Dela via

Filprinciper i Microsoft Defender for Cloud Apps

Med filprinciper kan du framtvinga en mängd olika automatiserade processer med hjälp av molnleverantörens API:er. Principer kan anges för att tillhandahålla kontinuerliga efterlevnadsgenomsökningar, juridiska eDiscovery-uppgifter, DLP (dataförlustskydd) för känsligt innehåll som delas offentligt och många fler användningsfall. Defender for Cloud Apps kan övervaka alla filtyper baserat på fler än 20 metadatafilter. Till exempel åtkomstnivå och filtyp.

Filtyper som stöds

Defender for Cloud Apps motorer utför innehållsgranskning genom att extrahera text från (100+) vanliga filtyper som Office, Öppna Office, komprimerade filer, olika RTF-format, XML, HTML med mera.

Policyer

Motorn kombinerar tre aspekter under varje princip:

  • Innehållsgenomsökning baserat på förinställda mallar eller anpassade uttryck.

  • Kontextfilter som användarroller, filmetadata, delningsnivå, organisationsgruppintegrering, samarbetskontext och ytterligare anpassningsbara attribut.

  • Automatiserade åtgärder för styrning och reparation.

    Obs!

    Endast styrningsåtgärden för den första utlösta principen kommer garanterat att tillämpas. Om en filprincip till exempel har en känslighetsetikett tillämpad på en fil kan en andra filprincip inte tillämpa en annan känslighetsetikett på den.

När den har aktiverats genomsöker principen kontinuerligt din molnmiljö och identifierar filer som matchar innehållet och kontextfiltren och tillämpar de begärda automatiserade åtgärderna. Dessa principer identifierar och åtgärdar eventuella överträdelser för vilande information eller när nytt innehåll skapas. Principer kan övervakas med hjälp av realtidsaviseringar eller med hjälp av konsolgenererade rapporter.

Följande är exempel på filprinciper som kan skapas:

  • Offentligt delade filer – Få en avisering om alla filer i molnet som delas offentligt genom att välja alla filer vars delningsnivå är offentlig.

  • Offentligt delat filnamn innehåller organisationens namn – Ta emot en avisering om alla filer som innehåller organisationens namn och som delas offentligt. Välj filer med ett filnamn som innehåller namnet på din organisation och som delas offentligt.

  • Dela med externa domäner – Få en avisering om alla filer som delas med konton som ägs av specifika externa domäner. Till exempel filer som delas med en konkurrents domän. Välj den externa domän som du vill begränsa delning med.

  • Placera delade filer i karantän som inte har ändrats under den senaste perioden – Ta emot en avisering om delade filer som ingen har ändrat nyligen, för att sätta dem i karantän eller välja att aktivera en automatiserad åtgärd. Undanta alla privata filer som inte ändrades under ett angivet datumintervall. På Google Workspace kan du välja att placera filerna i karantän med kryssrutan "karantänfil" på sidan för att skapa principer.

  • Dela med obehöriga användare – Få en avisering om filer som delas med en obehörig grupp användare i din organisation. Välj de användare för vilka delning inte är tillåten.

  • Känsligt filnamnstillägg – Få en avisering om filer med specifika tillägg som är mycket exponerade. Välj det specifika tillägget (till exempel crt för certifikat) eller filnamnet och exkludera dessa filer med privat delningsnivå.

Skapa en ny filprincip

Följ den här proceduren om du vill skapa en ny filprincip:

  1. I Microsoft Defender-portalen går du till Principer –>Principhantering under Cloud Apps. Välj fliken Information Protection.

  2. Välj Skapa princip och välj Filprincip.

    Skapa en Information Protection princip.

  3. Ge principen ett namn och en beskrivning. Du kan också basera den på en mall. Mer information om principmallar finns i Kontrollera molnappar med principer.

  4. Tilldela principen allvarlighetsgrad för en princip. Om Defender for Cloud Apps har konfigurerats för att skicka meddelanden baserat på en viss allvarlighetsgrad för principen avgör den här nivån om matchningar för principen utlöser ett meddelande.

