Проверка содержимого DLP в Microsoft Defender for Cloud Apps

Important

Политики файлов удаляются 6 января 2027 г. Чтобы сохранить защиту данных на основе файлов, перейдите на политики Microsoft Purview DLP или автоматической маркировки.

Защита от потери данных (DLP) в Microsoft Defender for Cloud Apps использует проверку содержимого для обнаружения конфиденциальной информации в файлах. Если включена проверка содержимого, Defender for Cloud Apps анализирует файлы на наличие текстовых шаблонов, определенных выражениями. Текст, соответствующий этим выражениям, обрабатывается как совпадение и может использоваться для определения нарушения политики.

Можно использовать предустановленные или пользовательские выражения и определить пороговое значение, когда совпадение представляет собой нарушение. Например, можно задать пороговое значение 10, чтобы оповещать, если файл содержит не менее 10 кредитных карта чисел.

Совпадающий текст заменяется символами "X", а окружающий контекст (100 символов до и после него) маскируется. Числа в контексте заменяются на "#" и не сохраняются. Чтобы отображались последние четыре цифры совпадения, включите в политике файлов параметр Отображать последние четыре символа совпадения без маски.

Вы также можете определить, какие элементы файла проверяются: содержимое, метаданные или имя файла. По умолчанию проверка применяется как к содержимому, так и к метаданным. Такой подход позволяет проверять защищенные файлы, обнаруживать конфиденциальные данные, обеспечивать соответствие требованиям и применять средства управления, уменьшая при этом ложные срабатывания и согласовывая их с внутренними стандартами классификации.

Предварительные условия

Чтобы проверить зашифрованные файлы и включить сканирование меток, глобальный администратор должен сначала предоставить единовременное согласие администратора на Defender for Cloud Apps в Microsoft Entra ID.

Примечание.

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Эта стратегия помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Для этого на портале Defender перейдите в раздел Параметры Облачные > приложения > Microsoft Information Protection > Проверка защищенных файлов и выберите Предоставить разрешение.

Проверка содержимого для защищенных файлов

После предоставления согласия Defender for Cloud Apps развертывает в вашем арендаторе приложение Microsoft Cloud App Security (Internal). Приложение использует разрешение Azure Rights Management Services > Content.SuperUser для расшифровки и проверки защищенных файлов.

В зависимости от облачной среды Майкрософт применяются следующие идентификаторы приложений:

Идентификаторы приложений

Среда ИД приложения;
Общедоступное 25a6a87d-1e19-4c71-9cb0-16e88ff608f1
Фэрфакс bd5667e4-0484-4262-a9db-93faa0893899
GCCM 23105e90-1dfc-497a-bb5d-8b18a44ba061

Примечание.

Идентификаторы приложений — это внутренние субъекты-службы, которые Defender for Cloud Apps использует в средах Public, Fairfax и GCC‑M для проверки защищённых файлов и применения политик DLP. Не удаляйте и не отключайте эти идентификаторы приложений. Это прерывает проверку и предотвращает применение политик защиты от потери данных к защищенным файлам. Всегда убедитесь, что идентификатор приложения для вашей среды присутствует и включен.

Настроить параметры Microsoft Information Protection

Чтобы предоставить Defender for Cloud Apps необходимые разрешения, выполните следующие действия.

  1. Перейдите в раздел Параметры>Microsoft Information Protection.

  2. В разделе Параметры Microsoft Information Protection настройте один или оба из следующих параметров:

    • Автоматическое сканирование новых файлов на наличие меток конфиденциальности и предупреждений проверки содержимого в Microsoft Information Protection. Если этот параметр включен, соединитель приложений проверяет новые файлы на наличие внедренных меток конфиденциальности из Microsoft Information Protection.

    • Проверять только файлы на наличие меток конфиденциальности Microsoft Information Protection и предупреждений проверки содержимого из этого клиента. Если этот параметр включен, сканируются только метки конфиденциальности, примененные в вашем арендаторе. Метки, применяемые внешними клиентами, игнорируются.

  3. Выбрав параметры, нажмите кнопку Сохранить , чтобы применить изменения.

Настройка политик файлов для защищенных файлов

  1. На портале Defender перейдите в раздел Параметры Управление политиками облачных >> приложений>.

  2. Выполните действия, чтобы создать новую политику файлов.

  3. Выберите Применить ко всем файлам или Применить к выбранным файлам , чтобы указать, какие файлы следует сканировать. Этот параметр полезен, если у вас есть внутренний стандарт ключевых слов для классификации, который вы хотите исключить из политики.

  4. Выберите Метод проверки>Служба классификации данных, чтобы включить проверку содержимого для политики.

  5. Установите оба флажка— проверка защищенных файлов и отмена маскирования последних 4 символов совпадения.

    Снимок экрана: метод проверки службы классификации данных.

Дальнейшие действия

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.