Filtry plików w aplikacjach Microsoft Defender dla Chmury

  • Artykuł

Aby zapewnić ochronę danych, Microsoft Defender dla Chmury Apps zapewnia wgląd we wszystkie pliki z połączonych aplikacji. Po połączeniu aplikacji Microsoft Defender dla Chmury z aplikacją przy użyciu Łącznik aplikacji usługa Microsoft Defender dla Chmury Apps skanuje wszystkie pliki, na przykład wszystkie pliki przechowywane w usługach OneDrive i Salesforce. Następnie Defender dla Chmury Aplikacje ponownie skanuje każdy plik za każdym razem, gdy jest modyfikowany — modyfikacją może być zawartość, metadane lub uprawnienia do udostępniania. Czasy skanowania zależą od liczby plików przechowywanych w aplikacji. Możesz również użyć strony Pliki, aby odfiltrować pliki i sprawdzić, jakiego typu dane są zapisywane w aplikacjach w chmurze.

Uwaga

Monitorowanie plików powinno być włączone w Ustawienia. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze Ochrona informacji wybierz pozycję Pliki. Wybierz pozycję Włącz monitorowanie plików, a następnie wybierz pozycję Zapisz.
Jeśli nie ma aktywnych zasad dotyczących plików, po upływie siedmiu dni po zakończeniu ostatniego monitorowania plików czasu zakontraktowania pliku zostanie wyłączone.
Jeśli nie ma aktywnych zasad dotyczących plików, po upływie 35 dni od ostatniego czasu zakontraktowania strony plików Defender dla Chmury Aplikacje zaczną usuwać dane przechowywane przez aplikację Defender dla Chmury Apps. Od 20 sierpnia 2023 r. filtr "ostatnio zmodyfikowany przed (dni) będzie przestarzały. Zamiast tego zalecamy użycie opcji "plik przed (data) i kontynuowanie badania według ustalonej daty. Można również użyć badania ręcznego według wartości "zmodyfikowanej przed (data)" — na stronie zasad lub na stronie "pliki".

Przykłady filtrów plików

Na przykład użyj strony Pliki , aby zabezpieczyć zewnętrznie udostępnione pliki oznaczone jako Poufne w następujący sposób:

Po połączeniu aplikacji z usługą Defender dla Chmury Apps zintegruj się z usługą Microsoft Purview Information Protection. Następnie na stronie Pliki przefiltruj pliki z etykietą Poufne i wyklucz domenę w filtrze Współpracownicy. Jeśli zobaczysz, że istnieją poufne pliki udostępnione poza organizacją, możesz utworzyć zasady dotyczące plików w celu ich wykrycia. Możesz zastosować automatyczne akcje ładu do tych plików, takie jak Usuwanie zewnętrznych współpracowników i Wysyłanie skrótu dopasowania zasad do właściciela pliku, aby zapobiec utracie danych w organizacji.

Filtr pliku poufny.

Oto kolejny przykład sposobu używania strony Pliki . Upewnij się, że nikt w organizacji nie udostępnia publicznie ani zewnętrznie plików, które nie zostały zmodyfikowane w ciągu ostatnich sześciu miesięcy:

Połączenie aplikację, aby Defender dla Chmury Aplikacje i przejść do strony Pliki. Filtruj dla plików, których poziom dostępu jest zewnętrzny lub publiczny, i ustaw datę ostatniej modyfikacji na sześć miesięcy temu. Utwórz zasady dotyczące plików, które wykrywają te nieaktualne pliki publiczne, wybierając pozycję Nowe zasady z wyszukiwania. Zastosuj do nich automatyczne akcje nadzoru, takie jak Usuwanie użytkowników zewnętrznych, aby zapobiec utracie danych w organizacji.

Filtr plików nieaktywny zewnętrzny.

Filtr podstawowy udostępnia doskonałe narzędzia pozwalające rozpocząć filtrowanie plików.

Podstawowy filtr dziennika plików.

Aby przejść do szczegółów bardziej szczegółowych plików, możesz rozwinąć podstawowy filtr, wybierając pozycję Filtry zaawansowane.

Zaawansowany filtr dziennika plików.

Filtry plików

Defender dla Chmury Aplikacje mogą monitorować dowolny typ pliku na podstawie ponad 20 filtrów metadanych (na przykład poziomu dostępu, typu pliku).

Aplikacje Defender dla Chmury wbudowane w aparaty DLP przeprowadzają inspekcję zawartości przez wyodrębnianie tekstu z typowych typów plików. Niektóre z dołączonych typów plików to pliki PDF, pliki pakietu Office, RTF, HTML i pliki kodu.

Poniżej znajduje się lista filtrów plików, które mogą być stosowane. Aby zapewnić zaawansowane narzędzie do tworzenia zasad, większość filtrów obsługuje wiele wartości i NOT.

