Filfilter i Microsoft Defender för molnet Apps

  • Artikel

För att tillhandahålla dataskydd ger Microsoft Defender för molnet Apps dig insyn i alla filer från dina anslutna appar. När du har anslutit Microsoft Defender för molnet-appar till en app med hjälp av Anslutningsverktyg genomsöker Microsoft Defender för molnet Apps alla filer, till exempel alla filer som lagras i OneDrive och Salesforce. Sedan genomsöker Defender för molnet-appar varje fil varje gång den ändras – ändringen kan vara till innehåll, metadata eller delningsbehörigheter. Genomsökningstiden beror på antalet filer som lagras i din app. Du kan också använda sidan Filer för att filtrera filer och undersöka vilka data som sparas i dina molnappar.

Kommentar

Filövervakning ska aktiveras i Inställningar. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Information Protection väljer du Filer. Välj Aktivera filövervakning och välj sedan Spara.
Om det inte finns några aktiva filprinciper inaktiveras filövervakningen sju dagar efter den senaste filsidans engagemangstid.
Om det inte finns några aktiva filprinciper börjar 35 dagar efter den senaste tiden för filsidans engagemang Defender för molnet Apps ta bort de data som Defender för molnet Apps underhåller om dessa lagrade filer. Från och med 20 aug 2023 kommer filtret som senast ändrades före (dagar) att bli inaktuellt. I stället rekommenderar vi användning av "fil före (datum) och fortsätter att undersöka efter fast datum, du kan också använda "manuell" undersökning av "ändrad före (datum)" - i "principsida" eller "filsida".

Exempel på filfilter

Använd till exempel sidan Filer för att skydda externt delade filer märkta som Konfidentiellt enligt följande:

När du har anslutit en app till Defender för molnet Apps kan du integrera med Microsoft Purview Information Protection. På sidan Filer filtrerar du sedan efter filer med etiketten Konfidentiellt och exkluderar din domän i filtret Medarbetare. Om du ser att det finns konfidentiella filer som delas utanför organisationen kan du skapa en filprincip för att identifiera dem. Du kan tillämpa automatiska styrningsåtgärder på dessa filer, till exempel Ta bort externa medarbetare och Skicka principmatchningssammandrag till filägaren för att förhindra dataförlust för din organisation.

Filfilter konfidentiellt.

Här är ett annat exempel på hur du kan använda sidan Filer . Se till att ingen i din organisation delar filer offentligt eller externt som inte har ändrats under de senaste sex månaderna:

Anslut en app för att Defender för molnet Appar och gå till sidan Filer. Filtrera efter filer vars åtkomstnivå är extern eller offentlig och ange datumet Senast ändrad till för sex månader sedan. Skapa en filprincip som identifierar dessa inaktuella offentliga filer genom att välja Ny princip från sökningen. Tillämpa automatiska styrningsåtgärder på dem, till exempel Ta bort externa användare, för att förhindra dataförlust för din organisation.

Filfilter inaktuellt externt.

Det grundläggande filtret förser dig med fantastiska verktyg för att komma igång med filtrering av dina filer.

Grundläggande filloggfilter.

Om du vill öka detaljnivån i mer specifika filer kan du expandera det grundläggande filtret genom att välja Avancerade filter.

Avancerat filloggfilter.

Filfilter

Defender för molnet Appar kan övervaka alla filtyper baserat på fler än 20 metadatafilter (till exempel åtkomstnivå, filtyp).

De Defender för molnet appar som är inbyggda i DLP-motorer utför innehållsgranskning genom att extrahera text från vanliga filtyper. Några av de inkluderade filtyperna är PDF-filer, Office-filer, RTF-, HTML- och kodfiler.

Nedan visas en lista över filfilter som kan användas. För att ge dig ett kraftfullt verktyg för att skapa principer stöder de flesta filter flera värden och en NOT.

Kommentar

När du använder filprincipfilter söker Contains bara efter fullständiga ord – avgränsade med kommatecken, punkter, bindestreck eller blanksteg för sökning.

