Zkoumání souborů pomocí Microsoft Defenderu for Cloud Apps

  • Článek

Pokud chcete zajistit ochranu dat, Microsoft Defender for Cloud Apps vám poskytne přehled o všech souborech z připojených aplikací. Po připojení Programu Microsoft Defender for Cloud Apps k aplikaci pomocí Konektor aplikace zkontroluje Microsoft Defender for Cloud Apps všechny soubory, například všechny soubory uložené na OneDrivu a Salesforce. Pak Defender for Cloud Apps znovu prohledá každý soubor pokaždé, když se změní – může se jednat o obsah, metadata nebo oprávnění ke sdílení. Časy kontrol závisí na počtu souborů uložených ve vaší aplikaci. Stránku Soubory můžete také použít k filtrování souborů, abyste prozkoumali, jaký druh dat je uložený ve vašich cloudových aplikacích.

Důležité

Od 1. září 2024 přestaneme používat stránku Soubory z Programu Microsoft Defender for Cloud Apps. V tomto okamžiku vytvořte a upravte zásady Information Protection a na stránce Správa zásad zásad cloudových > aplikací > vyhledejte soubory malwaru. Další informace najdete v tématu Zásady souborů v programu Microsoft Defender for Cloud Apps.

Povolení monitorování souborů

Pokud chcete povolit monitorování souborů pro Defender for Cloud Apps, nejprve zapněte monitorování souborů v oblasti Nastavení . Na portálu Microsoft Defender vyberte Nastavení>souborů Cloud Apps>Information Protection>>Povolit ukládání souborů monitorování> souborů.

  • Pokud neexistují žádné aktivní zásady souborů, sedm dní po uplynutí doby rezervace poslední stránky souboru se monitorování souborů automaticky vypne.
  • Pokud neexistují žádné aktivní zásady souborů, 35 dní po uplynutí doby rezervace poslední stránky souboru začne Defender for Cloud Apps odstraňovat všechna data, která udržuje Defender for Cloud o uložených souborech.

Příklady filtrů souborů

Stránka Soubory slouží například k zabezpečení externě sdílených souborů označených jako Důvěrné následujícím způsobem:

Po připojení aplikace k Defenderu for Cloud Apps se integrujte s Microsoft Purview Information Protection. Potom na stránce Soubory vyfiltrujte soubory označené jako Důvěrné a vyloučíte svoji doménu ve filtru Spolupracovníci. Pokud zjistíte, že jsou důvěrné soubory sdílené mimo vaši organizaci, můžete vytvořit zásady souborů, které je detekují. U těchto souborů můžete použít automatické akce zásad správného řízení, například Odebrat externí spolupracovníky a odeslat hodnotu hash shody zásad vlastníkovi souboru, abyste zabránili ztrátě dat ve vaší organizaci.

Filtr souborů je důvěrný.

Tady je další příklad použití stránky Soubory . Ujistěte se, že nikdo ve vaší organizaci veřejně nebo externě nesdílí soubory, které se během posledních šesti měsíců nezměnily:

Připojte aplikaci k Defenderu for Cloud Apps a přejděte na stránku Soubory . Vyfiltrujte soubory, jejichž úroveň přístupu je Externí nebo Veřejná , a nastavte datum poslední změny na šest měsíců. Vytvořte zásadu souboru, která zjistí tyto zastaralé veřejné soubory výběrem možnosti Nová zásada z hledání. Použijte u nich automatické akce zásad správného řízení, například Odebrat externí uživatele, abyste zabránili ztrátě dat ve vaší organizaci.

Filtr souborů je zastaralý externí.

Základní filtr poskytuje skvělé nástroje, se kterými můžete začít své soubory filtrovat.

Základní filtr protokolu souborů

Pokud chcete přejít k podrobnostem o konkrétnějších souborech, můžete základní filtr rozbalit výběrem rozšířených filtrů.

Rozšířený filtr protokolu souborů

Filtry souborů

Defender for Cloud Apps může monitorovat jakýkoli typ souboru na základě více než 20 filtrů metadat (například úrovně přístupu, typu souboru).

Defender for Cloud Apps integrovaný v modulech ochrany před únikem informací provádí kontrolu obsahu extrahováním textu z běžných typů souborů. Mezi zahrnuté typy souborů patří PDF, Soubory Office, RTF, HTML a soubory kódu.

Níže je uveden seznam filtrů souborů, které mohou být použity. Abychom vám poskytli výkonný nástroj pro vytváření zásad, většina filtrů podporuje více hodnot a NE.

