Фильтры файлов в приложениях Microsoft Defender для облака

Статья
10/20/2023

Чтобы обеспечить защиту данных, Microsoft Defender для облака Приложения позволяют просматривать все файлы из подключенных приложений. После подключения Microsoft Defender для облака Приложений к приложению с помощью соединитель приложений Microsoft Defender для облака Приложения сканируют все файлы, например все файлы, хранящиеся в OneDrive и Salesforce. Затем Defender для облака приложения повторно сканирует каждый файл при каждом изменении. Изменение может быть контентом, метаданными или разрешениями для общего доступа. Время сканирования зависит от числа файлов, хранящихся в приложении. Вы также можете фильтровать файлы для изучения данных, сохраненных в облачных приложениях, на странице Файлы.

Примечание.

Мониторинг файлов должен быть включен в Параметры. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения". В разделе Information Protection выберите "Файлы". Выберите "Включить мониторинг файлов" и нажмите кнопку "Сохранить".
Если нет активных политик файлов, то через семь дней после последнего мониторинга времени взаимодействия с файлами страницы будут отключены.
Если нет активных политик файлов, то через 35 дней после последнего времени взаимодействия с файлами, Defender для облака Приложения начнут удалять данные, которые Defender для облака Приложения хранятся в этих сохраненных файлах. Начиная с 20 августа 2023 года фильтр "последний изменен до (дней) будет устарел. Вместо этого мы рекомендуем использовать файл до (даты) и продолжить расследование по фиксированной дате, вы также можете использовать "ручное" исследование по "изменено до даты)" в разделе "страница политики" или "страница файлов".

Примеры фильтров файлов

Например, используйте страницу "Файлы" для защиты внешних общих файлов, помеченных как конфиденциальные, следующим образом:

После подключения приложения к приложениям Defender для облака интегрируйтесь с Защита информации Microsoft Purview. Затем на странице "Файлы" отфильтруйте файлы с меткой "Конфиденциальный" и исключите домен в фильтре "Сотрудники". Если вы увидите конфиденциальные файлы, доступ к которым предоставлен за пределами организации, можно создать политику файлов для их обнаружения. Вы можете автоматически применять к таким файлам действия по управлению, например Удалить внешних участников и Отправка дайджеста соответствий политике владельцу файла, чтобы предотвратить потерю данных в организации.

Конфиденциальный фильтр файлов.

Вот еще один пример того, как можно использовать страницу Файлы. Если вы хотите, чтобы сотрудники в вашей организации не могли предоставлять файлы, которые не изменялись за последние шесть месяцев, людям за пределами организации,

Подключение приложение для Defender для облака приложений и перейдите на страницу "Файлы". Отфильтруйте файлы с уровнем доступа Внешний или Общедоступный и задайте дату последнего изменения на шесть месяцев в прошлом. Создайте политику файлов, которая обнаруживает эти устаревшие общедоступные файлы, выбрав новую политику из поиска. Настройте автоматическое применение к таким файлам действий по управлению, например Удалить внешних пользователей, чтобы предотвратить потерю данных в организации.

Фильтр файла устаревший внешний.

В базовом фильтре доступны удобные инструменты, с помощью которых можно приступить к фильтрации файлов.

Базовый фильтр журнала файлов.

Чтобы детализировать более конкретные файлы, можно развернуть базовый фильтр, выбрав дополнительные фильтры.

Расширенный фильтр журнала файлов.

Фильтры файлов

Defender для облака Приложения могут отслеживать любой тип файла на основе более чем 20 фильтров метаданных (например, уровня доступа, типа файла).

Приложения Defender для облака, встроенные в подсистемы защиты от потери данных, выполняют проверку содержимого путем извлечения текста из распространенных типов файлов. К таким типам относятся, помимо прочего, PDF, файлы Office, RTF, HTML и файлы кода.

Ниже приведен список доступных фильтров файлов. Чтобы предоставить мощный инструмент для создания политики, большинство фильтров поддерживают несколько значений и NOT.

Примечание.

При использовании фильтров политики файлов содержит поиск только полных слов , разделенных запятыми, точками, дефисом или пробелами для поиска.

Пробелы или дефисы между словами, такими как OR. Например, если вы ищете вредоносный вирус, он найдет все файлы с вредоносными программамиили вирусом в имени, поэтому он найдет как malware-virus.exe, так и virus.exe.
Если вы хотите найти строку, заключите слова в кавычки. Такие функции, как AND. Например, если вы ищете "вредоносные программы", он найдет virus-malware-file.exe, но он не найдет malwarevirusfile.exe, и он не найдет malware.exe. Поиск по ним позволит найти только точную строку. Если вы ищете "вирус вредоносных программ", он не будет находить "вирус" или "вирус-вредоносные программы".

Равные будут искать только полную строку. Например, при поиске malware.exe он найдет malware.exe, но не malware.exe.txt.

