Bestandsbeleid in Microsoft Defender voor Cloud Apps

  • Artikel

Met bestandsbeleid kunt u een breed scala aan geautomatiseerde processen afdwingen met behulp van de API's van de cloudprovider. Beleidsregels kunnen worden ingesteld voor continue nalevingsscans, juridische eDiscovery-taken, DLP voor gevoelige inhoud die openbaar wordt gedeeld en nog veel meer use cases. Defender voor Cloud Apps kunnen elk bestandstype bewaken op basis van meer dan 20 metagegevensfilters (bijvoorbeeld toegangsniveau, bestandstype).

Zie Bestandsfilters in Microsoft Defender voor Cloud Apps voor een lijst met bestandsfilters die kunnen worden toegepast.

Ondersteunde bestandstypen

De Defender voor Cloud-apps-engines voeren inhoudsinspectie uit door tekst te extraheren uit alle algemene bestandstypen (100+), waaronder Office, Open Office, gecomprimeerde bestanden, verschillende rtf-indelingen, XML, HTML en meer.

Beleidsregels

De engine combineert drie aspecten onder elk beleid:

  • Scan van de inhoud op basis van vooraf gedefinieerde sjablonen of aangepaste expressies.

  • Contextfilters, waaronder gebruikersrollen, metagegevens van bestanden, deelniveau, integratie van organisatiegroepen, samenwerkingscontext en aanvullende aanpasbare kenmerken.

  • Automatische acties voor beheer en herstel.

    Notitie

    Alleen de governance-actie van het eerste geactiveerde beleid wordt gegarandeerd. Als een bestandsbeleid bijvoorbeeld al een vertrouwelijkheidslabel op een bestand heeft toegepast, kan een tweede bestandsbeleid er geen ander vertrouwelijkheidslabel op toepassen.

Zodra dit is ingeschakeld, scant het beleid continu uw cloudomgeving en identificeert het bestanden die overeenkomen met de inhoud en contextfilters en past u de aangevraagde geautomatiseerde acties toe. Deze beleidsregels detecteren en verhelpen eventuele schendingen voor at-rest-informatie of wanneer nieuwe inhoud wordt gemaakt. Beleidsregels kunnen worden bewaakt met behulp van realtime waarschuwingen of met behulp van door de console gegenereerde rapporten.

Hier volgen enkele voorbeelden van beleidsregels voor bestanden die kunnen worden gemaakt:

  • Openbaar gedeelde bestanden : ontvang een waarschuwing over een bestand in uw cloud dat openbaar wordt gedeeld door alle bestanden te selecteren waarvan het niveau voor delen openbaar is.

  • Openbaar gedeelde bestandsnaam bevat de naam van de organisatie: ontvang een waarschuwing over een bestand dat de naam van uw organisatie bevat en openbaar wordt gedeeld. Selecteer bestanden die de naam van uw organisatie bevatten en die openbaar worden gedeeld.

  • Delen met externe domeinen : ontvang een waarschuwing over bestanden die worden gedeeld met accounts die eigendom zijn van specifieke externe domeinen. Bijvoorbeeld bestanden die worden gedeeld met het domein van een concurrent. Selecteer het externe domein waarmee u het delen wilt beperken.

  • Gedeelde bestanden in quarantaine plaatsen die niet zijn gewijzigd tijdens de laatste periode : ontvang een waarschuwing over gedeelde bestanden die niemand onlangs heeft gewijzigd, om ze in quarantaine te plaatsen of ervoor te kiezen om een geautomatiseerde actie in te schakelen. Sluit alle persoonlijke bestanden uit die niet zijn gewijzigd tijdens een opgegeven datumbereik. In Google Workspace kunt u ervoor kiezen om deze bestanden in quarantaine te plaatsen met behulp van het selectievakje Quarantainebestand op de pagina voor het maken van beleid.

  • Delen met niet-geautoriseerde gebruikers : ontvang een waarschuwing over bestanden die zijn gedeeld met een niet-geautoriseerde groep gebruikers in uw organisatie. Selecteer de gebruikers voor wie delen niet gemachtigd is.

