Поделиться через

Руководство по защите файлов с помощью карантина администратора

  • Статья

Политики файлов — отличный инструмент для поиска угроз для политик защиты информации. Например, создайте политики файлов, которые будут находить места в облаке, где пользователи хранят конфиденциальную информацию, номера кредитных карт и сторонние ICAP-файлы.

В этом руководстве вы узнаете, как использовать приложения Microsoft Defender для облака для обнаружения нежелательных файлов, хранящихся в облаке, которые оставляют вас уязвимыми, и принять немедленные меры, чтобы остановить их в своих треках и заблокировать файлы, которые представляют угрозу с помощью карантина администратора для защиты файлов в облаке, устранения проблем и предотвращения будущих утечек.

Внимание

Начиная с 1 сентября 2024 г. мы не рекомендуем использовать страницу "Файлы" из Microsoft Defender для облака Приложения. На этом этапе создайте и измените политики Information Protection и найдите файлы вредоносных программ на странице управления политиками политик > облачных приложений>. Дополнительные сведения см. в разделе "Политики файлов" в приложениях Microsoft Defender для облака.

Сведения о принципах работы карантина

Примечание.

  • Список приложений, поддерживающих карантин администратора, см. в списке действий управления.
  • Файлы, помеченные Defender для облака Приложениями, не могут быть помещены в карантин.
  • Defender для облака действия администратора приложений в карантине ограничены 100 действиями в день.
  • Сайты Sharepoint, переименованные напрямую или как часть переименования домена, нельзя использовать в качестве расположения папки для карантина администратора.

  1. Если файл соответствует политике, для него становится доступна функция Карантин администратора.

  2. Выполните одно из следующих действий, чтобы поместить файл в карантин.

    • Вручную примените действие Карантин администратора:

      действие карантина.

    • Настройте в политике автоматическое действие по помещению в карантин:

      карантин автоматически.

  3. При применении функции Карантин администратора в системе происходит следующее.

    1. Исходный файл перемещается в заданную вами папку карантина администратора.

    2. Исходный файл удаляется.

    3. Файл с отметкой полного удаления отправляется в исходное расположение файла.

      карантинный могила.

    4. Пользователь имеет доступ только к файлу с отметкой полного удаления. В этом файле он может прочитать составленные ИТ-отделом правила, а также узнать идентификатор корреляции, который позволяет ИТ-отделу освободить файл.

  4. Когда вы получите оповещение о том, что файл был помещен в карантин, перейдите в раздел "Политики -> Управление политиками". Затем перейдите на вкладку Information Protection . В строке с политикой файлов выберите три точки в конце строки и выберите "Просмотреть все совпадения". При этом вы получите отчет о совпадениях, где можно просмотреть соответствующие и карантинные файлы:

    Файлы в карантине.

  5. После помещения файла в карантин воспользуйтесь следующей процедурой для устранения опасной ситуации.

    1. Просмотрите файл в папке карантина в системе SharePoint Online.
    2. Для более детального изучения свойств файла можно также просмотреть журналы аудита.
    3. Если файл находится в отношении корпоративной политики, выполните процесс реагирования на инциденты организации (IR).
    4. Если файл оказался безвредным, можно восстановить его из карантина. При этом исходный файл освобождается, т. е. копируется обратно в исходное расположение, отметка полного удаления стирается, после чего пользователь может обратиться к файлу.

    восстановление карантина.

  6. Убедитесь в правильной работе политики — и вы сможете использовать в ней автоматические действия управления, чтобы предотвратить дальнейшие утечки и автоматически применять карантин администратора при обнаружении соответствия политике.

Примечание.

При восстановлении файла:

  • исходные общие ресурсы не восстанавливаются, и применяется наследование папок по умолчанию;
  • восстановленный файл содержит только самую последнюю версию.
  • Управление доступом к сайту к папке карантина является ответственностью клиента.

Настройка карантина администратора

  1. Настройте политики файлов, которые обнаруживают утечки. Примеры этих типов политик:

    • Политика метаданных, например метка конфиденциальности в SharePoint Online
    • собственная политика защиты от потери данных, например политика, ищущая номера кредитных карт;
    • Сторонняя политика ICAP, например политика, которая ищет Vontu

  2. Задайте расположение карантина.

    1. Для Microsoft 365 SharePoint или OneDrive для бизнеса нельзя поместить файлы в карантин администратора в рамках политики, пока не настроите ее:предупреждение о карантине.

      Чтобы задать параметры карантина администратора, на портале Microsoft Defender выберите "Параметры". Затем выберите "Облачные приложения". В разделе Information Protection выберите карантин администратора. Укажите сайт для расположения папки карантина и уведомление пользователя о том, что пользователь получит при карантине его файл. параметры карантина.

      Примечание.

      Defender для облака Приложения создадут папку карантина на выбранном сайте.

    2. В Box невозможно настроить расположение папки карантина и сообщение для пользователей. Расположение папки — это диск администратора, который подключил Box к Defender для облака приложениям и сообщение пользователя: этот файл был помещен в карантин на диск администратора, так как он может нарушить политики безопасности и соответствия вашей компании. Свяжитесь с ИТ-администратором для получения помощи.

Следующие шаги

Рекомендации по защите организации

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.