Bulut için Microsoft Defender Uygulamalarında dosya ilkeleri

  • Makale

Dekont

Bulut için Microsoft Defender Uygulamaları artık Microsoft Defender paketinden gelen sinyalleri ilişkilendiren ve olay düzeyinde algılama, araştırma ve güçlü yanıt özellikleri sağlayan Microsoft 365 Defender. Daha fazla bilgi için bkz. Microsoft 365 Defender'da uygulamalar Bulut için Microsoft Defender.

Dosya İlkeleri, bulut sağlayıcısının API'lerini kullanarak çok çeşitli otomatik işlemleri zorunlu kılmanıza olanak sağlar. İlkeler sürekli uyumluluk taramaları, yasal eBulma görevleri, genel olarak paylaşılan hassas içerik için DLP ve daha birçok kullanım örneği sağlamak üzere ayarlanabilir. Bulut için Defender Uygulamalar, 20'den fazla meta veri filtresine (örneğin erişim düzeyi, dosya türü) göre herhangi bir dosya türünü izleyebilir.

Uygulanabilecek dosya filtrelerinin listesi için bkz. Bulut için Microsoft Defender Uygulamalarında dosya filtreleri.

Desteklenen dosya türleri

Bulut için Defender Apps altyapıları, Office, Office'i Aç, sıkıştırılmış dosyalar, çeşitli zengin metin biçimleri, XML, HTML ve daha fazlası dahil olmak üzere tüm yaygın dosya türlerinden (100+) metin ayıklayarak içerik denetimi gerçekleştirir.

İlkeler

Altyapı, her ilke kapsamında üç açıyı bir araya getirir:

  • Önceden ayarlanmış şablonlar veya özel ifadeler temelinde içerik taraması.

  • Kullanıcı rolleri, dosya meta verileri, paylaşım düzeyi, kuruluş grubu tümleştirmesi, işbirliği bağlamı ve ek özelleştirilebilir öznitelikler gibi bağlam filtreleri.

  • İdare ve düzeltme için otomatik eylemler.

    Dekont

    Yalnızca ilk tetiklenen ilkenin idare eyleminin uygulanacağı garanti edilir. Örneğin, bir dosya ilkesi bir dosyaya duyarlılık etiketi uygulamışsa, ikinci bir dosya ilkesi dosyaya başka bir duyarlılık etiketi uygulayamaz.

Etkinleştirildikten sonra ilke bulut ortamınızı sürekli tarar, içerik ve bağlam filtreleri ile eşleşen dosyaları tanımlar ve istenen otomatik eylemleri uygular. Bu ilkeler, bekleyen bilgiler veya yeni içerik oluşturulduğunda yapılan ihlalleri algılar ve düzeltir. İlkeler gerçek zamanlı uyarılar veya konsol tarafından oluşturulan raporlar kullanılarak izlenebilir.

Aşağıda, oluşturulabilecek dosya ilkesi örnekleri verilmiştir:

  • Genel olarak paylaşılan dosyalar - Paylaşım düzeyi genel olan tüm dosyaları seçerek bulutunuzda genel olarak paylaşılan tüm dosyalar hakkında bir uyarı alın.

  • Genel olarak paylaşılan dosya adı kuruluşun adını içerir - Kuruluşunuzun adını içeren ve genel olarak paylaşılan tüm dosyalar hakkında bir uyarı alın. Dosya adında kuruluşunuzun adı bulunan ve herkese açık şekilde paylaşılan dosyaları seçin.

  • Dış etki alanlarıyla paylaşma - Belirli dış etki alanlarının sahip olduğu hesaplarla paylaşılan tüm dosyalar hakkında bir uyarı alın. Örneğin, bir rakibin etki alanıyla paylaşılan dosyalar. Paylaşımı sınırlamak istediğiniz dış etki alanını seçin.

  • Son dönemde değiştirilmeyen paylaşılan dosyaları karantinaya alma - Yakın zamanda kimsenin değiştirmediği paylaşılan dosyalar hakkında, bunları karantinaya almak veya otomatik bir eylemi açmayı seçmek için bir uyarı alın. Belirtilen tarih aralığında değiştirilmemiş olan tüm Özel dosyaları hariç tutun. Google Workspace'te, ilke oluşturma sayfasındaki 'dosyayı karantinaya al' onay kutusunu kullanarak bu dosyaları karantinaya almayı seçebilirsiniz.

