Bestandsbeleid in Microsoft Defender for Cloud Apps
Met bestandsbeleid kunt u een breed scala aan geautomatiseerde processen afdwingen met behulp van de API's van de cloudprovider. Beleidsregels kunnen worden ingesteld voor continue nalevingsscans, juridische eDiscovery-taken, DLP voor gevoelige inhoud die openbaar wordt gedeeld en nog veel meer use cases. Defender for Cloud Apps kunt elk bestandstype controleren op basis van meer dan 20 metagegevensfilters (bijvoorbeeld toegangsniveau, bestandstype).
Zie Bestandsfilters in Microsoft Defender for Cloud Apps voor een lijst met bestandsfilters die kunnen worden toegepast.
Ondersteunde bestandstypen
De Defender for Cloud Apps-engines voeren inhoudsinspectie uit door tekst te extraheren uit alle veelvoorkomende bestandstypen (100+), waaronder Office, Open Office, gecomprimeerde bestanden, verschillende rtf-tekstindelingen, XML, HTML en meer.
Beleid
De engine combineert drie aspecten onder elk beleid:
Inhoudsscan op basis van vooraf ingestelde sjablonen of aangepaste expressies.
Contextfilters, waaronder gebruikersrollen, metagegevens van bestanden, niveau van delen, integratie van organisatiegroepen, samenwerkingscontext en aanvullende aanpasbare kenmerken.
Geautomatiseerde acties voor governance en herstel.
Opmerking
Alleen de governance-actie van het eerste geactiveerde beleid wordt gegarandeerd toegepast. Als een bestandsbeleid bijvoorbeeld al een vertrouwelijkheidslabel op een bestand heeft toegepast, kan een tweede bestandsbeleid er geen ander vertrouwelijkheidslabel op toepassen.
Zodra dit is ingeschakeld, scant het beleid continu uw cloudomgeving en identificeert het bestanden die overeenkomen met de inhouds- en contextfilters en past het de aangevraagde geautomatiseerde acties toe. Dit beleid detecteert en herstelt eventuele schendingen van at-rest-informatie of wanneer nieuwe inhoud wordt gemaakt. Beleidsregels kunnen worden bewaakt met behulp van realtime waarschuwingen of met behulp van door de console gegenereerde rapporten.
Hier volgen voorbeelden van bestandsbeleid dat kan worden gemaakt:
Openbaar gedeelde bestanden : ontvang een waarschuwing over elk bestand in uw cloud dat openbaar wordt gedeeld door alle bestanden te selecteren waarvan het niveau voor delen openbaar is.
Openbaar gedeelde bestandsnaam bevat de naam van de organisatie : ontvang een waarschuwing over elk bestand dat de naam van uw organisatie bevat en openbaar wordt gedeeld. Selecteer bestanden met een bestandsnaam die de naam van uw organisatie bevat en die openbaar worden gedeeld.
Delen met externe domeinen : ontvang een waarschuwing over elk bestand dat wordt gedeeld met accounts die eigendom zijn van specifieke externe domeinen. Bijvoorbeeld bestanden die worden gedeeld met het domein van een concurrent. Selecteer het externe domein waarmee u het delen wilt beperken.
Gedeelde bestanden in quarantaine plaatsen die niet zijn gewijzigd tijdens de afgelopen periode : ontvang een waarschuwing over gedeelde bestanden die niemand onlangs heeft gewijzigd, om ze in quarantaine te plaatsen of ervoor te kiezen om een geautomatiseerde actie in te schakelen. Sluit alle privébestanden uit die niet zijn gewijzigd tijdens een opgegeven datumbereik. In Google Workspace kunt u ervoor kiezen om deze bestanden in quarantaine te plaatsen met behulp van het selectievakje 'quarantainebestand' op de pagina voor het maken van beleid.
Delen met onbevoegde gebruikers : ontvang een waarschuwing over bestanden die worden gedeeld met niet-geautoriseerde gebruikers in uw organisatie. Selecteer de gebruikers voor wie delen niet is toegestaan.
Gevoelige bestandsextensie : ontvang een waarschuwing over bestanden met specifieke extensies die mogelijk zeer beschikbaar zijn. Selecteer de specifieke extensie (bijvoorbeeld crt voor certificaten) of bestandsnaam en sluit die bestanden uit met het niveau voor privé delen.
Opmerking
U bent beperkt tot 50 bestandsbeleidsregels in Defender for Cloud Apps.
Een nieuw bestandsbeleid maken
Volg deze procedure om een nieuw bestandsbeleid te maken:
Ga in de Microsoft Defender Portal onder Cloud-apps naar Beleid ->Beleidsbeheer. Selecteer het tabblad Information Protection.
Selecteer Beleid maken en selecteer Bestandsbeleid.
Geef uw beleid een naam en beschrijving. Als u wilt, kunt u dit baseren op een sjabloon. Zie Cloud-apps beheren met beleidsregels voor meer informatie over beleidssjablonen.
