- Artykuł
Zasady dotyczące plików to doskonałe narzędzie do znajdowania zagrożeń dla zasad ochrony informacji. Na przykład utwórz zasady dotyczące plików, które znajdują miejsca, w których użytkownicy przechowywali poufne informacje, numery kart kredytowych i pliki ICAP innych firm w chmurze.
W tym samouczku dowiesz się, jak za pomocą usługi Microsoft Defender dla Chmury Apps wykrywać niechciane pliki przechowywane w chmurze, które pozostawiają cię podatnymi na zagrożenia, i podejmować natychmiastowe działania, aby zatrzymać je w ich śladach i zablokować pliki, które stanowią zagrożenie przy użyciu kwarantanny administratora w celu ochrony plików w chmurze, korygowania problemów i zapobiegania przyszłym wyciekom.
- Informacje o sposobie działania kwarantanny
- Konfigurowanie kwarantanny administratora
Ważne
Od 1 września 2024 r. wycofamy stronę Pliki z Microsoft Defender dla Chmury Apps. W tym momencie utwórz i zmodyfikuj zasady usługi Information Protection oraz znajdź pliki złośliwego oprogramowania na stronie Zarządzanie zasadami zasad w > chmurze>. Aby uzyskać więcej informacji, zobacz Zasady plików w usłudze Microsoft Defender dla Chmury Apps.
Informacje o sposobie działania kwarantanny
Uwaga
- Aby uzyskać listę aplikacji obsługujących kwarantannę administratora, zobacz listę akcji ładu.
- Pliki oznaczone etykietą Defender dla Chmury Apps nie mogą być poddane kwarantannie.
- Defender dla Chmury Akcje kwarantanny administratora aplikacji są ograniczone do 100 akcji dziennie.
- Witryny programu SharePoint, których nazwa została zmieniona bezpośrednio lub w ramach zmiany nazwy domeny, nie mogą być używane jako lokalizacja folderu dla kwarantanny administratora.
Gdy plik jest zgodny z zasadami, opcja Kwarantanna administratora będzie dostępna dla pliku.
Wykonaj jedną z następujących czynności, aby poddać plik kwarantannie:
Ręcznie zastosuj akcję kwarantanny administratora:
Ustaw ją jako automatyczną akcję kwarantanny w zasadach:
Po zastosowaniu kwarantanny administratora w tle występują następujące elementy:
Oryginalny plik zostanie przeniesiony do ustawionego folderu kwarantanny administratora.
Oryginalny plik zostaje usunięty.
Plik grobowca jest przekazywany do oryginalnej lokalizacji pliku.
Użytkownik może uzyskać dostęp tylko do pliku grobowca. W pliku mogą odczytywać niestandardowe wytyczne dostarczone przez it i identyfikator korelacji, aby nadać IT wydanie pliku.
Po otrzymaniu alertu, że plik został poddany kwarantannie, przejdź do pozycji Zasady —> Zarządzanie zasadami. Następnie wybierz kartę Information Protection . W wierszu z zasadami plików wybierz trzy kropki na końcu wiersza, a następnie wybierz pozycję Wyświetl wszystkie dopasowania. Spowoduje to wyświetlenie raportu dopasowań, w którym można zobaczyć pasujące i poddane kwarantannie pliki:
Po kwarantannie pliku użyj następującego procesu, aby skorygować sytuację zagrożenia:
- Sprawdź plik w folderze poddanej kwarantannie w usłudze SharePoint Online.
- Możesz również przejrzeć dzienniki inspekcji, aby szczegółowo zapoznać się z właściwościami pliku.
- Jeśli okaże się, że plik jest powiązany z zasadami firmowymi, uruchom proces reagowania na zdarzenia (IR) organizacji.
- Jeśli okaże się, że plik jest nieszkodliwy, możesz przywrócić plik z kwarantanny. W tym momencie oryginalny plik jest zwalniany, co oznacza, że jest kopiowany z powrotem do oryginalnej lokalizacji, grób jest usuwany, a użytkownik może uzyskać dostęp do pliku.
Sprawdź, czy zasady działają bezproblemowo. Następnie możesz użyć automatycznych akcji ładu w zasadach, aby zapobiec dalszym wyciekom i automatycznie zastosować kwarantannę administratora po dopasowaniu zasad.
Uwaga
Podczas przywracania pliku:
- Oryginalne udziały nie są przywracane, stosowane jest domyślne dziedziczenie folderów.
- Przywrócony plik zawiera tylko najnowszą wersję.
- Zarządzanie dostępem do witryny folderu kwarantanny jest obowiązkiem klienta.
Konfigurowanie kwarantanny administratora
Ustaw zasady dotyczące plików, które wykrywają naruszenia. Przykłady tych typów zasad obejmują:
- Zasady dotyczące metadanych, takie jak etykieta poufności w usłudze SharePoint Online
- Natywne zasady DLP, takie jak zasady wyszukujące numery kart kredytowych
- Zasady innych firm, takie jak zasady, które szukają vontu
Ustaw lokalizację kwarantanny:
W przypadku programu Microsoft 365 SharePoint lub OneDrive dla Firm nie można umieścić plików w kwarantannie administratora w ramach zasad, dopóki nie zostanie on skonfigurowany:
Aby ustawić ustawienia kwarantanny administratora, w witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze Information Protection wybierz pozycję Kwarantanna administratora. Podaj lokację lokalizacji folderu kwarantanny i powiadomienie użytkownika, że użytkownik otrzyma, gdy jego plik zostanie poddany kwarantannie.
Uwaga
Defender dla Chmury Apps utworzy folder kwarantanny w wybranej witrynie.
W przypadku urządzenia Box nie można dostosować lokalizacji folderu kwarantanny i komunikatu użytkownika. Lokalizacja folderu to dysk administratora, który połączył usługę Box z aplikacjami Defender dla Chmury, a komunikat użytkownika: ten plik został poddany kwarantannie na dysku administratora, ponieważ może to naruszać zasady zabezpieczeń i zgodności firmy. Skontaktuj się z administratorem IT, aby uzyskać pomoc.
Następne kroki
Najlepsze rozwiązania dotyczące ochrony organizacji
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.