Poznámka:

Při použití filtrů zásad souborů bude funkce Contains hledat jenom úplná slova – oddělená čárkami, tečkami, spojovníky nebo mezerami, které se mají hledat.

  • Mezery nebo pomlčky mezi slovy fungují jako OR. Pokud například hledáte malware virus, najde všechny soubory s malwarem nebo virus v názvu, takže najde jak malware-virus.exe, tak virus.exe.
  • Pokud chcete vyhledat řetězec, uzavřete slova do uvozovek. Tato funkce funguje jako AND. Pokud například hledáte "malware" "virus", najde virus-malware-file.exe, ale nenajde malwarevirusfile.exe a nenajde malware.exe. Vyhledá však přesný řetězec. Pokud hledáte "malware virus", nenalezne "virus" nebo "virus-malware".

Rovná se vyhledá pouze pro celý řetězec. Pokud například hledáte malware.exe najdete malware.exe, ale ne malware.exe.txt.

  • Úroveň přístupu – úroveň přístupu ke sdílení, veřejná, externí, interní nebo soukromá.

    • Interní – Všechny soubory v interních doménách, které jste nastavili v obecném nastavení.
    • Externí – Všechny soubory uložené v umístěních, která nejsou v interních doménách, které jste nastavili.
    • Sdílené – Soubory, které mají úroveň sdílení nad soukromou. Sdílené zahrnuje:

      • Interní sdílení – Soubory sdílené v rámci interních domén.

      • Externí sdílení – Soubory sdílené v doménách, které nejsou uvedené v interních doménách.

      • Veřejné s odkazem – Soubory, které se dají sdílet s kýmkoli prostřednictvím odkazu.

      • Veřejné – Soubory, které lze najít hledáním na internetu.

        Poznámka:

        Soubory sdílené do připojených aplikací úložiště externími uživateli se zpracovávají následujícím způsobem: Defender for Cloud Apps:

        • OneDrive: OneDrive přiřadí interního uživatele jako vlastníka jakéhokoli souboru umístěného na OneDrive externím uživatelem. Vzhledem k tomu, že tyto soubory jsou pak považovány za vlastněné vaší organizací, Defender for Cloud Apps tyto soubory prohledá a použije zásady stejně jako u jakéhokoli jiného souboru na Vašem OneDrivu.
        • Disk Google: Disk Google považuje tyto položky za vlastněné externím uživatelem a kvůli právním omezením souborů a dat, která vaše organizace nevlastní, nemá k těmto souborům přístup Defender for Cloud Apps.
        • Box: Protože Box považuje externě vlastněné soubory za soukromé informace, globální správci Boxu obsah souborů nevidí. Z tohoto důvodu nemá Defender for Cloud Apps přístup k těmto souborům.
        • Dropbox: Protože Dropbox považuje externě vlastněné soubory za soukromé informace, globální správci Dropboxu obsah souborů nevidí. Z tohoto důvodu nemá Defender for Cloud Apps přístup k těmto souborům.

  • Aplikace – Vyhledávejte jenom soubory v těchto aplikacích.

  • Spolupracovníci – Zahrnout nebo vyloučit konkrétní spolupracovníky nebo skupiny

    • Jakýkoli z domény – pokud má jakýkoli uživatel z této domény přímý přístup k souboru.

      Poznámka:

      • Tento filtr nepodporuje soubory, které byly sdíleny se skupinou, pouze s konkrétními uživateli.
      • U SharePointu a OneDrivu filtr nepodporuje soubory sdílené s konkrétním uživatelem prostřednictvím sdíleného odkazu.

    • Celá organizace – pokud má k souboru přístup celá organizace.

    • Skupiny – Pokud má určitá skupina přístup k souboru. Skupiny je možné importovat z adresáře služby Active Directory nebo cloudových aplikací, případě nebo ve službě vytvořit ručně.

      Poznámka:

      • Tento filtr slouží k hledání skupiny spolupracovníků jako celku. Neshoduje se s jednotlivými členy skupiny.

    • Uživatelé – Určitá sada uživatelů, kteří mají k souboru přístup.

  • Vytvořeno – čas vytvoření souboru. Filtr podporuje data před a po a rozsah dat.

  • Přípona – Zaměřte se na konkrétní přípony souborů. Například všechny soubory, které jsou spustitelné soubory (*.exe).

    Poznámka:

    • V tomto filtru se rozlišují malá a velká písmena.
    • Pomocí klauzule OR použijte filtr u více než jedné varianty velká písmena.

