Zelfstudie: Bestanden beveiligen met beheerdersquarantaine

  • Artikel

Bestandsbeleid is een uitstekend hulpmiddel voor het vinden van bedreigingen voor uw beleidsregels voor gegevensbeveiliging. Maak bijvoorbeeld bestandsbeleidsregels die plaatsen vinden waar gebruikers gevoelige informatie, creditcardnummers en ICAP-bestanden van derden in uw cloud hebben opgeslagen.

In deze zelfstudie leert u hoe u Microsoft Defender voor Cloud-apps kunt gebruiken om ongewenste bestanden te detecteren die zijn opgeslagen in uw cloud, waardoor u kwetsbaar bent en onmiddellijk actie kunt ondernemen om ze te stoppen in hun sporen en de bestanden te vergrendelen die een bedreiging vormen met behulp van Beheer quarantaine om uw bestanden in de cloud te beschermen, problemen op te lossen en toekomstige lekken te voorkomen.

Begrijpen hoe quarantaine werkt

Notitie

  • Zie de lijst met beheeracties voor een lijst met apps die beheerdersquarantaine ondersteunen.
  • Bestanden die zijn gelabeld door Defender voor Cloud Apps kunnen niet in quarantaine worden geplaatst.
  • Defender voor Cloud Apps-beheerquarantaineacties zijn beperkt tot 100 acties per dag.
  • Sharepoint-sites waarvan de naam rechtstreeks of als onderdeel van de domeinnaam is gewijzigd, kunnen niet worden gebruikt als maplocatie voor beheerdersquarantaine.

  1. Wanneer een bestand overeenkomt met een beleid, is de optie Beheer quarantaine beschikbaar voor het bestand.

  2. Ga op een van de volgende manieren te werk om het bestand in quarantaine te plaatsen:

    • Pas de Beheer quarantaineactie handmatig toe:

      quarantaineactie.

    • Stel deze in als een geautomatiseerde quarantaineactie in het beleid:

      automatisch in quarantaine plaatsen.

  3. Wanneer Beheer quarantaine wordt toegepast, treden de volgende dingen achter de schermen op:

    1. Het oorspronkelijke bestand wordt verplaatst naar de map met beheerdersquarantaine die u hebt ingesteld.

    2. Het oorspronkelijke bestand wordt verwijderd.

    3. Er wordt een tombstone-bestand geĆ¼pload naar de oorspronkelijke bestandslocatie.

      quarantaine tombstone.

    4. De gebruiker heeft alleen toegang tot het tombstone-bestand. In het bestand kunnen ze de aangepaste richtlijnen van IT en de correlatie-id lezen om IT het bestand vrij te geven.

  4. Wanneer u de waarschuwing ontvangt dat een bestand in quarantaine is geplaatst, gaat u naar Beleid -> Beleidsbeheer. Selecteer vervolgens het tabblad Information Protection . Kies in de rij met het bestandsbeleid de drie puntjes aan het einde van de regel en selecteer Alle overeenkomsten weergeven. Hiermee krijgt u het rapport van overeenkomsten, waar u de overeenkomende en in quarantaine geplaatste bestanden kunt zien:

    In quarantaine geplaatste bestanden.

  5. Nadat een bestand in quarantaine is geplaatst, gebruikt u het volgende proces om de bedreigingssituatie op te lossen:

    1. Inspecteer het bestand in de in quarantaine geplaatste map op SharePoint Online.
    2. U kunt ook de auditlogboeken bekijken om dieper in te gaan op de bestandseigenschappen.
    3. Als u merkt dat het bestand in strijd is met het bedrijfsbeleid, voert u het proces Incident Response (IR) van de organisatie uit.
    4. Als u merkt dat het bestand ongevaarlijk is, kunt u het bestand terugzetten vanuit quarantaine. Op dat moment wordt het oorspronkelijke bestand vrijgegeven, wat betekent dat het wordt gekopieerd naar de oorspronkelijke locatie, de tombstone wordt verwijderd en de gebruiker toegang heeft tot het bestand.

    quarantaine herstellen.

  6. Controleer of het beleid probleemloos wordt uitgevoerd. Vervolgens kunt u de automatische beheeracties in het beleid gebruiken om verdere lekken te voorkomen en automatisch een Beheer quarantaine toe te passen wanneer het beleid overeenkomt.

Notitie

Wanneer u een bestand herstelt:

  • Oorspronkelijke shares worden niet hersteld, de standaardovername van mappen is toegepast.
  • Het herstelde bestand bevat alleen de meest recente versie.
  • Het toegangsbeheer van de mapsite in quarantaine is de verantwoordelijkheid van de klant.

Beheerdersquarantaine instellen

  1. Stel bestandsbeleid in waarmee schendingen worden gedetecteerd. Voorbeelden van deze typen beleidsregels zijn:

    • Alleen beleid voor metagegevens, zoals een vertrouwelijkheidslabel in SharePoint Online
    • Een systeemeigen DLP-beleid, zoals een beleid dat zoekt naar creditcardnummers
    • Een ICAP-beleid van derden, zoals een beleid dat zoekt naar Vontu

  2. Stel een quarantainelocatie in:

    1. Voor Microsoft 365 SharePoint of OneDrive voor Bedrijven kunt u bestanden pas in quarantaine plaatsen als onderdeel van een beleid als onderdeel van een beleid:quarantainewaarschuwing.

      Als u de instellingen voor beheerdersquarantaine wilt instellen, selecteert u Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps. Kies onder Information Protection Beheer quarantaine. Geef een site op voor de locatie van de quarantainemap en een gebruikersmelding die uw gebruiker ontvangt wanneer het bestand in quarantaine wordt geplaatst. quarantaine-instellingen.

      Notitie

      Defender voor Cloud Apps maakt een quarantainemap op de geselecteerde site.

    2. Voor Box kan de locatie van de quarantainemap en het gebruikersbericht niet worden aangepast. De maplocatie is het station van de beheerder die Box heeft verbonden met Defender voor Cloud Apps en het gebruikersbericht is: Dit bestand is in quarantaine geplaatst op het station van uw beheerder omdat het mogelijk in strijd is met het beveiligings- en nalevingsbeleid van uw bedrijf. Neem contact op met uw IT-beheerder voor hulp.

Volgende stappen

Aanbevolen procedures voor het beveiligen van uw organisatie

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.