Поделиться через

Политики файлов в Microsoft Defender for Cloud Apps

  • Статья

Политики файлов позволяют применять широкий спектр автоматизированных процессов с помощью API поставщика облачных служб. Политики можно настроить для обеспечения непрерывного сканирования соответствия требованиям, юридических задач обнаружения электронных данных, защиты от потери данных (защита от потери данных) для конфиденциального содержимого, к которым предоставлен общий доступ, и многих других вариантов использования. Defender for Cloud Apps может отслеживать любой тип файла на основе более чем 20 фильтров метаданных. Например, уровень доступа и тип файла.

Поддерживаемые типы файлов

Defender for Cloud Apps подсистемы выполняют проверку содержимого путем извлечения текста из (более 100) распространенных типов файлов, включая Office, Open Office, сжатые файлы, различные форматы форматов rtf, XML, HTML и т. д.

Политики

Подсистема объединяет три аспекта в каждой политике:

  • Проверка содержимого на основе заранее созданных шаблонов или пользовательских выражений.

  • Фильтры контекста, включая роли пользователей, метаданные файлов, уровень общего доступа, интеграцию с группами организации, контекст совместной работы и дополнительные настраиваемые атрибуты.

  • Автоматизированные действия по управлению и исправлению.

    Примечание.

    Гарантируется применение только действия системы управления первой активированной политики. Например, если к файлу применяется метка конфиденциальности, то другая политика файлов не может применить к ней другую метку конфиденциальности.

После включения политика постоянно сканирует облачную среду и определяет файлы, соответствующие фильтрам содержимого и контекста, а также применяет запрошенные автоматические действия. Эти политики обнаруживают и устраняют нарушения для неактивных сведений или при создании нового содержимого. Политики можно отслеживать с помощью оповещений в режиме реального времени или отчетов, созданных консолью.

Ниже приведены примеры политик файлов, которые можно создать.

  • Общедоступные файлы . Получите оповещение о любом файле в облаке, который является общедоступным, выбрав все файлы, уровень общего доступа которых является общедоступным.

  • Publicly shared filename содержит название организации . Получите оповещение о любом файле, который содержит имя вашей организации и является общедоступным. Выберите общедоступные файлы с именем, содержащим название вашей организации.

  • Общий доступ с внешними доменами . Получите оповещение о любом файле, совместном доступе с учетными записями, принадлежащими определенным внешним доменам. Например, файлы, доступные для домена конкурента. Выберите внешний домен, для которого вы хотите ограничить общий доступ.

  • Карантин общих файлов, не измененных в течение последнего периода . Получите оповещение об общих файлах, которые никто не изменял недавно, чтобы поместить их в карантин или включить автоматическое действие. Исключить все частные файлы, которые не были изменены в указанный диапазон дат. В Google Workspace можно изолировать эти файлы с помощью флажка "Изолировать файл" на странице создания политики.

  • Предоставление общего доступа неавторизованным пользователям . Получите оповещение о файлах, к которым предоставлен общий доступ неавторизованной группе пользователей в вашей организации. Выберите пользователей, для которых доступ не санкционирован.

  • Расширение конфиденциального файла — получение оповещений о файлах с определенными расширениями, которые предоставляются с высокой степенью доступности. Выберите определенное расширение (например, CRT для сертификатов) или имя файла и исключите эти файлы, задав для них частный уровень доступа.

Создание новой политики файлов

Чтобы создать новую политику файлов, выполните следующую процедуру:

  1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Перейдите на вкладку Information Protection.

  2. Выберите Создать политику и нажмите Политика файла.

    Создайте политику Information Protection.

  3. Присвойте политике имя и описание. Вы также можете создать его на основе шаблона. Дополнительные сведения о шаблонах политик см. в разделе Управление облачными приложениями с помощью политик.

  4. Назначьте политику серьезности политики . Если Defender for Cloud Apps настроен для отправки уведомлений на основе определенного уровня серьезности политики, этот уровень определяет, инициирует ли соответствующее уведомление для политики.

