Condividi tramite

Criteri file in Microsoft Defender for Cloud Apps

  • Articolo

I criteri file consentono di applicare un'ampia gamma di processi automatizzati usando le API del provider di servizi cloud. I criteri possono essere impostati per fornire analisi di conformità continue, attività legali di eDiscovery, prevenzione della perdita dei dati per contenuti sensibili condivisi pubblicamente e molti altri casi d'uso. Defender for Cloud Apps può monitorare qualsiasi tipo di file in base a più di 20 filtri di metadati (ad esempio, livello di accesso, tipo di file).

Per un elenco dei filtri di file che possono essere applicati, vedere Filtri file in Microsoft Defender for Cloud Apps.

Tipi di file supportati

I motori di Defender for Cloud Apps eseguono l'ispezione del contenuto estraendo testo da tutti i tipi di file comuni (100+) tra cui Office, Open Office, file compressi, vari formati RTF, XML, HTML e altro ancora.

Criteri

Il motore combina tre aspetti in ogni criterio:

  • Analisi del contenuto basata su modelli preimpostati o espressioni personalizzate.

  • Filtri di contesto, tra cui ruoli utente, metadati dei file, livello di condivisione, integrazione del gruppo aziendale, contesto di collaborazione e attributi personalizzabili aggiuntivi.

  • Azioni automatizzate per la governance e la correzione.

    Nota

    È garantita l'applicazione solo dell'azione di governance dei primi criteri attivati. Ad esempio, se un criterio file ha già applicato un'etichetta di riservatezza a un file, un secondo criterio di file non può applicarvi un'altra etichetta di riservatezza.

Una volta abilitato, il criterio analizza continuamente l'ambiente cloud e identifica i file che corrispondono ai filtri di contenuto e contesto e applica le azioni automatizzate richieste. Questi criteri rilevano e correggono eventuali violazioni per le informazioni inattivi o quando viene creato un nuovo contenuto. I criteri possono essere monitorati tramite avvisi in tempo reale o report generati dalla console.

Di seguito sono riportati alcuni esempi di criteri di file che è possibile creare:

  • File condivisi pubblicamente : ricevere un avviso su qualsiasi file nel cloud condiviso pubblicamente selezionando tutti i file il cui livello di condivisione è pubblico.

  • Il nome file condiviso pubblicamente contiene il nome dell'organizzazione : ricevere un avviso su qualsiasi file contenente il nome dell'organizzazione e condiviso pubblicamente. Selezionare i file con un nome file contenente il nome dell'organizzazione e che sono condivisi pubblicamente.

  • Condivisione con domini esterni : ricevere un avviso su qualsiasi file condiviso con account di proprietà di domini esterni specifici. Ad esempio, i file condivisi con il dominio di un concorrente. Selezionare il dominio esterno con cui si vuole limitare la condivisione.

  • Mettere in quarantena i file condivisi non modificati durante l'ultimo periodo - Ricevere un avviso sui file condivisi che nessuno ha modificato di recente, per metterli in quarantena o scegliere di attivare un'azione automatizzata. Escludere tutti i file privati che non sono stati modificati durante un intervallo di date specificato. In Google Workspace è possibile scegliere di mettere in quarantena questi file usando la casella di controllo "File di quarantena" nella pagina di creazione dei criteri.

  • Condivisione con utenti non autorizzati : ricevere un avviso sui file condivisi con un gruppo di utenti non autorizzati nell'organizzazione. Selezionare gli utenti per cui la condivisione non è autorizzata.

  • Estensione di file sensibile : ricevere un avviso sui file con estensioni specifiche potenzialmente esposte. Selezionare l'estensione specifica (ad esempio, crt per i certificati) o il nome file ed escludere i file con livello di condivisione privato.

Nota

I criteri di file in Defender for Cloud Apps sono limitati a 50.

Creare un nuovo criterio

Per creare un nuovo criterio file, seguire questa procedura:

  1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri. Selezionare la scheda Information Protection.

  2. Selezionare Crea criterio, quindi Criteri file.

    Creare un criterio di Information Protection.

  3. Assegnare un nome e una descrizione ai criteri, se si vuole basarlo su un modello, per altre informazioni sui modelli di criteri, vedere Controllare le app cloud con i criteri.

  4. Assegnare ai criteri una gravità dei criteri. Se hai impostato Defender per le app cloud per l'invio di notifiche sulle corrispondenze dei criteri per un livello di gravità dei criteri specifico, questo livello viene usato per determinare se le corrispondenze dei criteri attivano una notifica.

