Tutorial: protección de los archivos con la cuarentena de administradorTutorial: Protect files with admin quarantine

Se aplica a: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Las directivas de archivo son una excelente herramienta para buscar amenazas en las directivas de protección de la información.File policies are a great tool for finding threats to your information protection policies. Por ejemplo, cree directivas de archivo que busquen los lugares en los que los usuarios almacenan información confidencial, números de tarjetas de crédito y archivos ICAP de terceros en la nube.For instance, create file policies that find places where users stored sensitive information, credit card numbers, and third-party ICAP files in your cloud.

En este tutorial obtendrá información sobre cómo usar Microsoft Cloud App Security para detectar archivos no deseados almacenados en la nube que le hagan vulnerable. También aprenderá a emprender acciones inmediatas para detenerlos y bloquear aquellos que supongan una amenaza mediante la cuarentena de administrador. De este modo, podrá proteger los archivos en la nube, solucionar los problemas y evitar que se produzcan vulneraciones en el futuro.This tutorial helps you use Microsoft Cloud App Security to detect unwanted files stored in your cloud that leave you vulnerable, and take immediate action to stop them in their tracks and lock down the files that pose a threat by using Admin quarantine to protect your files in the cloud, remediate problems, and prevent future leaks from occurring.

  • Funcionamiento de la cuarentenaUnderstand how quarantine works
  • Configuración de la cuarentena de administradorSet up admin quarantine

Funcionamiento de la cuarentenaUnderstand how quarantine works

Nota

  • Se trata de una característica en vista previa.This is a preview feature.
  • Para obtener una lista de las aplicaciones que admiten la cuarentena de administrador, vea la lista de acciones de gobierno.For a list of apps that support admin quarantine, see the the list of governance actions.
  1. Cuando un archivo coincida con una directiva, la opción de cuarentena de administrador estará disponible para el archivo.When a file matches a policy, the Admin quarantine option will be available for the file.

  2. Realice una de las acciones siguientes para poner en cuarentena el archivo:Do one of the following actions to quarantine the file:

    • Aplique manualmente la acción de cuarentena de administrador:Manually apply the Admin quarantine action:

      acción de cuarentena

    • Establézcala como una acción de cuarentena automatizada en la directiva:Set it as an automated quarantine action in the policy:

      poner en cuarentena automáticamente

  3. Cuando se aplica la cuarentena de administrador, ocurre lo siguiente en segundo plano:When Admin quarantine is applied, the following things occur behind the scenes:

    1. El archivo original se mueve a la carpeta de cuarentena de administrador que haya establecido.The original file is moved to the admin quarantine folder you set.

    2. Se elimina el archivo original.The original file is deleted.

    3. Se carga un archivo de marcador de exclusión en la ubicación original del archivo.A tombstone file is uploaded to the original file location.

      marcador de exclusión de cuarentena

    4. El usuario solo puede acceder al archivo de marcador de exclusión.The user can only access the tombstone file. En él, puede leer las instrucciones personalizadas que ha proporcionado el departamento de TI y el identificador de correlación que tiene que darle al profesional de TI para liberar el archivo.In the file, they can read the custom guidelines provided by IT and the correlation ID to give IT to release the file.

  4. Cuando aparezca la alerta que indica que un archivo se ha puesto en cuarentena, investigue el archivo en la página Alertas de Cloud App Security:When you receive the alert that a file has been quarantined, investigate the file in the Cloud App Security Alerts page:

    alertas de cuarentena

  5. También en el Informe de la directiva en la pestaña En cuarentena:And also in the Policy Report on the Quarantined tab:

    informe de cuarentena

  6. Una vez que un archivo se ha puesto en cuarentena, siga el proceso siguiente para corregir la situación de amenaza:After a file is quarantined, use the following process to remediate the threat situation:

    1. Inspeccione el archivo en la carpeta en cuarentena en SharePoint Online.Inspect the file in the quarantined folder on SharePoint online.

    2. También puede consultar los registros de auditoría para profundizar en las propiedades del archivo.You can also look at the audit logs to deep dive into the file properties.

