Directivas de archivoFile policies

Las directivas de archivo permiten aplicar una amplia gama de procesos automatizados, con lo que se aprovechan las API del proveedor en la nube.File Policies allow you to enforce a wide range of automated processes leveraging the cloud provider’s APIs. Las directivas se pueden establecer para proporcionar análisis de conformidad constantes, tareas de exhibición de documentos electrónicos legales, DLP para el contenido confidencial compartido públicamente y otros muchos casos de uso.Policies can be set to provide continuous compliance scans, legal eDiscovery tasks, DLP for sensitive content shared publicly and many more use cases.
Cloud App Security puede supervisar cualquier tipo de archivo basado en más de 20 filtros de metadatos (por ejemplo, nivel de acceso o tipo de archivo).Cloud App Security can monitor any file type based on more than 20 metadata filters (for example, access level, file type).

Tipos de archivo compatiblesSupported file types

Los motores de DLP integrados de Cloud App Security realizan la inspección de contenido mediante la extracción de texto de todos los tipos de archivo comunes (más de 100), incluidos los de Office, Open Office, archivos comprimidos, varios formatos de texto enriquecido, XML, HTML y muchos más.Cloud App Security's built in DLP engines perform content inspection by extracting text from all common file types (100+) including Office, Open Office, compressed files, various rich text formats, XML, HTML and more.

El motor combina tres aspectos en cada directiva:The engine combines three aspects under each policy:

  • Análisis de contenido basado en plantillas preestablecidas o expresiones personalizadas.Content scan based on preset templates or custom expressions.

  • Filtros de contexto, incluidos roles de usuario, metadatos de archivos, nivel de uso compartido, integración de grupos organizativos, contexto de colaboración y otros atributos personalizables.Context filters including user roles, file metadata, sharing level, organizational group integration, collaboration context and additional customizable attributes.

  • Acciones automatizadas de gobierno y corrección.Automated actions for governance and remediation. Para obtener más información, vea Control.For more information, see Control.

Una vez habilitada, la directiva analizará continuamente su entorno en la nube e identificará los archivos que coincidan con los filtros de contenido y el contexto y, seguidamente, aplicará las acciones automatizadas solicitadas.Once enabled, the policy will continuously scan your cloud environment and identify files that match the content and context filters, and apply the requested automated actions. Estas directivas detectarán y corregirán cualquier infracción de la información en reposo o al crear contenido.These policies will detect and remediate any violations for at-rest information or when new content is created. Las directivas se pueden supervisar con alertas en tiempo real o con informes generados por la consola.Policies can be monitored using real-time alerts or using console generated reports.

Estos son algunos ejemplos de las directivas de archivo que se pueden crear:The following are examples of file policies that can be created:

  • Archivos compartidos públicamente:Publicly shared files:
    Reciba una alerta sobre cualquier archivo en la nube que se comparta públicamente; para ello, seleccione todos los archivos cuyo nivel de uso compartido sea público.Receive an alert about any file in your cloud that is publicly shared by selecting all files whose sharing level is public.

  • Nombre de archivo compartido públicamente que contiene el nombre de la organización:Publicly shared filename contains the organization’s name:
    Reciba una alerta sobre cualquier archivo compartido públicamente que contenga el nombre de la organización.Receive an alert about any file that contains your organization’s name and is publicly shared. Seleccione los archivos compartidos públicamente cuyo nombre de archivo contenga el nombre de la organización.Select files with a filename containing the name of your organization and which are publicly shared.

  • Uso compartido con dominios externos:Sharing with external domains:
    Reciba una alerta sobre cualquier archivo compartido con cuentas propiedad de determinados dominios externos (por ejemplo, un dominio de la competencia).Receive an alert about any file shared with accounts owned by specific external domains, for example, with a competitor’s domain. Seleccione el dominio externo con el que quiera limitar el uso compartido.Select the external domain with which you want to limit sharing.

  • Poner en cuarentena archivos compartidos que no se han modificado durante el último período:Quarantine shared files not modified during the last period:
    Reciba una alerta sobre los archivos compartidos que nadie haya modificado recientemente, con objeto de ponerlos en cuarentena u optar por activar una acción automatizada.Receive an alert about shared files that no one modified recently, in order to quarantine them or choose to turn on an automated action. Excluir todos los archivos privados que no se han modificado durante un intervalo de fechas especificado.Exclude all the Private files that weren’t modified during a specified date range. En G Suite, puede poner en cuarentena estos archivos si activa la casilla para poner archivos en cuarentena de la página de creación de directivas.On G Suite, you can choose to quarantine these files, using the ‘quarantine file’ checkbox on the policy creation page.