Uwaga

W przypadku używania filtrów zasad plików funkcja Contains wyszukuje tylko pełne wyrazy rozdzielone przecinkami, kropkami, łącznikami lub spacjami do wyszukiwania.

  • Spacje lub łączniki między wyrazami działają jak OR. Jeśli na przykład wyszukasz wirus złośliwego oprogramowania, znajdzie on wszystkie pliki o nazwie złośliwego oprogramowania lub wirusa, więc znajdzie zarówno malware-virus.exe, jak i virus.exe.
  • Jeśli chcesz wyszukać ciąg, obejmij wyrazy znakami cudzysłowu. Te funkcje, takie jak AND. Jeśli na przykład wyszukasz "malware""virus", znajdzievirus-malware-file.exe, ale nie znajdzie malwarevirusfile.exe i nie znajdzie malware.exe. Niemniej funkcja wyszuka dokładny ciąg. Jeśli wyszukasz "wirus złośliwego oprogramowania", nie znajdzie "wirus" ani "wirus-malware".

Równa się wyszukuje tylko pełny ciąg. Jeśli na przykład wyszukasz malware.exe znajdziesz malware.exe, ale nie malware.exe.txt.

  • Poziom dostępu — poziom dostępu do udostępniania; publiczny, zewnętrzny, wewnętrzny lub prywatny.

    • Wewnętrzne — wszystkie pliki w domenach wewnętrznych ustawionych w sekcji Konfiguracja ogólna.
    • Zewnętrzne — wszystkie pliki zapisane w lokalizacjach, które nie należą do ustawionych domen wewnętrznych.
    • Udostępnione — pliki, które mają poziom udostępniania powyżej poziomu prywatnego. Udostępnione obejmuje:

      • Udostępnianie wewnętrzne — pliki udostępnione w domenach wewnętrznych.

      • Udostępnianie zewnętrzne — pliki udostępnione w domenach, które nie są wymienione w domenach wewnętrznych.

      • Publiczny z linkiem — pliki, które mogą być udostępniane wszystkim za pośrednictwem linku.

      • Publiczny — pliki, które można znaleźć, wyszukując w Internecie.

        Uwaga

        Pliki udostępnione aplikacjom połączonego magazynu przez użytkowników zewnętrznych są obsługiwane w następujący sposób przez aplikacje Defender dla Chmury:

        • OneDrive: Usługa OneDrive przypisuje jednego z użytkowników wewnętrznych jako właściciela każdego z plików umieszczanych w usłudze OneDrive przez użytkownika zewnętrznego. Ponieważ te pliki są następnie uznawane za należące do organizacji, Defender dla Chmury Aplikacje skanują te pliki i stosują zasady tak samo jak w przypadku dowolnego innego pliku w usłudze OneDrive.
        • Dysk Google: Dysk Google uważa je za należącego do użytkownika zewnętrznego, a ze względu na ograniczenia prawne dotyczące plików i danych, których organizacja nie posiada, Defender dla Chmury Aplikacje nie mają dostępu do tych plików.
        • Box: Usługa Box traktuje pliki należące do użytkowników zewnętrznych jako informacje prywatne, dlatego administratorzy globalni usługi Box nie widzą zawartości tych plików. Z tego powodu Defender dla Chmury Apps nie ma dostępu do tych plików.
        • Dropbox: Usługa Dropbox traktuje pliki należące do użytkowników zewnętrznych jako informacje prywatne, dlatego administratorzy globalni usługi Dropbox nie widzą zawartości tych plików. Z tego powodu Defender dla Chmury Apps nie ma dostępu do tych plików.

  • Aplikacja — wyszukaj tylko pliki w tych aplikacjach.

  • Współpracownicy — dołączanie/wykluczanie określonych współpracowników lub grup.

    • Dowolny z domeny — jeśli dowolny użytkownik z tej domeny ma bezpośredni dostęp do pliku.

      Uwaga

      • Ten filtr nie obsługuje plików, które zostały udostępnione grupie, tylko określonym użytkownikom.
      • W przypadku programów SharePoint i OneDrive filtr nie obsługuje plików udostępnionych określonemu użytkownikowi za pośrednictwem udostępnionego linku.

    • Cała organizacja — jeśli cała organizacja ma dostęp do pliku.

    • Grupy — jeśli określona grupa ma dostęp do pliku. Grupy mogą zostać zaimportowane z usługi Active Directory, aplikacji w chmurze lub ręcznie utworzone w usłudze.

    • Użytkownicy — określony zestaw użytkowników, którzy mogą mieć dostęp do pliku.

  • Utworzono — czas tworzenia pliku. Filtr obsługuje daty przed/po i zakresie dat.

  • Rozszerzenie — skoncentruj się na określonych rozszerzeniach plików. Na przykład wszystkie pliki wykonywalne (*.exe).

