Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Important
Политики файлов удаляются 6 января 2027 г. Чтобы сохранить защиту данных на основе файлов, перейдите на политики DLP Microsoft Purview или политики автоматической маркировки.
Политики файлов позволяют применять широкий спектр автоматизированных процессов с помощью API поставщика облачных служб. Политики можно настроить для непрерывной проверки на соответствие требованиям, выполнения юридических задач eDiscovery, DLP (предотвращения утечки данных) для конфиденциального содержимого, опубликованного в открытом доступе, и многих других сценариев использования. Defender for Cloud Apps может отслеживать любой тип файла на основе более чем 20 фильтров метаданных. Например, уровень доступа и тип файла.
Поддерживаемые типы файлов
Механизмы Defender for Cloud Apps выполняют проверку содержимого, извлекая текст из более чем 100 распространенных типов файлов, включая Office, OpenOffice, сжатые файлы, различные форматы форматированного текста, XML, HTML и другие.
Политики
Модуль объединяет три аспекта в рамках каждой политики:
Проверка содержимого на основе заранее созданных шаблонов или пользовательских выражений.
Фильтры контекста, включая роли пользователей, метаданные файлов, уровень общего доступа, интеграцию с группами организации, контекст совместной работы и дополнительные настраиваемые атрибуты.
Автоматизированные действия по управлению и исправлению.
Примечание.
Гарантируется применение только действия системы управления первой активированной политики. Например, если к файлу применяется метка конфиденциальности, то другая политика файлов не может применить к ней другую метку конфиденциальности.
После включения политика постоянно сканирует облачную среду и определяет файлы, соответствующие фильтрам содержимого и контекста, а также применяет запрошенные автоматические действия. Политики для файлов обнаруживают и устраняют любые нарушения, связанные с хранимыми данными или возникающие при создании нового содержимого. Политики можно отслеживать с помощью оповещений в режиме реального времени или отчетов, созданных консолью.
Ниже приведены примеры политик файлов, которые можно создать.
Общедоступные файлы . Получите оповещение о любом файле в облаке, который является общедоступным, выбрав все файлы, уровень общего доступа которых является общедоступным.
Имя общедоступного файла содержит название организации — Получайте оповещения о любом файле, имя которого содержит название вашей организации и который находится в общем доступе. Выберите общедоступные файлы с именем, содержащим название вашей организации.
Общий доступ с внешними доменами . Получите оповещение о любом файле, совместном доступе с учетными записями, принадлежащими определенным внешним доменам. Например, файлы, доступные для домена конкурента. Выберите внешний домен, для которого вы хотите ограничить общий доступ.
Помещать общие файлы, не изменявшиеся за последний период, в карантин — Получайте оповещения об общих файлах, которые недавно никто не изменял, чтобы поместить их в карантин или включить автоматическое выполнение этого действия. Исключить все частные файлы, которые не были изменены в указанный диапазон дат. В Google Workspace можно изолировать эти файлы с помощью флажка "Изолировать файл" на странице создания политики.
Предоставление общего доступа неавторизованным пользователям . Получите оповещение о файлах, к которым предоставлен общий доступ неавторизованной группе пользователей в вашей организации. Выберите пользователей, для которых доступ не санкционирован.
Конфиденциальное расширение файла — получайте оповещения о файлах с определёнными расширениями, которые являются широко доступными. Выберите определенное расширение (например, CRT для сертификатов) или имя файла и исключите эти файлы, задав для них частный уровень доступа.
Предварительные условия
Чтобы настроить первую политику файлов в клиенте, вам потребуется:
- разрешения субъекта-службы Microsoft Entra.
Разрешения субъекта-службы предоставляются автоматически, только если политика файлов еще не существует. После создания первой политики файлов можно создать дополнительные файлы, не требуя этих разрешений.
Создание новой политики файлов
Чтобы создать новую политику файлов, выполните следующую процедуру:
На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Перейдите на вкладку Information Protection.
Выберите Создать политику и нажмите Политика файла.
Присвойте политике имя и описание. Вы также можете создать его на основе шаблона. Дополнительные сведения о шаблонах политик см. в разделе Управление облачными приложениями с помощью политик.
