Undersöka filer med Microsoft Defender för Cloud Apps
För att tillhandahålla dataskydd ger Microsoft Defender for Cloud Apps dig insyn i alla filer från dina anslutna appar. När du har anslutit Microsoft Defender för Cloud Apps till en app med hjälp av Konektor aplikacija genomsöker Microsoft Defender för Cloud Apps alla filer, till exempel alla filer som lagras i OneDrive och Salesforce. Sedan genomsöker Defender för Cloud Apps varje fil varje gång den ändras – ändringen kan vara till innehåll, metadata eller delningsbehörigheter. Genomsökningstiden beror på antalet filer som lagras i din app. Du kan också använda sidan Filer för att filtrera filer och undersöka vilka data som sparas i dina molnappar.
Viktigt!
Från och med den 1 september 2024 kommer vi att föråldrade sidan Filer från Microsoft Defender för Cloud Apps. Då skapar och ändrar du Information Protection-principer och hittar filer för skadlig kod från sidan Principhantering > för molnappar>. Mer information finns i Filprinciper i Microsoft Defender för molnappar.
Aktivera filövervakning
Aktivera filövervakning för Defender for Cloud Apps genom att först aktivera filövervakning i området Inställningar . I Microsoft Defender-portalen väljer du Inställningar>Cloud Apps>Information Protection-filer>>Aktivera filövervakning>Spara.
- Om det inte finns några aktiva filprinciper, sju dagar efter den senaste tiden för filsidans engagemang, inaktiveras filövervakning automatiskt.
- Om det inte finns några aktiva filprinciper, 35 dagar efter den senaste tiden för filsidans engagemang, börjar Defender för Cloud Apps ta bort data som underhålls av Defender för moln-appar om lagrade filer.
Exempel på filfilter
Använd till exempel sidan Filer för att skydda externt delade filer märkta som Konfidentiellt enligt följande:
När du har anslutit en app till Defender for Cloud Apps integrerar du med Microsoft Purview Information Protection. På sidan Filer filtrerar du sedan efter filer med etiketten Konfidentiellt och exkluderar din domän i filtret Medarbetare. Om du ser att det finns konfidentiella filer som delas utanför organisationen kan du skapa en filprincip för att identifiera dem. Du kan tillämpa automatiska styrningsåtgärder på dessa filer, till exempel Ta bort externa medarbetare och Skicka principmatchningssammandrag till filägaren för att förhindra dataförlust för din organisation.
Här är ett annat exempel på hur du kan använda sidan Filer . Se till att ingen i din organisation delar filer offentligt eller externt som inte har ändrats under de senaste sex månaderna:
Anslut en app till Defender för Cloud Apps och gå till sidan Filer . Filtrera efter filer vars åtkomstnivå är extern eller offentlig och ange datumet Senast ändrad till för sex månader sedan. Skapa en filprincip som identifierar dessa inaktuella offentliga filer genom att välja Ny princip från sökningen. Tillämpa automatiska styrningsåtgärder på dem, till exempel Ta bort externa användare, för att förhindra dataförlust för din organisation.
Det grundläggande filtret förser dig med fantastiska verktyg för att komma igång med filtrering av dina filer.
Om du vill öka detaljnivån i mer specifika filer kan du expandera det grundläggande filtret genom att välja Avancerade filter.
Filfilter
Defender för Cloud Apps kan övervaka alla filtyper baserat på fler än 20 metadatafilter (till exempel åtkomstnivå, filtyp).
Defender for Cloud Apps inbyggda DLP-motorer utför innehållsgranskning genom att extrahera text från vanliga filtyper. Några av de inkluderade filtyperna är PDF-filer, Office-filer, RTF-, HTML- och kodfiler.
Nedan visas en lista över filfilter som kan användas. För att ge dig ett kraftfullt verktyg för att skapa principer stöder de flesta filter flera värden och en NOT.
Kommentar
När du använder filprincipfilter söker Contains bara efter fullständiga ord – avgränsade med kommatecken, punkter, bindestreck eller blanksteg för sökning.
- Blanksteg eller bindestreck mellan ord fungerar som OR. Om du till exempel söker efter virus mot skadlig kod hittar den alla filer med skadlig kod eller virus i namnet, så det hittar både malware-virus.exe och virus.exe.
- Om du vill söka efter en sträng omger du orden med citattecken. Det här fungerar som AND. Om du till exempel söker efter "malware" "virus" hittar den virus-malware-file.exe men hittar inte malwarevirusfile.exe och hittar inte malware.exe. Funktionen söker dock efter den exakta strängen. Om du söker efter "malware virus" hittar den inte "virus" eller "virus-malware".
Lika med söker bara efter den fullständiga strängen. Om du till exempel söker efter malware.exe hittar den malware.exe men inte malware.exe.txt.
Åtkomstnivå – Delningsåtkomstnivå, offentlig, extern, intern eller privat.
- Internt – Alla filer inom de interna domäner som du angav i Allmän konfiguration.
- Extern – filer som sparats på platser som inte finns inom de interna domäner som du anger.