  5. Выберите Категорию и свяжите политику с наиболее подходящим типом риска. Это поле является информативным и помогает позже искать определенные политики и оповещения в зависимости от типа риска. Риск может быть уже выбран в соответствии с категорией, для которой вы решили создать политику. По умолчанию для политик файлов задано значение DLP.

  6. Создайте фильтр для файлов, на которые будет действовать эта политика , чтобы задать, какие обнаруженные приложения активируют эту политику. Сокращайте диапазон фильтров политики до тех пор, пока не будет получен точный набор файлов, на основе которых вы хотите действовать. Используйте максимальную конкретику, чтобы избежать ложных срабатывай. Например, если вы хотите удалить общедоступные разрешения, не забудьте добавить общедоступный фильтр, если вы хотите удалить внешнего пользователя, используйте фильтр "Внешний" и т. д.

    Примечание.

    Фильтр "Contains" политики файлов ищет только полные слова. Эти слова должны быть разделены знаками препинания, такими как запятые, точки, дефисы или пробелы.

    • Пробелы или дефисы между словами функционируют как OR. Например, если выполнить поиск по запросу "вредоносный вирус", он находит все файлы с вредоносными программами или вирусами в имени, чтобы найти как malware-virus.exe, так и virus.exe.
    • Если вы хотите найти строку, заключите слова в кавычки. Эта функция выполняется как И. Например, если выполнить поиск по запросу "вредоносные программы" "вирус", он найдет virus-malware-file.exe но не найдет malwarevirusfile.exe и не найдет malware.exe. Однако он ищет точную строку. Если вы выполните поиск по запросу "вредоносный вирус", он не будет находить "virus" или "virus-malware". \
    • Запрос Равно ищет только по полной строке. Например, при поиске malware.exe он находит malware.exe, но не malware.exe.txt.

  7. В фильтре Применить к выберите все файлы, все файлы, за исключением выбранных папок или выбранных папок для Box, SharePoint, Dropbox или OneDrive. Этот параметр позволяет применить политику файлов ко всем файлам в приложении или в определенных папках. Затем вам будет предложено войти в облачное приложение и добавить соответствующие папки.

    Снимок экрана: место применения политик файлов, например ко всем файлам или выбранным папкам

  8. В фильтре Выбор групп пользователей выберите всех владельцев файлов, владельцев файлов из выбранных групп пользователей или всех владельцев файлов, за исключением выбранных групп. Затем выберите соответствующие группы пользователей, чтобы определить, какие пользователи и группы должны быть включены в политику.

  9. Выберите метод проверки содержимого. Рекомендуется использовать службы классификации данных.

    После включения проверки содержимого можно выбрать использование предустановленных выражений или для поиска других настраиваемых выражений.

    Кроме того, можно указать регулярное выражение, чтобы исключить файл из результатов. Этот параметр очень полезен, если у вас есть внутренний стандарт классификации ключевых слов, который вы хотите исключить из политики.

    Вы можете задать минимальное количество нарушений содержимого, которое необходимо сопоставить, прежде чем файл будет считаться нарушением. Например, вы можете выбрать 10, если хотите получать оповещения о файлах, в которых содержится по крайней мере 10 номеров кредитных карт.

    При совпадении содержимого с выбранным выражением текст нарушения заменяется символами "X". По умолчанию нарушения скрываются и показываются в своем контексте, отображающем 100 символов до и после нарушения. Числа в контексте выражения заменяются символами "#" и не сохраняются в Defender for Cloud Apps. Вы можете выбрать параметр Unmask последние четыре символа нарушения , чтобы отменить маску последних четырех символов самого нарушения. Необходимо настроить типы данных для поиска с помощью регулярных выражений: содержимое, метаданные и/или имя файла. По умолчанию выполняется поиск содержимого и метаданных.

  10. Выберите действия системы управления, которые необходимо Defender for Cloud Apps выполнять при обнаружении совпадения.