  • Yetkisiz kullanıcılarla paylaşma - Kuruluşunuzdaki yetkisiz kullanıcı grubuyla paylaşılan dosyalar hakkında bir uyarı alın. Paylaşım yetkisi olmayan kullanıcıları seçin.

  • Hassas dosya uzantısı - Yüksek oranda kullanıma sunulan belirli uzantılara sahip dosyalar hakkında bir uyarı alın. Belirli bir uzantıyı (örneğin, sertifikalar için crt) veya dosya adını seçin ve bu dosyaları özel paylaşım düzeyiyle hariç tutun.

Dekont

Bulut için Defender Uygulamalarında 50 dosya ilkesiyle sınırlısınız.

Yeni dosya ilkesi oluşturma

Yeni dosya ilkesi oluşturmak için bu yordamı izleyin:

  1. Microsoft 365 Defender portalında, Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Information Protection sekmesini seçin.

  2. İlke oluştur'u ve ardından Dosya ilkesi'ni seçin.

    Create a Information Protection policy.

  3. İlkeniz için ad ve açıklama sağlayın. İsterseniz bunun için bir şablonu temel alabilirsiniz. İlke şablonları hakkında daha fazla bilgi için bkz. Bulut uygulamalarını ilkelerle denetleme.

  4. İlkenize bir İlke önem derecesi verin. Bulut için Defender Uygulamalar'ı belirli bir ilke önem düzeyi için ilke eşleşmeleri hakkında size bildirim gönderecek şekilde ayarladıysanız, ilkenin eşleşmelerinin bir bildirimi tetikleyip tetiklemeyeceğini belirlemek için bu düzey kullanılır.

  5. Kategori altında ilkeyi en uygun risk türüne bağlayın. Bu alan yalnızca bilgilendirme amaçlıdır ve daha sonra, risk türü temelinde belirli ilkeleri ve uyarıları aramanıza yardımcı olur. İlkeyi oluşturmayı seçtiğiniz kategoriye göre, risk önceden seçilmiş olabilir. Varsayılan olarak, Dosya ilkeleri DLP’ye ayarlanır.

  6. Bu ilkenin üzerinde işlem yapacağı dosyalar için bu ilkeyi tetikleyen bulunan uygulamaları ayarlamak için bir filtre oluşturun. üzerinde işlem yapmak istediğiniz doğru dosya kümesine ulaşana kadar ilke filtrelerini daraltın. Hatalı pozitif sonuçları önlemek için mümkün olduğunca kısıtlayıcı olun. Örneğin, genel izinleri kaldırmak istiyorsanız Genel filtresini eklemeyi unutmayın. Dış kullanıcıyı kaldırmak istiyorsanız "Dış" filtresini kullanın.

    Dekont

    İlke filtrelerini kullanırken, Yalnızca tam sözcükleri içerir ; virgül, nokta, boşluk veya alt çizgiyle ayrılmıştır. Örneğin kötü amaçlı yazılım veya virüs ararsanız, virus_malware_file.exe dosyasını bulur ancak malwarevirusfile.exe dosyasını bulamaz. Malware.exe dosyasını ararsanız, dosya adında kötü amaçlı yazılım veya exe içeren TÜM dosyaları bulursunuz, ancak "malware.exe" (tırnak işaretleri ile) için arama yaparsanız yalnızca tam olarak "malware.exe" içeren dosyaları bulursunuz. Eşittir yalnızca tam dizeyi arar, örneğin malware.exe dosyasını ararsanız malware.exe dosyasını bulur ancak malware.exe.txt dosyasını bulmaz.

    Dosya İlkesi Filtreleri hakkında daha fazla bilgi için bkz. Bulut için Microsoft Defender Uygulamalarında Dosya filtreleri.

  7. İlk Uygulanacak filtrenin altında Box, SharePoint, Dropbox veya OneDrive için seçili klasörler veya seçili klasörler hariç tüm dosyaları seçin; burada uygulamadaki veya belirli klasörlerdeki tüm dosyalar üzerinde dosya ilkenizi zorunlu tutabilirsiniz. Bulut uygulamasında oturum açmak ve ardından ilgili klasörleri eklemek için yeniden yönlendirilirsiniz.

  8. İkinci Uygula filtresinin altında tüm dosya sahiplerini, seçili kullanıcı gruplarından dosya sahiplerini veya seçili gruplar hariç tüm dosya sahiplerini seçin. Ardından ilkeye hangi kullanıcıların ve grupların dahil edilmesi gerektiğini belirlemek için ilgili kullanıcı gruplarını seçin.