- Delad – Filer som har en delningsnivå över privat. Delade omfattar:
Intern delning – Filer som delas inom dina interna domäner.
Extern delning – Filer som delas i domäner som inte visas i dina interna domäner.
Offentligt med en länk – Filer som kan delas med vem som helst via en länk.
Offentlig – filer som kan hittas genom att söka på Internet.
Kommentar
Filer som delas i dina anslutna lagringsappar av externa användare hanteras på följande sätt av Defender for Cloud Apps:
- OneDrive: OneDrive tilldelar en intern användare som ägare till en fil som placeras i ditt OneDrive av en extern användare. Eftersom dessa filer sedan betraktas som ägda av din organisation genomsöker Defender for Cloud Apps dessa filer och tillämpar principer som de gör på andra filer i OneDrive.
- Google Drive: Google Drive anser att dessa ägs av den externa användaren och på grund av juridiska begränsningar för filer och data som din organisation inte äger har Defender for Cloud Apps inte åtkomst till dessa filer.
- Box: Eftersom Box betraktar externt ägda filerna som privat information kan inte globala administratörer för Box se innehållet i filerna. Därför har Defender for Cloud Apps inte åtkomst till dessa filer.
- Dropbox: Eftersom Dropbox betraktar externt ägda filer som privat information kan inte globala administratörer för Dropbox se innehållet i filerna. Därför har Defender for Cloud Apps inte åtkomst till dessa filer.
App – Sök bara efter filer i dessa appar.
Medarbetare – Inkludera/exkludera specifika medarbetare eller grupper.
Alla från domänen – om någon användare från den här domänen har direkt åtkomst till filen.
Kommentar
- Det här filtret stöder inte filer som har delats med en grupp, bara med specifika användare.
- För SharePoint och OneDrive stöder filtret inte filer som delas med en specifik användare via en delad länk.
Hela organisationen – om hela organisationen har åtkomst till filen.
Grupper – Om en specifik grupp har åtkomst till filen. Grupper kan importeras från Active Directory, molnappar eller skapas manuellt i tjänsten.
Kommentar
- Det här filtret används för att söka efter en grupp med medarbetare som helhet. Den matchar inte för enskilda gruppmedlemmar.
Användare – En viss uppsättning användare som kan ha åtkomst till filen.
Skapad – tiden då filen skapades. Filtret stöder datum före/efter och ett datumintervall.
Extension – Fokusera på specifika filnamnstillägg. Till exempel alla filer som är körbara filer (*.exe).
Kommentar
- Det här filtret är skiftlägeskänsligt.
- Använd OR-satsen för att tillämpa filtret på mer än en enda versalvariant.
Fil-ID – Sök efter specifika fil-ID:t. Fil-ID är en avancerad funktion som gör att du kan spåra vissa filer med högt värde utan beroende av ägare, plats eller namn.
Filnamn – Filnamn eller understräng för namnet enligt definitionen i molnappen. Till exempel alla filer med ett lösenord i namnet.
Känslighetsetikett – Sök efter filer med specifika etiketter inställda. Etiketter är antingen:
Kommentar
Om det här filtret används i en filprincip gäller principen endast för Microsoft kancelarija filer och ignorerar andra filtyper.
- Microsoft Purview Information Protection – Kräver integrering med Microsoft Purview Information Protection.
- Defender for Cloud Apps – Ger mer insikt i de filer som genomsöks. För varje fil som genomsöks av Defender for Cloud Apps DLP kan du veta om kontrollen har blockerats eftersom filen är krypterad eller skadad. Du kan till exempel konfigurera principer för att avisera och sätta lösenordsskyddade filer i karantän som delas externt.
- Azure RMS krypterat – filer vars innehåll inte inspekterades eftersom de har en Azure RMS-krypteringsuppsättning.
- Lösenord krypterat – Filer vars innehåll inte har inspekterats eftersom de är lösenordsskyddade av användaren.
- Skadad fil – Filer vars innehåll inte inspekterades eftersom innehållet inte kunde läsas.
Filtyp – Defender for Cloud Apps söker igenom filen för att avgöra om den sanna filtypen matchar den mottagna MIME-typen (se tabell) från tjänsten. Den här genomsökningen är avsedd för filer som är relevanta för datagenomsökning (dokument, bilder, presentationer, kalkylblad, text och zip/arkivfiler). Filtret fungerar per fil-/mapptyp. Till exempel Alla mappar som är ... eller Alla kalkylbladsfiler som är...