  5. Välj en kategori och länka principen till den lämpligaste risktypen. Det här fältet är endast informativt och hjälper dig att söka efter specifika principer och aviseringar senare, baserat på risktyp. Risken kan redan vara förvald enligt den kategori som du valde att skapa principen för. Som standard är filprinciper inställda på DLP.

  6. Skapa ett filter för de filer som den här principen ska agera på för att ange vilka identifierade appar som utlöser den här principen. Begränsa principfiltren tills du når en korrekt uppsättning filer som du vill agera på. Var så restriktiv som möjligt för att undvika falska positiva identifieringar. Om du till exempel vill ta bort offentliga behörigheter ska du komma ihåg att lägga till det offentliga filtret. Om du vill ta bort en extern användare använder du filtret "Extern" och så vidare.

    Obs!

    Filprincipen"Contains"-filtret söker bara efter fullständiga ord. Dessa ord måste avgränsas med skiljetecken som kommatecken, punkter, bindestreck eller blanksteg.

    • Blanksteg eller bindestreck mellan ord fungerar som OR. Om du till exempel söker efter "malware virus" hittar den alla filer med antingen skadlig kod eller virus i namnet, så att det hittar både malware-virus.exe och virus.exe.
    • Om du vill söka efter en sträng omger du orden inom citattecken. Det här fungerar som AND. Om du till exempel söker efter "skadlig kod" "virus" hittar den virus-malware-file.exe men hittar inte malwarevirusfile.exe och hittar inte malware.exe. Den söker dock efter den exakta strängen. Om du söker efter "malware virus" hittar den inte "virus" eller "virus-malware". \
    • Lika med söker bara efter den fullständiga strängen. Om du till exempel söker efter malware.exe hittas malware.exe men inte malware.exe.txt.

  7. Under filtret Använd för väljer du antingen alla filer, alla filer exklusive valda mappar eller valda mappar för Box, SharePoint, Dropbox eller OneDrive. Med den här inställningen kan du framtvinga filprincipen för alla filer i appen eller i specifika mappar. Sedan uppmanas du att logga in på molnappen och lägga till relevanta mappar.

    Skärmbild som visar var du kan tillämpa filprinciper, till exempel på alla filer eller valda mappar

  8. Under filtret Välj användargrupper väljer du antingen alla filägare, filägare från valda användargrupper eller alla filägare exklusive valda grupper. Välj sedan relevanta användargrupper för att avgöra vilka användare och grupper som ska ingå i principen.

  9. Välj innehållsgranskningsmetod. Vi rekommenderar att du använder dataklassificeringstjänsterna.

    När innehållsgranskning har aktiverats kan du välja att använda förinställda uttryck eller söka efter andra anpassade uttryck.

    Dessutom kan du ange ett reguljärt uttryck för att undanta en fil från resultaten. Det här alternativet är mycket användbart om du har en nyckelordsstandard för inre klassificering som du vill undanta från principen.

    Du kan ange det minsta antalet innehållsöverträdelser som du vill matcha innan filen betraktas som en överträdelse. Du kan till exempel välja 10 om du vill bli varnad för filer med minst 10 kreditkortsnummer i innehållet.

    När innehållet matchas mot det valda uttrycket ersätts överträdelsetexten med "X"-tecken. Som standard maskeras överträdelser och visas i deras kontext med 100 tecken före och efter överträdelsen. Tal i uttryckets kontext ersätts med "#"-tecken och lagras aldrig i Defender for Cloud Apps. Du kan välja alternativet att Avmaska de sista fyra tecknen i en överträdelse för att avmaskering av de sista fyra tecknen i själva överträdelsen. Det är nödvändigt att ange vilka datatyper som det reguljära uttrycket söker efter: innehåll, metadata och/eller filnamn. Som standard söker den igenom innehållet och metadata.

