Menyelidiki file dengan aplikasi Microsoft Defender untuk Cloud
Untuk memberikan perlindungan data, Microsoft Defender untuk Cloud Apps memberi Anda visibilitas ke semua file dari aplikasi yang terhubung. Setelah Anda menyambungkan aplikasi Microsoft Defender untuk Cloud ke aplikasi menggunakan Konektor aplikasi, Microsoft Defender untuk Cloud Apps memindai semua file, misalnya semua file yang disimpan di OneDrive dan Salesforce. Kemudian, Defender untuk Cloud Apps menyamarkan ulang setiap file setiap kali dimodifikasi - modifikasinya dapat berupa konten, metadata, atau izin berbagi. Waktu pemindaian bergantung pada jumlah file yang disimpan di aplikasi Anda. Anda juga dapat menggunakan halaman File untuk memfilter file untuk menyelidiki jenis data apa yang disimpan di aplikasi cloud Anda.
Penting
Mulai 1 September 2024, kami akan menghentikan halaman File dari aplikasi Microsoft Defender untuk Cloud. Pada saat itu, buat dan ubah kebijakan Perlindungan Informasi dan temukan file malware dari halaman Manajemen Kebijakan Kebijakan > aplikasi > Cloud. Untuk informasi selengkapnya, lihat Kebijakan file di aplikasi Microsoft Defender untuk Cloud.
Mengaktifkan pemantauan file
Untuk mengaktifkan pemantauan file untuk Defender untuk Cloud Apps, pertama-tama aktifkan pemantauan file di area Pengaturan. Di portal Pertahanan Microsoft, pilih Pengaturan>File>Perlindungan>Informasi Aplikasi>Cloud Aktifkan pemantauan>file Simpan.
- Jika tidak ada kebijakan file aktif, tujuh hari setelah waktu keterlibatan halaman file terakhir, pemantauan file secara otomatis dinonaktifkan.
- Jika tidak ada kebijakan file aktif, 35 hari setelah waktu keterlibatan halaman file terakhir, Defender untuk Cloud Apps mulai menghapus data apa pun yang dikelola oleh aplikasi Defender untuk Cloud tentang file yang disimpan.
Contoh filter file
Misalnya, gunakan halaman File untuk mengamankan file yang dibagikan secara eksternal berlabel Rahasia, sebagai berikut:
Setelah Anda menyambungkan aplikasi ke Defender untuk Cloud Apps, integrasikan dengan Perlindungan Informasi Microsoft Purview. Kemudian, di halaman File, filter untuk file berlabel Rahasia dan kecualikan domain Anda di filter Kolaborator. Jika Anda melihat bahwa ada file rahasia yang dibagikan di luar organisasi, Anda dapat membuat kebijakan file untuk mendeteksinya. Anda dapat menerapkan tindakan tata kelola otomatis ke file-file ini, seperti Hapus kolaborator eksternal dan Kirim hash pencocokan kebijakan ke pemilik file untuk mencegah kehilangan data ke organisasi Anda.
Berikut adalah contoh lain tentang bagaimana Anda dapat menggunakan halaman File . Pastikan Anda tidak ada orang di organisasi Anda yang berbagi file secara publik atau eksternal yang belum dimodifikasi dalam enam bulan terakhir:
Sambungkan aplikasi ke aplikasi Defender untuk Cloud dan buka halaman File. Filter untuk file yang tingkat aksesnya adalah Eksternal atau Publik dan atur Tanggal terakhir diubah menjadi enam bulan yang lalu. Buat kebijakan file yang mendeteksi file publik kedaluarsa ini dengan memilih Kebijakan baru dari pencarian. Terapkan tindakan tata kelola otomatis kepada mereka, seperti Hapus pengguna eksternal, untuk mencegah kehilangan data ke organisasi Anda.
Filter dasar memberi Anda alat hebat untuk mulai memfilter file Anda.
Untuk menelusuri file yang lebih spesifik, Anda dapat memperluas filter dasar dengan memilih Filter tingkat lanjut.
Filter file
Defender untuk Cloud Apps dapat memantau jenis file apa pun berdasarkan lebih dari 20 filter metadata (misalnya, tingkat akses, jenis file).
Aplikasi Defender untuk Cloud bawaan mesin DLP melakukan inspeksi konten dengan mengekstrak teks dari jenis file umum. Beberapa jenis file yang disertakan adalah file PDF, Office, RTF, HTML, dan file kode.
