Изучение файлов с помощью приложений Microsoft Defender для облака
Чтобы обеспечить защиту данных, Microsoft Defender для облака Приложения позволяют просматривать все файлы из подключенных приложений. После подключения Microsoft Defender для облака Приложений к приложению с помощью соединитель приложений Microsoft Defender для облака Приложения сканируют все файлы, например все файлы, хранящиеся в OneDrive и Salesforce. Затем Defender для облака приложения повторно сканирует каждый файл при каждом изменении. Изменение может быть контентом, метаданными или разрешениями для общего доступа. Время сканирования зависит от числа файлов, хранящихся в приложении. Вы также можете фильтровать файлы для изучения данных, сохраненных в облачных приложениях, на странице Файлы.
Внимание
Начиная с 1 сентября 2024 г. мы не рекомендуем использовать страницу "Файлы" из Microsoft Defender для облака Приложения. На этом этапе создайте и измените политики Information Protection и найдите файлы вредоносных программ на странице управления политиками политик > облачных приложений>. Дополнительные сведения см. в разделе "Политики файлов" в приложениях Microsoft Defender для облака.
Включение мониторинга файлов
Чтобы включить мониторинг файлов для приложений Defender для облака, сначала включите мониторинг файлов в области параметров. На портале Microsoft Defender выберите "Параметры>cloud Apps>Information Protection>Files>", чтобы включить мониторинг файлов.>
- Если активные политики файлов отсутствуют, через семь дней после последнего времени взаимодействия с файлами мониторинг файлов автоматически отключается.
- Если активные политики файлов отсутствуют, через 35 дней после последнего времени взаимодействия с файлами, Defender для облака Приложения начинают удалять все данные, поддерживаемые Defender для облака приложениями о хранимых файлах.
Примеры фильтров файлов
Например, используйте страницу "Файлы" для защиты внешних общих файлов, помеченных как конфиденциальные, следующим образом:
После подключения приложения к приложениям Defender для облака интегрируйтесь с Защита информации Microsoft Purview. Затем на странице "Файлы" отфильтруйте файлы с меткой "Конфиденциальный" и исключите домен в фильтре "Сотрудники". Если вы увидите конфиденциальные файлы, доступ к которым предоставлен за пределами организации, можно создать политику файлов для их обнаружения. Вы можете автоматически применять к таким файлам действия по управлению, например Удалить внешних участников и Отправка дайджеста соответствий политике владельцу файла, чтобы предотвратить потерю данных в организации.
Вот еще один пример того, как можно использовать страницу Файлы. Если вы хотите, чтобы сотрудники в вашей организации не могли предоставлять файлы, которые не изменялись за последние шесть месяцев, людям за пределами организации,
Подключите приложение к Defender для облака приложениям и перейдите на страницу "Файлы". Отфильтруйте файлы с уровнем доступа Внешний или Общедоступный и задайте дату последнего изменения на шесть месяцев в прошлом. Создайте политику файлов, которая обнаруживает эти устаревшие общедоступные файлы, выбрав новую политику из поиска. Настройте автоматическое применение к таким файлам действий по управлению, например Удалить внешних пользователей, чтобы предотвратить потерю данных в организации.
В базовом фильтре доступны удобные инструменты, с помощью которых можно приступить к фильтрации файлов.
Чтобы детализировать более конкретные файлы, можно развернуть базовый фильтр, выбрав дополнительные фильтры.
Фильтры файлов
Defender для облака Приложения могут отслеживать любой тип файла на основе более чем 20 фильтров метаданных (например, уровня доступа, типа файла).
Приложения Defender для облака, встроенные в подсистемы защиты от потери данных, выполняют проверку содержимого путем извлечения текста из распространенных типов файлов. К таким типам относятся, помимо прочего, PDF, файлы Office, RTF, HTML и файлы кода.
Ниже приведен список доступных фильтров файлов. Чтобы предоставить мощный инструмент для создания политики, большинство фильтров поддерживают несколько значений и NOT.