  10. Välj de styrningsåtgärder som du vill att Defender for Cloud Apps ska vidta när en matchning identifieras.

  11. När du har skapat principen kan du visa den genom att filtrera efter typ av filprincip . Du kan alltid redigera en princip, kalibrera dess filter eller ändra de automatiserade åtgärderna. Principen aktiveras automatiskt när den skapas och börjar genomsöka dina molnfiler omedelbart. Var extra försiktig när du anger styrningsåtgärder, de kan leda till oåterkallelig förlust av åtkomstbehörigheter till dina filer. Vi rekommenderar att du begränsar filtren för att exakt representera de filer som du vill agera på med hjälp av flera sökfält. Desto smalare filter, desto bättre. För vägledning kan du använda knappen Redigera och förhandsgranska resultat bredvid filtren.

    Redigera filprincip och förhandsgranska resultat.

  12. Om du vill visa filprincipmatchningar går du till Principer –>Principhantering. Filtrera resultaten så att endast filprinciperna visas med hjälp av typfiltret högst upp. Om du vill ha mer information om matchningarna för varje princip går du till kolumnen Antal och väljer antalet matchningar för en princip. Du kan också välja de tre punkterna i slutet av raden för en princip och välja Visa alla matchningar. Då öppnas filprinciprapporten. Välj fliken Matchande nu för att se filer som för närvarande matchar principen. Välj fliken Historik för att se en historik tillbaka till upp till sex månader med filer som matchade principen.

Begränsningar

  • Du är begränsad till 50 filprinciper i Defender for Cloud Apps.

  • När du skapar eller redigerar en filprincip, eller använder alternativet Redigera och förhandsgranska resultat, finns det en begränsning av frågestorleken för att upprätthålla prestanda och förhindra systemöverbelastning. Om du stöter på ett frågestorleksfel kan du prova att ta bort ett filter i taget för att isolera problemet. Börja med filtret "medarbetare", särskilt om det innehåller breda grupper som "alla" eller "alla utom externa användare", som är mer benägna att överskrida frågegränsen.

Metodtips för filprincip

  1. Undvik att återställa filprincipen med hjälp av kryssrutan Återställ resultat och tillämpa åtgärder igen i produktionsmiljöer om det inte är nödvändigt. Om du gör det initieras en fullständig genomsökning av alla filer som omfattas av principen, vilket kan påverka prestanda negativt.

  2. När du tillämpar etiketter på filer i en specifik överordnad mapp och dess undermappar använder du alternativet Tillämpa på ->Valda mappar . Lägg sedan till var och en av de överordnade mapparna.

  3. När du tillämpar etiketter på filer i en specifik mapp (exklusive eventuella undermappar) använder du filprincipfiltret Överordnad mapp med operatorn Lika med.

  4. Filprincipen går snabbare när smala filtreringsvillkor används (jämfört med breda kriterier).

  5. Konsolidera flera filprinciper för samma tjänst (till exempel SharePoint, OneDrive, Box och så vidare) till en enda princip.

  6. När du aktiverar filövervakning (från sidan Inställningar ) skapar du minst en filprincip. När det inte finns någon filprincip eller är inaktiverad i sju dagar i följd kan filövervakningen identifieras automatiskt.

Referens för filprincip

Det här avsnittet innehåller referensinformation om principer, som ger förklaringar för varje principtyp och de fält som kan konfigureras för varje princip.

En filprincip är en API-baserad princip som gör att du kan styra organisationens innehåll i molnet, med hänsyn till över 20 filmetadatafilter (inklusive ägare och delningsnivå) och resultat av innehållsgranskning. Baserat på principresultaten kan styrningsåtgärder tillämpas. Innehållsgranskningsmotorn kan utökas via DLP-motorer från tredje part och lösningar mot skadlig kod.

Varje princip består av följande delar:

  • Filfilter – Gör att du kan skapa detaljerade villkor baserat på metadata.

  • Innehållsgranskning – Gör att du kan begränsa principen baserat på DLP-motorns resultat. Du kan inkludera ett anpassat uttryck eller ett förinställt uttryck. Undantag kan anges och du kan välja antalet matchningar. Du kan också använda maskering för att maskera användarnamnet.