Уровень доступа — уровень совместного доступа: общий, внешний, внутренний или закрытый.
- Внутренний — все файлы во внутренних доменах, указанных в ходе общей настройки.
- Внешний — все файлы, сохраненные в расположениях, которые не относятся к настроенным внутренним доменам.
- Общий — файлы, уровень общего доступа которых выше закрытого. Общие включает:
  - внутренний общий доступ — файлы, общий доступ к которым предоставляется в пределах внутренних доменов;
  - внешний общий доступ — файлы, общий доступ к которым предоставляется в доменах, не относящихся к внутренним;
  - открытый доступ по ссылке — файлы, общий доступ к которым можно предоставить кому угодно с помощью ссылки;
  - открытый доступ — файлы, которые можно найти, выполнив поиск в Интернете.
    Примечание.
    
    Файлы, общие для подключенных приложений хранилища внешними пользователями, обрабатываются следующим образом: Defender для облака Приложения:
    - OneDrive: OneDrive назначает внутреннего пользователя владельцем любого файла, помещаемого в ваше хранилище OneDrive внешним пользователем. Так как эти файлы считаются принадлежащими вашей организации, Defender для облака приложения сканируют эти файлы и применяют политики, как и к любому другому файлу в OneDrive.
    - Google Drive: Google Drive считает, что они принадлежат внешнему пользователю, и из-за юридических ограничений на файлы и данные, которыми ваша организация не владеет, Defender для облака Приложения не имеют доступа к этим файлам.
    - Box: так как в Box файлы, принадлежащие внешним пользователям, считаются личной информацией, глобальные администраторы Box не могут просматривать их содержимое. По этой причине Defender для облака приложения не имеют доступа к этим файлам.
    - Dropbox: так как в Dropbox файлы, принадлежащие внешним пользователям, считаются личными сведениями, глобальные администраторы Dropbox не могут просматривать их содержимое. По этой причине Defender для облака приложения не имеют доступа к этим файлам.
Приложение — поиск файлов только в указанных приложениях.
Участники совместной работы— включение или исключение определенных участников или групп.
- Любой из домена — если у любого пользователя из этого домена есть прямой доступ к файлу.
  Примечание.
  - Этот фильтр не поддерживает файлы, которыми предоставили общий доступ к группе, только с определенными пользователями.
  - Для SharePoint и OneDrive фильтр не поддерживает общий доступ к файлам с определенным пользователем через общую ссылку.
- Вся организация — если у всей организации есть доступ к файлу.
- Группы — если конкретная группа имеет доступ к файлу. Группы можно импортировать из Active Directory, облачных приложений или создать вручную в службе.
- Пользователи — определенный набор пользователей, которые могут иметь доступ к файлу.
Создано — время создания файла. Фильтр поддерживает значения до и после наступления указанной даты, а также диапазон дат.
Расширение — обработка только файлов с определенными расширениями. Например, все файлы, которые являются исполняемыми файлами (*.exe).
Примечание.
- Этот фильтр учитывает регистр.
- Используйте предложение OR, чтобы применить фильтр к более чем одному варианту прописи.
Идентификатор файла — поиск определенных идентификаторов файлов. Идентификатор файла — это расширенная функция, которая позволяет отслеживать определенные высокозначные файлы без зависимости от владельца, расположения или имени.
Имя файла — имя файла или подстрока имени, как определено в облачном приложении. Например, все файлы с паролем в имени.
Метка конфиденциальности — поиск файлов с определенным набором меток. Это могут быть перечисленные ниже метки.

Примечание.

Если этот фильтр используется в политике файлов, политика будет применяться только к файлам Microsoft Office и будет игнорировать другие типы файлов.
- Защита информации Microsoft Purview . Требуется интеграция с Защита информации Microsoft Purview.
- Defender для облака приложения — предоставляет дополнительные сведения о файлах, которые он сканирует. Для каждого файла, сканированного Defender для облака Apps DLP, можно узнать, заблокирована ли проверка, так как файл зашифрован или поврежден. Например, можно настроить политики для оповещений и файлов, защищенных паролем в карантине, которые используются внешним образом.
  - Зашифрованные с помощью Azure RMS — файлы, содержимое которых не было проверено, так как к ним применяется шифрование с помощью Azure RMS.
  - Защищенные паролем — файлы, содержимое которых не было проверено, так как пользователь применил к ним защиту паролем.
  - Поврежденный файл — файлы, содержимое которых не было проверено, так как его не удалось прочитать.

Тип файла — Defender для облака Приложения сканируют файл, чтобы определить, соответствует ли истинный тип файла полученному типу MIME (см. таблицу) из службы. Проверяются только файлы, для которых такая проверка имеет смысл (документы, изображения, презентации, электронные таблицы, текстовые файлы и архивы). Фильтр применяется по типу файла или папки, Например, все папки, которые являются ... или все файлы электронной таблицы...