Примечание.
При использовании фильтров политики файлов содержит поиск только полных слов , разделенных запятыми, точками, дефисом или пробелами для поиска.
- Пробелы или дефисы между словами, такими как OR. Например, если вы ищете вирус вредоносных программ, он найдет все файлы с вредоносными программами или вирусом в имени, поэтому он найдет как malware-virus.exe, так и virus.exe.
- Если вы хотите найти строку, заключите слова в кавычки. Такие функции, как AND. Например, если вы ищете "вредоносные программы" "вирус", он найдет virus-malware-file.exe, но он не найдет malwarevirusfile.exe, и он не найдет malware.exe. Поиск по ним позволит найти только точную строку. Если вы ищете "вирус вредоносных программ", он не будет находить "вирус" или "вирус-вредоносные программы".
Равные будут искать только полную строку. Например, при поиске malware.exe он найдет malware.exe, но не malware.exe.txt.
Уровень доступа — уровень совместного доступа: общий, внешний, внутренний или закрытый.
- Внутренний — все файлы во внутренних доменах, указанных в ходе общей настройки.
- Внешний — все файлы, сохраненные в расположениях, которые не относятся к настроенным внутренним доменам.
- Общий — файлы, уровень общего доступа которых выше закрытого. Общие включает:
внутренний общий доступ — файлы, общий доступ к которым предоставляется в пределах внутренних доменов;
внешний общий доступ — файлы, общий доступ к которым предоставляется в доменах, не относящихся к внутренним;
открытый доступ по ссылке — файлы, общий доступ к которым можно предоставить кому угодно с помощью ссылки;
открытый доступ — файлы, которые можно найти, выполнив поиск в Интернете.
Примечание.
Файлы, общие для подключенных приложений хранилища внешними пользователями, обрабатываются следующим образом: Defender для облака Приложения:
- OneDrive: OneDrive назначает внутреннего пользователя владельцем любого файла, помещаемого в ваше хранилище OneDrive внешним пользователем. Так как эти файлы считаются принадлежащими вашей организации, Defender для облака приложения сканируют эти файлы и применяют политики, как и к любому другому файлу в OneDrive.
- Google Drive: Google Drive считает, что они принадлежат внешнему пользователю, и из-за юридических ограничений на файлы и данные, которыми ваша организация не владеет, Defender для облака Приложения не имеют доступа к этим файлам.
- Box: так как в Box файлы, принадлежащие внешним пользователям, считаются личной информацией, глобальные администраторы Box не могут просматривать их содержимое. По этой причине Defender для облака приложения не имеют доступа к этим файлам.
- Dropbox: так как в Dropbox файлы, принадлежащие внешним пользователям, считаются личными сведениями, глобальные администраторы Dropbox не могут просматривать их содержимое. По этой причине Defender для облака приложения не имеют доступа к этим файлам.
Приложение — поиск файлов только в указанных приложениях.
Участники совместной работы— включение или исключение определенных участников или групп.
Любой из домена — если у любого пользователя из этого домена есть прямой доступ к файлу.
Примечание.
- Этот фильтр не поддерживает файлы, которыми предоставили общий доступ к группе, только с определенными пользователями.
- Для SharePoint и OneDrive фильтр не поддерживает общий доступ к файлам с определенным пользователем через общую ссылку.
Вся организация — если у всей организации есть доступ к файлу.
Группы — если конкретная группа имеет доступ к файлу. Группы можно импортировать из Active Directory, облачных приложений или создать вручную в службе.
Примечание.
- Этот фильтр используется для поиска группы участников совместной работы в целом. Он не соответствует отдельным членам группы.
Пользователи — определенный набор пользователей, которые могут иметь доступ к файлу.
Создано — время создания файла. Фильтр поддерживает значения до и после наступления указанной даты, а также диапазон дат.
