integrados de Defender for Cloud Apps inspeccionan el contenido mediante la extracción de texto de los tipos de archivo comunes. Algunos de los tipos de archivo incluidos son PDF, archivos de Office, RTF, HTML y archivos de código.
A continuación se muestra una lista de los filtros de archivo que se pueden aplicar. La mayoría de los filtros admiten varios valores, así como NOT, para proporcionar una herramienta eficaz para la creación de directivas.
Nota:
Al usar filtros de directiva de archivo, Contiene solo buscará palabras completas separadas por comas, puntos, guiones o espacios.
- Los espacios o guiones entre palabras funcionan como OR. Por ejemplo, si busca malware virus encontrará todos los archivos con malware o virus en el nombre, por lo que encontrará tanto malware-virus.exe como virus.exe.
- Si quiere buscar una cadena, escriba las palabras entre comillas. Esto funciona como AND. Por ejemplo, si busca "malware" "virus", se encontrará virus-malware-file.exe, pero no se encontrarán ni malwarevirusfile.exe ni malware.exe. En cambio, buscará la cadena exacta. Si busca "malware virus", no se encontrará "virus" ni "virus-malware".
Igual a buscará solo la cadena completa. Por ejemplo, si busca malware.exe, encontrará malware.exe, pero no malware.exe.txt.
Nivel de acceso: nivel de acceso de recursos compartidos (público, externo, interno o privado).
- Interno: cualquier archivo de los dominios internos que haya definido en Configuración general.
- Externo: cualquier archivo guardado en ubicaciones que no se encuentran dentro de los dominios internos que haya establecido.
- Compartido: los archivos que tienen un uso compartido de nivel por encima de privado. Compartido incluye:
Uso compartido interno: archivos compartidos dentro de los dominios internos.
Uso compartido externo: archivos compartidos en dominios que no aparecen en los dominios internos.
Público con un vínculo: archivos que pueden compartirse con cualquier persona a través de un vínculo.
Público: archivos que pueden encontrarse al realizar búsquedas en Internet.
Nota:
Defender for Cloud Apps controla los archivos compartidos en las aplicaciones de almacenamiento conectadas a usuarios externos de la forma siguiente:
- OneDrive: OneDrive asigna un usuario interno como propietario de cualquier archivo colocado en su OneDrive por un usuario externo. Dado que, a partir de ese momento, se considera que estos archivos pertenecen a la organización, Defender for Cloud Apps los examina y les aplica directivas, tal como hace con cualquier otro archivo de OneDrive.
- Google Drive: Google Drive considera que pertenecen al usuario externo y, debido a las restricciones legales relativas a los archivos y los datos que no pertenecen a la organización, Defender for Cloud Apps no tiene acceso a estos archivos.
- Box: dado que Box considera que los archivos de propiedad externa son información privada, los administradores globales de Box no pueden ver el contenido de los archivos. Por este motivo, Defender for Cloud Apps no tiene acceso a estos archivos.
- Dropbox: dado que Dropbox considera que los archivos de propiedad externa son información privada, los administradores globales de Dropbox no pueden ver el contenido de los archivos. Por este motivo, Defender for Cloud Apps no tiene acceso a estos archivos.
Aplicación: solo busca archivos dentro de estas aplicaciones.
Colaboradores: incluye o excluye colaboradores específicos o grupos.
Cualquiera del dominio: indica si algún usuario de este dominio tiene acceso directo al archivo.
Nota:
- Este filtro no admite archivos compartidos con un grupo, solo con usuarios específicos.
- En SharePoint y OneDrive, el filtro no admite archivos compartidos con un usuario específico a través de un vínculo compartido.
Toda la organización: si toda la organización tiene acceso al archivo.
Grupos: indica si un grupo específico tiene acceso al archivo. Se pueden importar grupos de Active Directory o de aplicaciones en la nube, o bien crearse manualmente en el servicio.
Nota:
- Este filtro se usa para buscar un grupo de colaboradores en su conjunto. No coincide con los miembros individuales del grupo.
Usuarios: conjunto determinado de usuarios que pueden tener acceso al archivo.
Creado: hora de creación del archivo. El filtro admite fechas antes o después, e intervalos de fechas.
Extensión: se centra en extensiones de archivo específicas. Por ejemplo, todos los archivos que son ejecutables (exe).
