Политики файлов в приложениях Microsoft Defender для облака

  • Статья

Политики файлов позволяют применять широкий спектр автоматизированных процессов с помощью API поставщика облачных служб. Вы можете настроить в политиках непрерывные проверки соответствия, обнаружение электронных данных в юридических целях, защиту от потери данных для общедоступного конфиденциального содержимого и множество других вариантов использования. Defender для облака Приложения могут отслеживать любой тип файла на основе более чем 20 фильтров метаданных (например, уровня доступа, типа файла).

Список фильтров файлов, которые можно применить, см. в разделе "Фильтры файлов" в приложениях Microsoft Defender для облака.

Поддерживаемые типы файлов

Подсистемы приложений Defender для облака выполняют проверку содержимого путем извлечения текста из всех распространенных типов файлов (100+), включая Office, Open Office, сжатые файлы, различные форматы форматов, XML, HTML и многое другое.

Политики

Подсистема объединяет в каждой политике три аспекта:

  • Проверка содержимого на основе заранее созданных шаблонов или пользовательских выражений.

  • Фильтры контекста, включая роли пользователей, метаданные файлов, уровень совместного использования, интеграцию групп организации, контекст совместной работы и дополнительные настраиваемые атрибуты.

  • Автоматизированные действия по управлению и исправлению.

    Примечание.

    Будет гарантированно применяться только действие управления первой активируемой политики. Например, если политика файлов уже применила метку конфиденциальности к файлу, вторая политика файлов не может применить к ней другую метку конфиденциальности.

После включения политика постоянно проверяет облачную среду, определяет файлы, соответствующие фильтрам содержимого и контекста, и выполняет требуемые автоматические действия. Эти политики обнаруживают и устраняют нарушения для неактивных данных и при создании нового содержимого. Политики можно отслеживать с помощью оповещений в режиме реального времени или отчетов, созданных консолью.

Ниже приведены примеры политик файлов, которые можно создать:

  • Общедоступные файлы. Получайте оповещения о любых общедоступных файлах в облаке, выбрав все файлы, имеющие общедоступный уровень совместного доступа.

  • Общедоступное имя файла содержит имя организации. Получите оповещение о любом файле, содержающем имя вашей организации, и общедоступный доступ. Выберите общедоступные файлы с именем, содержащим название вашей организации.

  • Совместное использование с внешними доменами. Получайте оповещения о любых файлах, которые используются совместно с учетными записями, принадлежащими определенным внешним доменам. Например, файлы, доступные для домена конкурента. Выберите внешний домен, для которого вы хотите ограничить общий доступ.

  • Помещать в карантин файлы в общем доступе, которые не изменились за последний период. Получайте оповещения об общих файлах, которые давно не изменялись, чтобы поместить их на карантин или выбрать автоматическое действие. Исключить все частные файлы, которые не были изменены в указанный диапазон дат. В Google Workspace можно изолировать эти файлы с помощью флажка "Изолировать файл" на странице создания политики.

  • Общий доступ с неавторизованными пользователями. Получайте оповещения о файлах, предоставленных в общий доступ для неавторизованной группы пользователей в организации. Выберите пользователей, для которых доступ не санкционирован.

  • Расширение конфиденциального файла. Получайте оповещения о файлах с определенными расширениями, которые потенциально более уязвимы. Выберите определенное расширение (например, CRT для сертификатов) или имя файла и исключите эти файлы, задав для них частный уровень доступа.

Примечание.

В Defender для облака Apps ограничено 50 политиками файлов.

Создание новой политики файлов

Чтобы создать политику файлов, выполните следующую процедуру:

  1. На портале Microsoft Defender в разделе "Облачные приложения" перейдите к политикам управления> политиками. Перейдите на вкладку Information Protection .

  2. Выберите " Создать политику " и выберите "Политика файлов".

    Create a Information Protection policy.

  3. Назначьте политике имя и описание. При необходимости можно использовать в качестве основы политики шаблон. Дополнительные сведения о шаблонах политик см. в статье Управление облачными приложениями с помощью политик.

  4. Задайте значение для параметра Серьезность политики. Если в Defender for Cloud Apps настроена отправка уведомлений о совпадениях с политикой для определенного уровня серьезности политики, этот уровень будет использоваться для определения того, активируют ли совпадения политики уведомление.

