適用於雲端的 Microsoft Defender Apps 中的檔案篩選

  • 發行項

為了提供數據保護,適用於雲端的 Microsoft Defender Apps 可讓您從連線的應用程式檢視所有檔案。 使用 應用程式連線程式 將 適用於雲端的 Microsoft Defender Apps 連線到應用程式之後,適用於雲端的 Microsoft Defender Apps 會掃描所有檔案,例如儲存在 OneDrive 和 Salesforce 中的所有檔案。 然後,適用於雲端的 Defender Apps 每次修改時都會重新掃描每個檔案, 修改可以是內容、元數據或共享許可權。 掃描的時間取決於儲存在應用程式中的檔案數目。 您也可以使用 [檔案] 頁面篩選檔案,調查雲端應用程式中儲存的資料類型。

注意

設定 中應啟用檔案監視。 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。 在 [資訊保護] 下,選取 [檔案]。 依序選取 [啟用檔案監視] 和 [儲存]。
如果沒有使用中的檔案原則,則會停用最後一個檔案頁面參與時間檔案監視後的七天。
如果沒有使用中的檔案原則,則 適用於雲端的 Defender 應用程式最後一個檔案頁面參與時間之後 35 天,應用程式會開始刪除 適用於雲端的 Defender Apps 維護這些儲存盤案的數據。 從 2023 年 8 月 20 日開始,篩選條件 'last modified before (days) 將會被取代。 相反地,建議您使用「檔案之前(日期)」,並依固定日期繼續調查,您也可以在「原則頁面」或「檔案頁面」中使用「手動」調查。

檔案篩選器範例

例如,使用 [ 檔案 ] 頁面來保護標示為 機密的外部共用檔案,如下所示:

將應用程式連線到 適用於雲端的 Defender Apps 之後,請與 Microsoft Purview 資訊保護 整合。 然後,在 [檔案] 頁面中,篩選標示為 [機密] 的檔案,並在 [共同作業者] 篩選中排除您的網域。 若您看到有在組織外部共用的機密檔案,您可以建立檔案原則來偵測它們。 您可以將自動治理動作套用至這些檔案,例如 [移除外部共同作業者] 和 [將原則比對摘要傳送給檔案擁有者] 來避免您的組織遺失資料。

檔案篩選機密。

以下是如何使用 [檔案] 頁面的另一個範例。 請確認組織中沒有任何人員正在公開或和外部共用最近六個月內未曾修改的檔案:

連線 應用程式來 適用於雲端的 Defender 應用程式,然後移至 [檔案] 頁面。 篩選存取層級為 [外部] 或 [公開] 的檔案,然後將 [最後修改日期] 設為六個月以前的日期。 從搜尋中選取 [新增原則],建立可偵測這些過時公用檔案的檔案原則。 將自動治理動作 (例如 [移除外部使用者]) 套用至它們,以避免您的資料遺失資料。

檔案篩選外部過時。

基本篩選條件提供您絕佳的工具以開始篩選檔案。

基本檔案記錄篩選。

若要向下切入至更特定的檔案,您可以選取 [進階篩選] 來展開基本篩選

進階檔案記錄篩選。

檔案篩選

適用於雲端的 Defender 應用程式可以根據超過20個元資料篩選來監視任何檔案類型(例如存取層級、檔案類型)。

內建 DLP 引擎的 適用於雲端的 Defender Apps 會從一般檔類型中擷取文字來執行內容檢查。 部分包含的檔案類型有:PDF、Office 檔案、RTF、HTML 和程式碼檔案。

以下是可套用的檔案篩選器清單。 為了提供您建立原則的強大工具,大部分篩選都支援多個值和 NOT

注意

使用檔案原則篩選時, Contains 只會搜尋 完整單字 ,並以逗號、點、連字元或空格分隔來搜尋。

  • 字組之間的空格或連字元函式,例如 OR。 例如,如果您搜尋惡意代碼病毒,它會尋找名稱中含有惡意代碼或病毒的所有檔案,因此它會同時找到malware-virus.exevirus.exe
  • 如果想要搜尋字串,請用引號括住文字。 此函式類似 AND。 例如,如果您搜尋「malware」」virus“,它會找到virus-malware-file.exe但找不到malwarevirusfile.exe,而且找不到malware.exe。 不過,它會搜尋完整字串。 如果您搜尋 「惡意代碼病毒」,則找不到 「病毒」「病毒惡意代碼」

等於只會搜尋完整的字串。 例如,如果您搜尋 malware.exe 它會找到 malware.exe ,但找不到 malware.exe.txt

  • 存取層級 - 共用存取層級;公開、外部、內部或私人。

    • 內部 - 任何您在一般設定中所設定內部網域範圍內的檔案。
    • 外部 - 任何儲存在您所設定內部網域範圍之外位置的檔案。
    • 共用 - 共用層級高於 [私人] 的檔案。 共用包括:

      • 內部共用 - 在您內部網域內共用的檔案。

      • 外部共用 - 於未在列在內部網域中的網域內共用的檔案。

      • 以連結方式公開 -可和任何透過連結存取人員共用的檔案。

      • 公開 - 可透過搜尋網際網路找到的檔案。

        注意

        外部使用者分享至連線記憶體應用程式的檔案會以下列方式處理 適用於雲端的 Defender 應用程式:

        • OneDrive: OneDrive 會將內部使用者指派為任何外部使用者所放入您 OneDrive 中之檔案的擁有者。 因為這些檔案接著會被視為貴組織所擁有,適用於雲端的 Defender 應用程式會掃描這些檔案,並將原則套用至 OneDrive 中的任何其他檔案。
        • Google Drive:Google Drive 會將這些專案視為外部使用者所擁有,而且由於貴組織未擁有之檔案和數據的法律限制,適用於雲端的 Defender Apps 無法存取這些檔案。
        • Box:由於 Box 會將外部擁有的檔案視為私人資訊,因此 Box 全域管理員無法查看檔案的內容。 因此,適用於雲端的 Defender 應用程式無法存取這些檔案。
        • Dropbox:由於 Dropbox 會將外部擁有的檔案視為私人資訊,因此 Dropbox 全域管理員無法查看檔案的內容。 因此,適用於雲端的 Defender 應用程式無法存取這些檔案。

  • 應用程式 - 僅搜尋位於這些應用程式內的檔案。

  • 共同作業者 – 包含/排除特定共同作業者或群組。

    • 任何來自網域 的使用者 – 如果來自此網域的任何使用者可以直接存取檔案。

      注意

      • 此篩選不支援與群組共用的檔案,僅支援與特定使用者共享的檔案。
      • 針對 SharePoint 和 OneDrive,篩選不支援透過共用連結與特定使用者共用的檔案。

    • 整個組織 – 如果整個組織可以存取檔案。

    • 群組 - 若特定群組可存取檔案。 您可以從 Active Directory 與雲端應用程式匯入群組,或在服務中手動建立群組。

    • 使用者 - 可存取檔案的一組特定使用者。

  • 建立時間 - 檔案建立時間。 篩選支援日期前/後與日期範圍。

  • 副檔名 - 著重於特定副檔名。 例如,所有是可執行檔的檔案(*.exe)。

    注意

    • 此篩選條件區分大小寫。
    • 使用 OR 子句,在多個大寫變化上套用篩選。

  • 檔案識別碼 – 搜尋特定檔案識別碼。 檔案標識碼是一項進階功能,可讓您追蹤某些高價值檔案,而不需要相依於擁有者、位置或名稱。

  • 檔名 – 雲端應用程式中所定義之名稱的檔名或子字串。 例如,名稱中具有密碼的所有檔案。

  • 敏感度標籤 - 搜尋已設定特定標籤的檔案。 標籤包括:

    注意

    如果此篩選條件用於檔案原則中,原則只會套用至 Microsoft Office 檔案,而且會忽略其他文件類型。

    • Microsoft Purview 資訊保護 - 需要與 Microsoft Purview 資訊保護 整合。
    • 適用於雲端的 Defender Apps - 提供更多其掃描檔案的深入解析。 針對 適用於雲端的 Defender 應用程式 DLP 掃描的每個檔案,您可以知道檢查是否因為檔案已加密或損毀而遭到封鎖。 例如,您可以設定原則來警示和隔離外部共用的密碼保護檔案。
      • 已使用 Azure RMS 加密 - 由於已設定 Azure RMS 加密,因此沒有檢查其內容的檔案。
      • 已使用密碼加密 - 由於受使用者密碼保護,因此沒有檢查其內容的檔案。
      • 損毀檔案 - 由於無法讀取其內容,因此沒有檢查其內容的檔案。

  • 檔類型 – 適用於雲端的 Defender Apps 會掃描檔案,以判斷 true 檔類型是否符合服務收到的 MIME 類型(請參閱表格)。 這項掃描適用於資料掃描的相關檔案 (文件、影像、簡報、試算表、文字和 ZIP/封存檔案)。 篩選是以每個檔案/資料夾類型為基礎執行。 例如, ...所有電子表格檔案的資料夾...