Geef uw beleid de ernst van het beleid. Als u Defender for Cloud Apps hebt ingesteld om u meldingen te sturen over beleidsovereenkomsten voor een specifiek ernstniveau van het beleid, wordt dit niveau gebruikt om te bepalen of de overeenkomsten van het beleid een melding activeren.
Koppel binnen Categorie het beleid aan het meest geschikte risicotype. Dit veld is alleen informatief en helpt u later bij het zoeken naar specifieke beleidsregels en waarschuwingen op basis van het risicotype. Het risico is mogelijk al vooraf geselecteerd op basis van de categorie waarvoor u het beleid hebt gemaakt. Bestandsbeleid is standaard ingesteld op DLP.
Maak een filter voor de bestanden waarop dit beleid wordt uitgevoerd om in te stellen op welke gedetecteerde apps dit beleid wordt geactiveerd. Beperk de beleidsfilters totdat u een nauwkeurige set bestanden hebt bereikt waarop u wilt reageren. Wees zo beperkend mogelijk om fout-positieven te voorkomen. Als u bijvoorbeeld openbare machtigingen wilt verwijderen, moet u het filter Openbaar toevoegen. Als u een externe gebruiker wilt verwijderen, gebruikt u het filter Extern, enzovoort.
Opmerking
Wanneer u de beleidsfilters gebruikt, zoekt Bevat alleen naar volledige woorden, gescheiden door komma's, puntjes, spaties of onderstrepingstekens. Als u bijvoorbeeld zoekt naar malware of virussen, wordt er virus_malware_file.exe gevonden, maar niet malwarevirusfile.exe. Als u zoekt naar malware.exe, vindt u ALLE bestanden met malware of exe in hun bestandsnaam, terwijl als u zoekt naar 'malware.exe' (met de aanhalingstekens) u alleen bestanden vindt die precies "malware.exe" bevatten. Gelijk aan zoekt alleen naar de volledige tekenreeks, bijvoorbeeld als u zoekt naarmalware.exe deze malware.exe vindt, maar niet malware.exe.txt.
Selecteer onder het eerste filter Toepassen opalle bestanden, met uitzondering van geselecteerde mappen of geselecteerde mappen voor Box, SharePoint, Dropbox of OneDrive, waar u uw bestandsbeleid kunt afdwingen voor alle bestanden in de app of op specifieke mappen. U wordt omgeleid om u aan te melden bij de cloud-app en vervolgens de relevante mappen toe te voegen.
Selecteer onder het tweede filter Toepassen op alle bestandseigenaren, bestandseigenaren uit geselecteerde gebruikersgroepen of alle bestandseigenaren, met uitzondering van geselecteerde groepen. Selecteer vervolgens de relevante gebruikersgroepen om te bepalen welke gebruikers en groepen moeten worden opgenomen in het beleid.
Selecteer de methode Inhoudsinspectie. U kunt ingebouwde DLP of Data Classification Services selecteren. We raden u aan Data Classification Services te gebruiken.
Zodra inhoudsinspectie is ingeschakeld, kunt u ervoor kiezen om vooraf ingestelde expressies te gebruiken of om te zoeken naar andere aangepaste expressies.
Daarnaast kunt u een reguliere expressie opgeven om een bestand uit te sluiten van de resultaten. Deze optie is zeer handig als u een standaard voor interne classificatie trefwoorden hebt die u wilt uitsluiten van het beleid.
U kunt het minimale aantal inhoudsschendingen instellen dat u wilt overeenkomen voordat het bestand wordt beschouwd als een schending. U kunt bijvoorbeeld 10 kiezen als u wilt worden gewaarschuwd voor bestanden met ten minste 10 creditcardnummers die in de inhoud ervan zijn gevonden.
Wanneer inhoud wordt vergeleken met de geselecteerde expressie, wordt de tekst van de schending vervangen door X-tekens. Standaard worden schendingen gemaskeerd en weergegeven in hun context met 100 tekens voor en na de schending. Getallen in de context van de expressie worden vervangen door #-tekens en worden nooit opgeslagen in Defender for Cloud Apps. U kunt de optie selecteren om de laatste vier tekens van een schending te ontmaskeren om de laatste vier tekens van de schending zelf te ontmaskeren. U moet instellen op welke gegevenstypen de reguliere expressie zoekt: inhoud, metagegevens en/of bestandsnaam. Standaard wordt gezocht in de inhoud en de metagegevens.
Kies de governanceacties die Defender for Cloud Apps wilt uitvoeren wanneer er een overeenkomst wordt gedetecteerd.
Zodra u het beleid hebt gemaakt, kunt u het weergeven door te filteren op het beleidstype Bestand . U kunt een beleid altijd bewerken, de filters kalibreren of de geautomatiseerde acties wijzigen. Het beleid wordt automatisch ingeschakeld bij het maken en begint onmiddellijk met het scannen van uw cloudbestanden. Pas extra op wanneer u governanceacties instelt, deze kunnen leiden tot onomkeerbaar verlies van toegangsmachtigingen voor uw bestanden. Het is raadzaam om de filters te beperken om precies de bestanden weer te geven waarop u wilt reageren, met behulp van meerdere zoekvelden. Hoe smaller de filters, hoe beter. Voor hulp kunt u de knop Bewerken en voorbeeld van resultaten naast de filters gebruiken.
