Directivas de archivos en Microsoft Defender para las aplicaciones en la nube

  • Artículo

Las directivas de archivo permiten aplicar toda una serie de procesos automatizados que usan las API del proveedor en la nube. Las directivas se pueden establecer para proporcionar análisis de conformidad constantes, tareas de exhibición de documentos electrónicos legales, DLP para el contenido confidencial compartido públicamente y otros muchos casos de uso. Defender for Cloud Apps puede supervisar cualquier tipo de archivo en función de más de 20 filtros de metadatos (por ejemplo, nivel de acceso, tipo de archivo).

Para obtener una lista de los filtros de archivo que se pueden aplicar, consulte Filtros de archivo en Microsoft Defender for Cloud Apps.

Tipos de archivo compatibles

Los motores de Defender for Cloud Apps realizan la inspección de contenido mediante la extracción de texto de todos los tipos de archivo comunes (más de 100), incluidos Office, Open Office, archivos comprimidos, varios formatos de texto enriquecido, XML, HTML, etc.

Directivas

El motor combina tres aspectos en cada directiva:

  • Análisis de contenido basado en plantillas preestablecidas o expresiones personalizadas.

  • Filtros de contexto, incluidos roles de usuario, metadatos de archivos, nivel de uso compartido, integración de grupos organizativos, contexto de colaboración y otros atributos personalizables.

  • Acciones automatizadas para la gobernanza y la corrección.

    Nota:

    Solo se garantiza que se aplique la acción de gobernanza de la primera directiva desencadenada. Por ejemplo, si una directiva de archivo ya ha aplicado una etiqueta de confidencialidad a un archivo, una segunda directiva de archivo no puede aplicar otra etiqueta de confidencialidad.

Una vez habilitada, la directiva analizará continuamente su entorno en la nube e identificará los archivos que coincidan con los filtros de contenido y el contexto y, después, aplicará las acciones automatizadas solicitadas. Estas directivas detectarán y corregirán cualquier infracción de la información en reposo o al crear contenido. Las directivas se pueden supervisar con alertas en tiempo real o con informes generados por la consola.

Estos son algunos ejemplos de las directivas de archivo que se pueden crear:

  • Archivos compartidos públicamente: reciba una alerta sobre cualquier archivo en la nube que se comparta públicamente; para ello, seleccione todos los archivos cuyo nivel de uso compartido sea público.

  • El archivo compartido públicamente contiene el nombre de la organización: reciba una alerta sobre cualquier archivo compartido públicamente que contenga el nombre de la organización. Seleccione archivos con un nombre de archivo que contenga el nombre de su organización y que se compartan públicamente.

  • Sharing with external domains (Uso compartido con dominios externos): reciba una alerta sobre cualquier archivo compartido con cuentas propiedad de determinados dominios externos. Por ejemplo, archivos compartidos con el dominio de un competidor. Seleccione el dominio externo con el que desea limitar el uso compartido.

  • Quarantine shared files not modified during the last period (Archivos compartidos en cuarentena no modificados durante el último período): reciba una alerta sobre los archivos compartidos que nadie haya modificado recientemente, para ponerlos en cuarentena u optar por activar una acción automatizada. Excluya todos los archivos privados que no se modificaron durante un intervalo de fechas especificado. En Google Workspace, puede optar por poner en cuarentena estos archivos mediante la casilla "Archivo de cuarentena" de la página de creación de directivas.

  • Sharing with unauthorized users (Uso compartido con usuarios no autorizados): reciba una alerta sobre los archivos que se comparten con un grupo de usuarios no autorizado de la organización. Seleccione los usuarios para los que no se ha autorizado el uso compartido.

  • Sensitive file extension (Extensión de archivo confidencial): reciba una alerta sobre los archivos con extensiones específicas que puedan tener un nivel de exposición muy elevado. Seleccione la extensión específica (por ejemplo, crt para certificados) o el nombre de archivo y excluya esos archivos con el nivel de uso compartido privado.

Nota:

Tiene un límite de 50 directivas de archivo en Defender for Cloud Apps.

Crear una nueva directiva de archivo

Haga lo siguiente para crear una directiva de archivo:

  1. En el portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. Seleccione la pestaña Información de protección.

  2. Seleccione Crear directiva y, después, Directiva de archivo.

    Create a Information Protection policy.

  3. Asigne un nombre y una descripción a la directiva. Si quiere, puede basarla en una plantilla. Para obtener más información sobre las plantillas de directiva, vea Controlar aplicaciones en la nube con directivas.

  4. Asigne a la directiva una gravedad. Si ha establecido Defender for Cloud Apps para que le envíe notificaciones sobre coincidencias de directiva para un nivel de gravedad de directiva específico, este nivel se usa para determinar si las coincidencias de la directiva desencadenan una notificación.

