Microsoft Defender for Cloud Apps 中的文件策略

使用文件策略可以利用云提供程序的 API 来强制执行多种自动化进程。 可以设置策略以提供持续的合规性扫描、合法的电子数据展示任务、对公开共享的敏感内容的 DLP 和更多其他使用案例。 Defender for Cloud Apps 可以基于超过 20 个元数据筛选器(例如访问级别、文件类型)监视任何文件类型。

有关可应用的文件筛选器列表,请参阅 Microsoft Defender for Cloud Apps 中的文件筛选器

支持的文件类型

Defender for Cloud Apps 引擎从所有常见文件类型 (100+)(包括 Office、Open Office、压缩文件、各种 RTF 格式、XML、HTML 等)中提取文本来执行内容检查。

策略

引擎在每个策略中结合了三个方面:

  • 基于预设模板或自定义表达式的内容扫描。

  • 上下文筛选器,包括用户角色、文件元数据、共享级别、组织组集成、协作上下文和其他可自定义属性。

  • 用于管理和修正的自动操作。

    注意

    仅保证实施第一个触发策略的治理操作。 例如,如果文件策略已将敏感度标签应用于文件,则第二个文件策略无法对其应用另一个敏感度标签。

启用后,策略会持续扫描云环境,并识别与内容和上下文筛选器匹配的文件,然后应用请求的自动化操作。 这些策略会对静态信息或在新建内容时进行检测并更正任何违规。 可以使用实时警报或使用控制台生成的报表来监视策略。

以下是可以创建的文件策略的示例:

  • 公开共享的文件 - 通过选择所有共享级别为公开的文件,来接收对已公开共享的云中文件的警报。

  • 公开共享的文件名包含组织名称 - 接收对于任何包含组织的名称且公开共享的文件的警报。 选择文件名包含组织名称并公开共享的文件。

  • 与外部域共享 - 接收与特定外部域拥有的帐户共享的所有文件的相关警报。 例如,与竞争对手的域共享的文件。 选择要限制共享的外部域。

  • 隔离最近一段时间未修改的共享文件 - 接收对于最近无人修改的共享文件的警报,以便将其隔离或选择对其开启自动操作。 排除在指定日期范围内未修改的所有专用文件。 在 Google Workspace 上,可以选择使用策略创建页面上的“隔离文件”复选框隔离这些文件。

  • 与未经授权的用户共享 - 接收与组织中未获得授权的用户组共享的文件的相关警报。 选择未授权共享的用户。

  • 敏感文件扩展名 - 对于特定扩展名的公开度可能较高的文件,用户会收到相关的警报。 选择特定扩展名(例如证书的 crt)或文件名,并排除具有专用共享级别的文件。

注意

在 Defender for Cloud Apps 中,最多只能使用 50 个文件策略。

创建新文件策略

若要新建文件策略,请遵循此步骤:

  1. 在 Microsoft Defender 门户的“Cloud Apps”下,转到“策略”->“策略管理”。 选择“信息保护”选项卡。

  2. 选择“创建策略”,然后选择“文件策略”

    Create a Information Protection policy.

  3. 如果希望策略基于模板,请为策略提供名称和说明。有关策略模板的详细信息,请参阅使用策略控制云应用

  4. 为策略指定“策略严重性”。 如果你已将 Defender for Cloud Apps 设置为针对特定策略严重性级别的策略匹配项发送通知,则使用此级别来确定策略的匹配项是否会触发通知。

  5. 在“类别”中,将策略与最适当的风险类型相关联。 此字段仅提供参考信息,有助于稍后根据风险类型搜索特定策略和警报。 可能根据你选择用来创建策略的类别,已预先选择了风险。 默认情况下,文件策略设置为 DLP。

  6. 请为此策略将适用的文件创建一个筛选器,以设置哪些已发现的应用会触发此策略,。 缩小策略筛选器的范围,直到到达要处理的准确文件集。 尽量限制以避免误报。 例如,如果要删除公开权限,请记得添加“公开”筛选器;如果要删除外部用户,请使用“外部”筛选器。

    注意

    使用策略筛选器时,“包含”只会搜索完整词语 – 由逗号、句号、空格或下划线分隔。 例如,如果搜索 malware 或 virus,它会查找 virus_malware_file.exe,而不会查找 malwarevirusfile.exe。 如果搜索 malware.exe,那么会找到文件名中包含 malware 或 exe 的所有文件,但是如果搜索 "malware.exe"(包含引号),就只能找到精确包含“malware.exe”的文件。 Equals 仅搜索完整字符串,例如,如果搜索 malware.exe,它会查找 malware.exe,而不会查找 malware.exe.txt。

    有关文件策略筛选器的详细信息,请参阅 Microsoft Defender for Cloud Apps 中的文件筛选器。

  7. 在第一个“应用于”筛选器下,为 Box、SharePoint、Dropbox 或 OneDrive 选择“除所选文件夹以外的所有文件”或“所选文件夹”,这样可以对应用或特定文件夹中的所有文件强制执行文件策略。 你已重定向到登录云应用,然后添加相关文件夹。

  8. 在第二个“应用于”筛选器下,选择“所有文件所有者”、“所选用户组中的文件所有者”或“排除所选组中的所有文件所有者”。 然后选择相关用户组以确定策略中应包含哪些用户和组。