  5. В разделе Категория свяжите политику с наиболее подходящим типом риска. Это поле носит исключительно информационный характер и помогает искать конкретные политики и оповещения по типу риска. Риск уже может быть предварительно выбран в соответствии с категорией, для которой была создана политика. По умолчанию политики файлов настроены для защиты от потери данных.

  6. Создайте фильтр для файлов, для которых будет действовать эта политика, чтобы указать, при обнаружении каких приложений будет срабатывать политика. Сокращайте диапазон фильтров политики до тех пор, пока не будет получен точный набор файлов, на основе которых вы хотите действовать. Используйте максимальную конкретику, чтобы избежать ложных срабатывай. Например, если вы хотите удалить общедоступные разрешения, не забудьте добавить общедоступный фильтр, если вы хотите удалить внешнего пользователя, используйте фильтр External и т. д.

    Примечание.

    При использовании фильтров политики содержит только полные слова, разделенные запятыми, точками, пробелами или подчеркиваниями. Например, при поиске по словам malware или virus файл virus_malware_file.exe будет обнаружен, а файл malwarevirusfile.exe — нет. Если вы ищете malware.exe, то найдите все файлы с вредоносными программами или exe в имени файла, в то время как при поиске "malware.exe" (с кавычками) вы найдете только файлы, содержащие точно "malware.exe". Параметр Равно означает поиск только по полной строке. Например, если вы укажете строку malware.exe, будет найден файл "malware.exe", но файл "malware.exe.txt" найден не будет.

    Дополнительные сведения о фильтрах политики файлов см. в статьях "Фильтры файлов" в приложениях Microsoft Defender для облака.

  7. В разделе " Применить к фильтру" выберите все файлы, за исключением выбранных папок или выбранных папок для Box, SharePoint, Dropbox или OneDrive, где можно применить политику файлов ко всем файлам в приложении или в определенных папках. Вы будете перенаправлены на страницу входа в облачное приложение, где вы сможете добавить соответствующие папки.

  8. Во втором фильтре Применяются к выберите пункт все владельцы файлов, владельцы файлов из выбранных групп или все владельцы файлов, кроме выбранных группы. Затем выберите соответствующие группы пользователей, чтобы определить, какие пользователи и группы должны быть включены в политику.

  9. Выберите Метод проверки содержимого. Вы можете выбрать либо встроенную защиту от потери данных, либо Службу классификации данных. Мы рекомендуем использовать Службу классификации данных.

    После включения проверки содержимого вы можете использовать готовые выражения или найти другие пользовательские выражения.

    Кроме того, можно указать регулярное выражение, чтобы исключить файл из результатов. Этот параметр очень полезен, если у вас есть внутренний стандарт классификации ключевых слов, который вы хотите исключить из политики.

    Можно задать минимальное число нарушений содержимого, которое требуется обнаружить, прежде чем считать сам файл нарушением. Например, вы можете выбрать 10, если хотите получать оповещения о файлах, в которых содержится по крайней мере 10 номеров кредитных карт.

    При совпадении содержимого с выбранным выражением текст нарушения заменяется символами "X". По умолчанию нарушения скрываются и показываются в своем контексте, отображающем 100 символов до и после нарушения. Числа в контексте выражения заменяются символами "#" и не сохраняются в Defender for Cloud Apps. Вы можете выбрать параметр Снять маску последних четырех символов нарушения. Необходимо настроить типы данных для поиска с помощью регулярных выражений: содержимое, метаданные и/или имя файла. По умолчанию выполняется поиск содержимого и метаданных.

  10. Выберите действия системы управления, которые необходимо выполнить Defender для облака приложениям при обнаружении совпадения.

  11. После создания политики его можно просмотреть, отфильтровав тип политики файлов. Вы в любое время можете изменить политику, откалибровать ее фильтры или изменить автоматические действия. Политика автоматически включается при создании и сразу же начинает проверять файлы в облаке. Соблюдайте осторожность при настройке действий системы управления, так как они могут привести к необратимой утрате разрешений на доступ к файлам. Мы рекомендуем сузить действие фильтров с помощью нескольких полей, чтобы они представляли только нужные вам файлы. Чем конкретнее фильтры, тем лучше. Для получения рекомендаций можно использовать кнопку "Изменить и просмотреть результаты" рядом с фильтрами.

    File policy edit and preview results.