  • Blanksteg eller bindestreck mellan ord fungerar som OR. Om du till exempel söker efter virus mot skadlig kod hittar den alla filer med skadlig kod eller virus i namnet, så det hittar både malware-virus.exe och virus.exe.
  • Om du vill söka efter en sträng omger du orden med citattecken. Det här fungerar som AND. Om du till exempel söker efter "malware" "virus" hittar den virus-malware-file.exe men hittar inte malwarevirusfile.exe och hittar inte malware.exe. Funktionen söker dock efter den exakta strängen. Om du söker efter "malware virus" hittar den inte "virus" eller "virus-malware".

Lika med söker bara efter den fullständiga strängen. Om du till exempel söker efter malware.exe hittar den malware.exe men inte malware.exe.txt.

  • Åtkomstnivå – Delningsåtkomstnivå, offentlig, extern, intern eller privat.

    • Internt – Alla filer inom de interna domäner som du angav i Allmän konfiguration.
    • Extern – filer som sparats på platser som inte finns inom de interna domäner som du anger.
    • Delad – Filer som har en delningsnivå över privat. Delade omfattar:

      • Intern delning – Filer som delas inom dina interna domäner.

      • Extern delning – Filer som delas i domäner som inte visas i dina interna domäner.

      • Offentligt med en länk – Filer som kan delas med vem som helst via en länk.

      • Offentlig – filer som kan hittas genom att söka på Internet.

        Kommentar

        Filer som delas i dina anslutna lagringsappar av externa användare hanteras på följande sätt av Defender för molnet Apps:

        • OneDrive: OneDrive tilldelar en intern användare som ägare till en fil som placeras i ditt OneDrive av en extern användare. Eftersom dessa filer sedan betraktas som ägda av din organisation genomsöker Defender för molnet Apps dessa filer och tillämpar principer som de gör på alla andra filer i OneDrive.
        • Google Drive: Google Drive anser att dessa ägs av den externa användaren och på grund av juridiska begränsningar för filer och data som din organisation inte äger, Defender för molnet Apps inte har åtkomst till dessa filer.
        • Box: Eftersom Box betraktar externt ägda filerna som privat information kan inte globala administratörer för Box se innehållet i filerna. Därför har Defender för molnet Apps inte åtkomst till dessa filer.
        • Dropbox: Eftersom Dropbox betraktar externt ägda filer som privat information kan inte globala administratörer för Dropbox se innehållet i filerna. Därför har Defender för molnet Apps inte åtkomst till dessa filer.

  • App – Sök bara efter filer i dessa appar.

  • Medarbetare – Inkludera/exkludera specifika medarbetare eller grupper.

    • Alla från domänen – om någon användare från den här domänen har direkt åtkomst till filen.

      Kommentar

      • Det här filtret stöder inte filer som har delats med en grupp, bara med specifika användare.
      • För SharePoint och OneDrive stöder filtret inte filer som delas med en specifik användare via en delad länk.

    • Hela organisationen – om hela organisationen har åtkomst till filen.

    • Grupper – Om en specifik grupp har åtkomst till filen. Grupper kan importeras från Active Directory, molnappar eller skapas manuellt i tjänsten.

    • Användare – En viss uppsättning användare som kan ha åtkomst till filen.

  • Skapad – tiden då filen skapades. Filtret stöder datum före/efter och ett datumintervall.

  • Extension – Fokusera på specifika filnamnstillägg. Till exempel alla filer som är körbara filer (*.exe).

    Kommentar

    • Det här filtret är skiftlägeskänsligt.
    • Använd OR-satsen för att tillämpa filtret på mer än en enda versalvariant.

  • Fil-ID – Sök efter specifika fil-ID:t. Fil-ID är en avancerad funktion som gör att du kan spåra vissa filer med högt värde utan beroende av ägare, plats eller namn.