  9. İçerik inceleme yöntemi’ni seçin. Yerleşik DLP veya Veri Sınıflandırma Hizmetleri'ne tıklayabilirsiniz. Veri Sınıflandırma Hizmetleri'nin kullanılmasını öneririz.

    İçerik denetimi etkinleştirildikten sonra, önceden ayarlanmış ifadeleri kullanmayı veya diğer özelleştirilmiş ifadeleri aramayı seçebilirsiniz.

    Buna ek olarak, bir dosyayı sonuçların dışında tutmak için normal bir ifade belirtebilirsiniz. İlkenin dışında tutmak istediğiniz bir iç sınıflandırma anahtar sözcük standardınız varsa bu seçenek son derece kullanışlıdır.

    Dosyanın bir ihlal olarak kabul edilmesi için eşleşmesini istediğiniz içerik ihlalleri sayısı alt sınırının ne olacağına karar verebilirsiniz. Örneğin, içeriğinde en az 10 kredi kartı numarası bulunan dosyalarla ilgili olarak uyarılmak istiyorsanız, 10’u seçebilirsiniz.

    İçerik seçili ifadeyle eşleştirildiğinde, ihlal metni "X" karakterleriyle değiştirilir. Varsayılan olarak, ihlaller maskelenir ve ihlalden önce ve sonra 100 karakter görüntüleyen bağlamlarında gösterilir. İfade bağlamındaki sayılar "#" karakterleriyle değiştirilir ve hiçbir zaman Bulut için Defender Uygulamalarında depolanmaz. İhlalin son dört karakterinin maskesini silmek için bir ihlalin son dört karakterinin maskesini kaldırma seçeneğini belirleyebilirsiniz. Normal ifadenin hangi veri türlerini arayacağını ayarlamak gerekir: içerik, meta veriler ve/veya dosya adı. Varsayılan olarak içeriği ve meta verileri arar.

  10. Bir eşleşme algılandığında Bulut için Defender Uygulamaların gerçekleştirmesini istediğiniz İdare eylemlerini seçin.

  11. İlkenizi oluşturduktan sonra, Dosya ilkesi türüne göre filtreleyerek bunu görüntüleyebilirsiniz. bir ilkeyi istediğiniz zaman düzenleyebilir, filtrelerini ayarlayabilir veya otomatik eylemleri değiştirebilirsiniz. İlke, oluşturulduktan sonra otomatik olarak etkinleştirilir ve bulut dosyalarınızı hemen taramaya başlar. İdare ilkelerini ayarlarken çok özen gösterin, çünkü bunlar dosyalarınızda geri çevrilemez erişim izinleri kaybına yol açabilir. Birden çok arama alanı kullanarak, üzerinde işlem yapmak istediğiniz dosyaları tam olarak temsil etmek için filtreleri daraltmanız önerilir. Filtreler ne kadar daraltılırsa o kadar iyi olur. Yönergeler için filtrelerin yanındaki Sonuçları düzenle ve önizle düğmesini kullanabilirsiniz.

    File policy edit and preview results.

  12. Dosya ilkesi eşleşmelerini, ilkeyi ihlal etme şüphesi olan dosyaları görüntülemek için İlkeler ->İlke yönetimi'ne gidin. Sonuçları yalnızca dosya ilkelerini gösterecek şekilde filtrelemek için en üstteki Tür filtresini kullanın. Her ilkenin eşleşmeleri hakkında daha fazla bilgi için, Sayı sütununun altında bir ilkenin eşleşme sayısını seçin. Alternatif olarak, bir ilke için satırın sonundaki üç noktayı seçin ve Tüm eşleşmeleri görüntüle'yi seçin. Bu işlem Dosya ilkesi raporunu açar. şu anda ilkeyle eşleşen dosyaları görmek için Şimdi eşleştir sekmesini seçin. İlkeyle eşleşen altı aya kadar dosya geçmişini görmek için Geçmiş sekmesini seçin.

Dosya ilkesi en iyi yöntemleri

  1. Kesinlikle gerekli olmadığı sürece, üretim ortamlarında dosya ilkesini sıfırlamaktan kaçının (sonuçları sıfırla ve eylemleri yeniden uygula onay kutusunu kullanın), çünkü bunu yaptığınızda ilke kapsamındaki dosyaların tam taraması başlatılır ve bu da performansını olumsuz etkileyebilir.

