Tutorial: Proteger ficheiros com quarentena de administrador

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

As políticas de ficheiros são uma ótima ferramenta para encontrar ameaças às suas políticas de proteção de informação. Por exemplo, crie políticas de ficheiros que encontrem locais onde os utilizadores armazenam informações sensíveis, números de cartões de crédito e ficheiros ICAP de terceiros na sua nuvem.

Neste tutorial, você aprenderá a usar Microsoft Cloud App Security para detetar ficheiros indesejados armazenados na sua nuvem que o deixam vulnerável, e tomar medidas imediatas para detê-los nos seus rastos e bloquear os ficheiros que representam uma ameaça usando a quarentena do Administrador para proteger os seus ficheiros na nuvem, remediar problemas e evitar futuras fugas.

Entenda como funciona a quarentena

Nota

  • Para obter uma lista de aplicações que suportem a quarentena de administrador, consulte a lista de ações de governação.
  • Se um ficheiro no SharePoint ou OneDrive for detetado como malware, este não está em quarentena no portal Cloud App Security.
  • Os ficheiros rotulados por Cloud App Security não podem ser colocados em quarentena.
  1. Quando um ficheiro corresponde a uma política, a opção de quarentena do Administrador estará disponível para o ficheiro.

  2. Faça uma das seguintes ações para pôr em quarentena o ficheiro:

    • Aplique manualmente a ação de quarentena do Administrador:

      ação de quarentena.

    • Defini-lo como uma ação automatizada de quarentena na política:

      quarentena automaticamente.

  3. Quando a quarentena de Administrador é aplicada, as seguintes coisas ocorrem nos bastidores:

    1. O ficheiro original é movido para a pasta de quarentena de administração que definiu.

    2. O ficheiro original é eliminado.

    3. Um ficheiro de lápide é enviado para a localização original do ficheiro.

      lápide de quarentena.

    4. O utilizador só pode aceder ao ficheiro de lápide. No ficheiro, podem ler as diretrizes personalizadas fornecidas pela TI e o ID de correlação para dar TI para libertar o ficheiro.

  4. Quando receber o alerta de que um ficheiro foi colocado em quarentena, investigue o ficheiro na página Cloud App Security Alerts:

    alertas de quarentena.

  5. E também no Relatório Político sobre o separador Quarentena:

    relatório de quarentena.

  6. Depois de um ficheiro estar em quarentena, utilize o seguinte processo para remediar a situação de ameaça:

    1. Inspecione o ficheiro na pasta em quarentena no SharePoint online.
    2. Também pode olhar para os registos de auditoria para mergulhar profundamente nas propriedades do ficheiro.
    3. Se considerar que o ficheiro é contra a política corporativa, faça o processo de Resposta a Incidentes (IR) da organização.
    4. Se descobrir que o ficheiro é inofensivo, pode restaurar o ficheiro da quarentena. Nessa altura, o ficheiro original é lançado, o que significa que é copiado de volta para a localização original, a lápide é eliminada, e o utilizador pode aceder ao ficheiro.

    restauro de quarentena.

  7. Valide que a apólice funciona sem problemas. Em seguida, pode utilizar as ações de governação automáticas na política para evitar mais fugas e aplicar automaticamente uma quarentena de administração quando a política estiver em conformidade.

Nota

Quando restaura um ficheiro:

  • As ações originais não são restauradas, a herança de pasta padrão aplicada.
  • O ficheiro restaurado contém apenas a versão mais recente.
  • A gestão do acesso ao site da pasta de quarentena é da responsabilidade do cliente.

Configurar quarentena de administração

  1. Desave as políticas de ficheiros que detetem falhas. Exemplos deste tipo de políticas incluem:

    • Uma política de metadados apenas como um rótulo de classificação no SharePoint Online
    • Uma política nativa do DLP, como uma política que procura números de cartões de crédito
    • Uma política de terceiros do ICAP, como uma política que procura Vontu
  2. Definir um local de quarentena:

    1. Para Office 365 SharePoint ou OneDrive para Empresas, não pode colocar ficheiros em quarentena de administração como parte de uma política até que o instale:  aviso de quarentena.

      Para definir as definições de quarentena de administração, sob as definições engrenagem, vá para Definições. Forneça uma localização para os ficheiros em quarentena e uma notificação do utilizador que o seu utilizador receberá quando o seu ficheiro estiver em quarentena. definições de quarentena.

      Nota

      Cloud App Security apenas deteta novas pastas SharePoint e OneDrive, incluindo se forem definidas como pasta de quarentena de administração, depois de alguma atividade de ficheiro ter sido realizada neles.

    2. Para a Caixa, a localização da pasta de quarentena e a mensagem do utilizador não podem ser personalizadas. A localização da pasta é a unidade do administrador que ligou a Box a Cloud App Security e a mensagem do utilizador é: Este ficheiro foi colocado em quarentena na unidade do seu administrador porque poderia violar as políticas de segurança e conformidade da sua empresa. Contacte o seu administrador de TI para obter ajuda.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.