  11. После создания политики ее можно просмотреть, отфильтровав тип политики файлов . Вы всегда можете изменить политику, откалибровать ее фильтры или изменять автоматические действия. Политика автоматически включается при создании и немедленно начинает сканирование облачных файлов. При настройке действий по управлению следует проявлять особую осторожность. Они могут привести к необратимой потере разрешений на доступ к файлам. Рекомендуется сузить фильтры, чтобы точно представить файлы, с которыми вы хотите работать, используя несколько полей поиска. Чем конкретнее фильтры, тем лучше. Для получения рекомендаций можно использовать кнопку Изменить и просмотреть результаты рядом с фильтрами.

    Результаты редактирования и предварительного просмотра политики файлов.

  12. Чтобы просмотреть совпадения политик файлов, файлы, которые, как предполагается, нарушают политику, перейдите в раздел Политики ->Управление политиками. Отфильтруйте результаты, чтобы отобразить только политики файлов с помощью фильтра Тип в верхней части. Чтобы получить дополнительные сведения о совпадениях для каждой политики, в столбце Счетчик выберите количество совпадений для политики. Кроме того, выберите три точки в конце строки для политики и выберите Просмотреть все совпадения. Откроется отчет о политике файлов. Перейдите на вкладку Сопоставить сейчас , чтобы просмотреть файлы, которые в настоящее время соответствуют политике. Перейдите на вкладку Журнал , чтобы просмотреть журнал файлов, соответствующих политике, не более шести месяцев.

Ограничения

  • В Defender for Cloud Apps можно использовать только 50 политик файлов.

  • При создании или изменении политики файлов или использовании параметра "Изменить и просмотреть результаты" существует ограничение на размер запроса для поддержания производительности и предотвращения перегрузки системы. Если возникает ошибка размера запроса, попробуйте удалить один фильтр за раз, чтобы изолировать проблему. Начните с фильтра "участники совместной работы", особенно если он включает в себя широкие группы, такие как "все" или "все, кроме внешних пользователей", которые с большей вероятностью превышают ограничение запросов.

Рекомендации по политике файлов

  1. Избегайте сброса политики файлов с помощью сброса результатов и снова применяйте действия в рабочих средах, если это не требуется. Это инициирует полную проверку всех файлов, на которые распространяется политика, что может негативно повлиять на производительность.

  2. При применении меток к файлам в определенной родительской папке и ее вложенных папках используйте параметр Применить к выбранным>папкам. Затем добавьте каждую из родительских папок.

  3. При применении меток только к файлам в определенной папке (за исключением всех вложенных папок) используйте фильтр родительской папки политики файлов с оператором Equals .

  4. Политика файлов работает быстрее, если используются узкие критерии фильтрации (по сравнению с широкими критериями).

  5. Объедините несколько политик файлов для одной службы (например, SharePoint, OneDrive, Box и т. д.) в одну политику.

  6. При включении мониторинга файлов (на странице Параметры) создайте по крайней мере одну политику файлов. Если политика файлов не существует или отключена в течение семи дней подряд, мониторинг файлов автоматически раздается.

Справочник по политике файлов

В этом разделе содержатся справочные сведения о политиках, а также приведены объяснения для каждого типа политики и поля, которые можно настроить для каждой политики.

Политика файлов — это политика на основе API, которая позволяет управлять содержимым организации в облаке с учетом более 20 фильтров метаданных файлов (включая уровень владельца и общего доступа) и результатов проверки содержимого. На основе результатов политики можно применять действия по управлению. Модуль проверки содержимого можно расширить с помощью сторонних модулей защиты от потери данных и решений для защиты от вредоносных программ.

Каждая политика состоит из следующих частей:

  • Фильтры файлов — позволяют создавать детализированные условия на основе метаданных.

  • Проверка содержимого — позволяет сузить политику на основе результатов подсистемы защиты от потери данных. Можно включить пользовательское выражение или предустановленное выражение. Можно задать исключения и выбрать количество совпадений. Вы также можете использовать анонимизацию для маскирования имени пользователя.

  • Действия — политика предоставляет набор действий управления, которые можно автоматически применять при обнаружении нарушений. Эти действия делятся на действия совместной работы, действия по обеспечению безопасности и действия по расследованию.