тип MIME	Тип файла
— application/vnd.openxmlformats-officedocument.wordprocessingml.document — application/vnd.ms-word.document.macroEnabled.12 — application/msword — application/vnd.oasis.opendocument.text — application/vnd.stardivision.writer — application/vnd.stardivision.writer-global — application/vnd.sun.xml.writer — application/vnd.stardivision.math — application/vnd.stardivision.chart — application/x-starwriter — application/x-stardraw — application/x-starmath - application/x-starchart — application/vnd.google-apps.document — application/vnd.google-apps.kix — application/pdf — application/x-pdf — application/vnd.box.webdoc — application/vnd.box.boxnote — application/vnd.jive.document - text/rtf — application/rtf	Документ
— application/vnd.oasis.opendocument.image - application/vnd.google-apps.photo - начинается с: image/	Изображения
— application/vnd.openxmlformats-officedocument.presentationml.presentationml.presentation — application/vnd.ms-powerpoint.template.macroEnabled.12 — application/mspowerpoint — application/powerpoint — application/vnd.ms-powerpoint — application/x-mspowerpoint — application/mspowerpoint — application/vnd.ms-powerpoint — application/vnd.oasis.opendocument.presentation — application/vnd.sun.xml.impress — application/vnd.stardivision.impress — application/x-starimpress — application/vnd.google-apps.presentation	Презентация
— application/vnd.openxmlformats-officedocument.spreadsheetml.sheet — application/vnd.ms-excel.sheet.macroEnabled.12 — application/excel — application/vnd.ms-excel — application/x-excel — application/x-msexcel — application/vnd.oasis.opendocument.spreadsheet — application/vnd.sun.xml.calc — application/vnd.stardivision.calc — application/x-starcalc — application/vnd.google-apps.spreadsheet	Электронная таблица
- начинается с: text/	Текст
Все остальные типы MIME файлов	Другие

тип фильтров policy_file.

В корзине — исключение или включение файлов в папку корзины. Эти файлы по-прежнему находятся в общем доступе и представляют угрозу.
Последний измененный — время изменения файла. Фильтр поддерживает значения до и после наступления указанной даты, диапазон дат и относительные выражения времени, например, все файлы, которые не были изменены в течение последних шести месяцев.
Соответствующая политика — файлы, которые соответствуют активной политике Defender для облака Apps.
Тип MIME — тип MIME файла проверка. Он принимает бесплатный текст.
Владелец — включение или исключение владельцев определенных файлов, Например, отслеживайте все файлы, к которым предоставлен доступ rogue_employee_#100.
Подразделение владельца— включение или исключение владельцев файлов, принадлежащих определенным подразделениям. Например, все общедоступные файлы, кроме файлов, общих EMEA_marketing. Это относится только к файлам, сохраненным на Google Диске.
Родительская папка — включить или исключить определенную папку (не применяется к вложенным папкам). например, все общедоступные файлы, кроме файлов в этой папке.

Примечание.

Defender для облака приложения обнаруживают только новые папки SharePoint и OneDrive после выполнения некоторых действий с файлами.
В карантине — если файл помещен в карантин службой. Например, покажите мне все файлы, которые помещаются в карантин.

При создании политики его можно также настроить для запуска в определенных файлах, задав фильтр Apply to filter. Фильтруйте все файлы, выбранные папки (включенные вложенные папки ) или все файлы, за исключением выбранных папок. Затем выберите необходимые файлы или папки.

применяется к фильтру.

Авторизация файлов

После того как Defender для облака приложения определили файлы как риск вредоносных программ или защиты от потери данных, рекомендуется исследовать файлы. Если вы определяете, что файлы безопасны, их можно авторизовать. Авторизация файла удаляет его из отчета об обнаружении вредоносных программ и подавляет будущие совпадения в этом файле.

Авторизация файлов

На портале Microsoft Defender в разделе "Облачные приложения" выберите "Политики ">Управление политиками". Выберите вкладку Защита информации.

В списке политик в строке, в которой отображается политика, активировавшая расследование, в столбце Count выберите ссылку на совпадения.

Совет

Список политик можно отфильтровать по типу. В следующей таблице перечислены тип риска, тип фильтра для которого требуется использовать:

Тип риска	Тип фильтра
Защита от потери данных	Политика файлов
Вредоносная программа	Политика обнаружения вредоносных программ

В списке сопоставленных файлов в строке, в которой отображается файл под расследованием, выберите ✓ для авторизации.

Работа с контейнером файлов

Дополнительные сведения о каждом файле можно просмотреть, выбрав сам файл в журнале файлов. При выборе откроется панель файлов, которая предоставляет следующие дополнительные действия, которые можно выполнить в файле:

URL-адрес: переход в расположение файла;
Идентификаторы файлов — открывает всплывающее окно с необработанными данными о файле, включая идентификатор файла и ключи шифрования, когда они доступны.
Владелец: открытие страницы со сведениями о владельце файла;
Соответствующие политики: открытие списка политик, соответствующих файлу.
Метки конфиденциальности— просмотрите список меток конфиденциальности из Защита информации Microsoft Purview, найденных в этом файле. После можно отфильтровать все файлы, соответствующие конкретной метке.

Поля в контейнере файлов содержат контекстные ссылки на дополнительные файлы и предоставляют возможность детализации непосредственно в контейнере. Например, при перемещении курсора рядом с полем "Владелец " можно использовать значок "Добавить для фильтрации", чтобы сразу добавить владельца в фильтр текущей страницы. Вы также можете использовать значок параметров, который появится, чтобы прибыть непосредственно на страницу параметров, необходимую для изменения конфигурации одного из полей, таких как метки конфиденциальности.