通过

使用 Microsoft Defender for Cloud Apps 调查文件

  • 项目

为了提供数据保护,Microsoft Defender for Cloud Apps 可让你查看已连接应用中的所有文件。 使用应用连接器将 Microsoft Defender for Cloud Apps 连接到应用后,Microsoft Defender for Cloud Apps 将扫描所有文件,例如 OneDrive 和 Salesforce 中存储的所有文件。 然后,每次修改文件,Microsoft Defender for Cloud Apps 都会重新扫描该文件。修改可针对内容、元数据或共享权限。 扫描时间取决于应用中存储的文件数。 还可使用“文件”页面来筛选文件,调查云应用中保存的数据类型。

重要

2024 年 9 月 1 日起,我们将弃用 Microsoft Defender for Cloud Apps 中的文件页。 此时,请创建并修改信息保护策略,并从云应用 > 策略 > 策略管理页查找恶意软件文件。 有关详细信息,请参阅 Microsoft Defender for Cloud Apps 中的文件策略

启用文件监视

若要为 Defender for Cloud Apps 启用文件监视,请先在设置区域中启用文件监视。 在 Microsoft Defender 门户中,选择设置>云应用>信息保护>文件>启用文件监视>保存

  • 如果没有活动的文件策略,则在最后一次文件页面交互时间的七天后,文件监视将自动关闭。
  • 如果没有活动的文件策略,则在最后一次文件页面交互时间的 35 天后,Defender for Cloud Apps 将开始删除 Defender for Cloud Apps 维护的有关存储文件的任何数据。

文件筛选器示例

例如,使用“文件”页面保护标记为“机密”的外部共享文件,如下所示:

将应用连接到 Defender for Cloud Apps 后,与 Microsoft Purview 信息保护集成。 然后,在“文件”页面,筛选标记为“机密”的文件,并在“协作者”筛选器中排除你的域。 如果发现有在组织外部共享的机密文件,可创建一个文件策略检测这些文件。 可以对这些文件应用自动治理操作,例如“移除外部协作者”和“向文件所有者发送策略匹配摘要”,以免组织发生数据丢失。

机密文件筛选。

下面是另一个关于如何利用“文件”页的示例。 请确保组织中没有人公开共享或与外部共享过去 6 个月未修改的文件:

将应用连接到 Defender for Cloud Apps 并转到“文件”页。 筛选访问级别为“外部”或“公共”的文件,并将“上次修改时间”设置为 6 个月前。 选择“从搜索新建策略”,创建检测这些过时的公共文件的文件策略。 对其应用自动治理操作,例如“移除外部用户”,以避免组织发生数据丢失。

过时外部文件筛选。

基本筛选器提供了强大的工具来开始进行文件筛选。

基本文件日志筛选器。

要向下钻取更具体的文件,则可以通过选择“高级筛选器”来扩展基本筛选器。

高级文件日志筛选器。

文件筛选器

Defender for Cloud Apps 可以基于超过 20 个元数据筛选器(例如访问级别、文件类型)监视任何文件类型。

Defender for Cloud Apps 的内置 DLP 引擎从常见的文件类型中提取文本,以执行内容检查。 包含的文件类型有 PDF、Office 文件、RTF、HTML 和代码文件等。

以下是可能会应用的文件筛选器的列表。 大多数筛选器都支持使用多个值和 NOT,以提供功能强大的策略创建工具。

注意

使用文件策略筛选器时,“包含”将仅搜索完整词语(由逗号、句点、连字号或空格分隔)。

  • 单词之间的空格或连字号相当于 OR。 例如,如果搜索 malwarevirus,它将查找名称中包含 malware 或 virus 的所有文件,因此它将找到 malware-virus.exevirus.exe
  • 若想要搜索字符串,则将词语放在引号内。 这相当于 AND。 例如:如果搜索 "malware""virus",它将找到 virus-malware-file.exe,而不会找到 malwarevirusfile.exemalware.exe。 但是,它将搜索确切的字符串。 如果搜索 "malware virus",它将不会查找 "virus""virus-malware"

“等于”将仅搜索完整的字符串。 例如,如果搜索 malware.exe,它会找到 malware.exe,而不会找到 malware.exe.txt

  • 访问级别 - 共享访问级别:公共、外部、内部或专用。

    • 内部 - 在常规设置中设置的内部域中包含的任何文件。
    • 外部 - 保存在设置的内部域以外位置的任何文件。
    • 共享 - 具有“专用”以上共享级别的文件。 共享包括:

      • 内部共享 - 内部域中共享的文件。

      • 外部共享 - 在内部域中未列出的域中共享的文件。

      • 公共(带链接) - 可通过链接与任何人共享的文件。

      • 公共 - 可通过搜索 Internet 找到的文件。

        注意

        由外部用户共享到连接的存储应用中的文件由 Defender for Cloud Apps 进行如下处理:

