Tutoriel : Protéger les fichiers avec la mise en quarantaine administrateurTutorial: Protect files with admin quarantine

S’applique à : Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Important

Les noms des produits Microsoft de protection contre les menaces changent.Threat protection product names from Microsoft are changing. Vous trouverez ici plus d’informations sur ce sujet et sur les autres mises à jour.Read more about this and other updates here. Nous allons très prochainement mettre à jour les noms des produits et des documents.We'll be updating names in products and in the docs in the near future.

Les stratégies de fichier sont un excellent outil pour rechercher les menaces sur vos stratégies de protection des informations.File policies are a great tool for finding threats to your information protection policies. Par exemple, créez des stratégies de fichier qui recherchent les emplacements où les utilisateurs ont stocké des informations sensibles, des numéros de carte de crédit et des fichiers ICAP tiers dans votre cloud.For instance, create file policies that find places where users stored sensitive information, credit card numbers, and third-party ICAP files in your cloud.

Dans ce tutoriel, vous allez apprendre à utiliser Microsoft Cloud App Security pour détecter les fichiers indésirables stockés dans votre cloud qui vous rendent vulnérable, et prendre des mesures immédiates pour bloquer et verrouiller les fichiers qui constituent une menace : vous vous servirez ainsi de la mise en quarantaine administrateur pour protéger vos fichiers dans le cloud, corriger les problèmes et empêcher toute fuite de se produire à l’avenir.In this tutorial, you'll learn how to use Microsoft Cloud App Security to detect unwanted files stored in your cloud that leave you vulnerable, and take immediate action to stop them in their tracks and lock down the files that pose a threat by using Admin quarantine to protect your files in the cloud, remediate problems, and prevent future leaks from occurring.

Comprendre le fonctionnement de la mise en quarantaineUnderstand how quarantine works

Notes

  • Pour obtenir la liste des applications qui prennent en charge la mise en quarantaine administrateur, consultez la liste des actions de gouvernance.For a list of apps that support admin quarantine, see the list of governance actions.
  • Si un fichier dans SharePoint ou OneDrive est détecté comme étant un logiciel malveillant, il n'est pas mis en quarantaine dans le portail Cloud App Security.If a file in SharePoint or OneDrive is detected to be malware, it is not quarantined in the Cloud App Security portal.
  • Les fichiers avec des étiquettes ne peuvent pas être mis en quarantaine.Files with labels cannot be quarantined.
  1. Quand un fichier correspond à une stratégie, l’option Mise en quarantaine administrateur est disponible pour le fichier.When a file matches a policy, the Admin quarantine option will be available for the file.

  2. Effectuez l’une des actions suivantes pour mettre en quarantaine le fichier :Do one of the following actions to quarantine the file:

    • Appliquez manuellement l’option Mise en quarantaine administrateur :Manually apply the Admin quarantine action:

      action de mise en quarantaine

    • Définissez-la comme une action de mise en quarantaine automatique dans la stratégie :Set it as an automated quarantine action in the policy:

      mettre en quarantaine automatiquement

  3. Lorsque l’option Mise en quarantaine administrateur est appliquée, les actions suivantes se produisent en arrière-plan :When Admin quarantine is applied, the following things occur behind the scenes:

    1. Le fichier d’origine est déplacé vers le dossier de quarantaine administrateur que vous définissez.The original file is moved to the admin quarantine folder you set.

    2. Le fichier d'origine est supprimé.The original file is deleted.

    3. Un fichier résiduel est chargé dans l’emplacement du fichier d’origine.A tombstone file is uploaded to the original file location.

      fichier résiduel mis en quarantaine

    4. L’utilisateur a accès uniquement au fichier résiduel.The user can only access the tombstone file. Dans le fichier, il peut retrouver les instructions personnalisées fournies par le service informatique et l’ID de corrélation permettant au service informatique de libérer le fichier.In the file, they can read the custom guidelines provided by IT and the correlation ID to give IT to release the file.

  4. Quand vous recevez l’alerte qu’un fichier a été mis en quarantaine, recherchez le fichier dans la page Alertes de Cloud App Security :When you receive the alert that a file has been quarantined, investigate the file in the Cloud App Security Alerts page:

    alertes de mise en quarantaine

  5. Ainsi que dans le Rapport de stratégie sous l’onglet Mis en quarantaine :And also in the Policy Report on the Quarantined tab:

    rapport de mise en quarantaine

  6. Une fois qu’un fichier est en quarantaine, utilisez le processus suivant pour corriger la situation de menace :After a file is quarantined, use the following process to remediate the threat situation:

