Självstudie: skydda filer med administratörs karantänTutorial: Protect files with admin quarantine

Gäller för: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Viktigt

Hot skydds produkt namn från Microsoft ändras.Threat protection product names from Microsoft are changing. Läs mer om det här och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

Fil principer är ett utmärkt verktyg för att hitta hot mot dina information Protection-principer.File policies are a great tool for finding threats to your information protection policies. Du kan till exempel skapa fil principer som hittar platser där användare lagrar känslig information, kreditkorts nummer och ICAP-filer från tredje part i molnet.For instance, create file policies that find places where users stored sensitive information, credit card numbers, and third-party ICAP files in your cloud.

Den här självstudien hjälper dig att använda Microsoft Cloud App Security för att identifiera oönskade filer som är lagrade i ditt moln som låter dig vara sårbara, och vidta omedelbara åtgärder för att stoppa dem i sina spår och låsa filerna som utgör ett hot genom att använda Administratörs karantänen för att skydda dina filer i molnet, åtgärda problem och förhindra att framtida läckage inträffar.This tutorial helps you use Microsoft Cloud App Security to detect unwanted files stored in your cloud that leave you vulnerable, and take immediate action to stop them in their tracks and lock down the files that pose a threat by using Admin quarantine to protect your files in the cloud, remediate problems, and prevent future leaks from occurring.

  • Förstå hur karantän fungerarUnderstand how quarantine works
  • Konfigurera administratörs karantänSet up admin quarantine

Förstå hur karantän fungerarUnderstand how quarantine works

Anteckning

  • En lista över appar som har stöd för administratörs karantän finns i listan över styrnings åtgärder.For a list of apps that support admin quarantine, see the list of governance actions.
  • Om en fil i SharePoint eller OneDrive identifieras som skadlig kod, är den inte i karantän i Cloud App Securitys portalen.If a file in SharePoint or OneDrive is detected to be malware, it is not quarantined in the Cloud App Security portal.
  • Det går inte att placera filer med etiketter i karantän.Files with labels cannot be quarantined.
  1. När en fil matchar en princip är alternativet för Administratörs karantän tillgängligt för filen.When a file matches a policy, the Admin quarantine option will be available for the file.

  2. Gör något av följande för att sätta filen i karantän:Do one of the following actions to quarantine the file:

    • Tillämpa åtgärden för Administratörs karantän manuellt:Manually apply the Admin quarantine action:

    karantän åtgärd

    • Ange den som en automatiserad karantän åtgärd i principen:Set it as an automated quarantine action in the policy:

    automatisk karantän

  3. När Administratörs karantänen används inträffar följande saker i bakgrunden:When Admin quarantine is applied, the following things occur behind the scenes:

    1. Original filen flyttas till den mapp för administratörs karantän som du anger.The original file is moved to the admin quarantine folder you set.
    2. Den ursprungliga filen tas bort.The original file is deleted.
    3. En tombstone-fil överförs till den ursprungliga fil platsen.A tombstone file is uploaded to the original file location.

    karantän tombstone

    1. Användaren kan bara komma åt tombstone-filen.The user can only access the tombstone file. De kan läsa de anpassade rikt linjerna i filen och korrelations-ID: t för att ge den till att släppa filen.In the file, they can read the custom guidelines provided by IT and the correlation ID to give IT to release the file.
  4. När du får en avisering om att en fil har satts i karantän, undersöker du filen på sidan Cloud App Security aviseringar :When you receive the alert that a file has been quarantined, investigate the file in the Cloud App Security Alerts page:

    karantän varningar

  5. Och även i princip rapporten på fliken i karantän :And also in the Policy Report on the Quarantined tab:

    karantän rapport

  6. När en fil har satts i karantän använder du följande process för att åtgärda hot situationen:After a file is quarantined, use the following process to remediate the threat situation:

    1. Granska filen i mappen i karantän på SharePoint Online.Inspect the file in the quarantined folder on SharePoint online.
    2. Du kan också titta på gransknings loggarna för att få en djup inblick i fil egenskaperna.You can also look at the audit logs to deep dive into the file properties.
    3. Om du hittar filen gentemot företags principen kör du organisationens process för incident svar (IR).If you find the file is against corporate policy, run the organization's Incident Response (IR) process.
    4. Om du upptäcker att filen är oskadlig kan du återställa filen från karantän.If you find that the file is harmless, you can restore the file from quarantine. I det här läget släpps den ursprungliga filen, vilket innebär att den kopieras tillbaka till den ursprungliga platsen, tombstone tas bort och användaren kan komma åt filen.At that point the original file is released, meaning it's copied back to the original location, the tombstone is deleted, and the user can access the file.

    karantän återställning

  7. Kontrol lera att principen körs smidigt.Validate that the policy runs smoothly. Sedan kan du använda de automatiska styrnings åtgärderna i principen för att förhindra ytterligare läckor och automatiskt tillämpa en administratörs karantän när principen matchas.Then, you can use the automatic governance actions in the policy to prevent further leaks and automatically apply an Admin quarantine when the policy is matched.

Anteckning

När du återställer en fil:When you restore a file:

  • De ursprungliga resurserna återställs inte, standardarv används.Original shares are not restored, default folder inheritance applied.
  • Den återställda filen innehåller bara den senaste versionen.The restored file contains only the most recent version.
  • Plats åtkomst hantering för Quarantine-mappen är kundens ansvar.The quarantine folder site access management is the customer's responsibility.

Konfigurera administratörs karantänSet up admin quarantine

  1. Ange fil principer som identifierar överträdelser.Set file policies that detect breaches. Exempel på dessa typer av principer är:Examples of these types of policies include:

    • En princip för endast metadata, till exempel en klassificerings etikett i SharePoint OnlineA metadata only policy such as a classification label in SharePoint Online
    • En inbyggd DLP-princip, till exempel en princip som söker efter kreditkorts nummerA native DLP policy such as a policy that searches for credit card numbers
    • En ICAP princip för tredje part, till exempel en princip som söker efter VontuAn ICAP third-party policy such as a policy that looks for Vontu
  2. Ange en karantän plats:Set a quarantine location:

    1. För Office 365 SharePoint eller OneDrive för företag kan du inte placera filer i administratörs karantän som en del av en princip förrän du har konfigurerat den:  karantän varningFor Office 365 SharePoint or OneDrive for Business, you can't put files in admin quarantine as part of a policy until you set it up: quarantine warning

      Om du vill ange inställningar för administratörs karantän går du till inställningar kugg hjuls under Inställningar.To set admin quarantine settings, under the settings cog, go to Settings. Ange en plats för de filer som har satts i karantän och ett meddelande om att användaren kommer att få information när filen har satts i karantän.Provide a location for the quarantined files and a user notification that your user will receive when their file is quarantined. karantän inställningarquarantine settings

    2. För Box kan platsen för mappen karantän och användar meddelandet inte anpassas.For Box, the quarantine folder location and user message can't be customized. Mappens plats är den enhet i rutan administratör som är ansluten till Cloud App Security och användar meddelandet är: den här filen har satts i karantän till administratörs enheten eftersom den kan kränka företagets principer för säkerhet och efterlevnad.The folder location is the drive of the admin who connected Box to Cloud App Security and the user message is: This file was quarantined to your administrator's drive because it might violate your company's security and compliance policies. Kontakta IT-administratören om du behöver hjälp.Contact your IT administrator for help.

Nästa stegNext steps

Om du stöter på problem är vi här för att hjälpa dig.If you run into any problems, we're here to help. Öppna ett support ärendeom du vill ha hjälp eller support för produkt problemet.To get assistance or support for your product issue, please open a support ticket.