Di bawah ini adalah daftar filter file yang dapat diterapkan. Untuk memberi Anda alat yang kuat untuk pembuatan kebijakan, sebagian besar filter mendukung beberapa nilai dan NOT.
Catatan
Saat menggunakan filter kebijakan file, Berisi hanya akan mencari kata lengkap - dipisahkan oleh koma, titik, tanda hubung, atau spasi untuk dicari.
- Spasi atau tanda hubung antara kata berfungsi seperti OR. Misalnya, jika Anda mencari virus malware, ia akan menemukan semua file dengan malware atau virus dalam namanya, sehingga akan menemukan malware-virus.exe dan virus.exe.
- Jika Anda ingin mencari string, sertakan kata-kata dalam tanda kutip. Fungsi ini seperti AND. Misalnya, jika Anda mencari "malware" "virus", itu akan menemukan virus-malware-file.exe tetapi tidak akan menemukan malwarevirusfile.exe dan tidak akan menemukan malware.exe. Namun, ia akan mencari string yang tepat. Jika Anda mencari "virus malware", itu tidak akan menemukan "virus" atau "virus-malware".
Sama dengan hanya akan mencari string lengkap. Misalnya, jika Anda mencari malware.exe akan menemukan malware.exe tetapi tidak malware.exe.txt.
Tingkat akses – Tingkat akses berbagi; publik, eksternal, internal, atau privat.
- Internal - File apa pun dalam domain Internal yang Anda tetapkan di Penyiapan umum.
- Eksternal - File apa pun yang disimpan di lokasi yang tidak berada dalam domain internal yang Anda tetapkan.
- Bersama - File yang memiliki tingkat berbagi di atas privat. Bersama meliputi:
Berbagi internal - File yang dibagikan dalam domain internal Anda.
Berbagi eksternal - File yang dibagikan di domain yang tidak tercantum di domain internal Anda.
Publik dengan tautan - File yang dapat dibagikan dengan siapa saja melalui tautan.
Publik - File yang dapat ditemukan dengan mencari di Internet.
Catatan
File yang dibagikan ke dalam aplikasi penyimpanan yang terhubung oleh pengguna eksternal ditangani sebagai berikut oleh Defender untuk Cloud Apps:
- OneDrive: OneDrive menetapkan pengguna internal sebagai pemilik file apa pun yang ditempatkan ke OneDrive Anda oleh pengguna eksternal. Karena file-file ini kemudian dianggap dimiliki oleh organisasi Anda, Defender untuk Cloud Apps memindai file-file ini dan menerapkan kebijakan seperti yang dilakukannya ke file lain di OneDrive Anda.
- Google Drive: Google Drive menganggap ini sebagai milik pengguna eksternal, dan karena pembatasan hukum pada file dan data yang tidak dimiliki organisasi Anda, Defender untuk Cloud Apps tidak memiliki akses ke file-file ini.
- Kotak: Karena Box menganggap file yang dimiliki secara eksternal sebagai informasi privat, Admin Global Box tidak dapat melihat konten file. Untuk alasan ini, Defender untuk Cloud Apps tidak memiliki akses ke file-file ini.
- Dropbox: Karena Dropbox menganggap file yang dimiliki secara eksternal sebagai informasi pribadi, Dropbox Global Admins tidak dapat melihat konten file. Untuk alasan ini, Defender untuk Cloud Apps tidak memiliki akses ke file-file ini.
Aplikasi – Hanya cari file dalam aplikasi ini.
Kolaborator – Sertakan/kecualikan kolaborator atau grup tertentu.
Apa pun dari domain - Jika ada pengguna dari domain ini yang memiliki akses langsung ke file.
Catatan
- Filter ini tidak mendukung file yang dibagikan dengan grup, hanya dengan pengguna tertentu.
- Untuk SharePoint dan OneDrive, filter tidak mendukung file yang dibagikan dengan pengguna tertentu melalui tautan bersama.
Seluruh organisasi – Jika seluruh organisasi memiliki akses ke file.
Grup – Jika grup tertentu memiliki akses ke file. Grup dapat diimpor dari Direktori Aktif, aplikasi cloud, atau dibuat secara manual dalam layanan.
Catatan
- Filter ini digunakan untuk mencari grup kolaborator secara keseluruhan. Ini tidak cocok untuk anggota grup individual.
Pengguna – Sekumpulan pengguna tertentu yang mungkin memiliki akses ke file.
Dibuat – Waktu pembuatan file. Filter mendukung tanggal sebelum/sesudah dan rentang tanggal.