    1. Examinez le fichier dans le dossier de quarantaine sur SharePoint Online.Inspect the file in the quarantined folder on SharePoint online.
    2. Vous pouvez également consulter les journaux d’audit pour un examen approfondi des propriétés du fichier.You can also look at the audit logs to deep dive into the file properties.
    3. Si vous trouvez que le fichier va à l’encontre de la stratégie d’entreprise, exécutez le processus de réponse aux incidents de l’organisation.If you find the file is against corporate policy, run the organization's Incident Response (IR) process.
    4. Si vous pensez que le fichier est inoffensif, vous pouvez le restaurer de la quarantaine.If you find that the file is harmless, you can restore the file from quarantine. À ce stade, le fichier d’origine est libéré, ce qui signifie qu’il est recopié vers l’emplacement d’origine, que l’objet résiduel est supprimé et que l’utilisateur peut accéder au fichier.At that point the original file is released, meaning it's copied back to the original location, the tombstone is deleted, and the user can access the file.

    restauration après quarantaine

  7. Validez la bonne exécution de la stratégie.Validate that the policy runs smoothly. Vous pouvez ensuite utiliser les actions de gouvernance automatiques de la stratégie pour éviter d’autres fuites et appliquer automatiquement la mise en quarantaine administrateur lorsque la stratégie trouve une correspondance.Then, you can use the automatic governance actions in the policy to prevent further leaks and automatically apply an Admin quarantine when the policy is matched.

Notes

Quand vous restaurez un fichier :When you restore a file:

  • Les partages d’origine ne sont pas restaurés, l’héritage de dossier par défaut est appliqué.Original shares are not restored, default folder inheritance applied.
  • Le fichier restauré contient uniquement la version la plus récente.The restored file contains only the most recent version.
  • La gestion de l’accès au site du dossier de quarantaine est la responsabilité du client.The quarantine folder site access management is the customer's responsibility.

Configurer la mise en quarantaine administrateurSet up admin quarantine

  1. Définissez des stratégies de fichier qui détectent les violations.Set file policies that detect breaches. Voici quelques exemples de ces types de stratégies :Examples of these types of policies include:

    • Une stratégie de métadonnées uniquement comme une étiquette de classification dans SharePoint OnlineA metadata only policy such as a classification label in SharePoint Online
    • Une stratégie DLP native comme une stratégie qui recherche des numéros de carte de créditA native DLP policy such as a policy that searches for credit card numbers
    • Une stratégie de tiers ICAP comme une stratégie qui recherche VontuAn ICAP third-party policy such as a policy that looks for Vontu
  2. Définir un emplacement de mise en quarantaine :Set a quarantine location:

    1. Pour Office 365 SharePoint ou OneDrive Entreprise, vous ne pouvez pas mettre de fichiers en quarantaine administrateur dans le cadre d’une stratégie tant que vous ne l’avez pas configurée : avertissement de mise en quarantaineFor Office 365 SharePoint or OneDrive for Business, you can't put files in admin quarantine as part of a policy until you set it up: quarantine warning

      Pour définir des paramètres de mise en quarantaine, sous la roue dentée des paramètres, accédez à Paramètres.To set admin quarantine settings, under the settings cog, go to Settings. Indiquez un emplacement pour les fichiers en quarantaine ainsi qu’une notification à l’utilisateur lui indiquant que son fichier est mis en quarantaine.Provide a location for the quarantined files and a user notification that your user will receive when their file is quarantined. paramètres de mise en quarantainequarantine settings

      Notes

      Cloud App Security détecte uniquement les nouveaux dossiers SharePoint et OneDrive, même s’ils sont définis en tant que dossier de quarantaine administrateur, après une activité impliquant des fichiers au sein de ces dossiers.Cloud App Security only detects new SharePoint and OneDrive folders, including if they are set as the admin quarantine folder, after some file activity has been performed in them.

    2. Pour Box, l’emplacement du dossier de mise en quarantaine et le message à l’utilisateur ne peuvent pas être personnalisés.For Box, the quarantine folder location and user message can't be customized. L’emplacement du dossier est le lecteur de l’administrateur qui a connecté Box à Cloud App Security et le message à l’utilisateur est : Ce fichier a été mis en quarantaine sur le lecteur de l’administrateur, car il est susceptible de violer les stratégies de conformité et de sécurité de votre société.The folder location is the drive of the admin who connected Box to Cloud App Security and the user message is: This file was quarantined to your administrator's drive because it might violate your company's security and compliance policies. Contactez votre administrateur informatique pour obtenir de l’aide.Contact your IT administrator for help.

Étapes suivantesNext steps

Si vous rencontrez des problèmes, nous sommes là pour vous aider.If you run into any problems, we're here to help. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.To get assistance or support for your product issue, please open a support ticket.