Esercitazione: Proteggere i file con la quarantena dell'amministratore
I criteri file sono un ottimo strumento per rilevare le minacce ai criteri di protezione delle informazioni. È ad esempio possibile creare criteri file per individuare i punti in cui sono stati archiviati informazioni riservate, numeri di carta di credito e file ICAP di terze parti nel cloud.
In questa esercitazione si apprenderà come usare Microsoft Defender per il cloud App per rilevare i file indesiderati archiviati nel cloud che lasciano vulnerabili e intervenire immediatamente per arrestarli nelle tracce e bloccare i file che rappresentano una minaccia usando la quarantena amministratore per proteggere i file nel cloud, correggere i problemi e impedire perdite future.
Importante
A partire dal 1° settembre 2024, verrà deprecata la pagina File da Microsoft Defender per il cloud App. A questo punto, creare e modificare i criteri di Information Protection e trovare i file malware dalla pagina Gestione dei criteri delle app > > cloud. Per altre informazioni, vedere Criteri di file in app Microsoft Defender per il cloud.
Informazioni su come funziona la quarantena
Nota
- Per un elenco delle app che supportano la quarantena dell'amministratore, vedere l'elenco delle azioni di governance.
- I file etichettati da Defender per il cloud App non possono essere messi in quarantena.
- Defender per il cloud le azioni di quarantena dell'amministratore delle app sono limitate a 100 azioni al giorno.
- I siti di SharePoint rinominati direttamente o come parte della ridenominazione del dominio non possono essere usati come percorso della cartella per la quarantena dell'amministratore.
Quando un file corrisponde a un determinato criterio l'opzione Admin quarantine (Quarantena amministratore) diventa disponibile per il file.
Per mettere in quarantena il file eseguire una delle operazioni seguenti:
Applicare manualmente l'azione Admin quarantine (Quarantena amministratore):
Impostarla come azione di quarantena automatica nel criterio:
Quando viene applicata la quarantena amministratore, vengono eseguite le operazioni seguenti in background:
Il file originale viene spostato nella cartella impostata per la quarantena amministratore.
Il file originale viene eliminato.
Nel percorso del file originale viene caricato un file contrassegnato per la rimozione.
L'utente può accedere solo al file contrassegnato per la rimozione. Il file contiene le linee guida personalizzate del reparto ID e l'ID di correlazione da comunicare all'IT affinché rilasci il file.
Quando si riceve l'avviso che un file è stato messo in quarantena, passare a Criteri ->Gestione criteri. Selezionare quindi la scheda Information Protection . Nella riga con i criteri del file scegliere i tre puntini alla fine della riga e selezionare Visualizza tutte le corrispondenze. Verrà visualizzato il report delle corrispondenze, in cui è possibile visualizzare i file corrispondenti e in quarantena:
Dopo che un file viene messo in quarantena, eseguire i passaggi che seguono per risolvere la situazione di minaccia:
- Esaminare il file nella cartella della quarantena in SharePoint Online.
- È anche possibile esaminare i log di controllo per approfondire l'esame delle proprietà del file.
- Se il file è rispetto ai criteri aziendali, eseguire il processo di risposta agli eventi imprevisti dell'organizzazione.
- Se il file non risulta pericoloso, è possibile ripristinarlo dalla quarantena. A questo punto, il file originale viene rilasciato, vale a dire viene copiato nuovamente nel percorso originale, il file contrassegnato per la rimozione viene eliminato e l'utente può accedere al file originale.
Assicurarsi che i criteri funzionino correttamente. A questo punto, è possibile usare le azioni automatiche di governance nei criteri per impedire altre perdite di dati e applicare automaticamente la quarantena amministratore quando viene rilevata una corrispondenza con i criteri.
Nota
Quando si ripristina un file:
- Le condivisioni originali non vengono ripristinate e viene applicata l'eredità di cartella predefinita.
- Il file ripristinato contiene solo la versione più recente.
- La gestione dell'accesso al sito della cartella di quarantena è responsabilità del cliente.
Configurare la quarantena amministratore
Impostare i criteri file che rilevano le violazioni. Di seguito sono riportati tipi di criteri di esempio:
- Un criterio di sola metadati, ad esempio un'etichetta di riservatezza in SharePoint Online
- Un criterio DLP nativo, ad esempio un criterio che rileva i numeri di carta di credito
- Criteri di terze parti ICAP, ad esempio criteri che cercano Vontu
Impostare un percorso di quarantena:
Per Microsoft 365 SharePoint o OneDrive for Business, non è possibile inserire i file in quarantena amministratore come parte di un criterio fino a quando non viene configurato:
Per impostare le impostazioni di quarantena amministratore, nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In Information Protection scegliere Quarantena amministratore. Specificare un sito per il percorso della cartella di quarantena e una notifica utente che l'utente riceverà quando il file viene messo in quarantena.
Nota
Defender per il cloud App creerà una cartella di quarantena nel sito selezionato.
Nel caso di Box non è possibile personalizzare il percorso della cartella di quarantena e il messaggio all'utente. Il percorso della cartella è l'unità dell'amministratore che ha connesso Box ad Defender per il cloud Apps e il messaggio dell'utente è: questo file è stato messo in quarantena nell'unità dell'amministratore perché potrebbe violare i criteri di sicurezza e conformità dell'azienda. Per assistenza, contattare l'amministratore IT.
Passaggi successivi
Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.