Ekstensi – Fokus pada ekstensi file tertentu. Misalnya, semua file yang dapat dieksekusi (*.exe).
Catatan
- Filter ini peka huruf besar/kecil.
- Gunakan klausa OR untuk menerapkan filter pada lebih dari satu variasi kapitalisasi.
ID File – Cari ID file tertentu. ID File adalah fitur lanjutan yang memungkinkan Anda melacak file bernilai tinggi tertentu tanpa dependensi pada pemilik, lokasi, atau nama.
Nama file – Nama file atau sub string nama seperti yang didefinisikan dalam aplikasi cloud. Misalnya, semua file dengan kata sandi atas namanya.
Label sensitivitas - Cari file dengan set label tertentu. Labelnya adalah:
Catatan
Jika filter ini digunakan dalam kebijakan file, kebijakan hanya akan berlaku untuk file Microsoft Office, dan akan mengabaikan jenis file lainnya.
- Perlindungan Informasi Microsoft Purview - Memerlukan integrasi dengan Perlindungan Informasi Microsoft Purview.
- Defender untuk Cloud Apps - Memberikan lebih banyak wawasan tentang file yang dipindainya. Untuk setiap file yang dipindai oleh Defender untuk Cloud Apps DLP, Anda dapat mengetahui apakah inspeksi diblokir karena file dienkripsi atau rusak. Misalnya, Anda dapat menyiapkan kebijakan untuk memperingatkan dan mengkarantina file yang dilindungi kata sandi yang dibagikan secara eksternal.
- Azure RMS dienkripsi – File yang kontennya tidak diperiksa karena memiliki set enkripsi Azure RMS.
- Kata sandi dienkripsi - File yang kontennya tidak diperiksa karena dilindungi kata sandi oleh pengguna.
- File rusak – File yang kontennya tidak diperiksa karena kontennya tidak dapat dibaca.
Jenis file – Defender untuk Cloud Apps memindai file untuk menentukan apakah jenis file yang benar cocok dengan jenis MIME yang diterima (lihat tabel) dari layanan. Pemindaian ini untuk file yang relevan untuk pemindaian data (dokumen, gambar, presentasi, spreadsheet, teks, dan file zip/arsip). Filter berfungsi per jenis file/folder. Misalnya, Semua folder yang ... atau Semua file spreadsheet yang...
Jenis MIME Jenis file - application/vnd.openxmlformats-officedocument.wordprocessingml.document
- application/vnd.ms-word.document.macroEnabled.12
- aplikasi/msword
- application/vnd.oasis.opendocument.text
- application/vnd.stardivision.writer
- application/vnd.stardivision.writer-global
- application/vnd.sun.xml.writer
- application/vnd.stardivision.math
- application/vnd.stardivision.chart
- application/x-starwriter
- application/x-stardraw
- application/x-starmath
- application/x-starchart
- application/vnd.google-apps.document
- application/vnd.google-apps.kix
- aplikasi/pdf
- application/x-pdf
- application/vnd.box.webdoc
- application/vnd.box.boxnote
- application/vnd.jive.document
- teks/rtf
- aplikasi/rtfDokumen - application/vnd.oasis.opendocument.image
- application/vnd.google-apps.photo
- dimulai dengan: image/Gambar - application/vnd.openxmlformats-officedocument.presentationml.presentation
- application/vnd.ms-powerpoint.template.macroEnabled.12
- application/mspowerpoint
- aplikasi/powerpoint
- application/vnd.ms-powerpoint
- application/x-mspowerpoint
- application/mspowerpoint
- application/vnd.ms-powerpoint
- application/vnd.oasis.opendocument.presentation
- application/vnd.sun.xml.impress
- application/vnd.stardivision.impress
- application/x-starimpress
- application/vnd.google-apps.presentationPresentasi - application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
- application/vnd.ms-excel.sheet.macroEnabled.12
- aplikasi/excel
- application/vnd.ms-excel
- application/x-excel
- application/x-msexcel
- application/vnd.oasis.opendocument.spreadsheet
- application/vnd.sun.xml.calc
- application/vnd.stardivision.calc
- application/x-starcalc
- application/vnd.google-apps.spreadsheetSpreadsheet - dimulai dengan: teks/ Teks Semua jenis MIME file lainnya Lainnya Di tempat sampah – Kecualikan/sertakan file di folder sampah. File-file ini mungkin masih dibagikan dan menimbulkan risiko.