MIME-typ Filtyp - application/vnd.openxmlformats-officedocument.wordprocessingml.document
- application/vnd.ms-word.document.macroEnabled.12
- application/msword
- application/vnd.oasis.opendocument.text
- application/vnd.stardivision.writer
- application/vnd.stardivision.writer-global
- application/vnd.sun.xml.writer
- application/vnd.stardivision.math
- application/vnd.stardivision.chart
- application/x-starwriter
- application/x-stardraw
- program/x-starmath
- application/x-starchart
- application/vnd.google-apps.document
- application/vnd.google-apps.kix
- program/pdf
- application/x-pdf
- application/vnd.box.webdoc
- application/vnd.box.boxnote
- application/vnd.jive.document
- text/rtf
- program/rtfDokument - application/vnd.oasis.opendocument.image
- application/vnd.google-apps.photo
- börjar med: image/Bild - application/vnd.openxmlformats-officedocument.presentationml.presentation
- application/vnd.ms-powerpoint.template.macroEnabled.12
– application/mspowerpoint
– program/powerpoint
- application/vnd.ms-powerpoint
- application/x-mspowerpoint
– application/mspowerpoint
- application/vnd.ms-powerpoint
- application/vnd.oasis.opendocument.presentation
- application/vnd.sun.xml.impress
- application/vnd.stardivision.impress
- application/x-starimpress
- application/vnd.google-apps.presentationPresentation - application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
- application/vnd.ms-excel.sheet.macroEnabled.12
- program/excel
- application/vnd.ms-excel
- application/x-excel
- application/x-msexcel
- application/vnd.oasis.opendocument.spreadsheet
- application/vnd.sun.xml.calc
- application/vnd.stardivision.calc
- application/x-starcalc
- application/vnd.google-apps.spreadsheetKalkylblad - börjar med: text/ Text Alla andra MIME-filtyper Övrigt I papperskorgen – Exkludera/inkludera filer i papperskorgen. Dessa filer kan fortfarande delas och innebär en risk.
Kommentar
Det här filtret gäller inte för filer på SharePoint och OneDrive.
Senast ändrad – filändringstid. Filtret stöder före och efter datum, datumintervall och relativa tidsuttryck. Till exempel alla filer som inte har ändrats under de senaste sex månaderna.
Matchad princip – filer som matchas av en aktiv Defender för Cloud Apps-princip.
MIME-typ – kontroll av MIME-filtyp. Den accepterar fritext.
Ägare – Inkludera/exkludera specifika filägare. Du kan till exempel spåra alla filer som delas av rogue_employee_#100.
Ägarorganisation – Inkludera eller exkludera filägare som tillhör vissa organisationsenheter. Till exempel alla offentliga filer utom filer som delas av EMEA_marketing. Gäller endast för filer som lagras i Google Drive.
Överordnad mapp – Inkludera eller exkludera en specifik mapp (gäller inte för undermappar). Till exempel alla offentligt delade filer förutom filer i den här mappen.
Kommentar
Defender för Cloud Apps identifierar bara nya SharePoint- och OneDrive-mappar efter att viss filaktivitet har utförts i dem.
Karantän – om filen har placerats i karantän av tjänsten. Visa till exempel alla filer som är i karantän.
När du skapar en princip kan du också ange att den ska köras på specifika filer genom att ange filtret Använd för . Filtrera till antingen alla filer, markerade mappar (undermappar ingår) eller alla filer utom valda mappar. Välj sedan de filer eller mappar som är relevanta.
Auktorisera filer
När Defender för Cloud Apps har identifierat filer som en skadlig kod eller DLP-risk rekommenderar vi att du undersöker filerna. Om du bedömer att filerna är säkra kan du auktorisera dem. Auktorisering av en fil tar bort den från rapporten för identifiering av skadlig kod och undertrycker framtida matchningar i den här filen.
Auktorisera filer
I Microsoft Defender-portalen går du till Cloud Apps och väljer Principer –> Principhantering. Välj fliken Informationsskydd .
I listan över principer, på raden där principen som utlöste undersökningen visas, väljer du länken matchningar i kolumnen Antal.
Dricks
Du kan filtrera listan över principer efter typ. I följande tabell visas, per risktyp, vilken filtertyp som ska användas:
Risktyp Filtertyp DLP Filprincip Skadlig kod Princip för identifiering av skadlig kod I listan över matchade filer, på raden där filen under undersökning visas, väljer du den √ för att auktorisera.
Arbeta med fillådan
Du kan visa mer information om varje fil genom att välja själva filen i filloggen. Om du väljer den öppnas fillådan som innehåller följande ytterligare åtgärder som du kan vidta för filen:
- URL – Tar dig till filplatsen.
- Filidentifierare – Öppnar ett popup-fönster med rådatainformation om filen, inklusive fil-ID och krypteringsnycklar när de är tillgängliga.
- Ägare – Visa användarsidan för filens ägare.
- Matchade principer – Se en lista över principer som filen matchade.
- Känslighetsetiketter – Visa listan över känslighetsetiketter från Microsoft Purview Information Protection som finns i den här filen. Sedan kan du filtrera efter alla filer som matchar denna etikett.
Fälten i fillådan innehåller sammanhangsberoende länkar till ytterligare filer och ökningar av detaljnivån som du kan vilja utföra direkt från lådan. Om du till exempel flyttar markören bredvid fältet Ägare kan du använda ikonen "lägg till för att filtrera" för att lägga till ägaren direkt i filtret på den aktuella sidan. Du kan också använda kugghjulsikonen för inställningar som visas för att komma direkt till inställningssidan som krävs för att ändra konfigurationen av ett av fälten, till exempel Känslighetsetiketter.
En lista över tillgängliga styrningsåtgärder finns under File governance actions (Filstyrningsåtgärder).
Nästa steg
Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.