Nota:
- Este filtro distingue entre mayúsculas y minúsculas.
- Use la cláusula OR para aplicar el filtro con más de una variación de mayúsculas.
Id. de archivo: busque identificadores de archivo específicos. La identificación de archivos es una función avanzada que le permite realizar un seguimiento de determinados archivos de gran valor sin depender del propietario, la ubicación o el nombre.
Nombre de archivo: nombre de archivo o subcadena del nombre tal como se define en la aplicación en la nube. Por ejemplo, todos los archivos con una contraseña en su nombre.
Etiqueta de confidencialidad: busque archivos con un conjunto de etiquetas específicos. Las etiquetas son las siguientes:
Nota:
Si este filtro se usa en una directiva de archivo, la directiva solo se aplicará a los archivos de Microsoft Office y se saltará otros tipos de archivo.
- Microsoft Purview Information Protection: requiere la integración con Microsoft Purview Information Protection.
- Defender for Cloud Apps: proporciona más información sobre los archivos que analiza. Para cada archivo examinado por la DLP de Defender for Cloud Apps, puede saber si ha bloqueado la inspección porque el archivo está dañado o cifrado. Por ejemplo, puede configurar directivas para que le alerten y pongan en cuarentena archivos protegidos con contraseña que se comparten externamente.
- Cifrado con Azure RMS: archivos cuyo contenido no se ha inspeccionado porque tienen establecido un cifrado de Azure RMS.
- Cifrado con contraseña: archivos cuyo contenido no se ha inspeccionado porque el usuario los ha protegido con una contraseña.
- Archivo dañado: archivos cuyo contenido no se ha inspeccionado porque no se ha podido leer su contenido.
Tipo de archivo: Defender for Cloud Apps escanea el archivo para determinar si el tipo de archivo real coincide con el tipo MIME recibido (ver tabla) del servicio. Este examen se aplica a archivos pertinentes para el examen de datos (documentos, imágenes, presentaciones, hojas de cálculo, texto y archivos de almacenamiento o ZIP). El filtro funciona por tipo de archivo o carpeta. Por ejemplo, Todas las carpetas que son… o Todos los archivos de hoja de cálculo que son...
Tipo de MIME Tipo de archivo - application/vnd.openxmlformats-officedocument.wordprocessingml.document
- application/vnd.ms-word.document.macroEnabled.12
- application/msword
- application/vnd.oasis.opendocument.text
- application/vnd.stardivision.writer
- application/vnd.stardivision.writer-global
- application/vnd.sun.xml.writer
- application/vnd.stardivision.math
- application/vnd.stardivision.chart
- application/x-starwriter
- application/x-stardraw
- application/x-starmath
- application/x-starchart
- application/vnd.google-apps.document
- application/vnd.google-apps.kix
- application/pdf
- application/x-pdf
- application/vnd.box.webdoc
- application/vnd.box.boxnote
- application/vnd.jive.document
- text/rtf
- application/rtfDocument - application/vnd.oasis.opendocument.image
- application/vnd.google-apps.photo
- comienza con: image/Imagen - application/vnd.openxmlformats-officedocument.presentationml.presentation
- application/vnd.ms-powerpoint.template.macroEnabled.12
- application/mspowerpoint
- application/powerpoint
- application/vnd.ms-powerpoint
- application/x-mspowerpoint
- application/mspowerpoint
- application/vnd.ms-powerpoint
- application/vnd.oasis.opendocument.presentation
- application/vnd.sun.xml.impress
- application/vnd.stardivision.impress
- application/x-starimpress
- application/vnd.google-apps.presentationPresentación - application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
- application/vnd.ms-excel.sheet.macroEnabled.12
- application/excel
- application/vnd.ms-excel
- application/x-excel
- application/x-msexcel
- application/vnd.oasis.opendocument.spreadsheet
- application/vnd.sun.xml.calc
- application/vnd.stardivision.calc
- application/x-starcalc
- application/vnd.google-apps.spreadsheetHoja de cálculo - comienza con: text/ Texto El resto de los tipos MIME de archivo Otros En la papelera: excluye o incluye archivos que se encuentran en la carpeta de la papelera. Estos archivos siguen pudiendo compartirse y suponen un riesgo.