Расширение — обработка только файлов с определенными расширениями. Например, все файлы, которые являются исполняемыми файлами (*.exe).
Примечание.
- Этот фильтр учитывает регистр.
- Используйте предложение OR, чтобы применить фильтр к более чем одному варианту прописи.
Идентификатор файла — поиск определенных идентификаторов файлов. Идентификатор файла — это расширенная функция, которая позволяет отслеживать определенные высокозначные файлы без зависимости от владельца, расположения или имени.
Имя файла — имя файла или подстрока имени, как определено в облачном приложении. Например, все файлы с паролем в имени.
Метка конфиденциальности — поиск файлов с определенным набором меток. Это могут быть перечисленные ниже метки.
Примечание.
Если этот фильтр используется в политике файлов, политика будет применяться только к файлам Microsoft Office и будет игнорировать другие типы файлов.
- Защита информации Microsoft Purview . Требуется интеграция с Защита информации Microsoft Purview.
- Defender для облака приложения — предоставляет дополнительные сведения о файлах, которые он сканирует. Для каждого файла, сканированного Defender для облака Apps DLP, можно узнать, заблокирована ли проверка, так как файл зашифрован или поврежден. Например, можно настроить политики для оповещений и файлов, защищенных паролем в карантине, которые используются внешним образом.
- Зашифрованные с помощью Azure RMS — файлы, содержимое которых не было проверено, так как к ним применяется шифрование с помощью Azure RMS.
- Защищенные паролем — файлы, содержимое которых не было проверено, так как пользователь применил к ним защиту паролем.
- Поврежденный файл — файлы, содержимое которых не было проверено, так как его не удалось прочитать.
Тип файла — Defender для облака Приложения сканируют файл, чтобы определить, соответствует ли истинный тип файла полученному типу MIME (см. таблицу) из службы. Проверяются только файлы, для которых такая проверка имеет смысл (документы, изображения, презентации, электронные таблицы, текстовые файлы и архивы). Фильтр применяется по типу файла или папки, Например, все папки, которые являются ... или все файлы электронной таблицы...
тип MIME Тип файла — application/vnd.openxmlformats-officedocument.wordprocessingml.document
— application/vnd.ms-word.document.macroEnabled.12
— application/msword
— application/vnd.oasis.opendocument.text
— application/vnd.stardivision.writer
— application/vnd.stardivision.writer-global
— application/vnd.sun.xml.writer
— application/vnd.stardivision.math
— application/vnd.stardivision.chart
— application/x-starwriter
— application/x-stardraw
— application/x-starmath
- application/x-starchart
— application/vnd.google-apps.document
— application/vnd.google-apps.kix
— application/pdf
— application/x-pdf
— application/vnd.box.webdoc
— application/vnd.box.boxnote
— application/vnd.jive.document
- text/rtf
— application/rtfДокумент — application/vnd.oasis.opendocument.image
- application/vnd.google-apps.photo
- начинается с: image/Изображения — application/vnd.openxmlformats-officedocument.presentationml.presentationml.presentation
— application/vnd.ms-powerpoint.template.macroEnabled.12
— application/mspowerpoint
— application/powerpoint
— application/vnd.ms-powerpoint
— application/x-mspowerpoint
— application/mspowerpoint
— application/vnd.ms-powerpoint
— application/vnd.oasis.opendocument.presentation
— application/vnd.sun.xml.impress
— application/vnd.stardivision.impress
— application/x-starimpress
— application/vnd.google-apps.presentationПрезентация — application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
— application/vnd.ms-excel.sheet.macroEnabled.12
— application/excel
— application/vnd.ms-excel
— application/x-excel
— application/x-msexcel
— application/vnd.oasis.opendocument.spreadsheet
— application/vnd.sun.xml.calc
— application/vnd.stardivision.calc
— application/x-starcalc
— application/vnd.google-apps.spreadsheetЭлектронная таблица - начинается с: text/ Текст Все остальные типы MIME файлов Другие В корзине — исключение или включение файлов в папку корзины. Эти файлы по-прежнему находятся в общем доступе и представляют угрозу.
