Zasady dotyczące plikówFile policies

Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Zasady dotyczące plików pozwalają wymusić szeroką gamę zautomatyzowanych procesów przy użyciu interfejsów API dostawcy chmury.File Policies allow you to enforce a wide range of automated processes using the cloud provider’s APIs. Zasady można ustawić w celu zapewnienia ciągłych skanów zgodności, zadań prawnych zbierania elektronicznych materiałów dowodowych, obsługi funkcji DLP dla poufnej zawartości udostępnianej publicznie i wielu innych przypadków użycia.Policies can be set to provide continuous compliance scans, legal eDiscovery tasks, DLP for sensitive content shared publicly, and many more use cases. Usługa Cloud App Security obsługuje ponad 20 filtrów metadanych (na przykład poziom dostępu lub typ pliku) i może monitorować dowolny typ pliku.Cloud App Security can monitor any file type based on more than 20 metadata filters (for example, access level, file type).

Obsługiwane typy plikówSupported file types

Usługa cloud App Security wbudowana funkcja DLP aparatów umożliwiają przeprowadzenie inspekcji zawartości dzięki możliwości wyodrębniania tekstu z wszystkich popularnych typów plików (ponad 100) w tym pakietu Office, Open Office, pliki skompresowane, różnych formatów tekstu sformatowanego, XML, HTML i inne.Cloud App Security's built in DLP engines perform content inspection by extracting text from all common file types (100+) including Office, Open Office, compressed files, various rich text formats, XML, HTML, and more.

ZasadyPolicies

Aparat łączy trzy aspekty w ramach każdych zasad:The engine combines three aspects under each policy:

  • Skanowanie zawartości na podstawie istniejących szablonów lub wyrażeń niestandardowych.Content scan based on preset templates or custom expressions.

  • Filtry kontekstowe, uwzględniające role użytkowników, metadane plików, udostępnianie poziom, integrację grup organizacji, kontekst współpracy i dodatkowe dostosowywalne atrybuty.Context filters including user roles, file metadata, sharing level, organizational group integration, collaboration context, and additional customizable attributes.

  • Automatyczne akcje dotyczące ładu i korygowania.Automated actions for governance and remediation. Aby uzyskać więcej informacji, zobacz Kontrola.For more information, see Control.

Po włączeniu zasady stale skanuje środowisko w chmurze i określa pliki, które pasują do filtrów zawartości i kontekstu, a następnie zastosować żądane akcje automatyczne.Once enabled, the policy continuously scans your cloud environment and identifies files that match the content and context filters, and apply the requested automated actions. Te zasady wykrywały i korygowały wszelkie naruszenia dla przechowywanych informacji lub po utworzeniu nowej zawartości.These policies detect and remediate any violations for at-rest information or when new content is created. Zasady można monitorować za pomocą alertów w czasie rzeczywistym lub raportów generowanych przez konsolę.Policies can be monitored using real-time alerts or using console-generated reports.

Poniżej znajdują się przykłady zasad dotyczących plików, które można utworzyć:The following are examples of file policies that can be created:

  • Pliki udostępnione publicznie — Otrzymuj alert o dowolnym pliku w chmurze udostępnionym publicznie, wybierając wszystkie pliki, których poziom udostępniania jest publiczny.Publicly shared files - Receive an alert about any file in your cloud that is publicly shared by selecting all files whose sharing level is public.

  • Nazwa pliku udostępnionego publicznie zawiera nazwę organizacji — Otrzymuj alert o dowolnym pliku, który zawiera nazwę organizacji i jest udostępniany publicznie.Publicly shared filename contains the organization’s name - Receive an alert about any file that contains your organization’s name and is publicly shared. Wybierz pliki z nazwami pliku zawierającymi nazwę organizacji, które są udostępniane publicznie.Select files with a filename containing the name of your organization and which are publicly shared.

