Freigeben über

Tutorial: Dateien mit Administrator-Quarantäne schützen.

  • Artikel

Dateirichtlinien sind ein hervorragendes Tool, um Bedrohungen für Ihre Informationsschutzrichtlinien zu finden. Erstellen Sie für instance Dateirichtlinien, an denen Benutzer vertrauliche Informationen, Guthaben Karte Nummern und ICAP-Dateien von Drittanbietern in Ihrer Cloud gespeichert haben.

In diesem Tutorial erfahren Sie, wie Sie Microsoft Defender for Cloud Apps verwenden, um unerwünschte Dateien zu erkennen, die in Ihrer Cloud gespeichert sind, die Sie anfällig machen, und sofortige Maßnahmen ergreifen, um sie in ihren Spuren zu stoppen und die Dateien zu sperren, die eine Bedrohung darstellen, indem Sie Admin Quarantäne verwenden, um Ihre Dateien in der Cloud zu schützen, Probleme zu beheben und zukünftige lecks zu verhindern.

Wichtig

Ab dem 1. September 2024 wird die Seite Dateien von Microsoft Defender for Cloud Apps als veraltet gekennzeichnet. Erstellen und ändern Sie an diesem Punkt Information Protection Richtlinien und suchen Schadsoftwaredateien auf der Seite Richtlinienverwaltung > für Cloud-Apps>. Weitere Informationen finden Sie unter Dateirichtlinien in Microsoft Defender for Cloud Apps.

Grundlegendes zur Funktionsweise der Quarantäne

Hinweis

  • Eine Liste der Apps, die die Administratorquarantäne unterstützen, finden Sie in der Liste der Governanceaktionen.
  • Dateien mit der Bezeichnung Defender for Cloud Apps können nicht unter Quarantäne gesetzt werden.
  • Defender for Cloud Apps Administratorquarantäneaktionen sind auf 100 Aktionen pro Tag beschränkt.
  • SharePoint-Websites, die entweder direkt oder im Rahmen der Domänenumbenennung umbenannt werden, können nicht als Ordnerspeicherort für die Administratorquarantäne verwendet werden.

  1. Wenn eine Datei mit einer Richtlinie übereinstimmt, ist die option Admin Quarantäne für die Datei verfügbar.

  2. Führen Sie eine der folgenden Aktionen aus, um die Datei unter Quarantäne zu stellen:

    • Wenden Sie die Admin Quarantäneaktion manuell an:

      Quarantäneaktion.

    • Legen Sie sie als automatisierte Quarantäneaktion in der Richtlinie fest:

      automatisch unter Quarantäne stellen.

  3. Wenn Admin Quarantäne angewendet wird, geschieht Folgendes im Hintergrund:

    1. Die ursprüngliche Datei wird in den Quarantäneordner des Administrators verschoben, den Sie festlegen.

    2. Die ursprüngliche Datei wird gelöscht.

    3. Eine Tombstone-Datei wird an den ursprünglichen Dateispeicherort hochgeladen.

      Quarantäne Tombstone.

    4. Der Benutzer kann nur auf die Tombstone-Datei zugreifen. In der Datei können sie die von der IT bereitgestellten benutzerdefinierten Richtlinien und die Korrelations-ID lesen, um der IT die Freigabe der Datei zu erteilen.

  4. Wenn Sie die Warnung erhalten, dass eine Datei unter Quarantäne gestellt wurde, wechseln Sie zu Richtlinien ->Richtlinienverwaltung. Wählen Sie dann die Registerkarte Information Protection aus. Wählen Sie in der Zeile mit Ihrer Dateirichtlinie die drei Punkte am Ende der Zeile aus, und wählen Sie Alle Übereinstimmungen anzeigen aus. Dadurch erhalten Sie den Bericht der Übereinstimmungen, in dem Sie die übereinstimmenden und in Quarantäne befindlichen Dateien sehen können:

    Dateien unter Quarantäne.

  5. Nachdem eine Datei unter Quarantäne gesetzt wurde, verwenden Sie den folgenden Prozess, um die Bedrohungssituation zu beheben:

    1. Überprüfen Sie die Datei im unter Quarantäne geschalteten Ordner in SharePoint Online.
    2. Sie können sich auch die Überwachungsprotokolle ansehen, um ausführliche Informationen zu den Dateieigenschaften zu erhalten.
    3. Wenn Sie feststellen, dass die Datei gegen die Unternehmensrichtlinie gilt, führen Sie den Incident Response-Prozess (IR) des organization aus.
    4. Wenn Sie feststellen, dass die Datei harmlos ist, können Sie die Datei aus der Quarantäne wiederherstellen. An diesem Punkt wird die ursprüngliche Datei freigegeben, d. h., sie wird an den ursprünglichen Speicherort zurückkopiert, der Tombstone wird gelöscht, und der Benutzer kann auf die Datei zugreifen.

    Quarantänewiederherstellung.

  6. Überprüfen Sie, ob die Richtlinie reibungslos ausgeführt wird. Anschließend können Sie die automatischen Governanceaktionen in der Richtlinie verwenden, um weitere Lecks zu verhindern und automatisch eine Admin Quarantäne anzuwenden, wenn die Richtlinie abgeglichen wird.

Hinweis

Wenn Sie eine Datei wiederherstellen:

  • Ursprüngliche Freigaben werden nicht wiederhergestellt, Standardordnervererbung angewendet.
  • Die wiederhergestellte Datei enthält nur die neueste Version.
  • Die Verwaltung des Standortzugriffs unter Quarantäneordner liegt in der Verantwortung des Kunden.

Einrichten der Administratorquarantäne

  1. Legen Sie Dateirichtlinien fest, die Sicherheitsverletzungen erkennen. Beispiele für diese Arten von Richtlinien sind:

    • Eine Richtlinie nur für Metadaten, z. B. eine Vertraulichkeitsbezeichnung in SharePoint Online
    • Eine native DLP-Richtlinie, z. B. eine Richtlinie, die nach Guthaben Karte Nummern sucht
    • Eine ICAP-Drittanbieterrichtlinie, z. B. eine Richtlinie, die nach Vontu sucht

  2. Legen Sie einen Quarantänespeicherort fest:

    1. Für Microsoft 365 SharePoint oder OneDrive for Business können Sie Dateien erst dann als Teil einer Richtlinie unter Administratorquarantäne stellen, wenn Sie sie eingerichtet haben: Quarantänewarnung.

      Wählen Sie im Microsoft Defender Portal Einstellungen aus, um Die Quarantäneeinstellungen für Administratoren festzulegen. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Information Protectiondie Option Admin Quarantäne aus. Geben Sie einen Standort für den Speicherort des Quarantäneordners und eine Benutzerbenachrichtigung an, die Ihr Benutzer erhält, wenn seine Datei unter Quarantäne gestellt wird. Quarantäneeinstellungen.

      Hinweis

      Defender for Cloud Apps erstellen einen Quarantäneordner auf dem ausgewählten Standort.

    2. Für Box können der Speicherort des Quarantäneordners und die Benutzernachricht nicht angepasst werden. Der Ordnerspeicherort ist das Laufwerk des Administrators, der Box mit Defender for Cloud Apps verbunden hat, und die Benutzermeldung lautet: Diese Datei wurde auf dem Laufwerk Ihres Administrators unter Quarantäne gesetzt, da sie möglicherweise gegen die Sicherheits- und Konformitätsrichtlinien Ihres Unternehmens verstößt. Wenden Sie sich an Ihren Administrator, um Hilfe zu erhalten.

Nächste Schritte

Bewährte Methoden zum Schutz Ihrer organization

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.