  • Gevoelige bestandsextensie : ontvang een waarschuwing over bestanden met specifieke extensies die mogelijk zeer beschikbaar zijn. Selecteer de specifieke extensie (bijvoorbeeld crt voor certificaten) of bestandsnaam en sluit deze bestanden uit met het niveau voor privé delen.

Notitie

U bent beperkt tot 50 bestandsbeleidsregels in Defender voor Cloud Apps.

Een nieuw bestandsbeleid maken

Voer de volgende procedure uit om een nieuw bestandsbeleid te maken:

  1. Ga in de Microsoft Defender-portal onder Cloud-apps naar Beleid -> Beleidsbeheer. Selecteer het tabblad Information Protection .

  2. Selecteer Beleid maken en selecteer Bestandsbeleid.

    Create a Information Protection policy.

  3. Geef uw beleid een naam en beschrijving, wat u indien gewenst kunt baseren op een sjabloon. Voor meer informatie over beleidssjablonen, bekijk Cloud-apps beheren met beleidsregels.

  4. Geef een ernstniveau van beleid op voor uw beleid. Als u Defender voor Cloud Apps hebt ingesteld om u meldingen te sturen over beleidsovereenkomsten voor een specifiek ernstniveau van het beleid, wordt dit niveau gebruikt om te bepalen of de overeenkomsten van het beleid een melding activeren.

  5. Binnen Categorie koppelt u het beleid aan het meest geschikte type risico. Dit veld is alleen informatief en hiermee kunt u later zoeken naar specifieke beleidsregels en waarschuwingen, op basis van het type risico. Het risico is mogelijk al vooraf geselecteerd volgens de categorie die u hebt gekozen om het beleid te maken. Beleidsregels voor bestanden zijn standaard ingesteld op DLP.

  6. Maak een filter voor de bestanden waarop dit beleid wordt toegepast om in te stellen welke gedetecteerde apps dit beleid activeren. Verfijn de beleidsfilters totdat u een nauwkeurige set bestanden bereikt waarop u wilt reageren. Wees zo beperkend mogelijk om fout-positieven te voorkomen. Als u bijvoorbeeld openbare machtigingen wilt verwijderen, moet u het openbare filter toevoegen als u een externe gebruiker wilt verwijderen, gebruikt u het filter Extern enzovoort.

    Notitie

    Wanneer u de beleidsfilters gebruikt, wordt alleen gezocht naar volledige woorden, gescheiden door komma's, punten, spaties of onderstrepingstekens. Als u bijvoorbeeld zoekt naar malware of virus, vindt deze virus_malware_file.exe, maar niet malwarevirusfile.exe. Als u naar malware.exe zoekt, vindt u ALLE bestanden met malware of exe in hun bestandsnaam, terwijl als u zoekt naar 'malware.exe' (met de aanhalingstekens) alleen bestanden met exact 'malware.exe'. Hiermee wordt alleen gezocht naar de volledige tekenreeks, bijvoorbeeld als u zoekt naar malware.exe deze malware.exe vindt, maar niet malware.exe.txt.

    Zie Bestandsfilters in Microsoft Defender voor Cloud Apps voor meer informatie over bestandsbeleidsfilters.

  7. Selecteer onder de eerste toepassen om te filteren alle bestanden met uitzondering van geselecteerde mappen of geselecteerde mappen voor Box, SharePoint, Dropbox of OneDrive, waar u uw bestandsbeleid kunt afdwingen voor alle bestanden in de app of in specifieke mappen. U wordt omgeleid om u aan te melden bij de cloud-app en vervolgens de relevante mappen toe te voegen.

  8. Selecteer onder de tweede optie Toepassen op filter alle bestandseigenaren, bestandseigenaren uit geselecteerde gebruikersgroepen of alle bestandseigenaren, met uitzondering van geselecteerde groepen. Selecteer vervolgens de relevante gebruikersgroepen om te bepalen welke gebruikers en groepen moeten worden opgenomen in het beleid.