  • Åtgärder – Principen innehåller en uppsättning styrningsåtgärder som kan tillämpas automatiskt när överträdelser hittas. Dessa åtgärder är indelade i samarbetsåtgärder, säkerhetsåtgärder och undersökningsåtgärder.

  • Tillägg – Innehållsgranskning kan utföras via tredjepartsmotorer för bättre DLP- eller anti-malware-funktioner.

Visa filprincipresultat

Du kan gå till Principcenter för att granska överträdelser av filprinciper.

  1. I Microsoft Defender-portalen går du till Principer –>Principhantering under Cloud Apps och väljer sedan fliken Informationsskydd.

  2. För varje filprincip kan du se överträdelser av filprincipen genom att välja matchningarna.

    Skärmbild av exempel på principmatchningar.

  3. Du kan välja själva filen för att få information om filerna.

    Skärmbild av exempel på principinnehållsmatchningar.

  4. Du kan till exempel välja Medarbetare för att se vem som har åtkomst till den här filen, och du kan välja Matchningar för att se personnummer.

    Innehållet matchar personnummer.

Filfilter

Med filfilter kan du tillämpa specifika kriterier på dina filprinciper och fokusera på filer som uppfyller villkor som filtyp, åtkomstnivå och delningsstatus. Detta inkluderar filtyper som PDF, Office-filer, RTF, HTML och kodfiler.

Nedan visas en lista över de filfilter som kan tillämpas:

Skärmbild som visar olika filtyper

Åtkomstnivå – Dela åtkomstnivå; offentliga, externa, interna eller privata.

  • Internt – Alla filer i de interna domäner som du angav i Allmän konfiguration.
  • Extern – alla filer som sparas på platser som inte finns inom de interna domäner som du anger.
  • Delad – filer som har en delningsnivå över privat. Delade inkluderar:
    • Intern delning – Filer som delas inom dina interna domäner.
    • Extern delning – Filer som delas i domäner som inte visas i dina interna domäner.
    • Offentlig med en länk – Filer som kan delas med vem som helst via en länk.
    • Public – Filer som kan hittas genom att söka på Internet.

Obs!

Filer som delas i dina anslutna lagringsappar av externa användare hanteras på följande sätt av Defender for Cloud Apps:

  • OneDrive: OneDrive tilldelar en intern användare som ägare till en fil som placeras i din OneDrive av en extern användare. Eftersom dessa filer sedan betraktas som ägda av din organisation genomsöker Defender for Cloud Apps dessa filer och tillämpar principer som de gör på andra filer i OneDrive.
  • Google Drive: Google Drive anser att dessa filer ägs av den externa användaren. På grund av juridiska begränsningar för filer och data som din organisation inte äger har Defender for Cloud Apps inte åtkomst till dessa filer.
  • Låda: Eftersom Box anser att externt ägda filer är privat information kan globala Administratörer i Box inte se innehållet i filerna. Därför har Defender for Cloud Apps inte åtkomst till dessa filer.
  • Dropbox: Eftersom Dropbox anser att externt ägda filer är privat information kan dropbox globala administratörer inte se innehållet i filerna. Därför har Defender for Cloud Apps inte åtkomst till dessa filer.

  • App – Sök bara efter filer i dessa appar.

  • Medarbetare – Inkludera/exkludera specifika medarbetare eller grupper.

  • Alla från domäner – om någon användare från den här domänen har direkt åtkomst till filen.

Obs!

  • Det här filtret stöder inte filer som har delats med en grupp, endast med specifika användare.
  • Det här filtret stöder inte filer som delas med en specifik användare via en delad länk för SharePoint och OneDrive.

  • Hela organisationen – om hela organisationen har åtkomst till filen.

  • Grupper – Om en specifik grupp har åtkomst till filen. Grupper kan importeras från Active Directory, molnappar eller skapas manuellt i tjänsten.

Obs!

  • Det här filtret används för att söka efter en grupp med samarbetspartner som helhet. Den matchar inte för enskilda gruppmedlemmar.

  • Användare – Vissa uppsättningar användare som kan ha åtkomst till filen.

