Esercitazione: Proteggere i file con la quarantena dell'amministratore

  • Articolo

I criteri file sono un ottimo strumento per rilevare le minacce ai criteri di protezione delle informazioni. È ad esempio possibile creare criteri file per individuare i punti in cui sono stati archiviati informazioni riservate, numeri di carta di credito e file ICAP di terze parti nel cloud.

In questa esercitazione si apprenderà come usare Microsoft Defender per il cloud App per rilevare i file indesiderati archiviati nel cloud che lasciano vulnerabili e intervenire immediatamente per arrestarli nelle loro tracce e bloccare i file che rappresentano una minaccia usando Amministrazione quarantena per proteggere i file nel cloud, correggere i problemi e impedire che si verifichino perdite future.

Informazioni su come funziona la quarantena

Nota

  • Per un elenco delle app che supportano la quarantena dell'amministratore, vedere l'elenco delle azioni di governance.
  • I file etichettati da Defender per il cloud App non possono essere messi in quarantena.
  • Defender per il cloud le azioni di quarantena dell'amministratore delle app sono limitate a 100 azioni al giorno.
  • I siti di SharePoint rinominati direttamente o come parte della ridenominazione del dominio non possono essere usati come percorso della cartella per la quarantena dell'amministratore.

  1. Quando un file corrisponde a un determinato criterio l'opzione Admin quarantine (Quarantena amministratore) diventa disponibile per il file.

  2. Per mettere in quarantena il file eseguire una delle operazioni seguenti:

    • Applicare manualmente l'azione Admin quarantine (Quarantena amministratore):

      azione di quarantena.

    • Impostarla come azione di quarantena automatica nel criterio:

      quarantena automaticamente.

  3. Quando viene applicata la quarantena amministratore, vengono eseguite le operazioni seguenti in background:

    1. Il file originale viene spostato nella cartella impostata per la quarantena amministratore.

    2. Il file originale viene eliminato.

    3. Nel percorso del file originale viene caricato un file contrassegnato per la rimozione.

      la rimozione definitiva della quarantena.

    4. L'utente può accedere solo al file contrassegnato per la rimozione. Il file contiene le linee guida personalizzate del reparto ID e l'ID di correlazione da comunicare all'IT affinché rilasci il file.

  4. Quando si riceve l'avviso che un file è stato messo in quarantena, passare a Criteri ->Gestione criteri. Selezionare quindi la scheda Information Protection . Nella riga con i criteri del file scegliere i tre puntini alla fine della riga e selezionare Visualizza tutte le corrispondenze. Verrà visualizzato il report delle corrispondenze, in cui è possibile visualizzare i file corrispondenti e in quarantena:

    File in quarantena.

  5. Dopo che un file viene messo in quarantena, eseguire i passaggi che seguono per risolvere la situazione di minaccia:

    1. Esaminare il file nella cartella della quarantena in SharePoint Online.
    2. È anche possibile esaminare i log di controllo per approfondire l'esame delle proprietà del file.
    3. Se il file è rispetto ai criteri aziendali, eseguire il processo di risposta agli eventi imprevisti dell'organizzazione.
    4. Se il file non risulta pericoloso, è possibile ripristinarlo dalla quarantena. A questo punto, il file originale viene rilasciato, vale a dire viene copiato nuovamente nel percorso originale, il file contrassegnato per la rimozione viene eliminato e l'utente può accedere al file originale.

    ripristino della quarantena.

  6. Assicurarsi che i criteri funzionino correttamente. A questo punto, è possibile usare le azioni automatiche di governance nei criteri per impedire altre perdite di dati e applicare automaticamente la quarantena amministratore quando viene rilevata una corrispondenza con i criteri.

Nota

Quando si ripristina un file:

  • Le condivisioni originali non vengono ripristinate e viene applicata l'eredità di cartella predefinita.
  • Il file ripristinato contiene solo la versione più recente.
  • La gestione dell'accesso al sito della cartella di quarantena è responsabilità del cliente.

Configurare la quarantena amministratore

  1. Impostare i criteri file che rilevano le violazioni. Di seguito sono riportati tipi di criteri di esempio:

    • Un criterio di sola metadati, ad esempio un'etichetta di riservatezza in SharePoint Online
    • Un criterio DLP nativo, ad esempio un criterio che rileva i numeri di carta di credito
    • Criteri di terze parti ICAP, ad esempio criteri che cercano Vontu

  2. Impostare un percorso di quarantena:

    1. Per Microsoft 365 SharePoint o OneDrive for Business, non è possibile inserire i file in quarantena amministratore come parte di un criterio fino a quando non viene configurato: avviso di quarantena.

      Per impostare le impostazioni di quarantena dell'amministratore, nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In Information Protection scegliere Amministrazione quarantena. Specificare un sito per il percorso della cartella di quarantena e una notifica utente che l'utente riceverà quando il file viene messo in quarantena. impostazioni di quarantena.

      Nota

      Defender per il cloud App creerà una cartella di quarantena nel sito selezionato.

    2. Nel caso di Box non è possibile personalizzare il percorso della cartella di quarantena e il messaggio all'utente. Il percorso della cartella è l'unità dell'amministratore che ha connesso Box ad Defender per il cloud Apps e il messaggio dell'utente è: questo file è stato messo in quarantena nell'unità dell'amministratore perché potrebbe violare i criteri di sicurezza e conformità dell'azienda. Per assistenza, contattare l'amministratore IT.

Passaggi successivi

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.