Nota:
Este filtro no se aplica a los archivos de SharePoint y OneDrive.
Última modificación: hora de modificación del archivo. El filtro admite fechas anteriores y posteriores, intervalos de fechas y expresiones de tiempo relativo. Por ejemplo, todos los archivos que no se han modificado en los últimos seis meses.
Directiva coincidente: archivos que coinciden gracias a una directiva de Defender for Cloud Apps.
Tipo MIME: tipo de archivo MIME. Acepta texto libre.
Propietario: incluye o excluye propietarios de archivos específicos. Por ejemplo, realizar el seguimiento de todos los archivos compartidos por rogue_employee_#100.
UO del propietario: incluye o excluye los propietarios de archivos que pertenecen a determinadas unidades organizativas. Por ejemplo, todos los archivos públicos excepto los archivos compartidos por EMEA_marketing. Solo se aplica a los archivos almacenados en Google Drive.
Carpeta principal: incluya o excluya una carpeta específica (no se aplica a las subcarpetas). Por ejemplo, todos los archivos compartidos públicamente excepto los archivos de esta carpeta.
Nota:
Defender for Cloud Apps solo detecta nuevas carpetas de SharePoint y OneDrive después de que se haya realizado alguna actividad de archivo en ellas.
En cuarentena: si el servicio pone en cuarentena el archivo. Por ejemplo, muéstrame todos los archivos que están en cuarentena.
Al crear una directiva, también puede establecerla para que se ejecute en determinados archivos estableciendo el filtro Se aplica a. Filtre por Todos los archivos, Carpetas seleccionadas (subcarpetas incluidas), o bien Todos los archivos excepto las carpetas seleccionadas. Después, seleccione los archivos o carpetas que son relevantes.
Autorización de archivos
Después de que Defender for Cloud Apps haya identificado archivos como la posibilidad de un riesgo de malware o DLP, se recomienda investigar los archivos. Si determina que los archivos son seguros, puede autorizarlos. La autorización de un archivo lo elimina del informe de detección de malware y suprime las coincidencias futuras con este archivo.
Para autorizar archivos
En el portal de Microsoft Defender, en Aplicaciones en la nube, seleccione Directivas ->Administración de directivas. Seleccione la pestaña Información de protección.
En la lista de directivas, en la fila en la que aparece la directiva que desencadenó la investigación, en la columna Recuento, seleccione el vínculo de coincidencias.
Sugerencia
Puede filtrar la lista de directivas por tipo. En la tabla siguiente se enumeran los tipos de filtro que se deben usar según el tipo de riesgo:
Tipo de riesgo Tipo de filtro DLP Directiva de archivo Malware Directiva de detección de malware En la lista de archivos con coincidencia, seleccione el ✓ en la fila del archivo que se está investigando para autorizarlo.
Uso del cajón de archivos
Puede ver más información sobre un archivo si hace clic en él en el registro de archivos. Al seleccionarlo, se abre el Cajón de archivos que le ofrece las siguientes acciones adicionales que puede realizar sobre el archivo:
- Dirección URL: le lleva a la ubicación del archivo.
- Identificadores de archivos: abre una ventana emergente con los datos sin procesar sobre el archivo, como su id. o las claves de cifrado, cuando estén disponibles.
- Propietario: vea la página de usuario del propietario del archivo.
- Directivas con coincidencias: vea una lista de las directivas que coinciden con el archivo.
- Etiquetas de confidencialidad: vea la lista de etiquetas de confidencialidad de Microsoft Purview Information Protection que se encuentra en este archivo. A continuación, podrá filtrar todos los archivos que coincidan con esta etiqueta.
Los campos del cajón de archivos proporcionan vínculos contextuales a archivos adicionales y exploran en profundidad lo que desea realizar desde el cajón directamente. Por ejemplo, si mueve el cursor junto al campo Propietario, puede usar el icono "Agregar a filtro" para agregar el propietario inmediatamente al filtro de la página actual. También puede utilizar el icono de engranaje que aparece para llegar directamente a la página de configuración necesaria para modificar la configuración de uno de los campos, como Etiquetas de confidencialidad.
Para obtener una lista de las acciones de gobernanza disponibles, consulte Acciones de gobernanza de archivos.
Pasos siguientes
Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.