Tutorial: Proteger arquivos com quarentena do administrador

Políticas de arquivo são uma excelente ferramenta para encontrar ameaças contra as políticas de proteção de informações. Por exemplo, crie políticas de arquivo que encontram locais nos quais os usuários armazenaram informações confidenciais, números de cartão de crédito e arquivos ICAP de terceiros em sua nuvem.

Neste tutorial você aprenderá a usar o Microsoft Defender para aplicativos de nuvem para detectar arquivos indesejados armazenados na nuvem que o deixam vulnerável e a executar uma ação imediata para interrompê-los enquanto agem e bloquear os arquivos que representam uma ameaça usando a Quarentena do administrador para proteger os arquivos na nuvem, corrigir problemas e impedir vazamentos futuros.

Importante

A partir de 1º de setembro de 2024, substituiremos a página Arquivos do Microsoft Defender para Aplicativos de Nuvem. Nesse ponto, crie e modifique políticas de Proteção de Informações e localize arquivos de malware na página Gerenciamento de Políticas > de Aplicativos > de Nuvem. Para obter mais informações, confira Políticas de arquivos do Microsoft Defender para Aplicativos de Nuvem.

Entender como funciona a quarentena

Observação

  • Para obter uma lista de aplicativos que dão suporte a quarentena do administrador, consulte a lista de ações de governança.
  • Os arquivos rotulados pelo Defender para aplicativos de nuvem não podem ser colocados em quarentena.
  • As ações de quarentena do administrador do Defender para Aplicativos de Nuvem são limitadas a 100 ações por dia.
  • Os sites do SharePoint que são renomeados diretamente ou como parte de renomeação de domínio não podem ser usados como uma localização de pasta para a quarentena administrativa.
  1. Quando um arquivo corresponde a uma política, a opção Quarentena do administrador estará disponível para o arquivo.

  2. Execute uma das seguintes ações para colocar o arquivo em quarentena:

    • Aplique manualmente a ação quarentena do administrador:

      ação de quarentena.

    • Defina-o como uma ação de quarentena automatizada na política:

      colocar em quarentena automaticamente.

  3. Quando a Quarentena do administrador é aplicada, as seguintes ações ocorrem em segundo plano:

    1. O arquivo original é movido para a pasta de quarentena de administrador que você definir.

    2. O arquivo original é excluído.

    3. Um arquivo de marca de exclusão é carregado para o local do arquivo original.

      marca de exclusão de quarentena.

    4. O usuário só pode acessar o arquivo de marca de exclusão. No arquivo, ele pode ler as diretrizes personalizadas fornecidas pela TI e a ID de correlação a ser fornecida à IT para liberar o arquivo.

  4. Quando você receber o alerta de que um arquivo foi colocado em quarentena, vá para Políticas ->Gerenciamento de Políticas. Em seguida, selecione a guia Proteção de Informações. Na linha com sua política de arquivo, escolha os três pontos no final da linha e selecione Exibir todas as correspondências. Isso trará a você o relatório de correspondências, onde você pode ver os arquivos correspondentes e em quarentena:

    Arquivos em quarentena.

  5. Depois que um arquivo foi colocado em quarentena, use o processo a seguir para corrigir a situação de ameaça:

    1. Inspecione o arquivo na pasta de quarentena no SharePoint Online.
    2. Você também pode examinar os logs de auditoria para aprofundar-se nas propriedades de arquivo.
    3. Se você achar que o arquivo está violando a política corporativa, execute o processo de RI (Resposta a Incidentes) da organização.
    4. Se você achar que o arquivo é inofensivo, poderá restaurar o arquivo da quarentena. Nesse momento, o arquivo original é liberado, ou seja, ele é copiado para a localização original, a marca de exclusão é excluída e o usuário pode acessar o arquivo.

    restauração da quarentena.

  6. Valide se a política é executada corretamente. Em seguida, você poderá usar as ações de governança automáticas na política para impedir outras perdas e aplicar automaticamente uma Quarentena do administrador quando a política for correspondida.

Observação

Quando você restaurar um arquivo:

  • Compartilhamentos originais não são restaurados, a herança da pasta padrão é aplicada.
  • O arquivo restaurado contém apenas a versão mais recente.
  • O gerenciamento de acesso ao site da pasta de quarentena é responsabilidade do cliente.

Configurar a quarentena do administrador

  1. Defina políticas de arquivo que detectam violações. Exemplos desses tipos de políticas incluem:

    • Uma política apenas de metadados, como um rótulo de confidencialidade no SharePoint Online
    • Uma política DLP nativa, como uma política que pesquisa números de cartão de crédito
    • Uma política ICAP de terceiros, como uma política que procura o Vontu
  2. Defina um local de quarentena:

    1. Para o Microsoft 365 SharePoint ou o OneDrive for Business, você não pode colocar arquivos na quarentena do administrador como parte de uma política enquanto não configurar a quarentena: aviso de quarentena.

      Para definir as configurações de quarentena do administrador, no portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem. Em Proteção de Informações, escolha Quarentena de administrador. Forneça uma localização para a pasta em quarentena e uma notificação de usuário que o usuário receberá quando seu arquivo for colocado em quarentena. configurações de quarentena.

      Observação

      O Defender para Aplicativos de Nuvem criará uma pasta de quarentena no local selecionado.

    2. Para o Box, a mensagem do usuário e a localização da pasta de quarentena não podem ser personalizadas. O local da pasta é a unidade do administrador que conecta o Box ao Defender para Aplicativos de Nuvem e a mensagem do usuário é: este arquivo foi colocado em quarentena na unidade do administrador porque ele pode violar as políticas de segurança e conformidade de sua empresa. Contate o administrador de TI para obter ajuda.

Próximas etapas

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.