    MIME 類型 檔案類型
    - application/vnd.openxmlformats-officedocument.wordprocessingml.document
    - application/vnd.ms-word.document.macroEnabled.12
    - application/msword
    - application/vnd.oasis.opendocument.text
    - application/vnd.stardivision.writer
    - application/vnd.stardivision.writer-global
    - application/vnd.sun.xml.writer
    - application/vnd.stardivision.math
    - application/vnd.stardivision.chart
    - application/x-starwriter
    - application/x-stardraw
    - application/x-starmath
    - application/x-澱粉藝術
    - application/vnd.google-apps.document
    - application/vnd.google-apps.kix
    - application/pdf
    - application/x-pdf
    - application/vnd.box.webdoc
    - application/vnd.box.boxnote
    - application/vnd.jive.document
    - text/rtf
    - application/rtf    		 文件
    - application/vnd.oasis.opendocument.image
    - application/vnd.google-apps.photo
    - 開頭為: image/    		 映像
    - application/vnd.openxmlformats-officedocument.presentationml.presentation
    - application/vnd.ms-powerpoint.template.macroEnabled.12
    - application/mspowerpoint
    - application/powerpoint
    - application/vnd.ms-powerpoint
    - application/x-mspowerpoint
    - application/mspowerpoint
    - application/vnd.ms-powerpoint
    - application/vnd.oasis.opendocument.presentation
    - application/vnd.sun.xml.impress
    - application/vnd.stardivision.impress
    - application/x-starimpress
    - application/vnd.google-apps.presentation    		 簡報
    - application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
    - application/vnd.ms-excel.sheet.macroEnabled.12
    - application/excel
    - application/vnd.ms-excel
    - application/x-excel
    - application/x-msexcel
    - application/vnd.oasis.opendocument.spreadsheet
    - application/vnd.sun.xml.calc
    - application/vnd.stardivision.calc
    - application/x-starcalc
    - application/vnd.google-apps.spreadsheet    		 Spreadsheet
    - 開頭為: text/ Text
    所有其他檔案MIME類型 其他

    policy_file篩選類型。

  • 在垃圾桶中 - 排除/包含垃圾桶資料夾中的檔案。 這些檔案可能仍受共用,並會造成風險。

    policy_file篩選垃圾。

  • 上次修改日期 - 檔案修改時間。 篩選器支援日前之前和日期之後、日期範圍,以及相對時間運算式。 例如:所有過去六個月內未曾修改的檔案。

  • 相符的原則 - 使用中 適用於雲端的 Defender 應用程式原則所比對的檔案。

  • MIME 類型 – 檔案 MIME 類型檢查。 它接受自由文字。

  • 擁有者 - 包含/排除特定檔案擁有者。 例如,追蹤由 rogue_employee_#100 共用的所有檔案。

  • 擁有者 OU – 包含或排除屬於特定組織單位的檔案擁有者。 例如,EMEA_marketing共用的檔案以外的所有公用檔案。 僅適用於儲存在 Google Drive 中的檔案。

  • 父資料夾 – 包含或排除特定資料夾(不適用於子資料夾)。 例如:除此資料夾中檔案之外的所有公開共用檔案。

    注意

    適用於雲端的 Defender 應用程式只會在一些檔案活動執行之後偵測新的 SharePoint 和 OneDrive 資料夾。

  • 已隔離 – 如果服務隔離的檔案。 例如,顯示所有隔離的檔案。

建立原則時,您也可以將 [套用至篩選] 設定為在特定檔案上執行。 篩選為 所有檔案選取的資料夾 (包含的子資料夾),或 排除所選資料夾的所有檔案。 然後選取相關的檔案或資料夾。

套用至篩選。

授權檔案

適用於雲端的 Defender 應用程式將檔案識別為構成惡意代碼或 DLP 風險之後,建議您調查這些檔案。 如果您判斷檔案是安全的,您可以授權檔案。 授權檔案會從惡意代碼偵測報告中移除它,並隱藏此檔案的未來相符專案。

授權檔案

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [原則 -> 原則管理]。 選取 [資訊保護] 索引標籤。

  2. 在原則清單中,於觸發調查之原則出現的數據列上,於 [ 計數 ] 數據行中,選取 [相符專案 ] 連結。

    提示

    您可以依類型篩選原則清單。 下表列出每個風險類型,其中篩選要使用的類型:

    風險類型 篩選類型
    DLP 檔案原則
    惡意程式碼 惡意軟體偵測原則

  3. 在相符的檔案清單中,於調查中檔案出現的數據列上,選取 [✓] 以 [授權]。

使用檔案抽屜

您可以在檔案記錄檔中選取檔案本身,以檢視每個檔案的詳細資訊。 選取它會 開啟 [檔案] 抽屜 ,提供下列您可以在檔案上採取的其他動作:

  • URL - 帶您前往檔案位置。
  • 檔案識別碼 - 開啟彈出視窗,其中包含檔案的原始數據詳細數據,包括檔案標識符和加密密鑰。
  • 擁有者 - 檢視此檔案擁有者的使用者頁面。
  • 比對原則 - 查看檔案符合的原則清單。
  • 敏感度標籤 - 檢視此檔案中找到 Microsoft Purview 資訊保護 的敏感度標籤清單。 您接著可以依據符合此標籤的所有檔案進行篩選。

隱藏式檔案選單中的欄位提供您可能想要從該隱藏式選單中直接執行的額外檔案和向下切入的內容連結。 例如,如果您在 [擁有者] 字段旁邊移動游標,您可以使用 [新增至篩選] 圖示新增至篩選。,立即將擁有者新增至目前頁面的篩選。 您也可以使用快顯的設定齒輪圖示 設定圖示。 ,直接到達修改其中一個字段組態所需的設定頁面,例如 敏感度標籤

檔案抽屜。

如需可用的治理動作清單,請參閱檔案治理動作

下一步

保護貴組織的最佳做法

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證