  5. Dentro de Categoría, vincule la directiva al tipo de riesgo más adecuado. Este campo es meramente informativo y solo sirve para encontrar más fácilmente directivas específicas y las consiguientes alertas, según el tipo de riesgo. Puede que el riesgo ya esté seleccionado previamente según la categoría para la que eligió crear la directiva. Las directivas de archivo están configuradas como DLP de forma predeterminada.

  6. Cree un filtro para los archivos sobre los que esta directiva actuará para definir qué aplicaciones activarán esta directiva. Reducir los filtros de directiva hasta que llegue a un conjunto preciso de archivos sobre los que desea actuar. Sea lo más restrictivo posible para evitar falsos positivos. Por ejemplo, si quiere quitar permisos públicos, agregue el filtro Público; si lo que quiere es quitar un usuario externo, use el filtro "Externo", etc.

    Nota:

    Al usar filtros de directiva, Contiene solo buscará palabras completas separadas por comas, puntos, espacios o caracteres de subrayado. Por ejemplo, si busca malware o virus, encontrará virus_malware_file.exe, pero no encontrará malwarevirusfile.exe. Si busca malware.exe, encontrará TODOS los archivos que contengan malware o exe en el nombre de archivo, mientras que si busca "malware.exe" (con comillas) solo encontrará los archivos que contengan exactamente "malware.exe". Es igual a solo buscará la cadena completa. Por ejemplo, si busca malware.exe, encontrará malware.exe pero no malware.exe.txt.

    Para obtener más información sobre los filtros de directivas de archivo, vea Filtros de archivo en Microsoft Defender for Cloud Apps.

  7. En el primer filtro Aplicar a, seleccione todos los archivos excepto las carpetas seleccionadas o las carpetas seleccionadas para Box, SharePoint, Dropbox o OneDrive, donde puede aplicar la directiva en todos los archivos de la aplicación o en carpetas específicas. Se le redirigirá para que inicie sesión en la aplicación en la nube y, a continuación, agregue las carpetas pertinentes.

  8. En el segundo filtro Aplicar a, seleccione todos los propietarios de archivos, los propietarios de archivos de los grupos seleccionados o todos los propietarios de archivos excepto los grupos seleccionados. Después, seleccione los grupos de usuarios pertinentes para determinar qué usuarios y grupos deben incluirse en la directiva.

  9. Seleccione el método de inspección de contenido. Puede seleccionar un DLP integrado o uno de los Servicios de clasificación de datos. Se recomienda usar los Servicios de clasificación de datos.

    Una vez habilitada la inspección de contenido, puede optar entre usar expresiones preestablecidas o buscar otras expresiones personalizadas.

    Además, puede especificar una expresión regular para excluir un archivo de los resultados. Esta opción es muy útil si tiene un estándar de palabra clave de clasificación interna que desea excluir de la directiva.

    También puede decidir cuál es el número mínimo de infracciones de contenido que debe producirse antes de que el archivo se considere una infracción. Por ejemplo, puede elegir 10 si quiere recibir alertas sobre archivos con al menos 10 números de tarjeta de crédito que se encuentran dentro de su contenido.

    Cuando el contenido coincide con la expresión seleccionada, el texto de infracción se reemplaza por " X" caracteres. De forma predeterminada, las infracciones se enmascaran y se muestran en su contexto mostrando 100 caracteres antes y después de la infracción. Los números en el contexto de la expresión se reemplazan por "#" y nunca se almacenan en Defender for Cloud Apps. Puede seleccionar la opción de quitar la máscara de los últimos cuatro caracteres de una infracción para mostrarlos. Es necesario establecer qué tipos de datos busca la expresión regular: contenido, metadatos o nombre de archivo. De forma predeterminada, busca el contenido y los metadatos.

  10. Elija las acciones de Gobernanza que quiera que Defender for Cloud Apps realice cuando se detecte una coincidencia.

  11. Una vez creada la directiva, puede verla filtrando por el tipo Directiva de archivo. Una directiva siempre se puede modificar. Del mismo modo, se pueden calibrar sus filtros o cambiar las acciones automatizadas. La directiva se habilita automáticamente tras crearse e iniciará inmediatamente el análisis de los archivos en la nube. Tenga especial cuidado al definir acciones de gobernanza, ya que podrían provocar la pérdida irreversible de permisos de acceso a los archivos. Se recomienda restringir los filtros para representar exactamente los archivos en los que quiere actuar por medio de varios campos de búsqueda. Cuanto más restringidos sean los filtros, mejor. Para obtener orientación, puede utilizar el botón Editar y obtener vista previa de resultados junto a los filtros.

    File policy edit and preview results.

