Udostępnij za pośrednictwem

Samouczek: ochrona plików za pomocą kwarantanny administratora

  • Artykuł

Zasady dotyczące plików to doskonałe narzędzie do znajdowania zagrożeń dla zasad ochrony informacji. Na przykład utwórz zasady dotyczące plików, które znajdują miejsca, w których użytkownicy przechowywali poufne informacje, numery kart kredytowych i pliki ICAP innych firm w chmurze.

W tym samouczku dowiesz się, jak za pomocą usługi Microsoft Defender dla Chmury Apps wykrywać niechciane pliki przechowywane w chmurze, które pozostawiają cię podatnymi na zagrożenia, i podejmować natychmiastowe działania, aby zatrzymać je w ich śladach i zablokować pliki, które stanowią zagrożenie przy użyciu kwarantanny administratora w celu ochrony plików w chmurze, korygowania problemów i zapobiegania przyszłym wyciekom.

Ważne

Od 1 września 2024 r. wycofamy stronę Pliki z Microsoft Defender dla Chmury Apps. W tym momencie utwórz i zmodyfikuj zasady usługi Information Protection oraz znajdź pliki złośliwego oprogramowania na stronie Zarządzanie zasadami zasad w > chmurze>. Aby uzyskać więcej informacji, zobacz Zasady plików w usłudze Microsoft Defender dla Chmury Apps.

Informacje o sposobie działania kwarantanny

Uwaga

  • Aby uzyskać listę aplikacji obsługujących kwarantannę administratora, zobacz listę akcji ładu.
  • Pliki oznaczone etykietą Defender dla Chmury Apps nie mogą być poddane kwarantannie.
  • Defender dla Chmury Akcje kwarantanny administratora aplikacji są ograniczone do 100 akcji dziennie.
  • Witryny programu SharePoint, których nazwa została zmieniona bezpośrednio lub w ramach zmiany nazwy domeny, nie mogą być używane jako lokalizacja folderu dla kwarantanny administratora.

  1. Gdy plik jest zgodny z zasadami, opcja Kwarantanna administratora będzie dostępna dla pliku.

  2. Wykonaj jedną z następujących czynności, aby poddać plik kwarantannie:

    • Ręcznie zastosuj akcję kwarantanny administratora:

      akcja kwarantanny.

    • Ustaw ją jako automatyczną akcję kwarantanny w zasadach:

      automatycznie poddaj kwarantannie.

  3. Po zastosowaniu kwarantanny administratora w tle występują następujące elementy:

    1. Oryginalny plik zostanie przeniesiony do ustawionego folderu kwarantanny administratora.

    2. Oryginalny plik zostaje usunięty.

    3. Plik grobowca jest przekazywany do oryginalnej lokalizacji pliku.

      nagrobek kwarantanny.

    4. Użytkownik może uzyskać dostęp tylko do pliku grobowca. W pliku mogą odczytywać niestandardowe wytyczne dostarczone przez it i identyfikator korelacji, aby nadać IT wydanie pliku.

  4. Po otrzymaniu alertu, że plik został poddany kwarantannie, przejdź do pozycji Zasady —> Zarządzanie zasadami. Następnie wybierz kartę Information Protection . W wierszu z zasadami plików wybierz trzy kropki na końcu wiersza, a następnie wybierz pozycję Wyświetl wszystkie dopasowania. Spowoduje to wyświetlenie raportu dopasowań, w którym można zobaczyć pasujące i poddane kwarantannie pliki:

    Pliki poddane kwarantannie.

  5. Po kwarantannie pliku użyj następującego procesu, aby skorygować sytuację zagrożenia:

    1. Sprawdź plik w folderze poddanej kwarantannie w usłudze SharePoint Online.
    2. Możesz również przejrzeć dzienniki inspekcji, aby szczegółowo zapoznać się z właściwościami pliku.
    3. Jeśli okaże się, że plik jest powiązany z zasadami firmowymi, uruchom proces reagowania na zdarzenia (IR) organizacji.
    4. Jeśli okaże się, że plik jest nieszkodliwy, możesz przywrócić plik z kwarantanny. W tym momencie oryginalny plik jest zwalniany, co oznacza, że jest kopiowany z powrotem do oryginalnej lokalizacji, grób jest usuwany, a użytkownik może uzyskać dostęp do pliku.

    przywracanie kwarantanny.

  6. Sprawdź, czy zasady działają bezproblemowo. Następnie możesz użyć automatycznych akcji ładu w zasadach, aby zapobiec dalszym wyciekom i automatycznie zastosować kwarantannę administratora po dopasowaniu zasad.

Uwaga

Podczas przywracania pliku:

  • Oryginalne udziały nie są przywracane, stosowane jest domyślne dziedziczenie folderów.
  • Przywrócony plik zawiera tylko najnowszą wersję.
  • Zarządzanie dostępem do witryny folderu kwarantanny jest obowiązkiem klienta.

Konfigurowanie kwarantanny administratora

  1. Ustaw zasady dotyczące plików, które wykrywają naruszenia. Przykłady tych typów zasad obejmują:

    • Zasady dotyczące metadanych, takie jak etykieta poufności w usłudze SharePoint Online
    • Natywne zasady DLP, takie jak zasady wyszukujące numery kart kredytowych
    • Zasady innych firm, takie jak zasady, które szukają vontu

  2. Ustaw lokalizację kwarantanny:

    1. W przypadku programu Microsoft 365 SharePoint lub OneDrive dla Firm nie można umieścić plików w kwarantannie administratora w ramach zasad, dopóki nie zostanie on skonfigurowany:ostrzeżenie o kwarantannie.

      Aby ustawić ustawienia kwarantanny administratora, w witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze Information Protection wybierz pozycję Kwarantanna administratora. Podaj lokację lokalizacji folderu kwarantanny i powiadomienie użytkownika, że użytkownik otrzyma, gdy jego plik zostanie poddany kwarantannie. ustawienia kwarantanny.

      Uwaga

      Defender dla Chmury Apps utworzy folder kwarantanny w wybranej witrynie.

    2. W przypadku urządzenia Box nie można dostosować lokalizacji folderu kwarantanny i komunikatu użytkownika. Lokalizacja folderu to dysk administratora, który połączył usługę Box z aplikacjami Defender dla Chmury, a komunikat użytkownika: ten plik został poddany kwarantannie na dysku administratora, ponieważ może to naruszać zasady zabezpieczeń i zgodności firmy. Skontaktuj się z administratorem IT, aby uzyskać pomoc.

Następne kroki

Najlepsze rozwiązania dotyczące ochrony organizacji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.