  • Расширения . Проверка содержимого может выполняться с помощью сторонних обработчиков для улучшения возможностей защиты от потери данных или защиты от вредоносных программ.

Просмотр результатов политики файлов

Вы можете перейти в Центр политик, чтобы проверить нарушения политики файлов.

  1. На портале Microsoft Defender в разделе Облачные приложения перейдите в раздел Политики ->Управление политиками, а затем выберите вкладку Защита информации.

  2. Для каждой политики файлов можно увидеть нарушения политики файлов, выбрав совпадения.

    Снимок экрана: пример соответствия политик.

  3. Вы можете выбрать сам файл, чтобы получить сведения о файлах.

    Снимок экрана: пример содержимого политики.

  4. Например, можно выбрать Участники совместной работы , чтобы узнать, у кого есть доступ к этому файлу, и выбрать Совпадения , чтобы просмотреть номера социального страхования.

    Содержимое соответствует номерам социального страхования.

Фильтры файлов

Фильтры файлов позволяют применять определенные условия к политикам файлов и сосредоточиться на файлах, которые соответствуют таким условиям, как тип файла, уровень доступа и состояние общего доступа. Сюда входят такие типы файлов, как PDF, файлы Office, RTF, HTML и файлы кода.

Ниже приведен список фильтров файлов, которые можно применить:

Снимок экрана: различные типы файлов

Уровень доступа — уровень доступа совместного доступа; public, external, internal или private.

  • Internal — любые файлы во внутренних доменах, заданных в общей настройке.
  • Внешний — все файлы, сохраненные в расположениях, не входящих в заданные внутренние домены.
  • Общий — файлы с уровнем общего доступа выше частного. Общий доступ включает:
    • Внутренний общий доступ — файлы, к которым предоставлен общий доступ во внутренних доменах.
    • Внешний общий доступ — файлы, к которым предоставлен общий доступ в доменах, которые не указаны во внутренних доменах.
    • Общедоступный со ссылкой — файлы, которыми можно делиться с любым пользователем по ссылке.
    • Public — файлы, которые можно найти, выполнив поиск в Интернете.

Примечание.

Файлы, совместно используемые в подключенных приложениях хранилища внешними пользователями, обрабатываются следующим образом Defender for Cloud Apps:

  • OneDrive: OneDrive назначает внутреннего пользователя владельцем любого файла, помещенного в OneDrive внешним пользователем. Так как эти файлы считаются принадлежащими вашей организации, Defender for Cloud Apps сканирует эти файлы и применяет политики, как и к любому другому файлу в OneDrive.
  • Google Диск: Google Диск учитывает эти файлы, принадлежащие внешнему пользователю. Из-за юридических ограничений на файлы и данные, которыми не владеет ваша организация, у Defender for Cloud Apps нет доступа к этим файлам.
  • Коробка: Так как Box считает, что внешние файлы — это частная информация, глобальные администраторы Box не могут видеть содержимое файлов. По этой причине у Defender for Cloud Apps нет доступа к этим файлам.
  • Dropbox: Так как Dropbox считает файлы, принадлежащие внешним пользователям, конфиденциальными, глобальные администраторы Dropbox не могут просматривать содержимое файлов. По этой причине у Defender for Cloud Apps нет доступа к этим файлам.

  • Приложение — поиск только файлов в этих приложениях.

  • Участники совместной работы — включение или исключение определенных участников совместной работы или групп.

  • Любой из домена — если какой-либо пользователь из этого домена имеет прямой доступ к файлу.

Примечание.

  • Этот фильтр не поддерживает файлы, которые были переданы группе, только определенным пользователям.
  • Этот фильтр не поддерживает файлы, к которым предоставлен общий доступ конкретному пользователю через общую ссылку для SharePoint и OneDrive.

  • Вся организация — если вся организация имеет доступ к файлу.

  • Группы — если у определенной группы есть доступ к файлу. Группы можно импортировать из Active Directory, облачных приложений или вручную создать в службе.

Примечание.

  • Этот фильтр используется для поиска группы участников совместной работы в целом. Он не соответствует отдельным членам группы.

