Filtri di file nelle app di Microsoft Defender per il cloud

  • Articolo

Per garantire la protezione dei dati, Microsoft Defender per il cloud App offre visibilità su tutti i file delle app connesse. Dopo aver connesso Microsoft Defender per il cloud App a un'app usando il Connettore app, Microsoft Defender per il cloud App analizza tutti i file, ad esempio tutti i file archiviati in OneDrive e Salesforce. Quindi, Defender per il cloud App esegue nuovamente l'analisi di ogni file ogni volta che viene modificata. La modifica può essere relativa a contenuto, metadati o autorizzazioni di condivisione. I tempi di analisi dipendono dal numero di file memorizzati nell'app. È anche possibile usare la pagina File per filtrare i file e analizzare il tipo di dati salvato nelle app per cloud.

Nota

Il monitoraggio dei file deve essere abilitato in Impostazioni. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In Information Protection selezionare File. Selezionare Abilita il monitoraggio dei file e quindi selezionare Salva.
Se non sono presenti criteri di file attivi, sette giorni dopo l'ultima fase di engagement della pagina file il monitoraggio dei file verrà disabilitato.
Se non sono presenti criteri di file attivi, 35 giorni dopo il tempo di engagement dell'ultima pagina di file Defender per il cloud App inizierà a eliminare i dati che Defender per il cloud App gestisce su questi file archiviati. A partire dal 20 agosto 2023, il filtro 'ultima modifica prima (giorni) sarà deprecato. È invece consigliabile usare "file prima (data) e continuare l'analisi in base alla data fissa, è anche possibile usare l'indagine "manuale" da "modificato prima (data)" - nella "pagina dei criteri" o nella "pagina dei file".

Esempi di filtri file

Ad esempio, usare la pagina File per proteggere i file condivisi esternamente etichettati come Riservato, come indicato di seguito:

Dopo aver connesso un'app alle app di Defender per il cloud, eseguire l'integrazione con Microsoft Purview Information Protection. Quindi, nella pagina File filtrare i file etichettati Riservato ed escludere il dominio nel filtro Collaboratori . Se si rileva che alcuni file riservati sono condivisi all'esterno dell'organizzazione, è possibile creare criteri file per individuarli. A questi file è possibile applicare azioni di governance automatiche, ad esempio rimuovere collaboratori esterni e inviare digest sulla corrispondenza con criteri ai proprietari dei file per evitare perdite di dati per l'organizzazione.

Riservato filtro file.

Ecco un altro esempio di uso della pagina File. Assicurarsi che nessun utente dell'organizzazione condivida pubblicamente o esternamente file non modificati negli ultimi sei mesi.

Connessione un'app per Defender per il cloud App e passare alla pagina File. Filtrare i file in modo da visualizzare quelli il cui livello di accesso corrisponde a Esterno o Pubblico e impostare la data Ultima modifica su sei mesi fa. Creare un criterio di file che rileva questi file pubblici non aggiornati selezionando Nuovo criterio dalla ricerca. Applicare a questi file azioni di governance automatiche, ad esempio Rimuovi gli utenti esterni, per evitare perdite di dati per l'organizzazione.

Filtro file non aggiornato esterno.

Il filtro di base offre strumenti fondamentali per iniziare a filtrare i file.

Filtro di log dei file di base.

Per eseguire il drill-down in file più specifici, è possibile espandere il filtro di base selezionando Filtri avanzati.

Filtro di log dei file avanzato.

Filtri file

Defender per il cloud Le app possono monitorare qualsiasi tipo di file in base a più di 20 filtri di metadati (ad esempio, livello di accesso, tipo di file).

Le app Defender per il cloud compilate nei motori DLP eseguono l'ispezione del contenuto estraendo testo dai tipi di file comuni. Tra i tipi di file inclusi ci sono PDF, file di Office, RTF, HTML e file di codice.

Di seguito è riportato un elenco dei filtri file che è possibile applicare. Per offrire uno strumento potente per la creazione di criteri, la maggior parte dei filtri supporta più valori e un NOT.

Nota

Quando si usano i filtri dei criteri di file, Contains cercherà solo parole complete, separate da virgole, punti, trattini o spazi da cercare.