  12. Чтобы просмотреть совпадения политики файлов, файлы, которые подозреваются в нарушении политики, перейдите в раздел "Политики -> Управление политиками". Отфильтруйте результаты, чтобы просмотреть только те политики файлов, в начале которых используется фильтр Тип. Дополнительные сведения о совпадениях для каждой политики в столбце Count выберите количество совпадений для политики. Кроме того, выберите три точки в конце строки политики и выберите "Просмотреть все совпадения". Откроется отчет о политике файлов. Перейдите на вкладку "Сопоставление" для просмотра файлов, которые в настоящее время соответствуют политике. Перейдите на вкладку "Журнал" , чтобы просмотреть журнал до шести месяцев файлов, соответствующих политике.

Рекомендации по политике файлов

  1. Избегайте сброса политики файлов (с помощью результатов сброса и повторного применения действий проверка box) в рабочих средах, если это не обязательно, так как это приведет к полному сканированию файлов, охваченных политикой, что может негативно повлиять на производительность.

  2. При применении меток к файлам в определенной родительской папке и ее вложенных папках используйте параметр Apply to ->Selected folder. Затем добавьте каждую из родительских папок.

  3. При применении меток к файлам в определенной папке (за исключением всех вложенных папок) используйте фильтр родительской папки политики файлов с оператором Equals .

  4. Политика файлов быстрее, если используются узкие критерии фильтрации (по сравнению с широкими критериями).

  5. Консолидируйте несколько политик файлов для одной службы (например, SharePoint, OneDrive, Box и т. д.) к одной политике.

  6. При включении мониторинга файлов (на странице Параметры) создайте по крайней мере одну политику файлов. Если политика файлов не существует или отключена в течение семи последовательных дней, мониторинг файлов автоматически различается.

Справочник по политикам файлов

В этом разделе приводятся справочные сведения о политиках, содержащие пояснения по каждому типу политик и полям, которые можно настроить для каждой политики.

Политика файлов — это основанная на API политика, позволяющая управлять содержимым вашей организации в облаке, принимая во внимание более чем 20 фильтров метаданных файлов (включая владельца и уровень совместного использования) и результаты проверки содержимого. На основании результатов политики можно применять действия системы управления. Подсистема проверки содержимого может быть расширена через сторонние подсистемы защиты от потери данных и решения для защиты от вредоносных программ.

Каждая политика состоит из следующих элементов:

  • Фильтры файлов — позволяют подробно задавать условия на основе метаданных.

  • Проверка содержимого — позволяет сузить область действия политики на основе результатов DLP. Вы можете включить свое или предварительно заданное выражение. Можно задать исключения, а также выбрать число совпадений. Вы можете также использовать анонимизацию для маскировки имени пользователя.

  • Действия — политика предоставляет набор действий системы управления, которые могут применяться автоматически при обнаружении нарушений. Эти действия подразделяются на действия совместной работы, действия безопасности и действия анализа.

  • Расширения — проверку содержимого можно выполнять с помощью сторонних модулей для улучшения возможностей защиты от потери данных или от вредоносных программ.

Запросы к файлам

Чтобы сделать анализ еще проще, можно создавать пользовательские запросы и сохранять их для дальнейшего использования.

  1. На странице "Файлы" используйте фильтры, как описано ранее, для детализации приложений по мере необходимости.

  2. После завершения создания запроса нажмите кнопку "Сохранить как" над фильтрами.

  3. Во всплывающем запустите запрос "Сохранить" и присвойте запросу имя.

  4. Чтобы снова воспользоваться этим запросом в будущем, в разделе Запросы прокрутите вниз до пункта Сохраненные запросы и выберите нужный запрос.

Просмотр результатов политик файлов

Вы можете перейти в центр политик для проверки нарушений политики файлов.

  1. На портале Microsoft Defender в разделе "Облачные приложения" перейдите в раздел "Политики ">Управление политиками" и перейдите на вкладку "Защита информации".

  2. Для каждой политики файлов можно просмотреть нарушения политики файлов, выбрав совпадения.
    PCI matches.

  3. Вы можете щелкнуть сам файл для получения сведений о нем.
    PCI content matches.

  4. Например, можно выбрать участников совместной работы, чтобы узнать, кто имеет доступ к этому файлу, и вы можете выбрать "Совпадения ", чтобы просмотреть номера социального страхования. Content matches credit card numbers.

Вебинар защиты информации

Следующие шаги

Рекомендации по защите организации

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.