  • Udostępnianie domenom zewnętrznym — Otrzymuj alert o dowolnym pliku udostępnianym kontom należącym do konkretnych domen zewnętrznych.Sharing with external domains - Receive an alert about any file shared with accounts owned by specific external domains. Na przykład pliki udostępnione domenie konkurencyjnej firmy.For example, files shared with a competitor’s domain. Wybierz domenę zewnętrzną, w przypadku której chcesz ograniczyć udostępnianie.Select the external domain with which you want to limit sharing.

  • Poddaj kwarantannie udostępnione pliki niezmodyfikowane w ostatnim okresie — Otrzymuj alert o plikach, których nikt ostatnio nie modyfikował, umieszczenia ich w kwarantannie lub włączenia akcji automatycznej.Quarantine shared files not modified during the last period - Receive an alert about shared files that no one modified recently, to quarantine them or choose to turn on an automated action. Wyklucz wszystkie pliki prywatne, które nie zostały zmodyfikowane w określonym zakresie dat.Exclude all the Private files that weren’t modified during a specified date range. W usłudze G Suite istnieje możliwość kwarantanny tych plików, za pomocą pola wyboru "kwarantanna plików" na stronie tworzenia zasad.On G Suite, you can choose to quarantine these files, using the ‘quarantine file’ checkbox on the policy creation page.

  • Udostępnianie nieautoryzowanym użytkownikom — Otrzymuj alert o plików udostępnianych nieautoryzowanym grupom użytkowników w Twojej organizacji.Sharing with unauthorized users - Receive an alert about files shared with unauthorized group of users in your organization. Wybierz użytkowników, dla których udostępnianie jest autoryzowany.Select the users for whom sharing is unauthorized.

  • Wrażliwe rozszerzenie pliku — Otrzymuj alert o plikach z określonymi rozszerzeniami, które są potencjalnie narażone.Sensitive file extension - Receive an alert about files with specific extensions that are potentially highly exposed. Wybierz określone rozszerzenie (na przykład crt dla certyfikatów) lub nazwę pliku i Wyklucz pliki z poziomu udostępniania prywatnego.Select the specific extension (for example, crt for certificates) or filename and exclude those files with private sharing level.

Utwórz nowe zasady dotyczące plikówCreate a new file policy

Aby utworzyć nowe zasady dotyczące plików, wykonaj poniższą procedurę:To create a new file policy, follow this procedure:

  1. W konsoli kliknij pozycję Sterowanie, a następnie pozycję Zasady.In the console, click on Control followed by Policies.

  2. Kliknij pozycję Utwórz zasady i wybierz zasady Plik.Click Create policy and select File policy.

  3. Nazwij i opisz zasady. W razie potrzeby możesz skorzystać z szablonu. Aby uzyskać więcej informacji na temat szablonów zasad, zobacz Kontrola aplikacji w chmurze za pomocą zasad.Give your policy a name and description, if you want you can base it on a template, for more information on policy templates, see Control cloud apps with policies.

  4. Określ dla zasad Ważność zasad.Give your policy a Policy severity. Jeśli ustawisz Cloud App Security do wysyłania powiadomień w przypadku wystąpienia zgodności zasad z konkretnym poziomem ważności zasad, ten poziom jest używany do określenia, czy dopasowania zasad wygenerowanie powiadomienia.If you have set Cloud App Security to send you notifications on policy matches for a specific policy severity level, this level is used to determine whether the policy's matches trigger a notification.

  5. W obszarze Kategoria połącz zasady z najbardziej odpowiednim typem ryzyka.Within Category, link the policy to the most appropriate risk type. To pole jest tylko informacyjne i pozwala później wyszukiwać określone zasady i alerty na podstawie typu ryzyka.This field is informative only and helps you search for specific policies and alerts later, based on risk type. Ryzyko może być już wstępnie wybrane według kategorii, dla której chcesz utworzyć zasady.The risk may already be preselected according to the category for which you chose to create the policy. Dla zasad plików jest domyślnie ustawiona opcja DLP.By default, File policies are set to DLP.