  • Пользователи — определенный набор пользователей, которые могут иметь доступ к файлу.

  • Created — время создания файла. Фильтр поддерживает даты до и после и диапазон дат.

  • Расширение — сосредоточьтесь на определенных расширениях файлов. Например, все файлы, которые являются исполняемыми файлами (*.exe). Этот фильтр учитывает регистр. Используйте предложение OR, чтобы применить фильтр к нескольким вариантам заглавной буквы.

  • Идентификатор файла — поиск определенных идентификаторов файлов. Идентификатор файла — это расширенная функция, которая позволяет отслеживать некоторые файлы с высоким значением без зависимости от владельца, расположения или имени.

  • Имя файла — имя файла или подстрока имени, определенного в облачном приложении. Например, все файлы с паролем в имени.

  • Метка конфиденциальности — поиск файлов с определенным набором меток. Если этот фильтр используется в политике файлов, политика применяется только к файлам Microsoft Office и игнорирует файлы других типов. Метки:

    • Защита информации Microsoft Purview — требуется интеграция с Защита информации Microsoft Purview.
    • Defender for Cloud Apps — предоставляет дополнительные сведения о сканируемом файле. Для каждого файла, проверенного Defender for Cloud Apps защиты от потери данных, можно узнать, была ли проверка заблокирована, так как файл зашифрован или поврежден. Например, можно настроить политики для оповещений и карантина файлов, защищенных паролем, которые предоставляются извне.
      • Зашифровано Azure RMS — файлы, содержимое которых не проверялось из-за набора шифрования Azure RMS.
      • Зашифрованные паролем — файлы, содержимое которых не было проверено, так как они защищены паролем пользователем.
      • Поврежденный файл — файлы, содержимое которых не было проверено, так как их содержимое не удалось прочитать.

  • Тип файла — Defender for Cloud Apps сканирует файл, чтобы определить, соответствует ли истинный тип файла типу MIME, полученному (см. таблицу) от службы. Эта проверка относится к файлам, которые относятся к сканированию данных (документы, изображения, презентации, электронные таблицы, текстовые и ZIP-архивные файлы). Фильтр работает для каждого типа файла или папки. Например, Все папки, которые ... или Все файлы электронных таблиц, которые...

Тип MIME Тип файла
- application/vnd.openxmlformats-officedocument.wordprocessingml.document
- application/vnd.ms-word.document.macroEnabled.12
— application/msword
- application/vnd.oasis.opendocument.text
- application/vnd.stardivision.writer
- application/vnd.stardivision.writer-global
— application/vnd.sun.xml.writer
- application/vnd.stardivision.math
- application/vnd.stardivision.chart
— application/x-starwriter
— application/x-stardraw
— application/x-starmath
— application/x-starchart
- application/vnd.google-apps.document
- application/vnd.google-apps.kix
— application/pdf
- application/x-pdf
- application/vnd.box.webdoc
- application/vnd.box.boxnote
- application/vnd.jive.document
— text/rtf
— application/rtf		 Документ
— application/vnd.oasis.opendocument.image
- application/vnd.google-apps.photo
- начинается с: image/		 Image
- application/vnd.openxmlformats-officedocument.presentationml.presentation
- application/vnd.ms-powerpoint.template.macroEnabled.12
— application/mspowerpoint
— application/powerpoint
— application/vnd.ms-powerpoint
— application/x-mspowerpoint
— application/mspowerpoint
— application/vnd.ms-powerpoint
- application/vnd.oasis.opendocument.presentation
— application/vnd.sun.xml.impress
- application/vnd.stardivision.impress
— application/x-starimpress
- application/vnd.google-apps.presentation		 Презентация
- application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
- application/vnd.ms-excel.sheet.macroEnabled.12
— application/excel
- application/vnd.ms-excel
— application/x-excel
— application/x-msexcel
- application/vnd.oasis.opendocument.spreadsheet
— application/vnd.sun.xml.calc
- application/vnd.stardivision.calc
— application/x-starcalc
- application/vnd.google-apps.spreadsheet		 Электронная таблица
- начинается с: text/ Текст
Все остальные типы MIME файлов Прочее
  • В корзине — исключить или включить файлы в корзину. Эти файлы по-прежнему могут быть общими и представлять угрозу. Этот фильтр не применяется к файлам в SharePoint и OneDrive.

