Filprinciper i Microsoft Defender för molnet-appar

  • Artikel

Med filprinciper kan du tillämpa en mängd olika automatiserade processer med hjälp av molnleverantörens API:er. Principer kan ställas in för att tillhandahålla kontinuerliga efterlevnadsgenomsökningar, juridiska eDiscovery-uppgifter, DLP för känsligt innehåll som delas offentligt och många fler användningsfall. Defender för molnet Appar kan övervaka alla filtyper baserat på fler än 20 metadatafilter (till exempel åtkomstnivå, filtyp).

En lista över filfilter som kan användas finns i Filfilter i Microsoft Defender för molnet Appar.

Filtyper som stöds

Motorerna Defender för molnet Apps utför innehållsgranskning genom att extrahera text från alla vanliga filtyper (100+) inklusive Office, Öppna Office, komprimerade filer, olika RTF-format, XML, HTML med mera.

Principer

Motorn kombinerar tre aspekter under varje princip:

  • Innehållssökning baserat på förinställda mallar eller anpassade uttryck.

  • Kontextfilter som användarroller, filmetadata, delningsnivå, organisationsgruppintegrering, samarbetskontext och ytterligare anpassningsbara attribut.

  • Automatiska åtgärder för styrning och åtgärder.

    Kommentar

    Det är bara styrningsåtgärden i den policy som utlöses först som garanterat tillämpas. Om en filprincip till exempel redan har tillämpat en känslighetsetikett på en fil kan en andra filprincip inte tillämpa en annan känslighetsetikett på den.

När principen är aktiverad söker den kontinuerligt igenom din molnmiljö och identifierar filer som matchar innehållet och kontextfiltren och tillämpar de begärda automatiserade åtgärderna. Dessa principer identifierar och åtgärdar eventuella överträdelser för vilande information eller när nytt innehåll skapas. Principer kan övervakas med hjälp av realtidsaviseringar eller med hjälp av konsolgenererade rapporter.

Följande är exempel på filprinciper som kan skapas:

  • Offentligt delade filer – Få en avisering om alla filer i molnet som delas offentligt genom att välja alla filer vars delningsnivå är offentlig.

  • Offentligt delat filnamn innehåller organisationens namn – Ta emot en avisering om alla filer som innehåller organisationens namn och som delas offentligt. Markera filer med ett filnamn som innehåller namnet på din organisation och som delas offentligt.

  • Dela med externa domäner – Få en avisering om alla filer som delas med konton som ägs av specifika externa domäner. Till exempel filer som delas med en konkurrents domän. Välj den externa domänen som du vill begränsa delning för.

  • Karantändelade filer som inte ändrats under den senaste perioden – Ta emot en avisering om delade filer som ingen nyligen har ändrat, för att sätta dem i karantän eller välja att aktivera en automatiserad åtgärd. Undanta alla privata filer som inte ändrades under ett angivet datumintervall. På Google Workspace kan du välja att placera filerna i karantän med hjälp av kryssrutan "karantänfil" på sidan för att skapa principer.

  • Dela med obehöriga användare – Få en avisering om filer som delas med obehörig grupp av användare i din organisation. Välj de användare för vilka delning inte är tillåten.

  • Känsligt filnamnstillägg – Få en avisering om filer med specifika tillägg som potentiellt är mycket exponerade. Välj det specifika tillägget (till exempel crt för certifikat) eller filnamnet och exkludera dessa filer med privat delningsnivå.

Kommentar

Du är begränsad till 50 filprinciper i Defender för molnet Apps.

Skapa en ny filprincip

Följ den här proceduren om du vill skapa en ny filprincip:

  1. I Microsoft Defender-portalen går du till Principer –> Principhantering under Molnappar. Välj fliken Informationsskydd .

  2. Välj Skapa princip och välj Filprincip.

    Create a Information Protection policy.

  3. Ange ett namn och en beskrivning för principen. Om du vill kan du basera den på en principmall. Mer information om principmallar finns i Kontrollera molnappar med principer.

  4. Ge principen en Allvarlighetsgrad för princip. Om du har angett Defender för molnet Appar för att skicka meddelanden om principmatchningar för en viss allvarlighetsgrad för principen används den här nivån för att avgöra om principens matchningar utlöser ett meddelande.