Назначьте уровень серьезности политики для своей политики. Если Defender for Cloud Apps настроен на отправку уведомлений в зависимости от определённого уровня серьёзности политики, этот уровень определяет, будут ли срабатывания политики вызывать отправку уведомления.
Выберите Категорию и свяжите политику с наиболее подходящим типом риска. Поле "Категория " является информативным только и помогает выполнять поиск определенных политик и оповещений позже на основе типа риска. Риск может быть уже выбран в соответствии с категорией, для которой вы решили создать политику. По умолчанию для политик файлов задано значение DLP.
Создайте фильтр для файлов, на которые будет действовать эта политика , чтобы задать, какие обнаруженные приложения активируют эту политику. Сокращайте диапазон фильтров политики до тех пор, пока не будет получен точный набор файлов, на основе которых вы хотите действовать. Будьте максимально строгими, чтобы избежать ложных срабатываний. Например, если вы хотите удалить общедоступные разрешения, не забудьте добавить общедоступный фильтр, если вы хотите удалить внешнего пользователя, используйте фильтр "Внешний" и т. д.
Примечание.
Фильтр «Содержит» в политике файлов выполняет поиск только по полным словам. Эти слова должны быть разделены знаками препинания, такими как запятые, точки, дефисы или пробелы.
- Пробелы или дефисы между словами функционируют как OR. Например, если выполнить поиск по запросу "вредоносный вирус", он находит все файлы с вредоносными программами или вирусами в имени, чтобы найти как malware-virus.exe, так и virus.exe.
- Если вы хотите найти строку, заключите слова в кавычки. Это работает как И. Например, если выполнить поиск по запросу "вредоносные программы" "вирус", он найдет virus-malware-file.exe но не найдет malwarevirusfile.exe и не найдет malware.exe. Однако он ищет точную строку. Если вы выполните поиск по запросу "вредоносный вирус", он не будет находить "virus" или "virus-malware". \
- Запрос Равно ищет только по полной строке. Например, при поиске malware.exe он находит malware.exe, но не malware.exe.txt.
В фильтре Применить к выберите все файлы, все файлы, за исключением выбранных папок или выбранных папок для Box, SharePoint, Dropbox или OneDrive. Параметр «Применить к» позволяет применять политику файлов ко всем файлам в приложении или к файлам в определенных папках. Затем вам будет предложено войти в облачное приложение и добавить соответствующие папки.
В фильтре Выбор групп пользователей выберите всех владельцев файлов, владельцев файлов из выбранных групп пользователей или всех владельцев файлов, за исключением выбранных групп. Затем выберите соответствующие группы пользователей, чтобы определить, какие пользователи и группы должны быть включены в политику.
Выберите метод проверки содержимого. Рекомендуется использовать службы классификации данных.
После включения проверки содержимого можно выбрать использование предустановленных выражений или для поиска других настраиваемых выражений.
Кроме того, можно указать регулярное выражение, чтобы исключить файл из результатов. Параметр исключения регулярных выражений очень полезен, если у вас есть стандарт внутреннего ключевого слова классификации, который требуется исключить из политики.
Вы можете задать минимальное количество нарушений содержимого, которое необходимо сопоставить, прежде чем файл будет считаться нарушением. Например, вы можете выбрать 10, если хотите получать оповещения о файлах, в которых содержится по крайней мере 10 номеров кредитных карт.
При совпадении содержимого с выбранным выражением текст нарушения заменяется символами "X". По умолчанию нарушения скрываются и показываются в своем контексте, отображающем 100 символов до и после нарушения. Числа в контексте выражения заменяются символами "#" и не сохраняются в Defender for Cloud Apps. Вы можете выбрать параметр Снять маску с последних четырёх символов нарушения, чтобы снять маску с последних четырёх символов самого нарушения. Необходимо настроить типы данных для поиска с помощью регулярных выражений: содержимое, метаданные и/или имя файла. По умолчанию выполняется поиск содержимого и метаданных.
В разделе Оповещения при необходимости настройте любое из следующих действий:
- Создавать оповещение для каждого совпадающего события с уровнем важности политики
- Отправка оповещения по электронной почте
- Ежедневное ограничение оповещений для каждой политики. На действия системы управления не влияет ежедневное ограничение оповещений.