        • OneDrive:OneDrive 将内部用户分配为由外部用户放置到 OneDrive 中的任何文件的所有者。 因为这些文件将被视为组织所拥有的文件,所以 Defender for Cloud Apps 会扫描这些文件并对其应用策略,就像处理 OneDrive 中的任何其他文件一样。
        • Google 云端硬盘:Google 云端硬盘 将这些文件视为外部用户所拥有,因为对于不由组织拥有的文件和数据,存在法律上的限制,所以 Defender for Cloud Apps 不能访问这些文件。
        • Box:Box 全局管理员无法看到文件的内容,因为 Box 将外部拥有的文件视为私人信息。 因此,Defender for Cloud Apps 不能访问这些文件。
        • Dropbox:Dropbox 全局管理员看不到文件的内容,因为 Dropbox 将外部拥有的文件视为私人信息。 因此,Defender for Cloud Apps 不能访问这些文件。

  • 应用 - 仅搜索这些应用中的文件。

  • 协作者 - 包含/排除特定协作者或组。

    • 域中的任何人 - 是否此域中的任何用户都有权直接访问文件。

      注意

      • 此筛选器不支持与组共享的文件,仅会支持与特定用户共享的文件。
      • 对于 SharePoint 和 OneDrive,筛选器不支持通过共享链接与特定用户共享的文件。

    • 整个组织 – 是否整个组织都有权访问该文件。

    • - 是否某个特定组有权访问文件。 可以从 Active Directory、云应用导入组或在服务中手动创建组。

      注意

      • 此筛选器用于搜索整个协作者组。 它与单个组成员不匹配。

    • 用户 - 某些可能会有权访问文件的用户组。

  • 创建时间 – 文件创建时间。 筛选器支持对日期之前或日期之后及日期范围的筛选。

  • 扩展名 - 关注特定文件扩展名。 例如,属于可执行文件 (*.exe) 的所有文件。

    注意

    • 此筛选器区分大小写。
    • 使用 OR 子句对多个大写变体应用筛选器。

  • 文件 ID – 搜索特定的文件 ID。 文件 ID 是一项高级功能,使用户能够跟踪某些高价值文件,而无需依赖其所有者、位置或名称。

  • 文件名称 – 文件名称或云应用中定义的名称的子字符串。 例如,名称中包含密码的所有文件。

  • 敏感度标签 - 用于搜索设置了特定标签的文件。 标签可以是:

    注意

    如果在文件策略中使用此筛选器,该策略将仅适用于Microsoft Office 文件,并且将忽略其他文件类型。

    • Microsoft Purview 信息保护 - 需要与 Microsoft Purview 信息保护集成。
    • Defender for Cloud Apps - 可以更详细地了解它扫描的文件。 对于 Defender for Cloud Apps DLP 扫描的每个文件,可以知道检查是否因文件已加密或已损坏而受到阻止。 例如,你可以设置策略以发出警报,并隔离受密码保护的外部共享文件。
      • Azure RMS 已加密 - 内容未经检查的文件,因为它们具有 Azure RMS 加密集。
      • 密码已加密 - 内容未经检查的文件,因为它们已由用户进行密码保护。
      • 损坏的文件 - 内容未经检查的文件,因为无法读取其内容。

  • 文件类型 - Defender for Cloud Apps 扫描文件以确定真正的文件类型是否匹配从服务接收的 MIME 类型(参见表)。 此扫描仅适用于与数据扫描相关的文件(文档、图像、演示文稿、电子表格、文本和 zip/存档文件)。 筛选器按文件/文件夹类型进行筛选。 例如,筛选具有某种共性的所有文件夹...具有某种共性的所有电子表格文件...

    MIME 类型 (MIME type) 文件类型
    - application/vnd.openxmlformats-officedocument.wordprocessingml.document
    - application/vnd.ms-word.document.macroEnabled.12
    - application/msword
    - application/vnd.oasis.opendocument.text
    - application/vnd.stardivision.writer
    - application/vnd.stardivision.writer-global
    - application/vnd.sun.xml.writer
    - application/vnd.stardivision.math
    - application/vnd.stardivision.chart
    - application/x-starwriter
    - application/x-stardraw
    - application/x-starmath
    - application/x-starchart
    - application/vnd.google-apps.document
    - application/vnd.google-apps.kix
    - application/pdf
    - application/x-pdf
    - application/vnd.box.webdoc
    - application/vnd.box.boxnote
    - application/vnd.jive.document
    - text/rtf
    - application/rtf    		 Document
    - application/vnd.oasis.opendocument.image
    - application/vnd.google-apps.photo
    - 开头为:image/    		 映像
    - application/vnd.openxmlformats-officedocument.presentationml.presentation
    - application/vnd.ms-powerpoint.template.macroEnabled.12
    - application/mspowerpoint
    - application/powerpoint
    - application/vnd.ms-powerpoint
    - application/x-mspowerpoint
    - application/mspowerpoint
    - application/vnd.ms-powerpoint
    - application/vnd.oasis.opendocument.presentation
    - application/vnd.sun.xml.impress
    - application/vnd.stardivision.impress
    - application/x-starimpress
    - application/vnd.google-apps.presentation    		 呈现
    - application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
    - application/vnd.ms-excel.sheet.macroEnabled.12
    - application/excel
    - application/vnd.ms-excel
    - application/x-excel
    - application/x-msexcel
    - application/vnd.oasis.opendocument.spreadsheet
    - application/vnd.sun.xml.calc
    - application/vnd.stardivision.calc
    - application/x-starcalc
    - application/vnd.google-apps.spreadsheet    		 电子表格
    - 开头为:text/ 文本
    所有其他文件 MIME 类型 其他