  5. I Kategori länkar du principen till den lämpligaste risktypen. Det här fältet är endast informativt och hjälper dig att söka efter specifika principer och aviseringar senare, baserat på typen av risk. Risken kan redan vara förvald enligt den kategori som du vill skapa principen för. Filprinciper är som standard inställda på DLP.

  6. Skapa ett filter för de filer som den här principen ska agera på för att ange vilka identifierade appar som utlöser den här principen. Begränsa principfiltren tills du når en korrekt uppsättning filer som du vill utföra. Var så restriktiv som möjligt för att undvika falska positiva identifieringar. Om du till exempel vill ta bort offentliga behörigheter måste du komma ihåg att lägga till det offentliga filtret. Om du vill ta bort en extern användare använder du filtret "Extern" och så vidare.

    Kommentar

    När du använder principfiltren söker Contain bara efter fullständiga ord – avgränsade med kommatecken, punkter, blanksteg eller understreck. Om du till exempel söker efter skadlig kod eller virus hittar den virus_malware_file.exe men hittar inte malwarevirusfile.exe. Om du söker efter malware.exe hittar du ALLA filer med antingen skadlig kod eller exe i filnamnet, medan om du söker efter "malware.exe" (med citattecken) hittar du bara filer som innehåller exakt "malware.exe". Lika med söker bara efter den fullständiga strängen, till exempel om du söker efter malware.exe den hittar malware.exe men inte malware.exe.txt.

    Mer information om filprincipfilter finns i Filfilter i Microsoft Defender för molnet Appar.

  7. Under det första Använd för-filtret väljer du alla filer utom valda mappar eller valda mappar för Box, SharePoint, Dropbox eller OneDrive, där du kan tillämpa din filprincip över alla filer i appen eller på specifika mappar. Du omdirigeras för att logga in i molnappen och lägger sedan till relevanta mappar.

  8. Under det andra filtret Använd för väljer du antingen alla filägare, filägare från valda användargrupper eller alla filägare exklusive valda grupper. Välj sedan relevanta användargrupper för att avgöra vilka användare och grupper som ska ingå i principen.

  9. Välj Innehållsgranskningsmetod. Du kan välja antingen inbyggda DLP- eller dataklassificeringstjänster. Vi rekommenderar att du använder dataklassificeringstjänster.

    När innehållsgranskning har aktiverats kan du välja att använda förinställda uttryck eller söka efter andra anpassade uttryck.

    Du kan dessutom ange ett reguljärt uttryck för att undanta en fil från resultaten. Det här alternativet är mycket användbart om du har en nyckelordsstandard för inre klassificering som du vill undanta från principen.

    Du kan bestämma vad som är det minsta antalet innehållsöverträdelser som du vill matcha innan filen ska anses vara en överträdelse. Du kan till exempel välja 10 om du vill få ett meddelande om filer som innehåller minst 10 kreditkortsnummer.

    När innehållet matchas mot det valda uttrycket ersätts överträdelsetexten med "X"-tecken. Som standard maskeras överträdelser och visas i sin kontext med 100 tecken före och efter överträdelsen. Tal i uttryckets kontext ersätts med "#"-tecken och lagras aldrig i Defender för molnet Apps. Du kan välja alternativet att Avmaska de sista fyra tecknen i en överträdelse för att avmaskering av de sista fyra tecknen i själva överträdelsen. Det är nödvändigt att ange vilka datatyper som reguljära uttryck söker efter: innehåll, metadata och/eller filnamn. Som standard söker den igenom innehållet och metadata.

  10. Välj de styrningsåtgärder som du vill att Defender för molnet appar ska vidta när en matchning identifieras.

  11. När du har skapat principen kan du visa den genom att filtrera efter filprinciptypen . Du kan alltid redigera en princip, kalibrera dess filter eller ändra de automatiserade åtgärderna. Principen aktiveras automatiskt när du skapar och börjar genomsöka dina molnfiler omedelbart. Var extra noggrann när du ställer in styrningsåtgärder eftersom de kan leda till oåterkallelig förlorad åtkomstbehörighet till dina filer. Vi rekommenderar att du begränsar filtren för att exakt representera de filer som du vill agera på med hjälp av flera sökfält. Ju mer specifika filter, desto bättre. För vägledning kan du använda knappen Redigera och förhandsgranska resultat bredvid filtren.

    File policy edit and preview results.