  12. Para ver coincidencias con la directiva de archivo, es decir, archivos sospechosos de infringir la directiva, vaya a Directivas ->Administración de directivas. Filtre los resultados para mostrar solo las directivas de archivo con el filtro Tipo en la parte superior. Para obtener más información sobre las coincidencias de cada directiva, en la columna Recuento, seleccione el número de coincidencias de una directiva. También puede seleccionar los tres puntos al final de la fila de una directiva y elegir Ver todas las coincidencias. Se abrirá el informe de directiva de archivo. Seleccione la pestaña Coincidencia ahora para ver los archivos que coinciden actualmente con la directiva. Seleccione la pestaña Historial para ver el historial de los seis meses anteriores con los archivos que coincidieron con la directiva.

Procedimientos recomendados sobre directivas de archivo

  1. Evite restablecer la directiva de archivo (mediante la casilla Restablecer resultados y volver a aplicar acciones) en entornos de producción a menos que sea absolutamente necesario, ya que, al hacerlo, se iniciará un examen completo de los archivos cubiertos por la directiva, lo que puede tener un impacto negativo en su rendimiento.

  2. Para aplicar etiquetas a archivos en una carpeta principal específica y sus subcarpetas, use la opción Aplicar a ->Carpetas seleccionadas . A continuación, agregue cada una de las carpetas principales.

  3. Para aplicar etiquetas a archivos solo en una carpeta específica (sin las subcarpetas), use el filtro de directiva de archivo Carpeta principal con el operador de igualdad.

  4. La directiva de archivo es más rápida cuando se usan criterios de filtrado restrictivos (en lugar de criterios amplios).

  5. Consolide varias directivas de archivo para el mismo servicio (como SharePoint, OneDrive, Box, etc.) en una sola directiva.

  6. Cuando habilite la supervisión de archivos (desde la página Configuración), cree al menos una directiva de archivo. Si no existe ninguna directiva de archivo o se deshabilita durante siete días consecutivos, la supervisión de archivos se deshabilita automáticamente.

Referencia de directiva de archivo

En esta sección se proporciona información de referencia sobre directivas, se ofrecen explicaciones sobre cada tipo de directiva y se detallan los campos que se pueden configurar para cada directiva.

Una directiva de archivo es una directiva basada en API que permite controlar contenido en la nube de la organización. Para ello, se tienen en cuenta más de 20 filtros de metadatos de archivo (incluido el nivel de propietario y de uso compartido) y los resultados de inspección de contenido. En función de los resultados de la directiva, se pueden aplicar acciones de gobernanza. El motor de inspección de contenido puede ampliarse mediante motores de DLP de terceros y soluciones antimalware.

Cada directiva se compone de las siguientes partes:

  • Filtros de archivo: permiten crear condiciones pormenorizadas basadas en metadatos.

  • Inspección del contenido: permite restringir la directiva en función de los resultados del motor DLP. Puede incluir una expresión personalizada o una expresión preestablecida. Se pueden establecer exclusiones y puede elegir el número de coincidencias. También puede usar el anonimato para enmascarar el nombre de usuario.

  • Acciones: la directiva proporciona un conjunto de acciones de gobernanza que se pueden aplicar automáticamente cuando se detectan infracciones. Estas acciones se dividen en acciones de colaboración, de seguridad y de investigación.

  • Extensiones: es posible realizar una inspección del contenido mediante motores de terceros para DLP mejorada o funcionalidades antimalware.

Consultas de archivos

Para que la investigación sea incluso más sencilla, ahora puede crear consultas personalizadas y guardarlas para usar más adelante.

  1. En la página Archivos, use los filtros como se ha descrito anteriormente para explorar las aplicaciones en profundidad según sea necesario.

  2. Una vez que haya terminado de compilar la consulta, seleccione el botón Guardar como situado sobre los filtros.

  3. En la ventana emergente Guardar consulta, escriba el nombre de la consulta.

  4. Para volver a usar esta consulta en el futuro, en Consultas, desplácese hacia abajo hasta Consultas guardadas y seleccione la consulta.

Visualización de los resultados de las directivas de archivo

Puede ir al Centro de directivas para revisar las infracciones de la directiva de archivo.

  1. En el portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas y, a continuación, seleccione la pestaña Protección de información.

  2. Puede ver las infracciones de cada directiva de archivo seleccionando las coincidencias.
    PCI matches.

  3. Puede seleccionar el propio archivo para obtener información sobre los archivos.
    PCI content matches.

  4. Por ejemplo, puede seleccionar Colaboradores para ver quién tiene acceso a este archivo y puede seleccionar Coincidencias para ver los números de seguridad social. Content matches credit card numbers.

Seminario web de protección de la información

Pasos siguientes

Prácticas recomendadas para proteger su organización

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.