Zelfstudie: Bestanden beveiligen met beheerdersquarantaine

Notitie

De naam van Microsoft Cloud App Security is gewijzigd. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken werken we de schermafbeeldingen en instructies hier en op gerelateerde pagina's bij. Zie deze aankondiging voor meer informatie over de wijziging. Zie het Microsoft Ignite Security-blog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

Bestandsbeleid is een uitstekend hulpmiddel voor het vinden van bedreigingen voor uw beleid voor gegevensbeveiliging. Maak bijvoorbeeld bestandsbeleidsregels die plaatsen vinden waar gebruikers gevoelige informatie, creditcardnummers en ICAP-bestanden van derden in uw cloud hebben opgeslagen.

In deze zelfstudie leert u hoe u Microsoft Defender for Cloud Apps kunt gebruiken om ongewenste bestanden te detecteren die zijn opgeslagen in uw cloud die u kwetsbaar maken, en onmiddellijk actie te ondernemen om ze te stoppen in hun sporen en de bestanden te vergrendelen die een bedreiging vormen door beheerquarantaine te gebruiken om uw bestanden in de cloud te beveiligen, problemen op te lossen en toekomstige lekken te voorkomen.

Begrijpen hoe quarantaine werkt

Notitie

  • Zie de lijst met beheeracties voor een lijst met apps die beheerdersquarantaine ondersteunen.
  • Als een bestand in SharePoint of OneDrive wordt gedetecteerd dat malware is, kan het niet in quarantaine worden geplaatst in de Defender voor Cloud Apps-portal. Het bestand is al vergrendeld door SharePoint of OneDrive.
  • Bestanden die zijn gelabeld door Defender voor Cloud Apps kunnen niet in quarantaine worden geplaatst.
  • Defender voor Cloud Apps-beheer quarantaineacties zijn beperkt tot 100 acties per dag. Deze limiet kan worden verhoogd met een ondersteuningsaanvraag.
  1. Wanneer een bestand overeenkomt met een beleid, is de optie Quarantaine van beheerder beschikbaar voor het bestand.

  2. Voer een van de volgende acties uit om het bestand in quarantaine te plaatsen:

    • Pas de quarantaineactie Beheerder handmatig toe:

      quarantine action.

    • Stel deze in als een geautomatiseerde quarantaineactie in het beleid:

      quarantine automatically.

  3. Wanneer beheerdersquarantaine wordt toegepast, worden de volgende dingen achter de schermen uitgevoerd:

    1. Het oorspronkelijke bestand wordt verplaatst naar de map met beheerdersquarantaine die u hebt ingesteld.

    2. Het oorspronkelijke bestand wordt verwijderd.

    3. Er wordt een tombstone-bestand geĆ¼pload naar de oorspronkelijke bestandslocatie.

      quarantine tombstone.

    4. De gebruiker heeft alleen toegang tot het tombstone-bestand. In het bestand kunnen ze de aangepaste richtlijnen van IT en de correlatie-id lezen om IT het bestand vrij te geven.

  4. Wanneer u de waarschuwing ontvangt dat een bestand in quarantaine is geplaatst, onderzoekt u het bestand op de pagina waarschuwingen van Defender voor Cloud Apps:

    quarantine alerts.

  5. En ook in het beleidsrapport op het tabblad In quarantaine geplaatst:

    quarantine report.

  6. Nadat een bestand in quarantaine is geplaatst, gebruikt u het volgende proces om de bedreigingssituatie op te lossen:

    1. Controleer het bestand in de map in quarantaine op SharePoint online.
    2. U kunt ook de auditlogboeken bekijken om dieper in te gaan op de bestandseigenschappen.
    3. Als u merkt dat het bestand in strijd is met bedrijfsbeleid, voert u het proces Incident Response (IR) van de organisatie uit.
    4. Als u merkt dat het bestand onschadelijk is, kunt u het bestand terugzetten vanuit quarantaine. Op dat moment wordt het oorspronkelijke bestand vrijgegeven, wat betekent dat het wordt gekopieerd naar de oorspronkelijke locatie, de tombstone wordt verwijderd en de gebruiker toegang heeft tot het bestand.

    quarantine restore.

  7. Controleer of het beleid probleemloos wordt uitgevoerd. Vervolgens kunt u de automatische beheeracties in het beleid gebruiken om verdere lekken te voorkomen en automatisch een beheerder quarantaine toe te passen wanneer het beleid overeenkomt.

Notitie

Wanneer u een bestand herstelt:

  • Oorspronkelijke shares worden niet hersteld, de standaardovername van mappen is toegepast.
  • Het herstelde bestand bevat alleen de meest recente versie.
  • Het toegangsbeheer voor de quarantainemapsite is de verantwoordelijkheid van de klant.

Beheerdersquarantaine instellen

  1. Stel bestandsbeleid in waarmee schendingen worden gedetecteerd. Voorbeelden van deze typen beleidsregels zijn:

    • Een beleid voor alleen metagegevens, zoals een vertrouwelijkheidslabel in SharePoint Online
    • Een systeemeigen DLP-beleid, zoals een beleid waarmee wordt gezocht naar creditcardnummers
    • Een ICAP-beleid van derden, zoals een beleid dat zoekt naar Vontu
  2. Stel een quarantainelocatie in:

    1. Voor Office 365 SharePoint of OneDrive voor Bedrijven kunt u geen bestanden in quarantaine plaatsen als onderdeel van een beleid totdat u het hebt ingesteld:quarantine warning.

      Als u quarantaine-instellingen voor beheerders wilt instellen, gaat u onder het tandwiel instellingen naar Instellingen. Geef een locatie op voor de in quarantaine geplaatste bestanden en een gebruikersmelding die uw gebruiker ontvangt wanneer het bestand in quarantaine wordt geplaatst. quarantine settings.

      Notitie

      Defender voor Cloud Apps detecteert alleen nieuwe SharePoint- en OneDrive mappen, waaronder als ze zijn ingesteld als de map met beheerdersquarantaine, nadat er een bestandsactiviteit is uitgevoerd.

    2. Voor Box kan de locatie van de quarantainemap en het gebruikersbericht niet worden aangepast. De locatie van de map is het station van de beheerder die Box heeft verbonden met Defender voor Cloud Apps en het gebruikersbericht is: dit bestand is in quarantaine geplaatst op het station van uw beheerder, omdat het mogelijk in strijd is met het beveiligings- en nalevingsbeleid van uw bedrijf. Neem contact op met uw IT-beheerder voor hulp.

Volgende stappen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.