Dela via


Självstudie: Skydda filer med administratörskarantän

Filprinciper är ett bra verktyg för att hitta hot mot dina informationsskyddsprinciper. Skapa till exempel filprinciper som hittar platser där användare lagrade känslig information, kreditkortsnummer och ICAP-filer från tredje part i molnet.

I den här självstudien får du lära dig hur du använder Microsoft Defender för molnappar för att identifiera oönskade filer som lagras i molnet som gör dig sårbar och vidta omedelbara åtgärder för att stoppa dem i deras spår och låsa de filer som utgör ett hot med hjälp av administratörskarantän för att skydda dina filer i molnet, åtgärda problem, och förhindra att framtida läckor inträffar.

Viktigt!

Från och med den 1 september 2024 kommer vi att föråldrade sidan Filer från Microsoft Defender för Cloud Apps. Då skapar och ändrar du Information Protection-principer och hittar filer för skadlig kod från sidan Principhantering > för molnappar>. Mer information finns i Filprinciper i Microsoft Defender för molnappar.

Förstå hur karantän fungerar

Kommentar

  • En lista över appar som stöder administratörskarantän finns i listan över styrningsåtgärder.
  • Filer som är märkta med Defender för Cloud Apps kan inte placeras i karantän.
  • Defender for Cloud Apps-administratörens karantänåtgärder är begränsade till 100 åtgärder per dag.
  • Sharepoint-webbplatser som har bytt namn direkt eller som en del av domänbytet kan inte användas som en mappplats för administratörskarantän.
  1. När en fil matchar en princip blir alternativet Administratörs karantän tillgängligt för filen.

  2. Gör någon av följande åtgärder för att placera filen i karantän:

    • Tillämpa karantänåtgärden Admin manuellt:

      karantänåtgärd.

    • Ange den som en automatisk karantänåtgärd i principen:

      karantän automatiskt.

  3. När administratörens karantän tillämpas sker följande i bakgrunden:

    1. Den ursprungliga filen flyttas till den administratörskarantänmapp som du har angett.

    2. Den ursprungliga filen tas bort.

    3. En tombstone-fil laddas upp till den ursprungliga filplatsen.

      karantän tombstone.

    4. Användaren kan bara komma åt tombstone-filen. I filen kan de läsa de anpassade riktlinjerna som tillhandahålls av IT och korrelations-ID:t för att ge IT att släppa filen.

  4. När du får aviseringen om att en fil har placerats i karantän går du till Principer> Principhantering. Välj sedan fliken InformationSskydd . På raden med filprincipen väljer du de tre punkterna i slutet av raden och väljer Visa alla matchningar. Detta ger dig rapporten över matchningar, där du kan se de matchande och karantänfilerna:

    Filer i karantän.

  5. När en fil har placerats i karantän använder du följande process för att åtgärda hotsituationen:

    1. Granska filen i mappen i karantän på SharePoint online.
    2. Du kan också titta på granskningsloggarna för att fördjupa dig i filegenskaperna.
    3. Om du upptäcker att filen är emot företagets princip kör du organisationens IR-process (Incident Response).
    4. Om du upptäcker att filen är ofarlig kan du återställa filen från karantänen. Då släpps den ursprungliga filen, vilket innebär att den kopieras tillbaka till den ursprungliga platsen, gravstenen tas bort och användaren kan komma åt filen.

    karantänåterställning.

  6. Kontrollera att principen körs smidigt. Sedan kan du använda de automatiska styrningsåtgärderna i principen för att förhindra ytterligare läckor och automatiskt tillämpa en administratörskarantän när principen matchas.

Kommentar

När du återställer en fil:

  • Ursprungliga resurser återställs inte, standardmapparv tillämpas.
  • Den återställde filen innehåller endast den senaste versionen.
  • Åtkomsthantering för karantänmappen är kundens ansvar.

Konfigurera administratörskarantän

  1. Ange filprinciper som identifierar överträdelser. Exempel på dessa typer av principer är:

    • En princip för endast metadata, till exempel en känslighetsetikett i SharePoint Online
    • En intern DLP-princip, till exempel en princip som söker efter kreditkortsnummer
    • En ICAP-princip från tredje part, till exempel en princip som söker efter Vontu
  2. Ange en karantänplats:

    1. För Microsoft 365 SharePoint eller OneDrive för företag kan du inte placera filer i administratörskarantän som en del av en princip förrän du har konfigurerat den: karantänvarning.

      Om du vill ange inställningar för administratörskarantän går du till Microsoft Defender-portalen och väljer Inställningar. Välj sedan Cloud Apps. Under Information Protection väljer du Administratörs karantän. Ange en plats för karantänmappens plats och ett användarmeddelande som användaren får när filen sätts i karantän. karantäninställningar.

      Kommentar

      Defender för Cloud Apps skapar en karantänmapp på den valda platsen.

    2. För Box går det inte att anpassa platsen för karantänmappen och användarmeddelandet. Mappplatsen är enheten för administratören som anslöt Box till Defender for Cloud Apps och användarmeddelandet är: Den här filen sattes i karantän på administratörens enhet eftersom den kan bryta mot företagets säkerhets- och efterlevnadsprinciper. Kontakta IT-administratören om du vill ha hjälp.

Nästa steg

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.