Bestandsfilters in Microsoft Defender voor Cloud Apps

  • Artikel

Om gegevensbescherming te bieden, geeft Microsoft Defender voor Cloud Apps u inzicht in alle bestanden van uw verbonden apps. Nadat u Microsoft Defender voor Cloud Apps hebt verbonden met een app met behulp van de App-connector, scant Microsoft Defender voor Cloud Apps alle bestanden, bijvoorbeeld alle bestanden die zijn opgeslagen in OneDrive en Salesforce. Vervolgens Defender voor Cloud Apps elk bestand opnieuw scant telkens wanneer het wordt gewijzigd. De wijziging kan bestaan uit inhouds-, metagegevens- of deelmachtigingen. Scantijden zijn afhankelijk van het aantal bestanden dat is opgeslagen in uw app. U kunt de pagina Bestanden ook gebruiken voor het filteren van bestanden om te onderzoeken wat voor soort gegevens er in uw cloud-apps worden opgeslagen.

Notitie

Bestandsbewaking moet zijn ingeschakeld in Instellingen. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps. Selecteer Bestanden onder Information Protection. Selecteer Bestandsbewaking inschakelen en selecteer Opslaan.
Als er geen actief bestandsbeleid is, wordt de bewaking van bestanden zeven dagen na de laatste bestandsbetrokkenheidstijd uitgeschakeld.
Als er geen actief bestandsbeleid is, worden de gegevens die Defender voor Cloud Apps onderhoudt over deze opgeslagen bestanden, 35 dagen na de laatste tijd van de bestandspagina verwijderd Defender voor Cloud Apps. Vanaf 20 augustus 2023 wordt het filter 'laatst gewijzigd voor (dagen) afgeschaft. In plaats daarvan raden we het gebruik van 'bestand vóór (datum) aan en het onderzoeken op vaste datum voort te zetten, u kunt ook 'handmatig' onderzoek gebruiken door 'gewijzigd voor (datum)' - in 'beleidspagina' of 'bestandenpagina'.

Voorbeelden van bestandsfilters

Gebruik bijvoorbeeld de pagina Bestanden om extern gedeelde bestanden te beveiligen met het label Vertrouwelijk, als volgt:

Nadat u een app hebt verbonden met Defender voor Cloud Apps, kunt u integreren met Microsoft Purview Informatiebeveiliging. Filter vervolgens op de pagina Bestanden op bestanden met het label Vertrouwelijk en sluit uw domein uit in het filter Samenwerkers . Als u ziet dat er vertrouwelijke bestanden worden gedeeld buiten uw organisatie, kunt u een bestandsbeleid maken om ze te detecteren. U kunt automatische beheeracties toepassen op deze bestanden, zoals Externe medewerkers verwijderen en samenvatting beleidsovereenkomsten verzenden naar bestandseigenaar om gegevensverlies voor uw organisatie te voorkomen.

Bestandsfilter vertrouwelijk.

Hier volgt een ander voorbeeld van hoe u de pagina Bestanden kunt gebruiken. Zorg ervoor dat niemand in uw organisatie bestanden openbaar of extern deelt die de afgelopen zes maanden niet zijn gewijzigd:

Verbinding maken een app om apps te Defender voor Cloud en ga naar de pagina Bestanden. Filter op bestanden waarvan het toegangsniveau Extern of Openbaar is en stel de datum laatst gewijzigd in op zes maanden geleden. Maak een bestandsbeleid waarmee deze verouderde openbare bestanden worden gedetecteerd door Nieuw beleid te selecteren in de zoekfunctie. Pas automatische beheeracties toe op hen, zoals Externe gebruikers verwijderen, om gegevensverlies voor uw organisatie te voorkomen.

Bestandsfilter is verouderd extern.

Met het basisfilter kunt u snel aan de slag met het filteren van uw activiteiten.

Basisbestandslogboekfilter.

Als u wilt inzoomen op specifiekere bestanden, kunt u het basisfilter uitvouwen door Geavanceerde filters te selecteren.

Geavanceerd filter voor bestandslogboeken.

Bestandsfilters

Defender voor Cloud Apps kunnen elk bestandstype bewaken op basis van meer dan 20 metagegevensfilters (bijvoorbeeld toegangsniveau, bestandstype).

De Defender voor Cloud-apps die zijn gebouwd in DLP-engines voeren inhoudsinspectie uit door tekst uit algemene bestandstypen te extraheren. Sommige van de opgenomen bestandstypen zijn PDF-, Office-bestanden, RTF-, HTML- en codebestanden.

Hieronder volgt een lijst met de bestandsfilters die kunnen worden toegepast. Om u een krachtig hulpprogramma te bieden voor het maken van beleid, ondersteunen de meeste filters meerdere waarden en een NOT.