  6. Utwórz filtr plików, będą działać te zasady można określić, które wykryte aplikacje wyzwolą tę zasadę.Create a filter for the files this policy will act on to set which discovered apps trigger this policy. Zawęź filtry zasad, aż zestaw plików mają być wykonywane działania.Narrow down the policy filters until you reach an accurate set of files you wish to act upon. Restrykcyjną w celu uniknięcia wyników fałszywie dodatnich.Be as restrictive as possible to avoid false positives. Na przykład jeśli chcesz usunąć uprawnienia publiczne, dodaj filtr Publiczne, a jeśli chcesz usunąć użytkownika zewnętrznego, użyj filtru „Zewnętrzny” itp.For example, if you wish to remove public permissions, remember to add the Public filter, if you wish to remove an external user, use the “External” filter etc.

    Uwaga

    W przypadku używania filtrów zasad filtr zawiera wyszukuje tylko całe wyrazy — rozdzielone przecinki, kropki, spacje lub znaki podkreślenia.When using the policy filters, Contains searches only for full words – separated by comas, dots, spaces, or underscores. Na przykład jeśli wyszukasz złośliwego oprogramowania lub wirusa, znajdzie virus_malware_file.exe, ale nie odnajdzie malwarevirusfile.exe.For example if you search for malware or virus, it finds virus_malware_file.exe but it does not find malwarevirusfile.exe. Jeśli wyszukasz malware.exe, a następnie Znajdź wszystkie pliki z malware lub exe w nazwie pliku, natomiast w przypadku "malware.exe" (ze znakami cudzysłowu) możesz znaleźć tylko te pliki, które zawierają dokładnie "malware.exe".If you search for malware.exe, then you find ALL files with either malware or exe in their filename, whereas if you search for “malware.exe” (with the quotation marks) you find only files that contain exactly “malware.exe”. Równa się wyszukuje tylko pełny ciąg, na przykład jeśli wyszukasz malware.exe znajdzie plik malware.exe, ale nie plik malware.exe.txt.Equals searches only for the complete string, for example if you search for malware.exe it finds malware.exe but not malware.exe.txt.

  7. W pierwszym dotyczą filtr, wybierz opcję wszystkie pliki z wyłączeniem wybranych folderów lub wybrane foldery dla pola, SharePoint, Dropbox, OneDrive, których można wymuszać zasady plików względem wszystkich plików w aplikacji lub dla konkretnych folderów.Under the first Apply to filter, select all files excluding selected folders or selected folders for Box, SharePoint, Dropbox, OneDrive, where you can enforce your file policy over all files on the app or on specific folders. Użytkownik jest przekierowany do rejestracji aplikacji w chmurze, a następnie dodaj odpowiednie foldery.You're redirected to sign in the cloud app, and then add the relevant folders.

  8. W drugim dotyczą filtrowania, wybierz opcję wszyscy właściciele plików, właściciele plików z wybranych grup użytkowników lub wszyscy właściciele plików z wyłączeniem wybrane grupy.Under the second Apply to filter, select either all file owners, file owners from selected user groups or all file owners excluding selected groups. Następnie wybierz odpowiednich grup użytkowników do określenia, którzy użytkownicy i grupy powinny być objęte zasadami.Then select the relevant user groups to determine which users and groups should be included in the policy.

  9. Wybierz pozycję Metoda inspekcji zawartości.Select the Content inspection method. Wbudowana funkcja DLP umożliwia filtrowanie plików według ich zawartości.The built-in DLP allows you to filter files by their content. Aby przeprowadzić skanowanie plików zawartości, wybierz opcję wbudowana funkcja DLP.To scan files for content, next select Built-in DLP. Po włączeniu inspekcji zawartości można użyć wstępnie zdefiniowanych wyrażeń albo wyszukać inne dostosowane wyrażenia jako ciąg podrzędny lub własne wyrażenie regularne.Once content inspection is enabled, you can choose to use preset expressions or to search for other customized expressions, either as a substring or a regular expression of your own.