  • Skapad – tiden då filen skapades. Filtret stöder före/efter-datum och ett datumintervall.

  • Extension – Fokusera på specifika filnamnstillägg. Till exempel alla filer som är körbara filer (*.exe). Det här filtret är skiftlägeskänsligt. Använd OR-satsen för att tillämpa filtret på mer än en enda versalvariant.

  • Fil-ID – Sök efter specifika fil-ID:t. Fil-ID är en avancerad funktion som gör att du kan spåra vissa filer med högt värde utan beroende av ägare, plats eller namn.

  • Filnamn – Filnamn eller understräng för namnet enligt definitionen i molnappen. Till exempel alla filer med ett lösenord i namnet.

  • Känslighetsetikett – Sök efter filer med specifika etiketter inställda. Om det här filtret används i en filprincip gäller principen endast för Microsoft Office-filer och ignorerar andra filtyper. Etiketterna omfattar:

    • Microsoft Purview Information Protection – Kräver integrering med Microsoft Purview Information Protection.
    • Defender for Cloud Apps – Ger mer insikt i de filer som genomsöks. För varje fil som genomsöks av Defender for Cloud Apps DLP kan du veta om inspektionen har blockerats eftersom filen är krypterad eller skadad. Du kan till exempel konfigurera principer för att avisera och sätta lösenordsskyddade filer i karantän som delas externt.
      • Azure RMS krypterad – filer vars innehåll inte inspekterades eftersom de har en Azure RMS-krypteringsuppsättning.
      • Lösenord krypterat – filer vars innehåll inte har inspekterats eftersom de är lösenordsskyddade av användaren.
      • Skadad fil – Filer vars innehåll inte kontrollerades eftersom innehållet inte kunde läsas.

  • Filtyp – Defender for Cloud Apps söker igenom filen för att avgöra om den sanna filtypen matchar den MIME-typ som tas emot (se tabell) från tjänsten. Den här genomsökningen är för filer som är relevanta för datagenomsökning (dokument, bilder, presentationer, kalkylblad, text och zip-/arkivfiler). Filtret fungerar per fil-/mapptyp. Till exempel Alla mappar som är ... eller Alla kalkylbladsfiler som är...

MIME-typ Filtyp
- application/vnd.openxmlformats-officedocument.wordprocessingml.document
- application/vnd.ms-word.document.macroEnabled.12
- application/msword
- application/vnd.oasis.opendocument.text
- application/vnd.stardivision.writer
- application/vnd.stardivision.writer-global
- application/vnd.sun.xml.writer
- application/vnd.stardivision.math
- application/vnd.stardivision.chart
- application/x-starwriter
- application/x-stardraw
- program/x-starmath
- application/x-starchart
– application/vnd.google-apps.document
- application/vnd.google-apps.kix
- program/pdf
- program/x-pdf
- application/vnd.box.webdoc
- application/vnd.box.boxnote
– application/vnd.jive.document
- text/rtf
- program/rtf		 Dokument
- application/vnd.oasis.opendocument.image
- application/vnd.google-apps.photo
- börjar med: image/		 Bild
- application/vnd.openxmlformats-officedocument.presentationml.presentation
- application/vnd.ms-powerpoint.template.macroEnabled.12
– application/mspowerpoint
– program/powerpoint
– application/vnd.ms-powerpoint
– application/x-mspowerpoint
– application/mspowerpoint
– application/vnd.ms-powerpoint
- application/vnd.oasis.opendocument.presentation
- application/vnd.sun.xml.impress
- application/vnd.stardivision.impress
- application/x-starimpress
– application/vnd.google-apps.presentation		 Presentation
- application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
- application/vnd.ms-excel.sheet.macroEnabled.12
– program/excel
- application/vnd.ms-excel
- application/x-excel
- application/x-msexcel
- application/vnd.oasis.opendocument.spreadsheet
- application/vnd.sun.xml.calc
- application/vnd.stardivision.calc
- application/x-starcalc
– application/vnd.google-apps.spreadsheet		 Kalkylblad
- börjar med: text/ Text
Alla andra MIME-filtyper Övrigt
  • I papperskorgen – Undanta/inkludera filer i papperskorgen. Dessa filer kan fortfarande delas och utgöra en risk. Det här filtret gäller inte för filer på SharePoint och OneDrive.