- Отправка оповещений в Power Automate
Выберите действия системы управления, которые необходимо Defender for Cloud Apps выполнять при обнаружении совпадения. Будьте осторожны при настройке действий управления, они могут привести к необратимой потере разрешений на доступ к файлам.
После создания политики ее можно просмотреть, отфильтровав тип политики файлов . Вы всегда можете изменить политику, откалибровать ее фильтры или изменять автоматические действия. Политика автоматически включается при создании и немедленно начинает сканирование облачных файлов. Мы рекомендуем сузить фильтры с помощью нескольких полей поиска, чтобы получить файлы, с которыми вы хотите работать. Чем конкретнее фильтры, тем лучше. Вы можете использовать кнопку Изменить и просмотреть результаты рядом с фильтрами.
Чтобы просмотреть совпадения политик файлов, перейдите в раздел Политики ->Управление политиками. Здесь можно увидеть файлы, которые подозреваются в нарушении политики. Отфильтруйте результаты, чтобы отобразить только политики файлов с помощью фильтра Тип в верхней части. Чтобы получить дополнительные сведения о совпадениях для каждой политики, в столбце Счетчик выберите количество совпадений для политики. Кроме того, выберите три точки в конце строки для политики и выберите Просмотреть все совпадения. При выборе "Просмотреть все совпадения " откроется отчет политики файлов. Перейдите на вкладку Сопоставить сейчас , чтобы просмотреть файлы, которые в настоящее время соответствуют политике. Выберите вкладку История, чтобы просмотреть историю файлов, соответствовавших политике, максимум за последние шесть месяцев.
Ограничения
В Defender for Cloud Apps можно использовать только 50 политик файлов.
При создании или изменении политики файлов или использовании параметра "Изменить и просмотреть результаты" существует ограничение на размер запроса для поддержания производительности и предотвращения перегрузки системы. Если возникает ошибка размера запроса, попробуйте удалить один фильтр за раз, чтобы изолировать проблему. Начните с фильтра "участники совместной работы", особенно если он включает в себя широкие группы, такие как "все" или "все, кроме внешних пользователей", которые с большей вероятностью превышают ограничение запросов.
Рекомендации по политике файлов
При создании политик файлов и управлении ими в Defender for Cloud Apps используйте следующие рекомендации.
Избегайте сброса политики для файлов с помощью флажка Сбросить результаты и снова применить действия в производственных средах, если в этом нет необходимости. Это инициирует полную проверку всех файлов, на которые распространяется политика, что может негативно повлиять на производительность.
При применении меток к файлам в определенной родительской папке и ее вложенных папках используйте параметр Применить к выбранным>папкам. Затем добавьте каждую из родительских папок.
При применении меток к файлам только в определенной папке (исключая все вложенные папки) используйте фильтр политики файлов Родительская папка с оператором Equals.
Политика файлов работает быстрее, если используются узкие критерии фильтрации (по сравнению с широкими критериями).
Объедините несколько политик файлов для одной службы (например, SharePoint, OneDrive, Box и т. д.) в одну политику.
При включении мониторинга файлов (на странице Параметры) создайте по крайней мере одну политику файлов. Если политика для файлов отсутствует или отключена в течение семи дней подряд, мониторинг файлов автоматически отключается.
Справочник по политике файлов
В следующем справочнике по политике файлов приведены объяснения для каждого типа политики и поля, которые можно настроить для каждой политики.
Политика файлов — это политика на основе API, которая позволяет управлять содержимым организации в облаке с учетом более 20 фильтров метаданных файлов (включая уровень владельца и общего доступа) и результатов проверки содержимого. На основе результатов политики можно применять действия по управлению. Модуль проверки содержимого можно расширить с помощью сторонних модулей защиты от потери данных и решений для защиты от вредоносных программ.
Каждая политика состоит из следующих частей:
Фильтры файлов — позволяют создавать детализированные условия на основе метаданных.