    policy_file 筛选器类型。

  • 垃圾桶中 - 排除/包括垃圾文件夹中的文件。 这些文件可能仍在共享,并且会带来风险。

    注意

    此筛选器不适用于 SharePoint 和 OneDrive 上的文件。

    policy_file 筛选器垃圾桶。

  • 上次修改 - 文件修改时间。 筛选器支持对日期前后、日期范围内及相对时间表达式进行筛选。 例如,过去六个月内未修改的所有文件。

  • 匹配的策略 - 与活动的 Defender for Cloud Apps 策略匹配的文件。

  • MIME 类型 – 文件 MIME 类型检查。 它接受自由文本。

  • 所有者 - 包含/排除特定文件所有者。 例如,跟踪 rogue_employee_#100 共享的所有文件。

  • 所有者 OU - 包含或排除属于特定组织单位的文件所有者。 例如,除 EMEA_marketing 共享的文件以外的所有公共文件。 仅适用于存储在 Google 云端硬盘中的文件。

  • 父文件夹 – 包含或排除特定的文件夹(不适用于子文件夹)。 例如,除此文件夹中的文件以外的所有公开共享的文件。

    注意

    仅当 SharePoint 和 OneDrive 的新文件夹中执行了某些文件活动后,Defender for Cloud Apps 才会检测到它们。

  • 已隔离 – 文件是否由服务隔离。 例如,向我显示隔离的所有文件。

创建策略时,还可以通过设置“应用于”筛选器,设置在特定文件上运行策略。 筛选到“所有文件”、“所选文件夹”(包含子文件夹),或“除所选文件夹以外的所有文件”。 然后选择相关的文件或文件夹。

应用到筛选器。

授权文件

当 Defender for Cloud Apps 将文件标识为恶意软件或会造成 DLP 风险后,建议调查这些文件。 如果确定文件是安全的,则可以对它们进行授权。 通过授权文件,会将其从恶意软件检测报告中移除,并阻止将来对此文件进行匹配。

要授权文件

  1. 在 Microsoft Defender 门户的“Cloud Apps”下,选择“策略”->“策略管理”。 选择 信息保护 选项卡。

  2. 在策略列表中,在触发调查的策略所在行的“计数”列中,选择“匹配项”链接。

    提示

    可以按类型筛选策略的列表。 下表列出了对于每种风险类型,应使用的筛选器类型:

    风险类型 筛选器类型
    DLP 文件策略
    恶意软件 恶意软件检测策略

  3. 在匹配文件的列表中,在显示所调查文件的行上,选择 ✓ 以授权

使用文件抽屉

可以通过在文件日志中选择文件本身,来查看有关每个文件的详细信息。 选择文件将打开文件抽屉式菜单,它提供了可以对文件执行的以下附加操作:

  • URL - 将你带到文件位置。
  • 文件标识符 - 弹出关于文件的原始数据详细信息,其中包括文件 ID 和加密密钥(如果有的话)。
  • 所有者 - 查看此文件所有者的用户页面。
  • 匹配的策略 - 查看文件匹配的策略的列表。
  • 敏感度标签 - 查看此文件中的 Microsoft Purview 信息保护敏感度标签列表。 然后可以按匹配此标签的所有文件进行筛选。

文件抽屉中的字段提供了附加文件的上下文链接,并直接从抽屉向下钻取要执行的操作。 例如,如果将光标移动到“所有者”字段旁边,则可以使用“添加到筛选器”图标 添加到筛选器。,立即将所有者添加到当前页面的筛选器。 还可以使用弹出的设置齿轮图标 “设置”图标。,直接到达需要修改其中一个字段(例如“敏感度标签”)配置的设置页面。

文件抽屉。

有关可用治理操作的列表,请参阅文件治理操作

后续步骤

保护组织的最佳做法

如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证