Notitie

Wanneer u de filters voor bestandsbeleid gebruikt, zoekt Contains alleen naar volledige woorden , gescheiden door komma's, puntjes, afbreekstreepjes of spaties om te zoeken.

  • Spaties of afbreekstreepjes tussen woorden werken als OF. Als u bijvoorbeeld zoekt naar malwarevirus, vindt u alle bestanden met malware of virus in de naam, zodat het zowel malware-virus.exe alsvirus.exe vindt.
  • Als u wilt zoeken naar een tekenreeks, plaatst u de woorden tussen aanhalingstekens. Deze functies zoals AND. Als u bijvoorbeeld zoekt naar 'malware',wordt virus-malware-file.exe gevonden, maar wordt er geen malwarevirusfile.exe gevonden en wordt er geen malware.exe gevonden. Hiermee wordt echter naar de exacte tekenreeks gezocht. Als u zoekt naar "malware virus", zal het niet "virus" of "virus-malware" vinden.

Is gelijk aan zoekt alleen naar de volledige tekenreeks. Als u bijvoorbeeld zoekt naar malware.exe , vindt u malware.exe maar niet malware.exe.txt.

  • Toegangsniveau: toegangsniveau delen; openbaar, extern, intern of privé.

    • Intern : alle bestanden binnen de interne domeinen die u hebt ingesteld in de algemene installatie.
    • Extern : alle bestanden die zijn opgeslagen op locaties die zich niet binnen de interne domeinen bevinden die u instelt.
    • Gedeeld - Bestanden met een niveau voor delen boven privé. Gedeeld omvat:

      • Intern delen: bestanden die worden gedeeld binnen uw interne domeinen.

      • Extern delen: bestanden die worden gedeeld in domeinen die niet worden vermeld in uw interne domeinen.

      • Openbaar met een koppeling - Bestanden die met iedereen kunnen worden gedeeld via een koppeling.

      • Openbaar - Bestanden die kunnen worden gevonden door op internet te zoeken.

        Notitie

        Bestanden die worden gedeeld in uw verbonden opslag-apps door externe gebruikers, worden als volgt afgehandeld door Defender voor Cloud Apps:

        • OneDrive: OneDrive wijst een interne gebruiker toe als eigenaar van ieder bestand dat door een externe gebruiker in uw OneDrive wordt geplaatst. Omdat deze bestanden vervolgens als eigendom van uw organisatie worden beschouwd, scant Defender voor Cloud Apps deze bestanden en past beleid toe op elk ander bestand in uw OneDrive.
        • Google Drive: Google Drive beschouwt deze als eigendom van de externe gebruiker en vanwege wettelijke beperkingen voor bestanden en gegevens die uw organisatie niet bezit, heeft Defender voor Cloud Apps geen toegang tot deze bestanden.
        • Box: Omdat bestanden die eigendom zijn van een externe gebruiker in Box worden gezien als privégegevens, kunnen globale beheerders van Box de inhoud van deze bestanden niet bekijken. Daarom heeft Defender voor Cloud Apps geen toegang tot deze bestanden.
        • Dropbox: Omdat bestanden die eigendom zijn van een externe gebruiker in Dropbox worden gezien als privégegevens, kunnen globale beheerders van Dropbox de inhoud van deze bestanden niet bekijken. Daarom heeft Defender voor Cloud Apps geen toegang tot deze bestanden.

  • App : alleen zoeken naar bestanden in deze apps.

  • Samenwerkers: specifieke medewerkers of groepen opnemen/uitsluiten.

    • Elk van het domein : als een gebruiker van dit domein directe toegang heeft tot het bestand.

      Notitie

      • Dit filter biedt geen ondersteuning voor bestanden die zijn gedeeld met een groep, alleen met specifieke gebruikers.
      • Voor SharePoint en OneDrive biedt het filter geen ondersteuning voor bestanden die worden gedeeld met een specifieke gebruiker via een gedeelde koppeling.

    • Hele organisatie : als de hele organisatie toegang heeft tot het bestand.

    • Groepen : als een specifieke groep toegang heeft tot het bestand. Groepen kunnen worden geïmporteerd vanuit Active Directory of cloud-apps. Ook kunnen ze handmatig worden gemaakt in de service.

    • Gebruikers : bepaalde gebruikers die mogelijk toegang hebben tot het bestand.

  • Gemaakt : tijd voor het maken van bestanden. Het filter ondersteunt vóór/na datums en een datumbereik.

  • Extensie : focus op specifieke bestandsextensies. Bijvoorbeeld alle bestanden die uitvoerbare bestanden zijn (*.exe).

    Notitie

    • Dit filter is hoofdlettergevoelig.
    • Gebruik de OR-component om het filter toe te passen op meer dan één hoofdlettergebruiksvariatie.