Проверка содержимого — позволяет уточнить политику на основе результатов механизма DLP. Можно включить пользовательское выражение или предустановленное выражение. Можно задать исключения и выбрать количество совпадений. Вы также можете использовать анонимизацию для маскирования имени пользователя.
Действия — политика предоставляет набор действий управления, которые можно автоматически применять при обнаружении нарушений. Эти действия делятся на действия совместной работы, действия по обеспечению безопасности и действия по расследованию.
Расширения . Проверка содержимого может выполняться с помощью сторонних обработчиков для улучшения возможностей защиты от потери данных или защиты от вредоносных программ.
Просмотр результатов политики файлов
Вы можете перейти в Центр политик, чтобы проверить нарушения политики файлов.
На портале Microsoft Defender в разделе Облачные приложения перейдите в раздел Политики ->Управление политиками, а затем выберите вкладку Защита информации.
Для каждой политики файлов можно увидеть нарушения политики файлов, выбрав совпадения.
Вы можете выбрать сам файл, чтобы получить сведения о файлах.
Например, можно выбрать Участники совместной работы , чтобы узнать, у кого есть доступ к этому файлу, и выбрать Совпадения , чтобы просмотреть номера социального страхования.
Фильтры файлов
Фильтры файлов позволяют применять определенные условия к политикам файлов и сосредоточиться на файлах, которые соответствуют таким условиям, как тип файла, уровень доступа и состояние общего доступа. Фильтры файлов поддерживают такие типы файлов, как PDF, файлы Office, RTF, HTML и файлы кода.
Ниже приведен список фильтров файлов, которые можно применить:
Уровень доступа — уровень общего доступа: общедоступный, внешний, внутренний или частный.
- Internal — любые файлы во внутренних доменах, заданных в общей настройке.
- Внешний — все файлы, сохраненные в расположениях, не входящих в заданные внутренние домены.
-
Общий доступ — Файлы, уровень доступа которых выше, чем «Частный». Общий доступ включает:
- Внутренний общий доступ — Файлы, к которым предоставлен общий доступ во внутренних доменах.
- Внешний общий доступ — Файлы, к которым предоставлен доступ в доменах, не указанных в списке внутренних доменов.
- Общедоступный со ссылкой — Files, которыми можно поделиться с любым пользователем через ссылку.
- Общедоступные — файлы, которые можно найти через поиск в Интернете.
Примечание.
Файлы, которыми внешние пользователи поделились в ваших подключённых приложениях для хранения данных, обрабатываются в Defender for Cloud Apps следующим образом:
- Onedrive: OneDrive назначает внутреннего пользователя владельцем любого файла, помещенного в OneDrive внешним пользователем. Так как эти файлы считаются принадлежащими вашей организации, Defender for Cloud Apps сканирует эти файлы и применяет политики, как и к любому другому файлу в OneDrive.
- Google Диск: Google Диск учитывает эти файлы, принадлежащие внешнему пользователю. Из-за юридических ограничений на файлы и данные, которыми не владеет ваша организация, у Defender for Cloud Apps нет доступа к этим файлам.
- Коробка: Так как Box считает, что внешние файлы — это частная информация, глобальные администраторы Box не могут видеть содержимое файлов. По этой причине у Defender for Cloud Apps нет доступа к этим файлам.
- Dropbox: Так как Dropbox считает файлы, принадлежащие внешним пользователям, конфиденциальными, глобальные администраторы Dropbox не могут просматривать содержимое файлов. По этой причине у Defender for Cloud Apps нет доступа к этим файлам.
Приложение — поиск только файлов в этих приложениях.
Участники совместной работы — включение или исключение определенных участников совместной работы или групп.
Любой из домена — если какой-либо пользователь из этого домена имеет прямой доступ к файлу.
Примечание.
- Этот фильтр не работает с файлами, доступ к которым предоставлен группе, — только с файлами, доступ к которым предоставлен отдельным пользователям.
- Этот фильтр не поддерживает файлы, к которым предоставлен общий доступ конкретному пользователю через общую ссылку для SharePoint и OneDrive. При отправке файлов в SharePoint или OneDrive в поле Домены участника > совместной работы автоматически будет добавлен домен владельца файла. Так как большинство файлов принадлежат пользователям в вашей организации, использование фильтра Любой из домена с условием не содержит и указанием домена вашей организации исключит большинство файлов из политики. Чтобы избежать этого, не указывайте домен вашей организации с этим условием.