  • Uso compartido con usuarios no autorizados:Sharing with unauthorized users:
    Reciba una alerta sobre los archivos que se comparten con un grupo de usuarios no autorizado de la organización.Receive an alert about files being shared with unauthorized group of users in your organization. Seleccione los usuarios con los que el uso compartido está prohibido.Select the users which whom sharing is forbidden.

  • Extensión de archivo confidencial:Sensitive file extension:
    Reciba una alerta sobre los archivos con extensiones específicas que puedan tener un nivel de exposición muy elevado.Receive an alert about files with specific extensions which are potentially highly-exposed. Seleccione el nombre de archivo o la extensión particular (por ejemplo, crt en el caso de los certificados) y excluya los que tengan un nivel de uso compartido privado.Select the specific extension (for example, crt for certificates) or filename and exclude those with private sharing level.

Haga lo siguiente para crear una directiva de archivo:To create a new file policy, follow this procedure:

  1. En la consola, haga clic en Control, seguido de Directivas.In the console, click on Control followed by Policies.

  2. Haga clic en Crear directiva y seleccione Directiva de archivo.Click Create policy and select File policy.

  3. Asigne un nombre y una descripción a la directiva. Si quiere, puede basarla en una plantilla. Para obtener más información sobre las plantillas de directiva, vea Controlar aplicaciones en la nube con directivas.Give your policy a name and description, if you want you can base it on a template, for more information on policy templates, see Control cloud apps with policies.

  4. Asigne a la directiva una gravedad.Give your policy a Policy severity. Si ha configurado Cloud App Security para que le envíe notificaciones cuando se producen coincidencias de directivas para un nivel de gravedad de política específico, esto se usará para determinar si la coincidencia de la directiva desencadenará una notificación o no.If you have set Cloud App Security to send you notifications on policy matches for a specific policy severity level, this will be used to determine whether this policy's matches will trigger a notification.

  5. Dentro de Categoría, vincule la directiva al tipo de riesgo más adecuado.Within Category, link the policy to the most appropriate risk type. Este campo es meramente informativo y solo sirve para encontrar más fácilmente directivas específicas y las consiguientes alertas, según el tipo de riesgo.This field is informative only and helps you search for specific policies and alerts later, based on risk type. Puede que el riesgo ya esté seleccionado previamente según la categoría para la que eligió crear la directiva.The risk may already be preselected according to the category for which you chose to create the policy. Las directivas de archivo están configuradas como DLP de forma predeterminada.By default, File policies are set to DLP.

  6. Para definir qué aplicaciones van a activar esta directiva, cree un filtro para los archivos sobre los que esta directiva actuará.To set which discovered apps will trigger this policy, Create a filter for the files this policy will act on. Limite los filtros de directiva hasta conseguir exactamente el conjunto de archivos sobre los que quiere actuar.Narrow down the policy filters until you reach the most accurate set of files you wish to act upon. Sea lo más restrictivo posible para evitar falsos positivos.Be as restrictive as possible in order to avoid false positives. Por ejemplo, si quiere quitar permisos públicos, agregue el filtro Público; si lo que quiere es quitar un usuario externo, use el filtro "Externo", etc.For example, if you wish to remove public permissions, remember to add the Public filter, if you wish to remove an external user, use the “External” filter etc.

    Nota

    Al usar filtros de directiva, Contiene solo buscará palabras completas separadas por comas, puntos, espacios o caracteres de subrayado.When using the policy filters, Contains will search only for full words – separated by comas, dots, spaces or underscores. Por ejemplo, si busca malware o virus, encontrará virus_malware_file.exe, pero no encontrará malwarevirusfile.exe.For example if you search for malware or virus, it will find virus_malware_file.exe but it will not find malwarevirusfile.exe. Si busca malware.exe, encontrará TODOS los archivos que contengan malware o exe en el nombre de archivo, mientras que si busca "malware.exe" (con comillas) solo encontrará los archivos que contengan exactamente "malware.exe".If you search for malware.exe then you will find ALL files with either malware or exe in their filename, whereas if you search for “malware.exe” (with the quotation marks) you will find only files that contain exactly “malware.exe”. Es igual a solo buscará la cadena completa. Por ejemplo, si busca malware.exe, encontrará malware.exe pero no malware.exe.txt.Equals will search only for the complete string, for example if you search for malware.exe it will find malware.exe but not malware.exe.txt.