Снимок экрана: несколько типов фильтров для политик файлов

  • Последнее изменение — время изменения файла. Фильтр поддерживает даты до и после, диапазон дат и относительные выражения времени. Например, все файлы, которые не были изменены за последние шесть месяцев.

  • Совпадающая политика — файлы, соответствующие активной политике Defender for Cloud Apps.

  • Тип MIME — тип многоцелевых расширений почты Интернета (MIME) проверка. Он принимает бесплатный текст.

  • Владелец — включить или исключить определенных владельцев файлов. Например, отслеживайте все файлы, к которым предоставлен доступ rogue_employee_#100.

  • Подразделение владельца — включает или исключает владельцев файлов, принадлежащих определенным подразделениям. Например, все общедоступные файлы, кроме файлов, совместно используемых EMEA_marketing. Применяется только к файлам, хранящимся в Google Диск.

  • Родительская папка — включает или исключает определенную папку (не применяется к вложенным папкам). Например, все общедоступные файлы, кроме файлов в этой папке.

    Примечание.

    Defender for Cloud Apps обнаруживает новые папки SharePoint и OneDrive только после выполнения в них некоторых действий с файлами.

  • В карантине — если файл помещен в карантин службой. Например, покажите все файлы, помещенные в карантин.

Авторизация файлов

После того как Defender for Cloud Apps идентифицирует файлы как опасные для вредоносных программ или защиты от потери данных, рекомендуется изучить файлы. Если вы определили, что файлы безопасны, вы можете авторизовать их. Авторизация файла удаляет его из отчета об обнаружении вредоносных программ и подавляет будущие совпадения в этом файле.

Авторизация файлов

  1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Выберите вкладку Защита информации.

  2. В списке политик в строке, в которой отображается политика, активировавшая исследование, в столбце Счетчик выберите ссылку соответствия .

    Совет

    Список политик можно отфильтровать по типу. В следующей таблице указан тип фильтра для каждого типа риска.

    Тип риска Тип фильтра
    Защита от потери данных Политика файлов
    Вредоносная программа Политика обнаружения вредоносных программ

  3. В списке соответствующих файлов в строке, в которой отображается исследуемый файл, выберите ✓ для авторизации.

Работа с панелью файлов

Дополнительные сведения о каждом файле можно просмотреть, выбрав сам файл в журнале файлов. При выборе файла открывается панель файлов , которая предоставляет следующие действия, которые можно выполнить с файлом:

  • URL-адрес . Вы перейдете к расположению файла.
  • Идентификаторы файлов . Открывает всплывающее окно с необработанными данными о файле, включая идентификатор файла и ключи шифрования, если они доступны.
  • Владелец — просмотр страницы пользователя для владельца этого файла.
  • Совпадаемые политики . См. список политик, которые соответствуют файлу.
  • Метки конфиденциальности. Просмотрите список меток конфиденциальности из Защита информации Microsoft Purview, найденных в этом файле. Затем можно выполнить фильтрацию по всем файлам, соответствующим этой метки.

Поля в панели "Файл" предоставляют контекстные ссылки на файлы и детализацию, которую может потребоваться выполнить непосредственно из ящика. Например, при перемещении курсора рядом с полем Владелец можно использовать значок "добавить для фильтрации" для фильтрации. Чтобы сразу добавить владельца в фильтр текущей страницы. Вы также можете использовать значок параметров шестеренки параметров. Он открывается, чтобы перейти непосредственно на страницу параметров, необходимую для изменения конфигурации одного из полей, например меток конфиденциальности.

Снимок экрана: панель файлов

Список доступных действий по управлению см. в разделе Действия управления файлами.

Вебинар по защите информации

Дальнейшие действия

Рекомендации по защите организации

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.