  9. Selecteer de Methode voor inhoudscontrole. U kunt ingebouwde DLP- of Data Classification Services selecteren. We raden u aan om Data Classification Services te gebruiken.

    Zodra inhoudsinspectie is ingeschakeld, kunt u vooraf ingestelde expressies gebruiken of zoeken naar andere aangepaste expressies.

    Bovendien kunt u een reguliere expressie opgeven als u een bestand wilt uitsluiten van de resultaten. Deze optie is zeer nuttig als u een standaard voor een trefwoord voor interne classificatie hebt die u wilt uitsluiten van het beleid.

    U kunt bepalen wat het minimumaantal schendingen van inhoud is dat moet worden bereikt voordat het bestand wordt beschouwd als een schending. U kunt bijvoorbeeld 10 kiezen als u waarschuwingen wilt ontvangen voor bestanden waarin ten minste 10 creditcardnummers worden gevonden.

    Wanneer inhoud overeenkomt met de geselecteerde expressie, wordt de schendingstekst vervangen door X-tekens. Schendingen worden standaard gemaskeerd en weergegeven in hun context met 100 tekens voor en na de schending. Getallen in de context van de expressie worden vervangen door #-tekens en worden nooit opgeslagen in Defender voor Cloud Apps. U kunt de optie selecteren om de laatste vier tekens van een schending te ontmaskeren om de laatste vier tekens van de schending zelf te ontmaskeren. U moet instellen welke gegevenstypen de reguliere expressie doorzoeken: inhoud, metagegevens en/of bestandsnaam. Standaard wordt in de inhoud en de metagegevens gezocht.

  10. Kies de beheeracties die u wilt Defender voor Cloud-apps moeten uitvoeren wanneer een overeenkomst wordt gedetecteerd.

  11. Nadat u het beleid hebt gemaakt, kunt u het bekijken door te filteren op het bestandstype . U kunt een beleid altijd bewerken, de filters kalibreren of de geautomatiseerde acties wijzigen. Het beleid wordt automatisch ingeschakeld bij het maken en begint onmiddellijk met het scannen van uw cloudbestanden. Let goed op bij het instellen van beheeracties, want ze kunnen leiden tot onherstelbaar verlies van toegangsmachtigingen tot uw bestanden. Het is raadzaam om de filters te verfijnen om precies de bestanden weer te geven waarop u wilt reageren, met behulp van meerdere zoekvelden. Hoe fijner de filters, hoe beter. Voor hulp kunt u de knop Resultaten bewerken en bekijken naast de filters gebruiken.

    File policy edit and preview results.

  12. Als u overeenkomsten met bestandsbeleid wilt weergeven, gaat u naar Beleid -> Beleidsbeheer om bestanden te bekijken die vermoedelijk het beleid schenden. Filter de resultaten met het filter Type bovenaan, zodat alleen de bestandsbeleidsregels worden weergegeven. Voor meer informatie over de overeenkomsten voor elk beleid selecteert u onder de kolom Aantal het aantal overeenkomsten voor een beleid. U kunt ook de drie puntjes aan het einde van de rij voor een beleid selecteren en alle overeenkomsten weergeven kiezen. Hiermee opent u het rapport Bestandsbeleid. Selecteer het tabblad Nu vergelijken om bestanden weer te geven die momenteel overeenkomen met het beleid. Selecteer het tabblad Geschiedenis om een geschiedenis weer te geven tot maximaal zes maanden aan bestanden die overeenkomen met het beleid.

Best practices voor bestandsbeleid

  1. Vermijd het opnieuw instellen van het bestandsbeleid (door het selectievakje Opnieuw instellen te gebruiken en acties opnieuw toe te passen) in productieomgevingen, tenzij dit absoluut noodzakelijk is. Hierdoor wordt een volledige scan gestart van de bestanden die onder het beleid vallen, wat een negatieve invloed kan hebben op de prestaties ervan.

  2. Wanneer u labels toepast op bestanden in een specifieke bovenliggende map en de bijbehorende submappen, gebruikt u de optie Toepassen op ->Geselecteerde mappen. Voeg vervolgens elk van de bovenliggende mappen toe.