  7. En el primer filtro Aplicar a, seleccione carpetas seleccionadas o todos los archivos excepto las carpetas seleccionadas para Box, SharePoint, Dropbox y OneDrive, donde puede aplicar la directiva en todos los archivos de la aplicación o en carpetas específicas.Under the first Apply to filter, select selected folders or all files excluding selected folders for Box, SharePoint, Dropbox, OneDrive, where you can enforce your file policy over all files on the app or on specific folders. Se le redirigirá para que inicie sesión en la aplicación en la nube y para que agregue las carpetas relevantes.You will be redirected to log on to the cloud app, and then add the relevant folders.

  8. En el segundo filtro Aplicar a, seleccione todos los propietarios de archivos, propietarios de archivos de los grupos de usuarios seleccionados o todos los propietarios de archivos excepto los grupos seleccionados, y seleccione los grupos de usuarios relevantes para determinar qué usuarios y grupos se deberían incluir en la directiva.Under the second Apply to filter, select either all file owners, file owners from selected user groups or all file owners excluding selected groups and then select the relevant user groups to determine which users and groups should be included in the policy.

  9. Seleccione el método de inspección de contenido.Select the Content inspection method. El DLP integrado permite filtrar archivos por su contenido.The built-in DLP allows you to filter files by their content. Para examinar archivos en busca de contenido, seleccione DLP integrado.In order to scan files for content, next select Built-in DLP. Una vez habilitada la inspección de contenido, puede optar entre usar expresiones preestablecidas o buscar otras expresiones personalizadas, como una subcadena o una expresión regular propia.Once content inspection is enabled, you can choose to use preset expressions or to search for other customized expressions, either as a substring or a regular expression of your own.
    Además, puede especificar una expresión regular para excluir un archivo de los resultados.In addition, you can specify a regular expression to exclude a file from the results. Esto es muy útil si tiene un estándar de palabra clave de clasificación interna que quiera excluir de la directiva.This is highly useful if you have an inner classification keyword standard that you want to exclude from the policy.
    También puede decidir cuál es el número mínimo de infracciones de contenido que debe producirse antes de que el archivo se considere una infracción.You can decide set the minimum number of content violations that you want to match before the file is considered a violation. Por ejemplo, puede elegir 10 si quiere recibir alertas sobre archivos con al menos 10 números de tarjeta de crédito en su contenido.For example, you can choose 10 if you want to be alerted on files with at least 10 credit card numbers found within its content.
    Cuando el contenido se compara con la expresión seleccionada, el texto de la infracción se reemplazará por caracteres "X".When content is matched against the selected expression, the violation text will be replaced with "X" characters. De manera predeterminada, las infracciones se enmascaran completamente y se muestran en su contexto mostrando 100 caracteres antes y después de la infracción.By default, violations are completely masked and shown in their context displaying 100 characters before and after the violation. Los números del contexto de la expresión se reemplazan por caracteres "#" y nunca se almacenan en Cloud App Security.Numbers in the context of the expression are replaced with “#” characters and are never stored within Cloud App Security. Puede seleccionar la opción de quitar máscara de los últimos 4 caracteres de una infracción para mostrarlos.You can select the option to Unmask the last 4 characters of a violation to unmask the last 4 characters of the violation itself. Es necesario establecer qué tipos de datos buscará la expresión regular: contenido, metadatos o nombre de archivo.It is necessary to set which data types the regular expression will search: content, metadata and/or file name. De forma predeterminada buscará el contenido y los metadatos.By default it will search the content and the metadata. Tenga en cuenta que debe seleccionar al menos un tipo de datos para buscar o la expresión regular no funcionará y no se podrá crear la directiva.Note that you must select at least one data type to search or the regular expression cannot function and the policy cannot be created.

  10. Elija las acciones de gobierno que quiera que Cloud App Security lleve a cabo cuando detecte una coincidencia.Choose the Governance actions you want Cloud App Security to take when a match is detected.