  • Filnamn – Filnamn eller understräng för namnet enligt definitionen i molnappen. Till exempel alla filer med ett lösenord i namnet.

  • Känslighetsetikett – Sök efter filer med specifika etiketter inställda. Etiketter är antingen:

    Kommentar

    Om det här filtret används i en filprincip gäller principen endast för Microsoft Office-filer och ignorerar andra filtyper.

    • Microsoft Purview Information Protection – Kräver integrering med Microsoft Purview Information Protection.
    • Defender för molnet Apps – Ger mer insikt i de filer som genomsöks. För varje fil som genomsöks av Defender för molnet Apps DLP kan du veta om kontrollen har blockerats eftersom filen är krypterad eller skadad. Du kan till exempel konfigurera principer för att avisera och sätta lösenordsskyddade filer i karantän som delas externt.
      • Azure RMS krypterat – filer vars innehåll inte inspekterades eftersom de har en Azure RMS-krypteringsuppsättning.
      • Lösenord krypterat – Filer vars innehåll inte har inspekterats eftersom de är lösenordsskyddade av användaren.
      • Skadad fil – Filer vars innehåll inte inspekterades eftersom innehållet inte kunde läsas.

  • Filtyp – Defender för molnet Apps söker igenom filen för att avgöra om den sanna filtypen matchar den MIME-typ som tagits emot (se tabell) från tjänsten. Den här genomsökningen är avsedd för filer som är relevanta för datagenomsökning (dokument, bilder, presentationer, kalkylblad, text och zip/arkivfiler). Filtret fungerar per fil-/mapptyp. Till exempel Alla mappar som är ... eller Alla kalkylbladsfiler som är...

    MIME-typ Filtyp
    - application/vnd.openxmlformats-officedocument.wordprocessingml.document
    - application/vnd.ms-word.document.macroEnabled.12
    - application/msword
    - application/vnd.oasis.opendocument.text
    - application/vnd.stardivision.writer
    - application/vnd.stardivision.writer-global
    - application/vnd.sun.xml.writer
    - application/vnd.stardivision.math
    - application/vnd.stardivision.chart
    - application/x-starwriter
    - application/x-stardraw
    - program/x-starmath
    - application/x-starchart
    - application/vnd.google-apps.document
    - application/vnd.google-apps.kix
    - program/pdf
    - application/x-pdf
    - application/vnd.box.webdoc
    - application/vnd.box.boxnote
    - application/vnd.jive.document
    - text/rtf
    - program/rtf    		 Dokument
    - application/vnd.oasis.opendocument.image
    - application/vnd.google-apps.photo
    - börjar med: image/    		 Bild
    - application/vnd.openxmlformats-officedocument.presentationml.presentation
    - application/vnd.ms-powerpoint.template.macroEnabled.12
    – application/mspowerpoint
    – program/powerpoint
    - application/vnd.ms-powerpoint
    - application/x-mspowerpoint
    – application/mspowerpoint
    - application/vnd.ms-powerpoint
    - application/vnd.oasis.opendocument.presentation
    - application/vnd.sun.xml.impress
    - application/vnd.stardivision.impress
    - application/x-starimpress
    - application/vnd.google-apps.presentation    		 Presentation
    - application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
    - application/vnd.ms-excel.sheet.macroEnabled.12
    - program/excel
    - application/vnd.ms-excel
    - application/x-excel
    - application/x-msexcel
    - application/vnd.oasis.opendocument.spreadsheet
    - application/vnd.sun.xml.calc
    - application/vnd.stardivision.calc
    - application/x-starcalc
    - application/vnd.google-apps.spreadsheet    		 Kalkylblad
    - börjar med: text/ Text
    Alla andra MIME-filtyper Övrigt

    policy_file filtertyp.

  • I papperskorgen – Exkludera/inkludera filer i papperskorgen. Dessa filer kan fortfarande delas och innebär en risk.

    policy_file filtrerar papperskorgen.