Skärmbild som visar flera filtertyper för filprinciper

  • Senast ändrad – filändringstid. Filtret stöder före och efter datum, datumintervall och relativa tidsuttryck. Till exempel alla filer som inte har ändrats under de senaste sex månaderna.

  • Matchad princip – filer som matchas av en aktiv Defender for Cloud Apps princip.

  • MIME-typ – Mime-typkontroll (File Multipurpose Internet Mail Extensions). Den accepterar fritext.

  • Ägare – Inkludera/exkludera specifika filägare. Spåra till exempel alla filer som delas av rogue_employee_#100.

  • Organisationsenhet för ägare – Inkludera eller exkludera filägare som tillhör vissa organisationsenheter. Till exempel alla offentliga filer utom filer som delas av EMEA_marketing. Gäller endast för filer som lagras i Google Drive.

  • Överordnad mapp – Inkludera eller exkludera en specifik mapp (gäller inte för undermappar). Till exempel alla offentligt delade filer förutom filer i den här mappen.

    Obs!

    Defender for Cloud Apps identifierar bara nya SharePoint- och OneDrive-mappar när någon filaktivitet inträffar i dem.

  • I karantän – om filen har placerats i karantän av tjänsten. Visa till exempel alla filer som har placerats i karantän.

Auktorisera filer

När Defender for Cloud Apps identifierar filer som en skadlig kod eller DLP-risk rekommenderar vi att du undersöker filerna. Om du bedömer att filerna är säkra kan du auktorisera dem. Auktorisering av en fil tar bort den från rapporten för identifiering av skadlig kod och undertrycker framtida matchningar i den här filen.

Auktorisera filer

  1. I Microsoft Defender-portalen går du till Cloud Apps och väljer Principer –>Principhantering. Välj fliken Informationsskydd .

  2. I listan över principer, på raden där principen som utlöste undersökningen visas, väljer du länken matchningar i kolumnen Antal.

    Tips

    Du kan filtrera listan över principer efter typ. I följande tabell visas, per risktyp, vilken filtertyp som ska användas:

    Risktyp Filtertyp
    DLP Filprincip
    Skadlig kod Princip för identifiering av skadlig kod

  3. I listan över matchade filer, på den rad där filen under undersökning visas, väljer du den √ som ska auktoriseras.

Arbeta med fillådan

Du kan visa mer information om varje fil genom att välja själva filen i filloggen. Om du väljer en fil öppnas fillådan som innehåller följande åtgärder som du kan vidta på filen:

  • URL – Tar dig till filplatsen.
  • Filidentifierare – Öppnar ett popup-fönster med rådatainformation om filen, inklusive fil-ID och krypteringsnycklar när de är tillgängliga.
  • Ägare – Visa användarsidan för filens ägare.
  • Matchade principer – Se en lista över principer som filen matchade.
  • Känslighetsetiketter – Visa listan över känslighetsetiketter från Microsoft Purview Information Protection som finns i den här filen. Du kan sedan filtrera efter alla filer som matchar den här etiketten.

Fälten i fillådan innehåller sammanhangsbaserade länkar till filer och detaljgranskningar som du kanske vill utföra direkt från lådan. Om du till exempel flyttar markören bredvid fältet Ägare kan du använda ikonen Lägg till för att filtrera . Om du vill lägga till ägaren direkt i filtret för den aktuella sidan. Du kan också använda inställningsikonen kugghjulsikonen inställningar ikonen. som dyker upp för att komma direkt till inställningssidan som krävs för att ändra konfigurationen av ett av fälten, till exempel Känslighetsetiketter.

Skärmbild som visar fillådan

En lista över tillgängliga styrningsåtgärder finns i Filstyrningsåtgärder.

Webbseminarier för informationsskydd

Nästa steg

Metodtips för att skydda din organisation

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.