  5. In Categoria collegare i criteri al tipo di rischio più appropriato. Questo campo è solo informativo e consente di cercare criteri e avvisi specifici in un secondo momento, in base al tipo di rischio. Il rischio potrebbe essere già preselezionato in base alla categoria per cui si è scelto di creare i criteri. Per impostazione predefinita, i criteri file sono impostati su DLP.

  6. Creare un filtro per i file su cui questo criterio agirà per impostare le app individuate che attivano questo criterio. Limitare i filtri dei criteri fino a raggiungere un set accurato di file su cui si vuole intervenire. Essere il più restrittivi possibile per evitare falsi positivi. Ad esempio, se si desidera rimuovere le autorizzazioni pubbliche, ricordarsi di aggiungere il filtro Pubblico , se si vuole rimuovere un utente esterno, usare il filtro "Esterno" e così via.

    Nota

    Quando si usano i filtri dei criteri, Contiene cerca solo parole complete, separate da virgole, punti, spazi o caratteri di sottolineatura. Ad esempio, se si cerca malware o virus, trova virus_malware_file.exe ma non trova malwarevirusfile.exe. Se si cerca malware.exe, nel nome del file vengono trovati tutti i file con malware o exe, mentre se si cerca "malware.exe" (con le virgolette) si trovano solo i file che contengono esattamente "malware.exe". Equals cerca solo la stringa completa, ad esempio se si cerca malware.exe trova malware.exe ma non malware.exe.txt.

    Per altre informazioni sui filtri dei criteri file, vedere Filtri file in Microsoft Defender for Cloud Apps.

  7. Nel primo filtro Applica a selezionare tutti i file esclusi le cartelle selezionate o le cartelle selezionate per Box, SharePoint, Dropbox o OneDrive, in cui è possibile applicare i criteri file su tutti i file dell'app o su cartelle specifiche. Si viene reindirizzati per accedere all'app cloud e quindi aggiungere le cartelle pertinenti.

  8. Nel secondo filtro Applica a selezionare tutti i proprietari di file, i proprietari di file dei gruppi di utenti selezionati o tutti i proprietari di file esclusi i gruppi selezionati. Selezionare quindi i gruppi di utenti pertinenti per determinare quali utenti e gruppi devono essere inclusi nei criteri.

  9. Selezionare il metodo di ispezione contenuto. È possibile selezionare DLP predefinito o Data Classification Services. È consigliabile usare Data Classification Services.

    Dopo aver abilitato l'ispezione del contenuto, è possibile scegliere di usare espressioni predefinite o di cercare altre espressioni personalizzate.

    È inoltre possibile specificare un'espressione regolare per escludere un file dai risultati. Questa opzione è molto utile se si ha uno standard di parola chiave di classificazione interno che si vuole escludere dai criteri.

    È possibile decidere di impostare il numero minimo di violazioni del contenuto che si desidera associare prima che il file venga considerato una violazione. Ad esempio, è possibile scegliere 10 se si desidera ricevere avvisi per i file con almeno 10 numeri di carta di credito presenti nel contenuto.

    Quando il contenuto viene confrontato con l'espressione selezionata, il testo della violazione viene sostituito con caratteri "X". Per impostazione predefinita, le violazioni vengono mascherate e visualizzate nel contesto con 100 caratteri prima e dopo la violazione. I numeri nel contesto dell'espressione vengono sostituiti con caratteri "#" e non vengono mai archiviati in Defender per le app cloud. È possibile selezionare l'opzione Annulla maschera degli ultimi quattro caratteri di una violazione per smascherare gli ultimi quattro caratteri della violazione stessa. È necessario impostare i tipi di dati cercati dall'espressione regolare: contenuto, metadati e/o nome file. Per impostazione predefinita, esegue la ricerca nel contenuto e nei metadati.

  10. Scegliere le azioni di governance da eseguire Defender for Cloud Apps quando viene rilevata una corrispondenza.

  11. Dopo aver creato il criterio, è possibile visualizzarlo filtrando per il tipo di criteri File . È sempre possibile modificare un criterio, calibrarne i filtri o modificare le azioni automatizzate. Il criterio viene abilitato automaticamente al momento della creazione e avvia immediatamente l'analisi dei file cloud. Prestare maggiore attenzione quando si impostano azioni di governance, potrebbero causare una perdita irreversibile delle autorizzazioni di accesso ai file. È consigliabile restringere i filtri per rappresentare esattamente i file su cui si vuole agire, usando più campi di ricerca. Più sono limitati i filtri, meglio è. Per indicazioni, è possibile usare il pulsante Modifica e anteprima dei risultati accanto ai filtri.