    Uwaga

    • Ten filtr uwzględnia wielkość liter.
    • Użyj klauzuli OR, aby zastosować filtr dla więcej niż jednej odmiany wielkich liter.

  • Identyfikator pliku — wyszukaj określone identyfikatory plików. Identyfikator pliku to zaawansowana funkcja umożliwiająca śledzenie niektórych plików o wysokiej wartości bez zależności od właściciela, lokalizacji lub nazwy.

  • Nazwa pliku — nazwa pliku lub podciąg nazwy zgodnie z definicją w aplikacji w chmurze. Na przykład wszystkie pliki z hasłem w nazwie.

  • Etykieta poufności — wyszukiwanie plików z określonymi etykietami. Etykiety są albo:

    Uwaga

    Jeśli ten filtr jest używany w zasadach dotyczących plików, zasady będą stosowane tylko do plików pakietu Microsoft Office i będą ignorować inne typy plików.

    • Microsoft Purview Information Protection — wymaga integracji z usługą Microsoft Purview Information Protection.
    • Defender dla Chmury Apps — zapewnia lepszy wgląd w pliki, które skanuje. Dla każdego pliku skanowanego przez DLP Defender dla Chmury Apps można sprawdzić, czy inspekcja została zablokowana, ponieważ plik jest zaszyfrowany lub uszkodzony. Można na przykład skonfigurować zasady w celu powiadamiania i kwarantanny plików chronionych hasłem, które są udostępniane zewnętrznie.
      • Azure RMS encrypted — pliki, których zawartość nie została sprawdzona, ponieważ mają zestaw szyfrowania usługi Azure RMS.
      • Hasło zaszyfrowane — pliki, których zawartość nie została sprawdzona, ponieważ są chronione hasłem przez użytkownika.
      • Uszkodzony plik — pliki, których zawartość nie została sprawdzona, ponieważ nie można odczytać ich zawartości.

  • Typ pliku — Defender dla Chmury Aplikacje skanuje plik w celu określenia, czy prawdziwy typ pliku jest zgodny z odebraną typem MIME (patrz tabela) z usługi. To skanowanie dotyczy plików, które są istotne do skanowania danych (dokumenty, obrazy, prezentacje, arkusze kalkulacyjne, tekst i pliki zip/archiwum). Filtr działa na typ pliku/folderu. Na przykład Wszystkie foldery, które są ... lub Wszystkie pliki arkusza kalkulacyjnego, które są...

    Typ MIME Typ pliku
    - application/vnd.openxmlformats-officedocument.wordprocessingml.document
    - application/vnd.ms-word.document.macroEnabled.12
    - application/msword
    - application/vnd.oasis.opendocument.text
    - application/vnd.stardivision.writer
    - application/vnd.stardivision.writer-global
    - application/vnd.sun.xml.writer
    - application/vnd.stardivision.math
    - application/vnd.stardivision.chart
    - application/x-starwriter
    - application/x-stardraw
    - application/x-starmath
    - application/x-starchart
    - application/vnd.google-apps.document
    - application/vnd.google-apps.kix
    - application/pdf
    - application/x-pdf
    - application/vnd.box.webdoc
    - application/vnd.box.boxnote
    - application/vnd.jive.document
    - tekst/rtf
    - application/rtf    		 Dokument
    - application/vnd.oasis.opendocument.image
    - application/vnd.google-apps.photo
    - rozpoczyna się od: image/    		 Obraz
    - application/vnd.openxmlformats-officedocument.presentationml.presentation
    - application/vnd.ms-powerpoint.template.macroEnabled.12
    - application/mspowerpoint
    - aplikacja/powerpoint
    - application/vnd.ms-powerpoint
    - application/x-mspowerpoint
    - application/mspowerpoint
    - application/vnd.ms-powerpoint
    - application/vnd.oasis.opendocument.presentation
    - application/vnd.sun.xml.impress
    - application/vnd.stardivision.impress
    - application/x-starimpress
    - application/vnd.google-apps.presentation    		 Prezentacja
    - application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
    - application/vnd.ms-excel.sheet.macroEnabled.12
    - aplikacja/excel
    - application/vnd.ms-excel
    - application/x-excel
    - application/x-msexcel
    - application/vnd.oasis.opendocument.spreadsheet
    — application/vnd.sun.xml.calc
    - application/vnd.stardivision.calc
    - application/x-starcalc
    - application/vnd.google-apps.spreadsheet    		 Arkusza kalkulacyjnego
    - rozpoczyna się od: text/ Text
    Wszystkie inne typy MIME plików Inne

    policy_file typ filtrów.

  • W koszu — wykluczanie/dołączanie plików do folderu kosza. Te pliki mogą nadal być udostępniane i stanowić ryzyko.

    policy_file filtruje kosz.