  3. Wanneer u labels alleen toepast op bestanden in een specifieke map (met uitzondering van submappen), gebruikt u het bovenliggende bestandsbeleidsfilter map met de operator Equals .

  4. Bestandsbeleid is sneller wanneer smalle filtercriteria worden gebruikt (vergeleken met brede criteria).

  5. Voeg verschillende bestandsbeleidsregels voor dezelfde service (zoals SharePoint, OneDrive, Box, enzovoort) samen tot één beleid.

  6. Wanneer u bestandsbewaking inschakelt (vanaf de pagina Instellingen), moet u ten minste één bestandsbeleid maken. Wanneer er geen bestandsbeleid bestaat of gedurende zeven opeenvolgende dagen is uitgeschakeld, wordt bestandsbewaking automatischdisabled.

Verwijzing naar het bestandsbeleid

In deze sectie vindt u naslaginformatie over beleidsregels, met een uitleg van elk beleidstype en de velden die voor elk beleid kunnen worden geconfigureerd.

Een bestandsbeleid is een op API gebaseerd beleid waarmee u de inhoud van uw organisatie in de cloud kunt beheren, rekening houdend met meer dan 20 filters voor bestandsmetagegevens (inclusief eigenaar- en deelniveau) en resultaten van inhoudsinspectie. Op basis van de beleidsresultaten kunnen beheeracties worden toegepast. De engine voor inhoudsinspectie kan worden uitgebreid via DLP-engines van derden en antimalwareoplossingen.

Elk beleid bestaat uit de volgende onderdelen:

  • Bestandsfilters : hiermee kunt u gedetailleerde voorwaarden maken op basis van metagegevens.

  • Inhoudsinspectie : hiermee kunt u het beleid verfijnen op basis van de resultaten van de DLP-engine. U kunt een aangepaste expressie of een vooraf ingestelde expressie opnemen. Er kunnen uitsluitingen worden ingesteld en u kunt het aantal overeenkomsten kiezen. U kunt ook anonimiseren om de gebruikersnaam te maskeren.

  • Acties : het beleid biedt een set beheeracties die automatisch kunnen worden toegepast wanneer schendingen worden gevonden. Deze acties zijn onderverdeeld in samenwerkingsacties, beveiligingsacties en onderzoeksacties.

  • Extensies - Inhoudsinspectie kan worden uitgevoerd via externe engines voor verbeterde DLP- of antimalwaremogelijkheden.

Bestandsquery's

Om onderzoek nog eenvoudiger te maken, kunt u nu aangepaste query's maken en opslaan voor later gebruik.

  1. Gebruik op de pagina Bestanden de filters zoals eerder beschreven om waar nodig in te zoomen op uw apps.

  2. Nadat u de query hebt gemaakt, selecteert u de knop Opslaan als boven de filters.

  3. Geef uw query een naam in het pop-upvenster Opslaan.

  4. Als u deze query later opnieuw wilt gebruiken, schuift u onder Query's omlaag naar Opgeslagen query's en selecteert u uw query.

Resultaten van bestandsbeleid weergeven

U kunt naar het beleidscentrum gaan om schendingen van bestandsbeleid te controleren.

  1. Ga in de Microsoft Defender-portal onder Cloud Apps naar Beleid -> Beleidsbeheer en selecteer vervolgens het tabblad Gegevensbeveiliging.

  2. Voor elk bestandsbeleid kunt u de schendingen van het bestandsbeleid zien door de overeenkomsten te selecteren.
    PCI matches.

  3. U kunt het bestand zelf selecteren voor informatie over de bestanden.
    PCI content matches.

  4. U kunt bijvoorbeeld Samenwerkers selecteren om te zien wie toegang heeft tot dit bestand en u kunt Overeenkomsten selecteren om de burgerservicenummers weer te geven. Content matches credit card numbers.

Webinar over informatiebeveiliging

Volgende stappen

Aanbevolen procedures voor het beveiligen van uw organisatie

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.