Примечание.
Этот фильтр не применяется к файлам в SharePoint и OneDrive.
Последний измененный — время изменения файла. Фильтр поддерживает значения до и после наступления указанной даты, диапазон дат и относительные выражения времени, например, все файлы, которые не были изменены в течение последних шести месяцев.
Соответствующая политика — файлы, которые соответствуют активной политике Defender для облака Apps.
Тип MIME — проверка типа MIME файла. Он принимает бесплатный текст.
Владелец — включение или исключение владельцев определенных файлов, Например, отслеживайте все файлы, к которым предоставлен доступ rogue_employee_#100.
Подразделение владельца— включение или исключение владельцев файлов, принадлежащих определенным подразделениям. Например, все общедоступные файлы, кроме файлов, общих EMEA_marketing. Это относится только к файлам, сохраненным на Google Диске.
Родительская папка — включить или исключить определенную папку (не применяется к вложенным папкам). например, все общедоступные файлы, кроме файлов в этой папке.
Примечание.
Defender для облака приложения обнаруживают только новые папки SharePoint и OneDrive после выполнения некоторых действий с файлами.
В карантине — если файл помещен в карантин службой. Например, покажите мне все файлы, которые помещаются в карантин.
При создании политики его можно также настроить для запуска в определенных файлах, задав фильтр Apply to filter. Фильтруйте все файлы, выбранные папки (включенные вложенные папки ) или все файлы, за исключением выбранных папок. Затем выберите необходимые файлы или папки.
Авторизация файлов
После того как Defender для облака приложения определили файлы как риск вредоносных программ или защиты от потери данных, рекомендуется исследовать файлы. Если вы определяете, что файлы безопасны, их можно авторизовать. Авторизация файла удаляет его из отчета об обнаружении вредоносных программ и подавляет будущие совпадения в этом файле.
Авторизация файлов
На портале Microsoft Defender в разделе "Облачные приложения" выберите "Политики ">Управление политиками". Выберите вкладку Защита информации.
В списке политик в строке, в которой отображается политика, активировавшая расследование, в столбце Count выберите ссылку на совпадения.
Совет
Список политик можно отфильтровать по типу. В следующей таблице перечислены тип риска, тип фильтра для которого требуется использовать:
Тип риска Тип фильтра Защита от потери данных Политика файлов Вредоносная программа Политика обнаружения вредоносных программ В списке сопоставленных файлов в строке, в которой отображается файл под расследованием, выберите ✓ для авторизации.
Работа с контейнером файлов
Дополнительные сведения о каждом файле можно просмотреть, выбрав сам файл в журнале файлов. При выборе откроется панель файлов, которая предоставляет следующие дополнительные действия, которые можно выполнить в файле:
- URL-адрес: переход в расположение файла;
- Идентификаторы файлов — открывает всплывающее окно с необработанными данными о файле, включая идентификатор файла и ключи шифрования, когда они доступны.
- Владелец: открытие страницы со сведениями о владельце файла;
- Соответствующие политики: открытие списка политик, соответствующих файлу.
- Метки конфиденциальности— просмотрите список меток конфиденциальности из Защита информации Microsoft Purview, найденных в этом файле. После можно отфильтровать все файлы, соответствующие конкретной метке.
Поля в контейнере файлов содержат контекстные ссылки на дополнительные файлы и предоставляют возможность детализации непосредственно в контейнере. Например, при перемещении курсора рядом с полем "Владелец " можно использовать значок "Добавить для фильтрации", чтобы сразу добавить владельца в фильтр текущей страницы. Вы также можете использовать значок параметров, который появится, чтобы прибыть непосредственно на страницу параметров, необходимую для изменения конфигурации одного из полей, таких как метки конфиденциальности.
Список действий управления см. в статье Действия системы управления файлами.
Следующие шаги
Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.