  12. Om du vill visa filprincipmatchningar går du till Principhantering> för filer som misstänks bryta mot principen. Filtrera resultatet för att endast visa filprinciper med filtret typ längst upp. Om du vill ha mer information om matchningarna för varje princip under kolumnen Antal väljer du antalet matchningar för en princip. Du kan också välja de tre punkterna i slutet av raden för en princip och välja Visa alla matchningar. Då öppnas rapporten Filprincip. Välj fliken Matchning nu för att se filer som för närvarande matchar principen. Välj fliken Historik för att se en historik tillbaka till upp till sex månaders filer som matchade principen.

Metodtips för filprincip

  1. Undvik att återställa filprincipen (genom att använda kryssrutan Återställ resultat och tillämpa åtgärder igen ) i produktionsmiljöer om det inte är absolut nödvändigt, eftersom det kommer att initiera en fullständig genomsökning av de filer som omfattas av principen, vilket kan ha en negativ inverkan på dess prestanda.

  2. När du tillämpar etiketter på filer i en specifik överordnad mapp och dess undermappar använder du alternativet Använd för ->Valda mappar. Lägg sedan till var och en av de överordnade mapparna.

  3. När du tillämpar etiketter på filer i en specifik mapp (exklusive undermappar) använder du filprincipfiltret Överordnad mapp med operatorn Lika med.

  4. Filprincipen går snabbare när smala filtreringsvillkor används (jämfört med breda kriterier).

  5. Konsolidera flera filprinciper för samma tjänst (till exempel SharePoint, OneDrive, Box och så vidare) till en enda princip.

  6. När du aktiverar filövervakning (från sidan Inställningar) skapar du minst en filprincip. När det inte finns någon filprincip eller är inaktiverad i sju dagar i följd kan filövervakningen identifieras automatiskt.

Referens till filprincip

Det här avsnittet innehåller referensinformation om principer och förklarar varje principtyp och de fält som kan konfigureras för varje princip.

En filprincip är en API-baserad princip som gör att du kan styra organisationens innehåll i molnet, med hänsyn till över 20 filmetadatafilter (inklusive ägar- och delningsnivå) och resultat av innehållsgranskning. Styrningsåtgärder kan vidtas i enlighet med principresultaten. Innehållsgranskningsmotorn kan utökas via DLP-motorer från tredje part och lösningar mot skadlig kod.

Varje princip består av följande delar:

  • Filfilter – Gör att du kan skapa detaljerade villkor baserat på metadata.

  • Innehållsgranskning – Gör att du kan begränsa principen baserat på DLP-motorns resultat. Du kan använda ett anpassat uttryck eller ett fördefinierat uttryck. Du kan ange undantag och du kan välja antalet matchningar. Du kan också maskera användarnamnet så att det blir anonymt.

  • Åtgärder – Principen innehåller en uppsättning styrningsåtgärder som kan tillämpas automatiskt när överträdelser hittas. Dessa åtgärder är indelade i samarbetsåtgärder, säkerhetsåtgärder och undersökningsåtgärder.

  • Tillägg – Innehållsgranskning kan utföras via tredjepartsmotorer för bättre DLP- eller anti-malware-funktioner.

Filfrågor

För att göra undersökningen ännu enklare kan du nu skapa anpassade frågor och spara dem för senare användning.

  1. På sidan Filer använder du filtren enligt beskrivningen tidigare för att öka detaljnivån i dina appar efter behov.

  2. När du har skapat frågan väljer du knappen Spara som ovanför filtren.

  3. I popup-fönstret Spara fråga namnger du frågan.

  4. Om du vill använda den här frågan igen i framtiden bläddrar du ned till Sparade frågor under Frågor och väljer din fråga.

Visa resultat av filprinciper

Du kan gå till Principcenter för att granska filprincipöverträdelser.

  1. I Microsoft Defender-portalen går du till Principer –Principhantering under Molnappar och väljer sedan fliken Informationsskydd.>

  2. För varje filprincip kan du se filprincipöverträdelserna genom att välja matchningarna.
    PCI matches.

  3. Du kan välja själva filen om du vill få information om filerna.
    PCI content matches.

  4. Du kan till exempel välja Medarbetare för att se vem som har åtkomst till den här filen och du kan välja Matchningar för att se personnummer. Content matches credit card numbers.

Webbseminarier för informationsskydd

Nästa steg

Metodtips för att skydda din organisation

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.