    3. Si descubre que el archivo infringe la directiva corporativa, ejecute el proceso de respuesta a incidentes (IR) de la organización.If you find the file is against corporate policy, run the organization’s Incident Response (IR) process.

    4. Si descubre que el archivo es inofensivo, puede restaurarlo de la cuarentena.If you find that the file is harmless, you can restore the file from quarantine. En ese momento se libera el archivo original, lo que significa que se vuelve a copiar en la ubicación original, se elimina el marcador de exclusión y el usuario puede acceder a él.At that point the original file is released, meaning it's copied back to the original location, the tombstone is deleted, and the user can access the file.

      restauración de la cuarentena

  7. Compruebe que la directiva se ejecuta sin problemas.Validate that the policy runs smoothly. Después, puede usar las acciones de gobierno automáticas de la directiva para evitar más fugas y aplicar automáticamente una cuarentena de administrador cuando se produzca una coincidencia con la directiva.Then, you can use the automatic governance actions in the policy to prevent further leaks and automatically apply an Admin quarantine when the policy is matched.

Nota

Al restaurar un archivo:When you restore a file:

  • No se restauran los recursos compartidos originales y se aplica la herencia de carpetas predeterminada.Original shares are not restored, default folder inheritance applied.
  • El archivo restaurado solo contiene la versión más reciente.The restored file contains only the most recent version.
  • La administración del acceso al sitio de la carpeta de cuarentena es responsabilidad del cliente.The quarantine folder site access management is the customer’s responsibility.

Configuración de la cuarentena de administradorSet up admin quarantine

  1. Establezca directivas de archivo que detecten las vulneraciones.Set file policies that detect breaches. Entre los ejemplos de estos tipos de directivas se incluyen los siguientes:Examples of these types of policies include:

    • Una directiva de solo metadatos, como una etiqueta de clasificación en SharePoint Online.A metadata only policy such as a classification label in SharePoint Online
    • Una directiva DLP nativa, como una directiva que busca números de tarjetas de crédito.A native DLP policy such as a policy that searches for credit card numbers
    • Una directiva ICAP de terceros, como una directiva que busca Vontu.An ICAP third-party policy such as a policy that looks for Vontu.
  2. Establezca una ubicación de cuarentena:Set a quarantine location:

    1. En el caso de SharePoint o OneDrive para la Empresa de Office 365, no puede colocar los archivos en cuarentena de administrador como parte de una directiva hasta que la configure: configuración de la cuarentenaFor Office 365 SharePoint or OneDrive for Business, you can't put files in admin quarantine as part of a policy until you set it up: quarantine settings

      Para establecer la configuración de la cuarentena de administrador, en el engranaje de configuración, vaya a Configuración.To set admin quarantine settings, under the settings cog, go to Settings. Proporcione la ubicación de los archivos en cuarentena y la notificación que recibirá el usuario cuando su archivo se ponga en cuarentena.Provide a location for the quarantined files and a user notification that your user will receive when their file is quarantined. configuración de cuarentenaquarantine settings

    2. En el caso de Box, no se pueden personalizar la ubicación de la carpeta de cuarentena ni el mensaje de usuario.For Box, the quarantine folder location and user message can't be customized. La ubicación de la carpeta es la unidad del administrador que ha conectado Box con Cloud App Security y el mensaje de usuario es: "Este archivo se puso en cuarentena en la unidad del administrador porque es posible que infrinja las directivas de cumplimiento y de seguridad de la empresa.The folder location is the drive of the admin who connected Box to Cloud App Security and the user message is: This file was quarantined to your administrator's drive because it might violate your company's security and compliance policies. Póngase en contacto con el administrador de TI para obtener ayuda".Contact your IT administrator for help.

Pasos siguientesNext steps

Actividades diarias para proteger el entorno de nubeDaily activities to protect your cloud environment

Los clientes Premier también pueden crear una solicitud de soporte técnico directamente en el portal Premier.Premier customers can also create a new support request directly in the Premier Portal.