    Ponadto można określić wyrażenie regularne w celu wykluczenia pliku z wyników.In addition, you can specify a regular expression to exclude a file from the results. Ta opcja jest bardzo przydatne w przypadku standardu słów kluczowych klasyfikacji wewnętrzny, który ma zostać wykluczony z zasad.This option is highly useful if you have an inner classification keyword standard that you want to exclude from the policy.
    Można ustawić, jaka jest minimalna liczba naruszeń zawartości, które należy dopasować, zanim plik zostanie uznany za naruszenie.You can decide set the minimum number of content violations that you want to match before the file is considered a violation. Na przykład można wybrać 10, jeśli chcesz otrzymywać alerty o plikach z co najmniej 10 numerami kart kredytowych znalezionymi w jego zawartości.For example, you can choose 10 if you want to be alerted on files with at least 10 credit card numbers found within its content.
    Gdy zawartość pasuje do wybranego wyrażenia, tekst naruszenia jest zastępowany "X" znaków.When content is matched against the selected expression, the violation text is replaced with "X" characters. Domyślnie naruszenia są maskowane i wyświetlane w swoim kontekście z wyświetleniem 100 znaków przed naruszeniem i po nim.By default, violations are masked and shown in their context displaying 100 characters before and after the violation. Cyfry w kontekście wyrażenia są zastępowane znakami „#” i nigdy nie są przechowywane w usłudze Cloud App Security.Numbers in the context of the expression are replaced with “#” characters and are never stored within Cloud App Security. Można wybrać opcję, aby maskowanie ostatnich czterech znaków naruszenia Aby anulować maskowanie ostatnich czterech znaków samego naruszenia.You can select the option to Unmask the last four characters of a violation to unmask the last four characters of the violation itself. Należy ustawić, dane, które typy wyszukiwanie wyrażenia regularnego: Nazwa zawartości, metadanych i/lub pliku.It's necessary to set which data types the regular expression searches: content, metadata and/or file name. Domyślnie wyszukuje zawartość i metadane.By default it searches the content and the metadata. Wybierz co najmniej jednego typu danych do wyszukiwania lub wyrażenie regularne nie będzie działać i nie można utworzyć zasady.Select at least one data type to search or the regular expression can't function and the policy can't be created.

  10. Wybierz akcje typu Ład, które usługa Cloud App Security ma wykonywać po wykryciu dopasowania.Choose the Governance actions you want Cloud App Security to take when a match is detected.

  11. Po utworzeniu zasad można je wyświetlić na karcie Zasady dotyczące plików. Zawsze można edytować zasady, kalibrować ich filtry lub zmieniać akcje automatyczne.Once you’ve created your policy, you can view it in the File policy tab. You can always edit a policy, calibrate its filters, or change the automated actions. Zasada jest włączane automatycznie po utworzeniu i rozpoczyna się od razu skanowanie plików w chmurze.The policy is automatically enabled upon creation and starts scanning your cloud files immediately. Należy zwrócić szczególną uwagę podczas ustawiania akcji ładu, ponieważ mogą one prowadzić do nieodwracalnej utraty uprawnień dostępu do plików.Take extra care when you set governance actions, they could lead to irreversible loss of access permissions to your files. Zalecane jest zawężenie filtrów, aby dokładnie reprezentowały pliki, które mają być wykonywane działania, za pomocą wielu pól wyszukiwania.It's recommended to narrow down the filters to exactly represent the files that you wish to act upon, using multiple search fields. Im bardziej doprecyzowane filtry, tym lepiej.The narrower the filters, the better. Aby uzyskać wskazówki, można użyć przycisku Edytuj i wyświetl podgląd wyników w sekcji Filtry.For guidance, you can use the Edit and preview results button in the Filters section.