  • Bestands-id : zoek naar specifieke bestands-id's. Bestands-id is een geavanceerde functie waarmee u bepaalde bestanden met hoge waarde kunt bijhouden zonder afhankelijk te zijn van eigenaar, locatie of naam.

  • Bestandsnaam: bestandsnaam of subtekenreeks van de naam zoals gedefinieerd in de cloud-app. Bijvoorbeeld alle bestanden met een wachtwoord in hun naam.

  • Vertrouwelijkheidslabel - Zoeken naar bestanden met specifieke labels ingesteld. Labels zijn:

    Notitie

    Als dit filter wordt gebruikt in een bestandsbeleid, is het beleid alleen van toepassing op Microsoft Office-bestanden en worden andere bestandstypen genegeerd.

    • Microsoft Purview Informatiebeveiliging: vereist integratie met Microsoft Purview Informatiebeveiliging.
    • Defender voor Cloud Apps : biedt meer inzicht in de bestanden die worden gescand. Voor elk bestand dat wordt gescand door Defender voor Cloud Apps DLP, kunt u weten of inspectie is geblokkeerd omdat het bestand is versleuteld of beschadigd. U kunt bijvoorbeeld beleidsregels instellen om bestanden die extern worden gedeeld, te waarschuwen en in quarantaine te plaatsen.
      • Azure RMS versleuteld : bestanden waarvan de inhoud niet is geïnspecteerd omdat ze een Azure RMS-versleutelingsset hebben.
      • Versleuteld wachtwoord: bestanden waarvan de inhoud niet is geïnspecteerd omdat ze met een wachtwoord zijn beveiligd door de gebruiker.
      • Beschadigd bestand : bestanden waarvan de inhoud niet is gecontroleerd omdat de inhoud ervan niet kan worden gelezen.

  • Bestandstype: Defender voor Cloud Apps scant het bestand om te bepalen of het werkelijke bestandstype overeenkomt met het MIME-type dat is ontvangen (zie tabel) van de service. Deze scan is bedoeld voor bestanden die relevant zijn voor gegevensscans (documenten, afbeeldingen, presentaties, spreadsheets, tekst en zip-/archiefbestanden). Het filter werkt per bestand/maptype. Bijvoorbeeld alle mappen die ... of alle spreadsheetbestanden zijn die...

    MIME-type Bestandstype
    - application/vnd.openxmlformats-officedocument.wordprocessingml.document
    - application/vnd.ms-word.document.macroEnabled.12
    - application/msword
    - application/vnd.oasis.opendocument.text
    - application/vnd.stardivision.writer
    - application/vnd.stardivision.writer-global
    - application/vnd.sun.xml.writer
    - application/vnd.stardivision.math
    - application/vnd.stardivision.chart
    - applicatie/x-starwriter
    - application/x-stardraw
    - toepassing/x-starmath
    - application/x-starchart
    - application/vnd.google-apps.document
    - application/vnd.google-apps.kix
    - toepassing/pdf
    - toepassing/x-pdf
    - application/vnd.box.webdoc
    - application/vnd.box.boxnote
    - application/vnd.jive.document
    - tekst/rtf
    - toepassing/rtf    		 Document
    - application/vnd.oasis.opendocument.image
    - application/vnd.google-apps.photo
    - begint met: image/    		 Afbeelding
    - application/vnd.openxmlformats-officedocument.presentationml.presentation
    - application/vnd.ms-powerpoint.template.macroEnabled.12
    - application/mspowerpoint
    - toepassing/powerpoint
    - application/vnd.ms-powerpoint
    - application/x-mspowerpoint
    - application/mspowerpoint
    - application/vnd.ms-powerpoint
    - application/vnd.oasis.opendocument.presentation
    - application/vnd.sun.xml.impress
    - application/vnd.stardivision.impress
    - toepassing/x-starimpress
    - application/vnd.google-apps.presentation    		 Presentatie
    - application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
    - application/vnd.ms-excel.sheet.macroEnabled.12
    - toepassing/excel
    - application/vnd.ms-excel
    - toepassing/x-excel
    - application/x-msexcel
    - application/vnd.oasis.opendocument.spreadsheet
    - application/vnd.sun.xml.calc
    - application/vnd.stardivision.calc
    - application/x-starcalc
    - application/vnd.google-apps.spreadsheet    		 Werkblad
    - begint met: tekst/ Sms verzenden
    Alle andere mime-typen bestanden Overige

    policy_file filtertype.

  • In prullenbak : bestanden uitsluiten/opnemen in de prullenbak. Deze bestanden kunnen nog steeds zijn gedeeld en vormen mogelijk een risico.

    policy_file filtert prullenbak.

  • Laatst gewijzigd : tijd voor bestandswijziging. Het filter ondersteunt datum- en nadatums, datumbereik en relatieve tijdexpressies. Bijvoorbeeld alle bestanden die in de afgelopen zes maanden niet zijn gewijzigd.

