Samouczek: ochrona plików za pomocą kwarantanny administratora

  • Artykuł

Zasady dotyczące plików to doskonałe narzędzie do znajdowania zagrożeń dla zasad ochrony informacji. Na przykład utwórz zasady dotyczące plików, które znajdują miejsca, w których użytkownicy przechowywali poufne informacje, numery kart kredytowych i pliki ICAP innych firm w chmurze.

W tym samouczku dowiesz się, jak wykrywać niechciane pliki przechowywane w chmurze przy użyciu usługi Microsoft Defender dla Chmury Apps i podejmować natychmiastowe działania, aby zatrzymać je w śladach i zablokować pliki, które stanowią zagrożenie przy użyciu Administracja kwarantanny w celu ochrony plików w chmurze, korygowania problemów i zapobiegania przyszłym wyciekom.

Informacje o sposobie działania kwarantanny

Uwaga

  • Aby uzyskać listę aplikacji obsługujących kwarantannę administratora, zobacz listę akcji ładu.
  • Pliki oznaczone etykietą Defender dla Chmury Apps nie mogą być poddane kwarantannie.
  • Defender dla Chmury Akcje kwarantanny administratora aplikacji są ograniczone do 100 akcji dziennie.
  • Witryny programu SharePoint, których nazwa została zmieniona bezpośrednio lub w ramach zmiany nazwy domeny, nie mogą być używane jako lokalizacja folderu dla kwarantanny administratora.

  1. Gdy plik jest zgodny z zasadami, opcja kwarantanny Administracja będzie dostępna dla pliku.

  2. Wykonaj jedną z następujących czynności, aby poddać plik kwarantannie:

    • Ręcznie zastosuj akcję kwarantanny Administracja:

      akcja kwarantanny.

    • Ustaw ją jako automatyczną akcję kwarantanny w zasadach:

      automatycznie poddaj kwarantannie.

  3. Po zastosowaniu Administracja kwarantannie w tle występują następujące elementy:

    1. Oryginalny plik zostanie przeniesiony do ustawionego folderu kwarantanny administratora.

    2. Oryginalny plik zostaje usunięty.

    3. Plik grobowca jest przekazywany do oryginalnej lokalizacji pliku.

      nagrobek kwarantanny.

    4. Użytkownik może uzyskać dostęp tylko do pliku grobowca. W pliku mogą odczytywać niestandardowe wytyczne dostarczone przez it i identyfikator korelacji, aby nadać IT wydanie pliku.

  4. Po otrzymaniu alertu, że plik został poddany kwarantannie, przejdź do pozycji Zasady —> Zarządzanie zasadami. Następnie wybierz kartę Information Protection . W wierszu z zasadami plików wybierz trzy kropki na końcu wiersza, a następnie wybierz pozycję Wyświetl wszystkie dopasowania. Spowoduje to wyświetlenie raportu dopasowań, w którym można zobaczyć pasujące i poddane kwarantannie pliki:

    Pliki poddane kwarantannie.

  5. Po kwarantannie pliku użyj następującego procesu, aby skorygować sytuację zagrożenia:

    1. Sprawdź plik w folderze poddanej kwarantannie w usłudze SharePoint Online.
    2. Możesz również przejrzeć dzienniki inspekcji, aby szczegółowo zapoznać się z właściwościami pliku.
    3. Jeśli okaże się, że plik jest powiązany z zasadami firmowymi, uruchom proces reagowania na zdarzenia (IR) organizacji.
    4. Jeśli okaże się, że plik jest nieszkodliwy, możesz przywrócić plik z kwarantanny. W tym momencie oryginalny plik jest zwalniany, co oznacza, że jest kopiowany z powrotem do oryginalnej lokalizacji, grób jest usuwany, a użytkownik może uzyskać dostęp do pliku.

    przywracanie kwarantanny.

  6. Sprawdź, czy zasady działają bezproblemowo. Następnie możesz użyć akcji automatycznego nadzoru w zasadach, aby zapobiec dalszym wyciekom i automatycznie zastosować Administracja kwarantanny po dopasowaniu zasad.

Uwaga

Podczas przywracania pliku:

  • Oryginalne udziały nie są przywracane, stosowane jest domyślne dziedziczenie folderów.
  • Przywrócony plik zawiera tylko najnowszą wersję.
  • Zarządzanie dostępem do witryny folderu kwarantanny jest obowiązkiem klienta.

Konfigurowanie kwarantanny administratora

  1. Ustaw zasady dotyczące plików, które wykrywają naruszenia. Przykłady tych typów zasad obejmują:

    • Zasady dotyczące metadanych, takie jak etykieta poufności w usłudze SharePoint Online
    • Natywne zasady DLP, takie jak zasady wyszukujące numery kart kredytowych
    • Zasady innych firm, takie jak zasady, które szukają vontu

  2. Ustaw lokalizację kwarantanny:

    1. W przypadku programu Microsoft 365 SharePoint lub OneDrive dla Firm nie można umieścić plików w kwarantannie administratora w ramach zasad, dopóki nie zostanie on skonfigurowany:ostrzeżenie o kwarantannie.

      Aby ustawić ustawienia kwarantanny administratora, w witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze Ochrona informacji wybierz pozycję Administracja kwarantannie. Podaj lokację lokalizacji folderu kwarantanny i powiadomienie użytkownika, że użytkownik otrzyma, gdy jego plik zostanie poddany kwarantannie. ustawienia kwarantanny.

      Uwaga

      Defender dla Chmury Apps utworzy folder kwarantanny w wybranej witrynie.

    2. W przypadku urządzenia Box nie można dostosować lokalizacji folderu kwarantanny i komunikatu użytkownika. Lokalizacja folderu to dysk administratora, który połączył usługę Box z aplikacjami Defender dla Chmury, a komunikat użytkownika: ten plik został poddany kwarantannie na dysku administratora, ponieważ może to naruszać zasady zabezpieczeń i zgodności firmy. Skontaktuj się z administratorem IT, aby uzyskać pomoc.

Następne kroki

Najlepsze rozwiązania dotyczące ochrony organizacji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.