  • ID souboru – Vyhledejte konkrétní ID souborů. ID souboru je pokročilá funkce, která umožňuje sledovat určité soubory s vysokou hodnotou bez závislosti na vlastníkovi, umístění nebo názvu.

  • Název souboru – název souboru nebo podřetězce názvu definovaného v cloudové aplikaci. Například všechny soubory s heslem v jejich jménu.

  • Popisek citlivosti – Vyhledejte soubory s konkrétní sadou popisků. Popisky jsou buď:

    Poznámka:

    Pokud se tento filtr používá v zásadách souborů, zásada se použije jenom pro systém Microsoft Office soubory a bude ignorovat jiné typy souborů.

    • Microsoft Purview Information Protection – Vyžaduje integraci se službou Microsoft Purview Information Protection.
    • Defender for Cloud Apps – poskytuje lepší přehled o souborech, které prohledává. U každého souboru, který kontroluje Ochrana před únikem informací v Programu Defender for Cloud Apps, můžete zjistit, jestli byla kontrola blokovaná, protože soubor je zašifrovaný nebo poškozený. Můžete například nastavit zásady pro upozornění a umístit soubory chráněné heslem do karantény, které jsou sdíleny externě.
      • Šifrovaná služba Azure RMS – Soubory, jejichž obsah nebyl zkontrolován, protože mají sadu šifrování Azure RMS.
      • Šifrované heslo – Soubory, jejichž obsah nebyl zkontrolován, protože jsou chráněny heslem uživatele.
      • Poškozený soubor – Soubory, jejichž obsah nebyl zkontrolován, protože jejich obsah nelze přečíst.

  • Typ souboru – Defender for Cloud Apps naskenuje soubor, aby zjistil, jestli skutečný typ souboru odpovídá přijatému typu MIME (viz tabulka) ze služby. Tato kontrola obsahuje soubory, které jsou relevantní pro prohledávání dat (dokumenty, obrázky, prezentace, tabulky, text a soubory zip/archivu). Filtr funguje na typ souboru nebo složky. Například Všechny složky, které jsou ... nebo Všechny soubory tabulky, které jsou...

    Typ MIME Typ souboru
    – application/vnd.openxmlformats-officedocument.wordprocessingml.document
    – application/vnd.ms-word.document.macroEnabled.12
    – application/msword
    – application/vnd.oasis.opendocument.text
    – application/vnd.stardivision.writer
    – application/vnd.stardivision.writer-global
    – application/vnd.sun.xml.writer
    – application/vnd.stardivision.math
    – application/vnd.stardivision.chart
    - application/x-starwriter
    - application/x-stardraw
    - application/x-starmath
    - application/x-starchart
    – application/vnd.google-apps.document
    – application/vnd.google-apps.kix
    - application/pdf
    - application/x-pdf
    – application/vnd.box.webdoc
    – application/vnd.box.boxnote
    – application/vnd.jive.document
    – text/rtf
    – aplikace/rtf    		 Dokument
    – application/vnd.oasis.opendocument.image
    - application/vnd.google-apps.photo
    - začíná na: image/    		 Image
    – application/vnd.openxmlformats-officedocument.presentationml.presentationml.presentation
    – application/vnd.ms-powerpoint.template.macroEnabled.12
    – application/mspowerpoint
    – aplikace/powerpoint
    – application/vnd.ms-powerpoint
    – application/x-mspowerpoint
    – application/mspowerpoint
    – application/vnd.ms-powerpoint
    – application/vnd.oasis.opendocument.presentation
    – application/vnd.sun.xml.impress
    – application/vnd.stardivision.impress
    - application/x-starimpress
    – application/vnd.google-apps.presentation    		 Prezentace
    – application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
    – application/vnd.ms-excel.sheet.macroEnabled.12
    – aplikace nebo excel
    – application/vnd.ms-excel
    - application/x-excel
    – application/x-msexcel
    – application/vnd.oasis.opendocument.spreadsheet
    – aplikace/vnd.sun.xml.calc
    – application/vnd.stardivision.calc
    – application/x-starcalc
    – application/vnd.google-apps.spreadsheet    		 Tabulkový procesor
    - začíná na: text/ Text
    Všechny ostatní typy MIME souborů Jiný důvod

    policy_file typ filtrů.

  • V koši – vyloučí nebo zahrne soubory do složky koše. Tyto soubory mohou být stále sdíleny a představovat riziko.

    Poznámka:

    Tento filtr se nevztahuje na soubory na SharePointu a OneDrivu.

    policy_file filtruje odpadky.