Вся организация — если вся организация имеет доступ к файлу.
Группы — если у определенной группы есть доступ к файлу. Группы можно импортировать из Active Directory, облачных приложений или вручную создать в службе.
Примечание.
- Этот фильтр используется для поиска группы участников совместной работы в целом. Это не подходит для отдельных членов группы.
Пользователи — определенный набор пользователей, которые могут иметь доступ к файлу.
Created — время создания файла. Фильтр поддерживает даты до и после и диапазон дат.
Расширение — сосредоточьтесь на определенных расширениях файлов. Например, все файлы, которые являются исполняемыми файлами (*.exe). Этот фильтр учитывает регистр. Используйте предложение OR, чтобы применить фильтр к нескольким вариантам заглавной буквы.
Идентификатор файла — поиск определенных идентификаторов файлов. Идентификатор файла — это расширенная функция, которая позволяет отслеживать некоторые файлы с высоким значением без зависимости от владельца, расположения или имени.
Имя файла — имя файла или подстрока имени, определенного в облачном приложении. Например, все файлы с паролем в имени.
Метка конфиденциальности — поиск файлов с определенным набором меток. Если этот фильтр используется в политике файлов, политика применяется только к файлам Microsoft Office и игнорирует файлы других типов. Метки включают:
- Защита информации Microsoft Purview — требуется интеграция с Защита информации Microsoft Purview.
-
Defender for Cloud Apps — предоставляет дополнительные сведения о сканируемом файле. Для каждого файла, проверенного Defender for Cloud Apps защиты от потери данных, можно узнать, была ли проверка заблокирована, так как файл зашифрован или поврежден. Например, можно настроить политики для оповещений и карантина файлов, защищенных паролем, которые предоставляются извне.
- Зашифровано с помощью Azure RMS — Файлы, содержимое которых не проверялось, поскольку для них задано шифрование Azure RMS.
- Защищено паролем — Файлы, содержимое которых не было проверено, так как они были защищены паролем пользователем.
- Поврежденный файл — Files содержимое которого не было проверено, так как не удалось прочитать его содержимое.
Тип файла — Defender for Cloud Apps сканирует файл, чтобы определить, соответствует ли истинный тип файла типу MIME, полученному (см. таблицу) от службы. Эта проверка относится к файлам, которые относятся к сканированию данных (документы, изображения, презентации, электронные таблицы, текстовые и ZIP-архивные файлы). Фильтр работает для каждого типа файла или папки. Например, Все папки, которые ... или Все файлы электронных таблиц, которые...
| Тип MIME | Тип файла |
|---|---|
| — application/vnd.openxmlformats-officedocument.wordprocessingml.document — application/vnd.ms-word.document.macroEnabled.12 — application/msword — application/vnd.oasis.opendocument.text — application/vnd.stardivision.writer — application/vnd.stardivision.writer-global — application/vnd.sun.xml.writer — application/vnd.stardivision.math — application/vnd.stardivision.chart — application/x-starwriter — application/x-stardraw — application/x-starmath - application/x-starchart - application/vnd.google-apps.document — application/vnd.google-apps.kix - application/pdf - application/x-pdf — application/vnd.box.webdoc — application/vnd.box.boxnote — application/vnd.jive.document — text/rtf — application/rtf |
Документ |
| — application/vnd.oasis.opendocument.image - application/vnd.google-apps.photo - начинается с: image/ |
Изображение |
| - application/vnd.openxmlformats-officedocument.presentationml.presentation — application/vnd.ms-powerpoint.template.macroEnabled.12 - application/mspowerpoint — application/powerpoint — application/vnd.ms-powerpoint - application/x-mspowerpoint - application/mspowerpoint — application/vnd.ms-powerpoint — application/vnd.oasis.opendocument.presentation - application/vnd.sun.xml.impress - application/vnd.stardivision.impress — application/x-starimpress — application/vnd.google-apps.presentation |
Презентация |
| — application/vnd.openxmlformats-officedocument.spreadsheetml.sheet — application/vnd.ms-excel.sheet.macroEnabled.12 - application/excel — application/vnd.ms-excel - application/x-excel — application/x-msexcel - application/vnd.oasis.opendocument.spreadsheet — application/vnd.sun.xml.calc — application/vnd.stardivision.calc — application/x-starcalc - application/vnd.google-apps.spreadsheet |
Электронная таблица |
| - начинается с: text/ | Текст |
| Все остальные типы MIME файлов | Прочее |
- В корзине — исключить/включить файлы в папке «Корзина». Эти файлы по-прежнему могут быть общими и представлять угрозу. Этот фильтр не применяется к файлам в SharePoint и OneDrive.