    Modifica dei criteri di file e anteprima dei risultati.

  12. Per visualizzare le corrispondenze dei criteri di file, i file che si sospetta violano i criteri, passare a Criteri ->Gestione dei criteri. Filtrare i risultati per visualizzare solo i criteri di file usando il filtro Tipo nella parte superiore. Per altre informazioni sulle corrispondenze per ogni criterio, nella colonna Conteggio selezionare il numero di corrispondenze per un criterio. In alternativa, selezionare i tre punti alla fine della riga per un criterio e scegliere Visualizza tutte le corrispondenze. Verrà aperto il report Criteri file. Selezionare la scheda Corrispondenza ora per visualizzare i file attualmente corrispondenti ai criteri. Selezionare la scheda Cronologia per visualizzare una cronologia fino a sei mesi di file corrispondenti ai criteri.

Procedure consigliate per i criteri di file

  1. Evitare di reimpostare i criteri file (usando la casella di controllo Reimposta risultati e applica di nuovo le azioni ) negli ambienti di produzione, a meno che non sia assolutamente necessario, in quanto in questo modo si avvierà un'analisi completa dei file coperti dal criterio, che può avere un impatto negativo sulle prestazioni.

  2. Quando si applicano etichette ai file in una cartella padre specifica e nelle relative sottocartelle, usare l'opzione Applica a cartelle>selezionate. Aggiungere quindi ognuna delle cartelle padre.

  3. Quando si applicano etichette solo a file in una cartella specifica (escluse le sottocartelle), usare il filtro dei criteri di file Cartella padre con l'operatore Equals .

  4. I criteri di file sono più veloci quando vengono usati criteri di filtro limitati (rispetto ai criteri wide).

  5. Consolidare diversi criteri di file per lo stesso servizio (ad esempio SharePoint, OneDrive, Box e così via) in un singolo criterio.

  6. Quando si abilita il monitoraggio dei file (dalla pagina Impostazioni ), creare almeno un criterio file. Quando non esiste alcun criterio file o è disabilitato per sette giorni consecutivi, il monitoraggio dei file è disattivato automaticamente.

Informazioni di riferimento su criteri di file

Questa sezione fornisce informazioni di riferimento sui criteri, fornendo spiegazioni per ogni tipo di criterio e i campi che possono essere configurati per ogni criterio.

Un criterio file è un criterio basato su API che consente di controllare il contenuto dell'organizzazione nel cloud, tenendo conto di oltre 20 filtri dei metadati dei file (inclusi il livello di proprietario e condivisione) e i risultati dell'ispezione del contenuto. In base ai risultati dei criteri, è possibile applicare azioni di governance. Il motore di ispezione dei contenuti può essere esteso tramite motori DLP di terze parti e soluzioni antimalware.

Ogni criterio è costituito dalle parti seguenti:

  • Filtri di file : consente di creare condizioni granulari in base ai metadati.

  • Ispezione del contenuto : consente di limitare i criteri in base ai risultati del motore DLP. È possibile includere un'espressione personalizzata o un'espressione preimpostata. Le esclusioni possono essere impostate ed è possibile scegliere il numero di corrispondenze. È anche possibile usare l'anonimizzazione per mascherare il nome utente.

  • Azioni : il criterio fornisce un set di azioni di governance che possono essere applicate automaticamente quando vengono rilevate violazioni. Queste azioni sono suddivise in azioni di collaborazione, azioni di sicurezza e azioni di indagine.

  • Estensioni : l'ispezione dei contenuti può essere eseguita tramite motori di terze parti per migliorare le funzionalità DLP o antimalware.

Visualizzare i risultati dei criteri dei file

È possibile passare al Centro criteri per esaminare le violazioni dei criteri di file.

  1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri e quindi selezionare la scheda Information Protection.

  2. Per ogni criterio file, è possibile visualizzare le violazioni dei criteri di file selezionando le corrispondenze.

    Screenshot delle corrispondenze PCI di esempio.

  3. È possibile selezionare il file stesso per ottenere informazioni sui file.

    Screenshot delle corrispondenze di contenuto PCI di esempio.

  4. Ad esempio, è possibile selezionare Collaboratori per visualizzare chi ha accesso a questo file ed è possibile selezionare Corrispondenze per visualizzare i numeri di previdenza sociale. Il contenuto corrisponde ai numeri di carta di credito.

Webinar sulla protezione delle informazioni

Passaggi successivi

Procedure consigliate per la protezione dell'organizzazione

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.