    edycja pliku zasad i podgląd wynikówfile policy edit and preview results

  12. Aby wyświetlić dopasowania zasad dotyczących plików — czyli pliki, w przypadku których występuje podejrzenie naruszenia zasad — kliknij kolejno pozycje Kontrola i Zasady.To view file policy matches, files that are suspected to violate the policy, click Control and then Policies. Za pomocą filtru Typ widocznego u góry przefiltruj wyniki w celu wyświetlenia tylko zasad dotyczących plików.Filter the results to display only the file policies using the Type filter at the top. Aby uzyskać więcej informacji na temat dopasowań dla określonej zasady, kliknij tę zasadę.For more information about the matches for each policy, click on a policy. Spowoduje to wyświetlenie "Dopasowane teraz" pliki zasad.This displays the "Matching now" files for the policy. Kliknij przycisk historii kartę, aby zobaczyć historii plików pasujących do zasady maksymalnie sześć miesięcy.Click the History tab to see a history back to up to six months of files that matched the policy.

Informacje o zasadach dotyczących plikówFile policy reference

Ta sekcja zawiera szczegóły dotyczące zasad wraz z wyjaśnieniem poszczególnych typów zasad oraz pól, które można skonfigurować dla każdej zasady.This section provides reference details about policies, providing explanations for each policy type and the fields that can be configured for each policy.

A zasady dotyczące plików to zasady oparte na interfejsie API, które pozwala na kontrolowanie zawartości w organizacji w chmurze, biorąc pod uwagę ponad 20 filtrów metadanych (w tym właściciela i poziomu udostępniania) plików oraz wyników inspekcji zawartości.A File policy is an API-based policy that enables you to control your organization's content in the cloud, taking into account over 20 file metadata filters (including owner and sharing level) and content inspection results. Na podstawie wyników zasad można zastosować akcje ładu.Based on the policy results, governance actions can be applied. Aparat inspekcji zawartości można rozszerzyć za pomocą aparatów DLP innych firm oraz rozwiązań chroniących przed złośliwym kodem.The content inspection engine can be extended via 3rd-party DLP engines as well as anti-malware solutions.

Każde zasady składają się z następujących elementów:Each policy is composed of the following parts:

  • Filtry plików — umożliwiają tworzenie szczegółowych warunków na podstawie metadanych.File filters – Enable you to create granular conditions based on metadata.

  • Inspekcja zawartości — umożliwia zawężenie zasad na podstawie wyników aparatu DLP.Content inspection – Enable you to narrow down the policy, based on DLP engine results. Możesz uwzględnić niestandardowe wyrażenie lub wyrażenie wstępnie zdefiniowane.You can include a custom expression or a preset expression. Możesz ustawić wykluczenia i wybrać liczbę dopasowań.Exclusions can be set and you can choose the number of matches. Ponadto możesz użyć anonimizacji, aby zamaskować nazwę użytkownika.You can also use anonymization to mask the username.

  • Akcje — zasady udostępniają zestaw nadzoru akcje, które można automatycznie zastosować w przypadku znalezienia naruszeń.Actions – The policy provides a set of governance actions that can be automatically applied when violations are found. Te akcje są podzielone na akcje współpracy, akcje zabezpieczeń i akcje analizy.These actions are divided into collaboration actions, security actions, and investigation actions.

  • Rozszerzenia — zawartość, inspekcji mogą być wykonywane za pomocą aparatów innych firm 3 dla ulepszone funkcje DLP lub chroniące przed złośliwym kodem.Extensions - Content inspection can be performed via 3rd-party engines for improved DLP or anti-malware capabilities.

Następne krokiNext steps

Codzienne działania dla ochrony środowiska chmuryDaily activities to protect your cloud environment

Klienci wersji Premium mogą również utworzyć nowe żądanie pomocy technicznej bezpośrednio w portalu Premium.Premier customers can also create a new support request directly in the Premier Portal.