Tutorial: Proteger arquivos com quarentena de administrador

As políticas de arquivos são uma ótima ferramenta para encontrar ameaças às suas políticas de proteção de informações. Por exemplo, crie políticas de arquivo que encontrem locais onde os usuários armazenaram informações confidenciais, números de cartão de crédito e arquivos ICAP de terceiros em sua nuvem.

Neste tutorial, você aprenderá como usar o Microsoft Defender for Cloud Apps para detetar arquivos indesejados armazenados em sua nuvem que o deixam vulnerável e tomar medidas imediatas para detê-los em seus rastros e bloquear os arquivos que representam uma ameaça usando a quarentena Admin para proteger seus arquivos na nuvem, corrigir problemas, e evitar a ocorrência de fugas futuras.

Importante

A partir de 1º de setembro de 2024, desativaremos a página Arquivos do Microsoft Defender for Cloud Apps. Nesse ponto, crie e modifique as políticas de Proteção de Informações e encontre arquivos de malware na página Gerenciamento de políticas > de políticas de aplicativos > em nuvem. Para obter mais informações, consulte Políticas de arquivo no Microsoft Defender for Cloud Apps.

Entenda como funciona a quarentena

Nota

  • Para obter uma lista de aplicativos que oferecem suporte à quarentena de administrador, consulte a lista de ações de governança.
  • Os arquivos rotulados pelo Defender for Cloud Apps não podem ser colocados em quarentena.
  • As ações de quarentena do administrador do Defender for Cloud Apps estão limitadas a 100 ações por dia.
  • Os sites do SharePoint que são renomeados diretamente ou como parte da renomeação de domínio não podem ser usados como um local de pasta para quarentena de administrador.
  1. Quando um arquivo corresponder a uma política, a opção Quarentena de administrador estará disponível para o arquivo.

  2. Execute uma das seguintes ações para colocar o arquivo em quarentena:

    • Aplique manualmente a ação de quarentena do administrador:

      ação de quarentena.

    • Defina-a como uma ação de quarentena automatizada na política:

      quarentena automática.

  3. Quando a quarentena de administrador é aplicada, as seguintes coisas ocorrem nos bastidores:

    1. O arquivo original é movido para a pasta de quarentena de administrador que você definiu.

    2. O ficheiro original é eliminado.

    3. Um arquivo de lápide é carregado no local do arquivo original.

      lápide de quarentena.

    4. O usuário só pode acessar o arquivo de lápide. No arquivo, eles podem ler as diretrizes personalizadas fornecidas pela TI e a ID de correlação para fornecer à TI a liberação do arquivo.

  4. Quando receber o alerta de que um ficheiro foi colocado em quarentena, aceda a Políticas ->Gestão de Políticas. Em seguida, selecione a guia Proteção de informações . Na linha com sua política de arquivos, escolha os três pontos no final da linha e selecione Exibir todas as correspondências. Isso trará o relatório de correspondências, onde você pode ver os arquivos correspondentes e em quarentena:

    Ficheiros em quarentena.

  5. Depois que um arquivo for colocado em quarentena, use o seguinte processo para corrigir a situação de ameaça:

    1. Inspecione o arquivo na pasta em quarentena no SharePoint online.
    2. Você também pode examinar os logs de auditoria para se aprofundar nas propriedades do arquivo.
    3. Se você achar que o arquivo é contra a política corporativa, execute o processo de Resposta a Incidentes (IR) da organização.
    4. Se achar que o ficheiro é inofensivo, pode restaurá-lo a partir da quarentena. Nesse ponto, o arquivo original é liberado, o que significa que ele é copiado de volta para o local original, a lápide é excluída e o usuário pode acessar o arquivo.

    restauração da quarentena.

  6. Valide se a política funciona sem problemas. Em seguida, você pode usar as ações de governança automática na política para evitar novos vazamentos e aplicar automaticamente uma quarentena de administrador quando a política for correspondida.

Nota

Quando restaura um ficheiro:

  • Os compartilhamentos originais não são restaurados, a herança de pasta padrão é aplicada.
  • O ficheiro restaurado contém apenas a versão mais recente.
  • O gerenciamento de acesso ao site da pasta de quarentena é de responsabilidade do cliente.

Configurar a quarentena de administrador

  1. Defina políticas de arquivo que detetem violações. Exemplos destes tipos de políticas incluem:

    • Uma política somente de metadados, como um rótulo de confidencialidade no SharePoint Online
    • Uma política de DLP nativa, como uma política que pesquisa números de cartão de crédito
    • Uma política de terceiros ICAP, como uma política que procura Vontu
  2. Defina um local de quarentena:

    1. Para o Microsoft 365 SharePoint ou OneDrive for Business, você não pode colocar arquivos em quarentena de administrador como parte de uma política até configurá-la: aviso de quarentena.

      Para definir as configurações de quarentena de administrador, no Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps. Em Proteção de Informações, escolha Quarentena de administrador. Forneça um site para o local da pasta de quarentena e uma notificação de usuário que o usuário receberá quando o arquivo for colocado em quarentena. configurações de quarentena.

      Nota

      O Defender for Cloud Apps criará uma pasta de quarentena no site selecionado.

    2. Para o Box, o local da pasta de quarentena e a mensagem do usuário não podem ser personalizados. O local da pasta é a unidade do administrador que conectou o Box ao Defender for Cloud Apps e a mensagem do usuário é: Esse arquivo foi colocado em quarentena na unidade do administrador porque pode violar as políticas de segurança e conformidade da sua empresa. Entre em contato com o administrador de TI para obter ajuda.

Próximos passos

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.