  • Senast ändrad – filändringstid. Filtret stöder före och efter datum, datumintervall och relativa tidsuttryck. Till exempel alla filer som inte har ändrats under de senaste sex månaderna.

  • Matchad princip – Filer som matchas av en aktiv Defender för molnet Apps-princip.

  • MIME-typ – kontroll av MIME-filtyp. Den accepterar fritext.

  • Ägare – Inkludera/exkludera specifika filägare. Du kan till exempel spåra alla filer som delas av rogue_employee_#100.

  • Ägarorganisation – Inkludera eller exkludera filägare som tillhör vissa organisationsenheter. Till exempel alla offentliga filer utom filer som delas av EMEA_marketing. Gäller endast för filer som lagras i Google Drive.

  • Överordnad mapp – Inkludera eller exkludera en specifik mapp (gäller inte för undermappar). Till exempel alla offentligt delade filer förutom filer i den här mappen.

    Kommentar

    Defender för molnet Appar identifierar bara nya SharePoint- och OneDrive-mappar efter att någon filaktivitet har utförts i dem.

  • Karantän – om filen har placerats i karantän av tjänsten. Visa till exempel alla filer som är i karantän.

När du skapar en princip kan du också ange att den ska köras på specifika filer genom att ange filtret Använd för . Filtrera till antingen alla filer, markerade mappar (undermappar ingår) eller alla filer utom valda mappar. Välj sedan de filer eller mappar som är relevanta.

gäller för filter.

Auktorisera filer

När Defender för molnet Apps har identifierat filer som en skadlig kod eller DLP-risk rekommenderar vi att du undersöker filerna. Om du bedömer att filerna är säkra kan du auktorisera dem. Auktorisering av en fil tar bort den från rapporten för identifiering av skadlig kod och undertrycker framtida matchningar i den här filen.

Auktorisera filer

  1. I Microsoft Defender-portalen går du till Cloud Apps och väljer Principer –> Principhantering. Välj fliken Informationsskydd .

  2. I listan över principer, på raden där principen som utlöste undersökningen visas, väljer du länken matchningar i kolumnen Antal.

    Dricks

    Du kan filtrera listan över principer efter typ. I följande tabell visas, per risktyp, vilken filtertyp som ska användas:

    Risktyp Filtertyp
    DLP Filprincip
    Skadlig kod Princip för identifiering av skadlig kod

  3. I listan över matchade filer, på raden där filen under undersökning visas, väljer du den √ för att auktorisera.

Arbeta med fillådan

Du kan visa mer information om varje fil genom att välja själva filen i filloggen. Om du väljer den öppnas fillådan som innehåller följande ytterligare åtgärder som du kan vidta för filen:

  • URL – Tar dig till filplatsen.
  • Filidentifierare – Öppnar ett popup-fönster med rådatainformation om filen, inklusive fil-ID och krypteringsnycklar när de är tillgängliga.
  • Ägare – Visa användarsidan för filens ägare.
  • Matchade principer – Se en lista över principer som filen matchade.
  • Känslighetsetiketter – Visa listan över känslighetsetiketter från Microsoft Purview Information Protection som finns i den här filen. Sedan kan du filtrera efter alla filer som matchar denna etikett.

Fälten i fillådan innehåller sammanhangsberoende länkar till ytterligare filer och ökningar av detaljnivån som du kan vilja utföra direkt från lådan. Om du till exempel flyttar markören bredvid fältet Ägare kan du använda ikonen lägg till för att filtrera. "lägg till för att filtrera" för att lägga till ägaren direkt i filtret på den aktuella sidan. Du kan också använda kugghjulsikonen inställningsikonen. för inställningar som visas för att komma direkt till inställningssidan som krävs för att ändra konfigurationen av ett av fälten, till exempel Känslighetsetiketter.

Fillåda.

En lista över tillgängliga styrningsåtgärder finns under File governance actions (Filstyrningsåtgärder).

Nästa steg

Metodtips för att skydda din organisation

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.