Последнее изменение — время изменения файла. Фильтр поддерживает даты до и после, диапазон дат и относительные выражения времени. Например, все файлы, которые не были изменены за последние шесть месяцев.
Соответствующая политика — Файлы, соответствующие активной политике Defender for Cloud Apps.
Тип MIME — проверка типа MIME файла. Он принимает бесплатный текст.
Владелец — включить или исключить определенных владельцев файлов. Например, отслеживайте все файлы, к которым предоставлен доступ rogue_employee_#100.
OU владельца — включить или исключить файлы, владельцы которых относятся к определённым организационным единицам. Например, все общедоступные файлы, кроме файлов, которыми поделился EMEA_marketing. Применяется только к файлам, хранящимся в Google Диск.
Родительская папка — включает или исключает определенную папку (не применяется к вложенным папкам). Например, все общедоступные файлы, кроме файлов в этой папке.
Примечание.
Defender for Cloud Apps обнаруживает новые папки SharePoint и OneDrive только после выполнения в них некоторых действий с файлами.
В карантине — если файл помещен в карантин службой. Например, покажите все файлы, помещенные в карантин.
Авторизация файлов
После того как Defender for Cloud Apps идентифицирует файлы как опасные для вредоносных программ или защиты от потери данных, рекомендуется изучить файлы. Если вы определили, что файлы безопасны, вы можете авторизовать их. Авторизация файла удаляет его из отчета об обнаружении вредоносных программ и подавляет будущие совпадения в этом файле.
Авторизация файлов
На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками. Выберите вкладку Защита информации.
В списке политик в строке, где отображается политика, вызвавшая расследование, в столбце Количество выберите ссылку совпадения.
Совет
Список политик можно отфильтровать по типу. В следующей таблице указан тип фильтра для каждого типа риска.
Тип риска Тип фильтра DLP Политика файлов Вредоносная программа Политика обнаружения вредоносных программ В списке соответствующих файлов в строке, в которой отображается исследуемый файл, выберите ✓ для авторизации.
Работа с панелью «Файлы»
Дополнительные сведения о каждом файле можно просмотреть, выбрав сам файл в журнале файлов. При выборе файла открывается панель файлов , которая предоставляет следующие действия, которые можно выполнить с файлом:
- URL — Переход к местоположению файла.
- Идентификаторы файлов . Открывает всплывающее окно с необработанными данными о файле, включая идентификатор файла и ключи шифрования, если они доступны.
- Владелец — просмотр страницы пользователя для владельца этого файла.
- Совпадаемые политики . См. список политик, которые соответствуют файлу.
- Метки конфиденциальности. Просмотрите список меток конфиденциальности из Защита информации Microsoft Purview, найденных в этом файле. Затем можно выполнить фильтрацию по всем файлам, соответствующим этой метки.
Поля в выдвижной панели "Файл" содержат контекстные ссылки на файлы и переходы к более подробной информации, которые можно выполнять непосредственно из этой панели. Например, при перемещении курсора рядом с полем "Владелец " можно использовать значок "Добавить для фильтрации"
Чтобы добавить владельца сразу же в фильтр текущей страницы. Вы также можете использовать значок шестерёнки
, который появляется, чтобы перейти непосредственно на страницу параметров, необходимую для изменения настроек одного из полей, например метки конфиденциальности.
Список доступных действий по управлению см. в разделе Действия управления файлами.
Дальнейшие действия
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.