  11. Una vez creada la directiva, puede verla en la pestaña Directiva de archivo. Una directiva siempre se puede modificar, calibrar sus filtros o cambiar las acciones automatizadas.Once you’ve created your policy, you can view it in the File policy tab. You can always edit a policy, calibrate its filters or change the automated actions. La directiva se habilita automáticamente tras crearse e iniciará inmediatamente el análisis de los archivos en la nube.The policy is automatically enabled upon creation and will start scanning your cloud files immediately. Tenga especial cuidado al definir acciones de gobierno, ya que podrían provocar la pérdida irreversible de permisos de acceso a los archivos.Take extra care when you set governance actions, they could lead to irreversible loss of access permissions to your files. Se recomienda restringir los filtros para representar exactamente los archivos en los que quiere actuar por medio de varios campos de búsqueda.It is recommended to narrow down the filters to exactly represent the files that you wish to act upon, using multiple search fields. Cuanto más restringidos sean los filtros, mejor.The narrower the filters, the better. Para obtener orientación, puede usar el botón Editar y obtener vista previa de resultados de la sección Filtros.For guidance, you can use the Edit and preview results button in the Filters section.

    editar la directiva de archivo y obtener una vista previa de resultadosfile policy edit and preview results

  12. Para ver coincidencias con la directiva de archivo, es decir, archivos sospechosos de infringir la directiva, haga clic en Control y, después, en Directivas.To view file policy matches, files that are suspected to violate the policy, click Control and then Policies. Filtre los resultados para mostrar solo las directivas de archivo con el filtro Tipo en la parte superior.Filter the results to display only the file policies using the Type filter at the top. Para obtener más información sobre las coincidencias de cada directiva, haga clic en una directiva.For more information about the matches for each policy, click on a policy. De este modo, se muestran los archivos que coinciden ahora con la directiva.This displays the Matching now files for the policy. Haga clic en la pestaña Historial para ver el historial de los 6 meses anteriores con los archivos que coincidieron con la directiva.Click the History tab to see a history back to up to 6 months of files that matched the policy.

Referencia de directiva de archivoFile policy reference

En esta sección se proporciona información de referencia sobre directivas, se ofrecen explicaciones sobre cada tipo de directiva y se detallan los campos que se pueden configurar para cada directiva.This section provides reference details about policies, providing explanations for each policy type and the fields that can be configured for each policy.

Una directiva de archivo es una directiva basada en API que permite controlar contenido en la nube de la organización. Para ello, se tienen en cuenta más de 20 filtros de metadatos de archivo (incluido el nivel de propietario y de uso compartido) y los resultados de inspección de contenido.A File policy is an API-based policy that enables you to control your organization's content in the cloud, taking into account over 20 file metadata filters (including owner and sharing level) as well as content inspection results. En función de los resultados de la directiva, se pueden aplicar acciones de gobierno.Based on the policy results, governance actions can be applied. El motor de inspección de contenido puede ampliarse mediante motores de DLP de terceros, así como soluciones antimalware.The content inspection engine can be extended via 3rd-party DLP engines as well as anti-malware solutions.

Cada directiva se compone de las siguientes partes:Each policy is composed of the following parts:

  • Filtros de archivo: permiten crear condiciones muy pormenorizadas basadas en metadatos.File filters – Enable you to create very granular conditions based on metadata.

  • Inspección del contenido: permite restringir la directiva en función de los resultados del motor DLP.Content inspection – Enable you to narrow down the policy, based on DLP engine results. Puede incluir una expresión personalizada o una expresión preestablecida.You can include a custom expression or a preset expression. Se pueden establecer exclusiones y puede elegir el número de coincidencias.Exclusions can be set and you can choose the number of matches. También puede usar el anonimato para enmascarar el nombre de usuario.You can also use anonymization to mask the username.

  • Acciones: la directiva proporciona un conjunto de acciones de gobierno que se pueden aplicar automáticamente cuando se detectan infracciones.Actions – The policy provides a set of governance actions that can be automatically applied when violations are found. Se dividen en acciones de colaboración, las acciones de seguridad y acciones de investigación.These are divided into collaboration actions, security actions and investigation actions.

  • ExtensionsExtensions

    • Es posible realizar una inspección del contenido mediante motores de terceros para DLP mejorada o funcionalidades antimalware.Content inspection can be performed via 3rd-party engines for improved DLP or anti-malware capabilities.

    • Es posible realizar acciones de gobierno mediante motores de terceros para aplicar un control de cifrado personalizado u otros tipos de procesamiento de archivos (por ejemplo, marcas de agua personalizadas).Governance actions can be performed via 3rd-party engines for enforcing custom encryption control or other types of file processing (for example, custom water marking).

Consulte tambiénSee Also

Actividades diarias para proteger el entorno de nube Daily activities to protect your cloud environment
Para obtener soporte técnico, visite la página de soporte técnico asistido de Cloud App Security. For technical support, please visit the Cloud App Security assisted support page.
Los clientes Premier también pueden elegir Cloud App Security directamente desde el Portal Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.