  • Ostatnia modyfikacja — czas modyfikacji pliku. Filtr obsługuje daty, zakres dat i wyrażenia czasu względnego. Na przykład wszystkie pliki, które nie zostały zmodyfikowane w ciągu ostatnich sześciu miesięcy.

  • Dopasowane zasady — pliki zgodne z aktywnymi zasadami Defender dla Chmury Apps.

  • Typ MIME — sprawdzanie typu MIME pliku. Akceptuje on dowolny tekst.

  • Właściciel — dołączanie/wykluczanie określonych właścicieli plików. Na przykład śledź wszystkie pliki udostępnione przez rogue_employee_#100.

  • Jednostka organizacyjna właściciela — dołączanie lub wykluczanie właścicieli plików należących do określonych jednostek organizacyjnych. Na przykład wszystkie pliki publiczne z wyjątkiem plików współużytkowanych przez EMEA_marketing. Dotyczy tylko plików przechowywanych na dysku Google.

  • Folder nadrzędny — dołączanie lub wykluczanie określonego folderu (nie dotyczy podfolderów). Na przykład wszystkie publicznie udostępnione pliki z wyjątkiem plików w tym folderze.

    Uwaga

    Defender dla Chmury Apps wykrywa tylko nowe foldery programu SharePoint i usługi OneDrive po wykonaniu niektórych działań plików.

  • Poddane kwarantannie — jeśli plik został poddany kwarantannie przez usługę. Na przykład pokaż mi wszystkie pliki poddane kwarantannie.

Podczas tworzenia zasad można również ustawić ją tak, aby była uruchamiana dla określonych plików, ustawiając filtr Zastosuj do . Filtruj do wszystkich plików, wybranych folderów (dołączonych podfolderów) lub wszystkich plików z wyłączeniem wybranych folderów. Następnie wybierz odpowiednie pliki lub foldery.

zastosuj do filtru.

Autoryzowanie plików

Po zidentyfikowaniu plików Defender dla Chmury Apps jako stwarzania złośliwego oprogramowania lub ryzyka DLP zalecamy zbadanie plików. Jeśli określisz, że pliki są bezpieczne, możesz je autoryzować. Autoryzowanie pliku usuwa go z raportu wykrywania złośliwego oprogramowania i pomija przyszłe dopasowania w tym pliku.

Aby autoryzować pliki

  1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze wybierz pozycję Zasady —> zarządzanie zasadami. Wybierz kartę Ochrona informacji .

  2. Na liście zasad w wierszu, w którym są wyświetlane zasady, które wyzwoliły badanie, w kolumnie Liczba wybierz link dopasowania .

    Napiwek

    Listę zasad można filtrować według typu. W poniższej tabeli wymieniono typ ryzyka, który ma być używany przez typ filtru:

    Typ ryzyka Typ filtru
    DLP Zasady dotyczące pliku
    Złośliwe oprogramowanie Zasady wykrywania złośliwego oprogramowania

  3. Na liście pasowanych plików w wierszu, w którym pojawia się plik w trakcie badania, wybierz pozycję √ do autoryzowania.

Praca z szufladą pliku

Więcej informacji na temat każdego pliku można wyświetlić, wybierając sam plik w dzienniku plików. Wybranie go powoduje otwarcie szuflady plik, która udostępnia następujące dodatkowe akcje, które można wykonać w pliku:

  • ADRES URL — umożliwia przejście do lokalizacji pliku.
  • Identyfikatory plików — otwiera wyskakujące okienko z nieprzetworzonymi danymi dotyczącymi pliku, w tym identyfikatorem pliku i kluczami szyfrowania, gdy są dostępne.
  • Właściciel — wyświetl stronę użytkownika dla właściciela tego pliku.
  • Dopasowane zasady — zobacz listę zasad pasowanych do pliku.
  • Etykiety poufności — wyświetl listę etykiet poufności z usługi Microsoft Purview Information Protection znalezionej w tym pliku. Następnie możesz filtrować dane według wszystkich plików zgodnych z tą etykietą.

Pola w Szufladzie pliku zapewniają kontekstowe linki do dodatkowych plików i pozwalają na przejście do szczegółowych działań, które można wykonać bezpośrednio z szuflady. Jeśli na przykład przeniesiesz kursor obok pola Właściciel , możesz użyć ikony dodaj do filtru. "dodaj do filtru", aby natychmiast dodać właściciela do filtru bieżącej strony. Możesz również użyć ikony ikona ustawień. koła zębatego ustawień, która pojawia się bezpośrednio na stronie ustawień niezbędnej do zmodyfikowania konfiguracji jednego z pól, takich jak etykiety poufności.

Szuflada plików.

Aby uzyskać listę dostępnych akcji zarządzania, zobacz File governance actions (Akcje nadzoru plików).

Następne kroki

Najlepsze rozwiązania dotyczące ochrony organizacji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.