  • Naposledy změněno – čas změny souboru. Filtr podporuje výrazy před a za kalendářními daty, rozsahem kalendářních dat a relativním časem. Například všechny soubory, které nebyly změněny za posledních šest měsíců.

  • Odpovídající zásady – Soubory, které odpovídají aktivním zásadám Defenderu pro Cloud Apps.

  • Typ MIME – Kontrola typu MIME souboru Přijímá volný text.

  • Vlastník –Zahrnout nebo vyloučit konkrétní vlastníky souborů. Můžete například sledovat všechny soubory sdílené rogue_employee_ #100.

  • Organizační jednotka vlastníka – Zahrnout nebo vyloučit vlastníky souborů, kteří patří do určitých organizačních jednotek. Například všechny veřejné soubory kromě souborů sdílených EMEA_marketing. Platí jenom pro soubory uložené na Disku Google.

  • Nadřazená složka – Zahrňte nebo vylučte konkrétní složku (nevztahuje se na podsložky). Například všechny veřejně sdílené soubory s výjimkou souborů v této složce.

    Poznámka:

    Defender for Cloud Apps detekuje nové složky SharePointu a OneDrivu jenom po provedení nějaké aktivity souboru.

  • Karanténa – Pokud je soubor v karanténě službou. Ukažte mi například všechny soubory, které jsou v karanténě.

Při vytváření zásady ji můžete také nastavit tak, aby běžela u konkrétních souborů nastavením filtru Použít pro . Filtrujte buď všechny soubory, vybrané složky (zahrnuté podsložky), nebo všechny soubory s výjimkou vybraných složek. Pak vyberte soubory nebo složky, které jsou relevantní.

použít pro filtr.

Autorizace souborů

Jakmile Defender for Cloud Apps identifikuje soubory jako ohrožení malwaru nebo ochrany před únikem informací, doporučujeme soubory prozkoumat. Pokud zjistíte, že jsou soubory bezpečné, můžete je autorizovat. Autorizace souboru ho odebere ze sestavy detekce malwaru a potlačí budoucí shody v tomto souboru.

Autorizace souborů

  1. Na portálu Microsoft Defender v části Cloud Apps vyberte Zásady –> Správa zásad. Vyberte kartu Ochrana informací.

  2. V seznamu zásad na řádku, ve kterém se zobrazí zásada, která aktivovala šetření, ve sloupci Počet vyberte odkaz shody .

    Tip

    Seznam zásad můžete filtrovat podle typu. Následující tabulka uvádí typ rizika, který typ filtru se má použít:

    Typ rizika Typ filtru
    DLP Zásady souborů
    Malware Zásady detekce malwaru

  3. V seznamu shodných souborů vyberte na řádku, ve kterém se soubor prošetřuje, možnost autorizovat.

Práce se zásuvkou souboru

Další informace o jednotlivých souborech můžete zobrazit tak, že v protokolu souborů vyberete samotný soubor. Výběrem se otevře zásuvka Soubor, která poskytuje následující další akce, které můžete v souboru provést:

  • Adresa URL – přejdete do umístění souboru.
  • Identifikátory souborů – Otevře automaticky otevírané okno s podrobnostmi o nezpracovaných datech o souboru, včetně ID souboru a šifrovacích klíčů, pokud jsou k dispozici.
  • Vlastník – Umožňuje zobrazit stránku uživatele pro vlastníka tohoto souboru.
  • Spárované zásady – Podívejte se na seznam zásad, které se soubor shodoval.
  • Popisky citlivosti – Zobrazí seznam popisků citlivosti z Microsoft Purview Information Protection nalezené v tomto souboru. Potom můžete filtrovat podle všech souborů, které tomuto popisku odpovídají.

Pole v zásuvce souboru poskytují kontextové odkazy na další soubory a podrobné akce, které můžete provést přímo ze zásuvky. Pokud například přesunete kurzor vedle pole Vlastník , můžete vlastníka okamžitě přidat do filtru aktuální stránky pomocí ikony přidat do filtru. Přidat do filtru. Můžete také použít ikonu ikona nastavení. ozubeného kolečka nastavení, která se zobrazí přímo na stránce nastavení potřebné ke změně konfigurace jednoho z polí, jako jsou popisky citlivosti.

Zásuvka souboru.

Seznam dostupných akcí zásad správného řízení najdete v tématu Akce zásad správného řízení souborů.

Další kroky

Osvědčené postupy pro ochranu vaší organizace

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.