Catatan
Filter ini tidak berlaku untuk file di SharePoint dan OneDrive.
Terakhir dimodifikasi – Waktu modifikasi file. Filter mendukung sebelum dan sesudah tanggal, rentang tanggal, dan ekspresi waktu relatif. Misalnya, semua file yang tidak dimodifikasi dalam enam bulan terakhir.
Kebijakan yang cocok - File yang cocok dengan kebijakan aplikasi Defender untuk Cloud aktif.
Jenis MIME – Pemeriksaan jenis MIME file. Ini menerima teks gratis.
Pemilik -Sertakan/kecualikan pemilik file tertentu. Misalnya, lacak semua file yang dibagikan oleh rogue_employee_#100.
OU Pemilik – Sertakan atau kecualikan pemilik file milik unit organisasi tertentu. Misalnya, semua file publik kecuali file yang dibagikan oleh EMEA_marketing. Hanya berlaku untuk file yang disimpan di Google Drive.
Folder induk – Sertakan atau kecualikan folder tertentu (tidak berlaku untuk subfolder). Misalnya, semua file yang dibagikan secara publik kecuali untuk file dalam folder ini.
Catatan
Defender untuk Cloud Apps hanya mendeteksi folder SharePoint dan OneDrive baru setelah beberapa aktivitas file dilakukan di dalamnya.
Dikarantina – Jika file dikarantina oleh layanan. Misalnya, tunjukkan semua file yang dikarantina.
Saat membuat kebijakan, Anda juga dapat mengaturnya untuk dijalankan pada file tertentu dengan mengatur filter Terapkan ke . Filter ke semua file, folder terpilih (subfolder disertakan), atau semua file tidak termasuk folder yang dipilih. Kemudian pilih file atau folder yang relevan.
Mengotorisasi file
Setelah Defender untuk Cloud Apps mengidentifikasi file sebagai menimbulkan malware atau risiko DLP, kami sarankan Anda menyelidiki file. Jika Anda menentukan file aman, Anda dapat mengotorisasinya. Mengotorisasi file menghapusnya dari laporan deteksi malware dan menekan kecocokan di masa mendatang pada file ini.
Untuk mengotorisasi file
Di Portal Pertahanan Microsoft, di bawah Aplikasi Cloud, pilih Kebijakan ->Manajemen kebijakan. Pilih tab Perlindungan informasi.
Dalam daftar kebijakan, pada baris tempat kebijakan yang memicu investigasi muncul, di kolom Hitung , pilih tautan yang cocok .
Tip
Anda dapat memfilter daftar kebijakan menurut jenis. Tabel berikut ini mencantumkan, per jenis risiko, jenis filter mana yang akan digunakan:
Jenis risiko Jenis filter DLP Kebijakan file Malware Kebijakan deteksi malware Dalam daftar file yang cocok, pada baris tempat file di bawah investigasi muncul, pilih ✓ untuk Mengotorisasi.
Bekerja dengan laci File
Anda dapat melihat informasi selengkapnya tentang setiap file, dengan memilih file itu sendiri di log file. Memilihnya akan membuka laci File yang menyediakan tindakan tambahan berikut yang dapat Anda lakukan pada file:
- URL - Membawa Anda ke lokasi file.
- Pengidentifikasi file - Membuka pop-up dengan detail data mentah tentang file termasuk ID file dan kunci enkripsi saat tersedia.
- Pemilik - Lihat halaman pengguna untuk pemilik file ini.
- Kebijakan yang cocok - Lihat daftar kebijakan yang cocok dengan file.
- Label sensitivitas - Lihat daftar label sensitivitas dari Perlindungan Informasi Microsoft Purview yang ditemukan dalam file ini. Anda kemudian dapat memfilter menurut semua file yang cocok dengan label ini.
Bidang di laci File menyediakan tautan kontekstual ke file tambahan dan telusuri paling detail yang mungkin ingin Anda lakukan dari laci secara langsung. Misalnya, jika Anda memindahkan kursor di samping bidang Pemilik , Anda dapat menggunakan ikon "tambahkan ke filter" untuk segera menambahkan pemilik ke filter halaman saat ini. Anda juga dapat menggunakan ikon cog pengaturan yang muncul untuk tiba langsung di halaman pengaturan yang diperlukan untuk memodifikasi konfigurasi salah satu bidang, seperti label Sensitivitas.
Untuk daftar tindakan tata kelola yang tersedia, lihat Tindakan tata kelola file.
Langkah berikutnya
Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.