教程:通过管理员隔离区保护文件

  • 项目

文件策略工具非常适用于查找对信息保护策略的威胁。 例如,创建文件策略,在云中查找用户存储敏感信息的位置、信用卡号码和第三方 ICAP 文件。

本教程可帮助你使用 Microsoft Defender for Cloud Apps 来检测存储在云中且使你容易受到攻击的不必要的文件,并且立即采取操作,停止并锁定构成威胁的文件,通过使用管理员隔离区来保护云端的文件、修复问题并防止以后再出现信息泄露。

重要

2024 年 9 月 1 日起,我们将弃用 Microsoft Defender for Cloud Apps 中的文件页。 此时,请创建并修改信息保护策略,并从云应用 > 策略 > 策略管理页查找恶意软件文件。 有关详细信息,请参阅 Microsoft Defender for Cloud Apps 中的文件策略

了解隔离的工作原理

注意

  • 有关支持管理员隔离区的应用列表,请参阅治理操作列表。
  • Defender for Cloud Apps 标记的文件无法隔离。
  • Defender for Cloud Apps 管理员隔离区操作限制为每天 100 次操作。
  • 直接重命名或作为域重命名的一部分的 Sharepoint 网站不能用作管理员隔离区的文件夹位置。

  1. 当文件与策略匹配时,“管理员隔离区”选项可用于文件。

  2. 执行以下操作之一来隔离文件:

    • 手动应用“管理员隔离区”操作:

      隔离操作。

    • 在策略中将其设置为自动隔离操作:

      自动隔离。

  3. 当应用“管理员隔离区”时,在后台会发生以下情况

    1. 原始文件会移动到你设置的管理员隔离区文件夹。

    2. 原始文件已删除。

    3. 逻辑删除文件会上传到原始文件位置。

      隔离逻辑删除。

    4. 用户只能访问逻辑删除文件。 在该文件中,他们可以阅读 IT 部门提供的自定义准则并获取要提供给 IT 部门以释放文件的相关 ID。

  4. 收到文件已隔离的警报时,请转到策略 -->策略管理。 然后选择信息保护选项卡。在包含文件策略的行中,选择行末尾的三个点,然后选择查看所有匹配项。 这会提供匹配项报告,可在其中查看匹配和隔离的文件:

    隔离的文件。

  5. 隔离文件后,可使用以下流程来修正威胁情况:

    1. 联机检查 SharePoint 上隔离文件夹中的文件。
    2. 此外,还可以查看审核日志,深入了解文件属性。
    3. 如果发现文件违反公司策略,请运行组织的事件响应 (IR) 进程。
    4. 如果发现文件没有危害,可以从隔离区还原该文件。 此时将释放原始文件,也就是将其复制回原始位置,删除逻辑删除,并且用户可以访问该文件。

    隔离还原。

  6. 验证策略是否正常运行。 然后可以使用策略中的自动治理操作来防止进一步的泄露,并在策略匹配时自动应用管理员隔离区。

注意

还原文件时:

  • 不会还原原始共享,应用默认的文件夹继承。
  • 还原的文件仅包含最新版本。
  • 客户负责隔离区文件夹站点的访问管理。

设置管理员隔离区

  1. 设置检测安全漏洞的文件策略。 此类策略的示例包括:

    • 仅元数据策略,例如 SharePoint Online 中的敏感度标签
    • 本机 DLP 策略,例如搜索信用卡号的策略
    • ICAP 第三方策略,例如查找 Vontu 的策略

  2. 设置隔离位置:

    1. 对于 Office 365 SharePoint 或 OneDrive for Business,作为策略的一部分,在完成设置之前,无法将文件放在管理员隔离区中:隔离警告。

      要进行管理员隔离区设置,请在 Microsoft Defender 门户中选择“设置”。 然后选择“云应用”。 在信息保护下,选择管理员隔离区。 提供隔离区文件夹位置的站点,以及在隔离用户文件时用户将收到的用户通知。 隔离设置。

      注意

      Defender for Cloud Apps 将在所选站点上创建隔离区文件夹。

    2. 对于 Box,无法自定义隔离文件夹位置和用户消息。 文件夹位置是将 Box 连接到 Defender for Cloud Apps 的管理员的驱动器,并且用户消息为:已将此文件隔离到管理员驱动器,因为它可能违反了公司的安全和合规性策略。 请联系 IT 管理员寻求帮助。

后续步骤

保护组织的最佳做法

如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证