  9. 选择“内容检查方法”。 可以选择内置 DLP数据分类服务。 建议使用“数据分类服务”

    启用内容检查后,可选择使用预设的表达式或搜索其他自定义的表达式。

    此外,可以指定一个正则表达式,将某个文件从结果中排除。 如果具有要从策略中排除的内部分类关键字标准,则此选项非常有用。

    可决定设置在将文件视为违规前要匹配的内容违规数下限。 例如,如果要在内容中找到至少 10 个信用卡号的文件上收到警报,则可以选择 10。

    当内容与所选表达式匹配时,冲突文本将替换为 ”X>字符。 默认情况下,冲突会被屏蔽,并显示在其上下文中,在冲突前后显示 100 个字符。 表达式上下文中的数字替换为 “#”字符,从不存储在 Defender for Cloud Apps 中。 选择“取消屏蔽冲突的最后 4 个字符”可以取消屏蔽冲突本身的最后 4 个字符。 必须设置正则表达式搜索的数据类型:内容、元数据和/或文件名。 默认情况下,它会搜索内容和元数据。

  10. 选择你需要 Defender for Cloud Apps 在检测到匹配项时执行的治理操作。

  11. 创建策略后,可以通过筛选“文件策略”类型进行查看。 始终可以对策略进行编辑、校准策略的筛选器或更改自动操作。 创建策略后,策略会自动启用,并会立即开始扫描云文件。 请额外注意:设置治理操作后,可能导致文件产生不可逆的访问权限丢失。 建议使用多个搜索字段来缩小筛选器的筛选范围,以准确呈现希望对其执行操作的文件。 筛选器的筛选范围越窄越好。 要查看有关指南,可以使用筛选器旁的“编辑并预览结果”按钮。

    File policy edit and preview results.

  12. 要查看文件策略匹配、违反策略的可疑文件,请转到“策略” ->“策略管理”。 使用顶部的“类型”筛选器将结果筛选为仅显示文件策略。 有关每个策略的匹配项详细信息,请在“计数”列下选择策略的匹配数。 或者,选择策略行末尾的三个点,然后选择“查看所有匹配项”。 这将打开文件策略报告。 选择“立即匹配”选项卡,查看当前与策略匹配的文件。 选择“历史记录”选项卡,查看最长 6 个月前与策略相匹配的文件的历史记录。

文件策略最佳做法

  1. 在生产环境中,除非绝对必要,否则避免重置文件策略(使用“重置结果并再次应用操作”复选框),因为这样做会启动对策略所涵盖文件的全面扫描,从而对性能产生负面影响。

  2. 将标签应用于特定父文件夹以及其子文件夹中的文件时,请使用“应用于”->“选择的文件夹”选项。 然后添加每个父文件夹。

  3. 仅将标签应用于特定文件夹中的文件(不包括任何子文件夹)时,请使用文件策略筛选器“父文件夹”和“等于”运算符。

  4. 与宽泛条件相比,使用窄范围筛选条件时,文件策略执行得更快。

  5. 将同一服务(如 SharePoint、OneDrive、Box 等)的多个文件策略合并到单个策略中。

  6. 从“设置”页面启用文件监视时,至少创建一个文件策略。 如果不存在文件策略,或连续七天禁用文件策略,则会自动进行文件监视。

文件策略引用

本部分通过介绍每种策略类型及其可以配置的字段,提供了策略引用的详细信息。

文件策略是基于 API 的策略,可用于在云中控制组织的内容。它会综合考虑 20 多个文件元数据筛选器(包括所有者和共享级别)和内容检查结果。 基于策略结果,可以应用治理操作。 可通过第三方 DLP 引擎以及反恶意软件解决方案扩展内容检查引擎。

每个策略都由以下部分组成:

  • 文件筛选器 - 使你可以基于元数据创建细化的条件。

  • 内容检查 - 使你能够根据 DLP 引擎结果缩小策略范围。 可包括自定义表达式或预设的表达式。 可设置排除并可选择匹配数。 还可通过匿名化屏蔽用户名。

  • 操作 - 策略提供一系列治理操作,这些操作可在找到违规后自动应用。 这些操作分为协作操作、安全操作和调查操作。

  • 扩展 - 可以通过第三方引擎执行内容检查以改进 DLP 或反恶意软件功能。

文件查询

为了使调查更简单,现在可以创建自定义查询并将其保存以供将来使用。

  1. 在“文件”页面,根据需要使用上述筛选器深入了解应用。

  2. 完成查询构建后,选择筛选器上方的“另存为”按钮。

  3. 在“保存查询”弹出窗口中,为查询命名。

  4. 要在将来再次使用此查询,请在“查询”下,向下滚动到“保存的查询”,然后选择查询

查看文件策略结果

可以转到策略中心查看文件策略冲突。

  1. 在 Microsoft Defender 门户的“Cloud Apps”下,转到“策略”->“策略管理”,然后选择“信息保护”选项卡。

  2. 对于每个文件策略,可以通过选择匹配项来查看文件策略冲突。
    PCI matches.

  3. 可选择文件本身以获取文件的相关信息。
    PCI content matches.

  4. 例如,可以选择“协作者”以查看谁有权访问此文件,还可以选择“匹配”以查看社会安全号码。 Content matches credit card numbers.

后续步骤

如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证