  • Spazi o trattini tra parole come OR. Ad esempio, se si cerca virus malwaretroverà tutti i file con malware o virus nel nome, quindi troverà sia malware-virus.exe che virus.exe.
  • Se si vuole cercare una stringa, racchiudere le parole tra virgolette. Questa funzione funziona come AND. Ad esempio, se si cerca "malware""virus", troverà virus-malware-file.exe ma non troverà malwarevirusfile.exe e non troverà malware.exe. Verrà cercata la stringa esatta. Se si cerca "virus malware", non troverà "virus" o "virus-malware".

Equals cercherà solo la stringa completa. Ad esempio, se si cerca malware.exe troverà malware.exe ma non malware.exe.txt.

  • Livello di accesso: livello di accesso condiviso (Pubblico, Esterno, Interno o Privato).

    • Interno: sono considerati interni tutti i file all'interno dei domini interni impostati nella configurazione generale.
    • Esterno: sono esterni i file salvati in percorsi non inclusi nei domini interni impostati.
    • Condiviso: file con un livello di condivisione superiore a Privato. Condivisi include:

      • Condivisione interna: file condivisi nell'ambito dei domini interni.

      • Condivisione esterna: file condivisi con domini non presenti tra i domini interni.

      • Pubblico con collegamento: file condivisibili con altri utenti tramite un collegamento.

      • Pubblico: file reperibili tramite una ricerca in Internet.

        Nota

        I file condivisi nelle app di archiviazione connesse da utenti esterni vengono gestiti come indicato di seguito da Defender per il cloud App:

        • OneDrive: assegna un utente interno come proprietario di qualsiasi file inserito in OneDrive da un utente esterno. Poiché questi file vengono considerati di proprietà dell'organizzazione, Defender per il cloud Le app analizzano questi file e applicano i criteri così come fanno a qualsiasi altro file in OneDrive.
        • Google Drive: Google Drive considera questi elementi come di proprietà dell'utente esterno e a causa di restrizioni legali su file e dati che l'organizzazione non possiede, Defender per il cloud Apps non ha accesso a questi file.
        • Box: poiché Box considera i file che sono proprietà di entità esterne come informazioni private, gli amministratori globali di Box non possono vedere il contenuto dei file. Per questo motivo, Defender per il cloud Le app non hanno accesso a questi file.
        • Dropbox: poiché Dropbox considera i file che sono proprietà di entità esterne come informazioni private, gli amministratori globali di Dropbox non possono vedere il contenuto dei file. Per questo motivo, Defender per il cloud Le app non hanno accesso a questi file.

  • App: consente di cercare solo file all'interno di app specifiche.

  • Collaboratori: includere/escludere collaboratori o gruppi specifici.

    • Qualsiasi da dominio : se un utente di questo dominio ha accesso diretto al file.

      Nota

      • Questo filtro non supporta i file condivisi con un gruppo, ma solo con utenti specifici.
      • Per SharePoint e OneDrive, il filtro non supporta i file condivisi con un utente specifico tramite un collegamento condiviso.

    • Intera organizzazione : se l'intera organizzazione ha accesso al file.

    • Gruppi: un gruppo specifico ha accesso al file. È possibile importare gruppi da Active Directory o da app cloud. In alternativa, è possibile crearli nel servizio.

    • Utenti: set di utenti specifico che può accedere al file.

  • Data creazione: data e ora di creazione del file. Il filtro supporta sia l'indicazione di una data precedente o successiva sia intervalli di date.

  • Estensione: concentra l'attenzione su estensioni file specifiche, Ad esempio, tutti i file eseguibili (*.exe).

    Nota

    • Questo filtro fa distinzione tra maiuscole e minuscole.
    • Utilizzare la clausola OR per applicare il filtro su più di una singola variante di maiuscola.

  • ID file: cercare ID file specifici. L'ID file è una funzionalità avanzata che consente di tenere traccia di determinati file di valore elevato senza una dipendenza dal proprietario, dal percorso o dal nome.

  • Nome file: nome file o sottostringa del nome come definito nell'app cloud. Ad esempio, tutti i file con una password nel nome.