  • Overeenkomend beleid: bestanden die worden vergeleken met een actief beleid voor Defender voor Cloud Apps.

  • MIME-type : controle van het bestand MIME-type. Het accepteert vrije tekst.

  • Eigenaar - Specifieke bestandseigenaren opnemen/uitsluiten. Houd bijvoorbeeld alle bestanden bij die worden gedeeld door rogue_employee_#100.

  • Organisatie-eenheid eigenaar: bestandseigenaren opnemen of uitsluiten die deel uitmaken van bepaalde organisatie-eenheden. Bijvoorbeeld alle openbare bestanden, behalve bestanden die worden gedeeld door EMEA_marketing. Alleen van toepassing op bestanden die zijn opgeslagen in Google Drive.

  • Bovenliggende map : een specifieke map opnemen of uitsluiten (is niet van toepassing op submappen). Bijvoorbeeld alle openbaar gedeelde bestanden, met uitzondering van bestanden in deze map.

    Notitie

    Defender voor Cloud Apps detecteert alleen nieuwe SharePoint- en OneDrive-mappen nadat er een bestandsactiviteit is uitgevoerd.

  • In quarantaine: als het bestand in quarantaine is geplaatst door de service. Geef bijvoorbeeld alle bestanden weer die in quarantaine zijn geplaatst.

Wanneer u een beleid maakt, kunt u ook instellen dat het wordt uitgevoerd op specifieke bestanden door het toepassen op filter in te stellen. Filter op alle bestanden, geselecteerde mappen (inclusief submappen) of alle bestanden met uitzondering van geselecteerde mappen. Selecteer vervolgens de bestanden of mappen die relevant zijn.

van toepassing op filter.

Bestanden autoriseren

Nadat Defender voor Cloud Apps bestanden heeft geïdentificeerd als het opstellen van een malware- of DLP-risico, raden we u aan de bestanden te onderzoeken. Als u bepaalt dat de bestanden veilig zijn, kunt u ze autoriseren. Als u een bestand autoriseert, wordt het verwijderd uit het rapport malwaredetectie en worden toekomstige overeenkomsten in dit bestand onderdrukt.

Bestanden autoriseren

  1. Selecteer in de Microsoft Defender-portal onder Cloud-apps de optie Beleid ->Beleidsbeheer. Selecteer het tabblad Gegevensbeveiliging .

  2. Selecteer in de lijst met beleidsregels in de rij waarin het beleid dat het onderzoek heeft geactiveerd, in de kolom Aantal de koppeling overeenkomsten .

    Tip

    U kunt de lijst met beleidsregels filteren op type. In de volgende tabel ziet u per risicotype welk filtertype u wilt gebruiken:

    Risicotype Filtertype
    DLP Beleid voor bestanden
    Malware Beleid voor detectie van malware

  3. Selecteer in de lijst met overeenkomende bestanden, in de rij waarin het bestand onder onderzoek wordt weergegeven, de ✓ om te autoriseren.

Werken met de bestandslade

U kunt meer informatie over elk bestand bekijken door het bestand zelf te selecteren in het logboekbestand. Als u deze optie selecteert, wordt de bestandslade geopend die de volgende aanvullende acties biedt die u op het bestand kunt uitvoeren:

  • URL : hiermee gaat u naar de bestandslocatie.
  • Bestands-id's- Hiermee opent u een pop-up met onbewerkte gegevens over het bestand, inclusief bestands-id en versleutelingssleutels wanneer deze beschikbaar zijn.
  • Eigenaar : de gebruikerspagina voor de eigenaar van dit bestand weergeven.
  • Overeenkomende beleidsregels : bekijk een lijst met beleidsregels die overeenkomen met het bestand.
  • Vertrouwelijkheidslabels: bekijk de lijst met vertrouwelijkheidslabels uit Microsoft Purview Informatiebeveiliging in dit bestand. U kunt vervolgens filteren op alle bestanden die overeenkomen met dit label.

De velden in de Activiteitenlade bieden contextuele koppelingen naar aanvullende bestanden en meer details die u rechtstreeks vanuit de lade kunt uitvoeren. Als u bijvoorbeeld de cursor naast het veld Eigenaar verplaatst, kunt u het pictogram toevoegen aan filter. Toevoegen aan filter gebruiken om de eigenaar direct toe te voegen aan het filter van de huidige pagina. U kunt ook het tandwielpictogram pictogram instellingen. instellingen gebruiken dat verschijnt om rechtstreeks op de instellingenpagina te komen die nodig is om de configuratie van een van de velden, zoals gevoeligheidslabels, te wijzigen.

Bestandslade.

Zie Bestandsbeheeracties voor een lijst met beschikbare beheeracties.

Volgende stappen

Aanbevolen procedures voor het beveiligen van uw organisatie

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.