Microsoft Defender for Cloud Apps 中的文件策略

项目
01/23/2024

使用文件策略可以利用云提供程序的 API 来强制执行多种自动化进程。可以设置策略以提供持续的合规性扫描、合法的电子数据展示任务、对公开共享的敏感内容的 DLP 和更多其他使用案例。 Defender for Cloud Apps 可以基于超过 20 个元数据筛选器（例如访问级别、文件类型）监视任何文件类型。

有关可应用的文件筛选器列表，请参阅 Microsoft Defender for Cloud Apps 中的文件筛选器。

支持的文件类型

Defender for Cloud Apps 引擎从所有常见文件类型 (100+)（包括 Office、Open Office、压缩文件、各种 RTF 格式、XML、HTML 等）中提取文本来执行内容检查。

策略

引擎在每个策略中结合了三个方面：

基于预设模板或自定义表达式的内容扫描。
上下文筛选器，包括用户角色、文件元数据、共享级别、组织组集成、协作上下文和其他可自定义属性。
用于管理和修正的自动操作。

注意

仅保证实施第一个触发策略的治理操作。例如，如果文件策略已将敏感度标签应用于文件，则第二个文件策略无法对其应用另一个敏感度标签。

启用后，策略会持续扫描云环境，并识别与内容和上下文筛选器匹配的文件，然后应用请求的自动化操作。这些策略会对静态信息或在新建内容时进行检测并更正任何违规。可以使用实时警报或使用控制台生成的报表来监视策略。

以下是可以创建的文件策略的示例：

公开共享的文件 - 通过选择所有共享级别为公开的文件，来接收对已公开共享的云中文件的警报。
公开共享的文件名包含组织名称 - 接收对于任何包含组织的名称且公开共享的文件的警报。选择文件名包含组织名称并公开共享的文件。
与外部域共享 - 接收与特定外部域拥有的帐户共享的所有文件的相关警报。例如，与竞争对手的域共享的文件。选择要限制共享的外部域。
隔离最近一段时间未修改的共享文件 - 接收对于最近无人修改的共享文件的警报，以便将其隔离或选择对其开启自动操作。排除在指定日期范围内未修改的所有专用文件。在 Google Workspace 上，可以选择使用策略创建页面上的“隔离文件”复选框隔离这些文件。
与未经授权的用户共享 - 接收与组织中未获得授权的用户组共享的文件的相关警报。选择未授权共享的用户。
敏感文件扩展名 - 对于特定扩展名的公开度可能较高的文件，用户会收到相关的警报。选择特定扩展名（例如证书的 crt）或文件名，并排除具有专用共享级别的文件。

注意

在 Defender for Cloud Apps 中，最多只能使用 50 个文件策略。

创建新文件策略

若要新建文件策略，请遵循此步骤：

在 Microsoft Defender 门户的“Cloud Apps”下，转到“策略”->“策略管理”。选择“信息保护”选项卡。
选择“创建策略”，然后选择“文件策略”。
如果希望策略基于模板，请为策略提供名称和说明。有关策略模板的详细信息，请参阅使用策略控制云应用。
为策略指定“策略严重性”。如果你已将 Defender for Cloud Apps 设置为针对特定策略严重性级别的策略匹配项发送通知，则使用此级别来确定策略的匹配项是否会触发通知。
在“类别”中，将策略与最适当的风险类型相关联。此字段仅提供参考信息，有助于稍后根据风险类型搜索特定策略和警报。可能根据你选择用来创建策略的类别，已预先选择了风险。默认情况下，文件策略设置为 DLP。
请为此策略将适用的文件创建一个筛选器，以设置哪些已发现的应用会触发此策略，。缩小策略筛选器的范围，直到到达要处理的准确文件集。尽量限制以避免误报。例如，如果要删除公开权限，请记得添加“公开”筛选器；如果要删除外部用户，请使用“外部”筛选器。

注意

使用策略筛选器时，“包含”只会搜索完整词语 – 由逗号、句号、空格或下划线分隔。例如，如果搜索 malware 或 virus，它会查找 virus_malware_file.exe，而不会查找 malwarevirusfile.exe。如果搜索 malware.exe，那么会找到文件名中包含 malware 或 exe 的所有文件，但是如果搜索 "malware.exe"（包含引号），就只能找到精确包含“malware.exe”的文件。 Equals 仅搜索完整字符串，例如，如果搜索 malware.exe，它会查找 malware.exe，而不会查找 malware.exe.txt。

有关文件策略筛选器的详细信息，请参阅 Microsoft Defender for Cloud Apps 中的文件筛选器。
在第一个“应用于”筛选器下，为 Box、SharePoint、Dropbox 或 OneDrive 选择“除所选文件夹以外的所有文件”或“所选文件夹”，这样可以对应用或特定文件夹中的所有文件强制执行文件策略。你已重定向到登录云应用，然后添加相关文件夹。
在第二个“应用于”筛选器下，选择“所有文件所有者”、“所选用户组中的文件所有者”或“排除所选组中的所有文件所有者”。然后选择相关用户组以确定策略中应包含哪些用户和组。
选择“内容检查方法”。可以选择内置 DLP 或数据分类服务。建议使用“数据分类服务”。

启用内容检查后，可选择使用预设的表达式或搜索其他自定义的表达式。

此外，可以指定一个正则表达式，将某个文件从结果中排除。如果具有要从策略中排除的内部分类关键字标准，则此选项非常有用。

可决定设置在将文件视为违规前要匹配的内容违规数下限。例如，如果要在内容中找到至少 10 个信用卡号的文件上收到警报，则可以选择 10。

当内容与所选表达式匹配时，冲突文本将替换为 ”X>字符。默认情况下，冲突会被屏蔽，并显示在其上下文中，在冲突前后显示 100 个字符。表达式上下文中的数字替换为 “#”字符，从不存储在 Defender for Cloud Apps 中。选择“取消屏蔽冲突的最后 4 个字符”可以取消屏蔽冲突本身的最后 4 个字符。必须设置正则表达式搜索的数据类型：内容、元数据和/或文件名。默认情况下，它会搜索内容和元数据。
选择你需要 Defender for Cloud Apps 在检测到匹配项时执行的治理操作。
创建策略后，可以通过筛选“文件策略”类型进行查看。始终可以对策略进行编辑、校准策略的筛选器或更改自动操作。创建策略后，策略会自动启用，并会立即开始扫描云文件。请额外注意：设置治理操作后，可能导致文件产生不可逆的访问权限丢失。建议使用多个搜索字段来缩小筛选器的筛选范围，以准确呈现希望对其执行操作的文件。筛选器的筛选范围越窄越好。要查看有关指南，可以使用筛选器旁的“编辑并预览结果”按钮。
要查看文件策略匹配、违反策略的可疑文件，请转到“策略” ->“策略管理”。使用顶部的“类型”筛选器将结果筛选为仅显示文件策略。有关每个策略的匹配项详细信息，请在“计数”列下选择策略的匹配数。或者，选择策略行末尾的三个点，然后选择“查看所有匹配项”。这将打开文件策略报告。选择“立即匹配”选项卡，查看当前与策略匹配的文件。选择“历史记录”选项卡，查看最长 6 个月前与策略相匹配的文件的历史记录。