  • Etichetta di riservatezza : cercare file con etichette specifiche impostate. Le etichette possono essere:

    Nota

    Se questo filtro viene usato in un criterio di file, il criterio verrà applicato solo ai file di Microsoft Office e ignorerà altri tipi di file.

    • Microsoft Purview Information Protection : richiede l'integrazione con Microsoft Purview Information Protection.
    • Defender per il cloud App: fornisce altre informazioni dettagliate sui file a cui esegue l'analisi. Per ogni file analizzato da Defender per il cloud App DLP, è possibile sapere se l'ispezione è stata bloccata perché il file è crittografato o danneggiato. Ad esempio, è possibile configurare i criteri per avvisare e mettere in quarantena i file protetti da password condivisi esternamente.
      • Protetto tramite Azure RMS: file il cui contenuto non è stato esaminato perché è stata impostata la crittografia di Azure RMS.
      • Protetto tramite password: file il cui contenuto non è stato esaminato perché l'utente ha impostato la protezione tramite password.
      • File danneggiato: file il cui contenuto non è stato esaminato perché non è stato possibile leggerlo.

  • Tipo di file: Defender per il cloud App analizza il file per determinare se il tipo di file true corrisponde al tipo MIME ricevuto (vedere la tabella) dal servizio. Questa analisi è riservata ai file rilevanti per l'analisi dei dati (documenti, immagini, presentazioni, fogli di calcolo, file di testo e file di archivio/zip). Il filtro funziona per tipo di file o di cartella, Ad esempio, Tutte le cartelle che sono ... o Tutti i file di foglio di calcolo che sono...

    tipo MIME Tipo di file
    - application/vnd.openxmlformats-officedocument.wordprocessingml.document
    - application/vnd.ms-word.document.macroEnabled.12
    - application/msword
    - application/vnd.oasis.opendocument.text
    - application/vnd.stardivision.writer
    - application/vnd.stardivision.writer-global
    - application/vnd.sun.xml.writer
    - application/vnd.stardivision.math
    - application/vnd.stardivision.chart
    - application/x-starwriter
    - application/x-stardraw
    - application/x-starmath
    - application/x-starchart
    - application/vnd.google-apps.document
    - application/vnd.google-apps.kix
    - application/pdf
    - application/x-pdf
    - application/vnd.box.webdoc
    - application/vnd.box.boxnote
    - application/vnd.jive.document
    - testo/rtf
    - application/rtf    		 Documento
    - application/vnd.oasis.opendocument.image
    - application/vnd.google-apps.photo
    - inizia con: image/    		 Immagine
    - application/vnd.openxmlformats-officedocument.presentationml.presentation
    - application/vnd.ms-powerpoint.template.macroEnabled.12
    - application/mspowerpoint
    - application/powerpoint
    - application/vnd.ms-powerpoint
    - application/x-mspowerpoint
    - application/mspowerpoint
    - application/vnd.ms-powerpoint
    - application/vnd.oasis.opendocument.presentation
    - application/vnd.sun.xml.impress
    - application/vnd.stardivision.impress
    - application/x-starimpress
    - application/vnd.google-apps.presentation    		 Presentazione
    - application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
    - application/vnd.ms-excel.sheet.macroEnabled.12
    - application/excel
    - application/vnd.ms-excel
    - application/x-excel
    - application/x-msexcel
    - application/vnd.oasis.opendocument.spreadsheet
    - application/vnd.sun.xml.calc
    - application/vnd.stardivision.calc
    - application/x-starcalc
    - application/vnd.google-apps.spreadsheet    		 Foglio di calcolo
    - inizia con: text/ Testo
    Tutti gli altri tipi MIME di file Altro

    policy_file tipo di filtri.

  • Nel cestino: consente di escludere/includere file presenti nella cartella Cestino. Questi file possono ancora essere condivisi e presentano dei rischi.

    policy_file filtra il cestino.

  • Ultima modifica: data e ora di modifica del file. Il filtro supporta date precedenti e successive, intervalli di date ed espressioni di tempo relative, ad esempio, tutti i file non modificati negli ultimi sei mesi.