Als u bestandsbeleidsovereenkomsten wilt weergeven, bestanden die vermoedelijk het beleid schenden, gaat u naar Beleid ->Beleidsbeheer. Filter de resultaten om alleen het bestandsbeleid weer te geven met behulp van het filter Type bovenaan. Voor meer informatie over de overeenkomsten voor elk beleid selecteert u onder de kolom Aantal het aantal overeenkomsten voor een beleid. U kunt ook de drie puntjes aan het einde van de rij voor een beleid selecteren en alle overeenkomsten weergeven kiezen. Hiermee opent u het rapport Bestandsbeleid. Selecteer het tabblad Nu vergelijken om bestanden te zien die momenteel overeenkomen met het beleid. Selecteer het tabblad Geschiedenis om een geschiedenis weer te geven van maximaal zes maanden aan bestanden die overeenkomen met het beleid.
Best practices voor bestandsbeleid
Vermijd het opnieuw instellen van het bestandsbeleid (met behulp van het selectievakje Resultaten opnieuw instellen en acties opnieuw toepassen ) in productieomgevingen, tenzij dit absoluut noodzakelijk is. Hierdoor wordt een volledige scan van de bestanden gestart die onder het beleid vallen, wat een negatieve invloed kan hebben op de prestaties.
Wanneer u labels toepast op bestanden in een specifieke bovenliggende map en de bijbehorende submappen, gebruikt u de optie Toepassen op ->geselecteerde mappen . Voeg vervolgens elk van de bovenliggende mappen toe.
Wanneer u alleen labels toepast op bestanden in een specifieke map (met uitzondering van submappen), gebruikt u het bestandsbeleidfilter Bovenliggende map met de operator Equals .
Bestandsbeleid is sneller wanneer smalle filtercriteria worden gebruikt (in vergelijking met brede criteria).
Voeg verschillende bestandsbeleidsregels voor dezelfde service (zoals SharePoint, OneDrive, Box, enzovoort) samen tot één beleid.
Wanneer u bestandsbewaking inschakelt (op de pagina Instellingen ), maakt u ten minste één bestandsbeleid. Wanneer er geen bestandsbeleid bestaat of gedurende zeven opeenvolgende dagen is uitgeschakeld, wordt bestandsbewaking automatisch verwijderd.
Naslaginformatie over bestandsbeleid
In deze sectie vindt u naslaginformatie over beleidsregels, met uitleg voor elk beleidstype en de velden die voor elk beleid kunnen worden geconfigureerd.
Een bestandsbeleid is een op API gebaseerd beleid waarmee u de inhoud van uw organisatie in de cloud kunt beheren, rekening houdend met meer dan 20 bestandsmetagegevensfilters (inclusief eigenaar en deelniveau) en resultaten van inhoudsinspectie. Op basis van de beleidsresultaten kunnen governanceacties worden toegepast. De engine voor inhoudsinspectie kan worden uitgebreid via DLP-engines van derden en antimalwareoplossingen.
Elk beleid bestaat uit de volgende onderdelen:
Bestandsfilters : hiermee kunt u gedetailleerde voorwaarden maken op basis van metagegevens.
Inhoudsinspectie : hiermee kunt u het beleid verfijnen op basis van de resultaten van de DLP-engine. U kunt een aangepaste expressie of een vooraf ingestelde expressie opnemen. Uitsluitingen kunnen worden ingesteld en u kunt het aantal overeenkomsten kiezen. U kunt ook anoniem maken om de gebruikersnaam te maskeren.
Acties : het beleid biedt een set governanceacties die automatisch kunnen worden toegepast wanneer er schendingen worden gevonden. Deze acties zijn onderverdeeld in samenwerkingsacties, beveiligingsacties en onderzoeksacties.
Extensies : inhoudsinspectie kan worden uitgevoerd via engines van derden voor verbeterde DLP- of antimalwaremogelijkheden.
Resultaten van bestandsbeleid weergeven
U kunt naar het beleidscentrum gaan om schendingen van het bestandsbeleid te controleren.
Ga in de Microsoft Defender Portal onder Cloud-apps naar Beleid ->Beleidsbeheer en selecteer vervolgens het tabblad Informatiebeveiliging.
Voor elk bestandsbeleid kunt u de schendingen van het bestandsbeleid bekijken door de overeenkomsten te selecteren.
U kunt het bestand zelf selecteren om informatie over de bestanden op te halen.
U kunt bijvoorbeeld Samenwerkers selecteren om te zien wie toegang heeft tot dit bestand en u kunt Overeenkomsten selecteren om de burgerservicenummers te zien.
Gerelateerde video's
Volgende stappen
Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.