  2. Belirli bir üst klasördeki ve alt klasörlerindeki dosyalara etiket uygularken, ->Selected klasörlerine uygula seçeneğini kullanın. Ardından üst klasörlerin her birini ekleyin.

  3. Yalnızca belirli bir klasördeki dosyalara etiketler uygularken (alt klasörler hariç), Equals işleciyle Üst Klasör dosya ilkesi filtresini kullanın.

  4. Dar filtreleme ölçütleri kullanıldığında (geniş ölçütlerle karşılaştırıldığında) dosya ilkesi daha hızlıdır.

  5. Aynı hizmet için çeşitli dosya ilkelerini (SharePoint, OneDrive, Box vb.) tek bir ilkede birleştirin.

  6. Dosya izlemeyi etkinleştirirken (Ayarlar sayfasından) en az bir dosya ilkesi oluşturun. Dosya ilkesi olmadığında veya yedi gün boyunca devre dışı bırakıldığında, dosya izleme otomatik olarak dağıtılabilir.

Dosya ilkesi başvurusu

Bu bölümde, ilkeler hakkında başvuru ayrıntıları sağlanır, ilke türleri ve her ilke türü için yapılandırılabilecek alanlar açıklanır.

Dosya ilkesi, 20'den fazla dosya meta veri filtresi (sahip ve paylaşım düzeyi dahil) ve içerik inceleme sonuçlarını dikkate alarak kuruluşunuzun buluttaki içeriğini denetlemenizi sağlayan API tabanlı bir ilkedir. İlke sonuçları temelinde idare eylemleri uygulanabilir. İçerik denetleme altyapısı 3. taraf DLP altyapıları ve kötü amaçlı yazılımdan koruma çözümleri aracılığıyla genişletilebilir.

Her ilke şu bölümlerden oluşur:

  • Dosya filtreleri – Meta verileri temel alan ayrıntılı koşullar oluşturmanıza olanak tanır.

  • İçerik denetleme – DLP altyapısı sonuçlarına göre ilkeyi daraltmanızı sağlar. Özel bir ifadeyi veya önceden belirlenmiş bir ifadeyi dahil edebilirsiniz. Özel durumlar ayarlanabilir ve eşleşme sayısını seçebilirsiniz. Kullanıcı adını maskelemek için anonimleştirme de kullanabilirsiniz.

  • Eylemler – İlke, ihlaller bulunduğunda otomatik olarak uygulanabilecek bir dizi idare eylemi sağlar. Bu eylemler işbirliği eylemlerine, güvenlik eylemlerine ve araştırma eylemlerine ayrılır.

  • Uzantılar - İçerik denetimi, geliştirilmiş DLP veya kötü amaçlı yazılımdan koruma özellikleri için 3. taraf altyapılar aracılığıyla gerçekleştirilebilir.

Dosya sorguları

Araştırmayı daha da basit hale getirmek için artık özel sorgular oluşturabilir ve bunları daha sonra kullanmak üzere kaydedebilirsiniz.

  1. Dosyalar sayfasında, uygulamalarınızda gerektiğinde detaya gitmek için daha önce açıklandığı gibi filtreleri kullanın.

  2. Sorgunuzu derlemeyi tamamladıktan sonra filtrelerin üzerindeki Farklı Kaydet düğmesini seçin.

  3. Sorguyu kaydet açılır penceresinde sorgunuzu adlandırın.

  4. Gelecekte bu sorguyu yeniden kullanmak için Sorgular'ın altında Kayıtlı sorgular'a gidin ve sorgunuzu seçin.

Dosya ilkeleri sonuçlarını görüntüleme

dosya ilkesi ihlallerini gözden geçirmek için İlke merkezine gidebilirsiniz.

  1. Microsoft 365 Defender portalında, Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin ve bilgi koruma sekmesini seçin.

  2. Her dosya ilkesi için, eşleşmeleri seçerek dosya ilkesi ihlallerini görebilirsiniz.
    PCI matches.

  3. Dosyalar hakkında bilgi almak için dosyanın kendisini seçebilirsiniz.
    PCI content matches.

  4. Örneğin, bu dosyaya kimlerin erişebildiğini görmek için Ortak Çalışanlar'ı ve Sosyal Güvenlik numaralarını görmek için Eşleşmeler'i seçebilirsiniz. Content matches credit card numbers.

Bilgi koruma web semineri

Sonraki adımlar

Kuruluşunuzu korumaya yönelik en iyi yöntemler

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.