  • Criterio con corrispondenza: file corrispondenti a un criterio attivo Defender per il cloud app.

  • Tipo MIME: controllo del tipo MIME del file. Accetta testo libero.

  • Proprietario: include/esclude proprietari di file specifici, Ad esempio, tenere traccia di tutti i file condivisi da rogue_employee_#100.

  • Unità organizzativa proprietario: includere o escludere proprietari di file appartenenti a determinate unità organizzative. Ad esempio, tutti i file pubblici ad eccezione dei file condivisi da EMEA_marketing. Si applica solo ai file archiviati in Google Drive.

  • Cartella padre: includere o escludere una cartella specifica (non si applica alle sottocartelle). ad esempio, tutti i file condivisi pubblicamente tranne i file nella cartella specificata.

    Nota

    Defender per il cloud App rileva solo le nuove cartelle di SharePoint e OneDrive dopo l'esecuzione di alcune attività di file.

  • In quarantena: se il file viene messo in quarantena dal servizio. Ad esempio, mostra tutti i file messi in quarantena.

Quando si crea un criterio, è anche possibile impostarlo per l'esecuzione in file specifici impostando il filtro Applica per. Filtrare in base a tutti i file, alle cartelle selezionate (sottocartelle incluse) o a tutti i file esclusi le cartelle selezionate. Selezionare quindi i file o le cartelle pertinenti.

applicare per filtrare.

Autorizzazione dei file

Dopo Defender per il cloud App ha identificato i file come un malware o un rischio DLP, è consigliabile analizzare i file. Se si determina che i file sono sicuri, è possibile autorizzarli. L'autorizzazione di un file lo rimuove dal report di rilevamento malware e elimina le corrispondenze future in questo file.

Per autorizzare i file

  1. In App cloud del portale di Microsoft Defender selezionare Criteri ->Gestione dei criteri. Selezionare la scheda Protezione delle informazioni.

  2. Nell'elenco dei criteri, nella riga in cui vengono visualizzati i criteri che hanno attivato l'indagine, nella colonna Conteggio selezionare il collegamento corrispondenze .

    Suggerimento

    È possibile filtrare l'elenco dei criteri in base al tipo. La tabella seguente elenca, per tipo di rischio, il tipo di filtro da usare:

    Tipo di rischio Tipo di filtro
    DLP Criteri file
    Malware Criteri di rilevamento malware

  3. Nell'elenco dei file corrispondenti, nella riga in cui viene visualizzato il file in fase di indagine, selezionare ✓ per autorizzare.

Utilizzo del pannello File

È possibile visualizzare altre informazioni su ogni file selezionando il file stesso nel log del file. Selezionando viene aperto il pannello File che fornisce le azioni aggiuntive seguenti che è possibile eseguire sul file:

  • URL: consente di accedere alla posizione del file.
  • Identificatori di file: apre un popup con i dettagli dei dati non elaborati sul file, inclusi l'ID file e le chiavi di crittografia quando sono disponibili.
  • Proprietario: visualizza la pagina utente relativa al proprietario del file.
  • Criteri con corrispondenza: visualizza l'elenco dei criteri soddisfatti dal file.
  • Etichette di riservatezza: visualizzare l'elenco delle etichette di riservatezza di Microsoft Purview Information Protection disponibili in questo file. È quindi possibile filtrare in base a tutti i file corrispondenti all'etichetta.

I campi nel pannello File forniscono collegamenti contestuali a file aggiuntivi e drill-down che può essere utile eseguire direttamente dal pannello. Ad esempio, se si sposta il cursore accanto al campo Proprietario , è possibile usare l'icona aggiungere per filtrare. "aggiungi a filtro" per aggiungere il proprietario immediatamente al filtro della pagina corrente. È anche possibile usare l'icona a icona delle impostazioni. forma di ingranaggio delle impostazioni visualizzata per arrivare direttamente alla pagina delle impostazioni necessaria per modificare la configurazione di uno dei campi, ad esempio Etichette di riservatezza.

Pannello file.

Per un elenco delle azioni di governance disponibili, vedere File governance actions (Azioni di governance sui file).

Passaggi successivi

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.