Microsoft Defender for Cloud Appsを使用してファイルを調査する
データ保護を提供するために、Microsoft Defender for Cloud Appsを使用すると、接続されているアプリのすべてのファイルを可視化できます。 アプリ コネクタを使用してMicrosoft Defender for Cloud Appsをアプリに接続した後、Microsoft Defender for Cloud Appsは、OneDrive や Salesforce に格納されているすべてのファイルなど、すべてのファイルをスキャンします。 その後、Defender for Cloud Appsは、変更されるたびに各ファイルを再スキャンします。変更は、コンテンツ、メタデータ、または共有アクセス許可に対して行うことができます。 スキャン時間は、アプリに格納されているファイルの数によって異なります。 [ ファイル ] ページを使用してファイルをフィルター処理して、クラウド アプリに保存されているデータの種類を調査することもできます。
重要
2024 年 9 月 1 日から、Microsoft Defender for Cloud Appsから [ファイル] ページを段階的に表示します。 [ファイル] ページの主要な機能は、[ポリシー] > [ポリシーの管理] ページ>クラウド アプリで利用できます。 [ポリシー管理] ページを使用して、ファイルを調査し、ポリシーとマルウェア ファイルInformation Protection作成、変更、フィルター処理することをお勧めします。 詳細については、「Microsoft Defender for Cloud Appsのファイル ポリシー」を参照してください。
注:
ファイル ポリシー フィルターのクエリ サイズ制限と "結果の編集とプレビュー"
- ファイル ポリシーを作成または編集する場合、または [結果の編集とプレビュー] オプションを使用する場合は、クエリ サイズの制限があります。 この制限により、最適なパフォーマンスが保証され、システムの過負荷が防止されます。
- クエリが許可されたサイズを超える場合は、条件を絞り込むか、許容される制限内に収まるように他のフィルターを使用する必要があります。 たとえば、ポリシーにグループ "everyone" または "外部ユーザーを除くすべてのユーザー" を含む "コラボレーター" 条件が含まれている場合、クエリ サイズの制限によりエラーが発生する可能性があります。
- クエリがサイズ制限を超えた場合、システムはエラーの原因となったフィルターを指定しないことに注意してください。
ファイル監視を有効にする
Defender for Cloud Appsのファイル監視を有効にするには、まず [設定] 領域でファイルの監視を有効にします。 Microsoft Defender ポータルで、[設定>Cloud Apps>Information Protection>Files>Enable file monitoring>Save を選択します。
- アクティブなファイル ポリシーがない場合は、最後のファイル ページのエンゲージメント時間から 7 日後に、ファイルの監視が自動的にオフになります。
- アクティブなファイル ポリシーがない場合は、最後のファイル ページエンゲージメント時間から 35 日後に、保存されたファイルに関する Defender for Cloud アプリによって管理されているすべてのデータの削除が開始Defender for Cloud Apps。
ファイル フィルターの例
たとえば、[ ファイル ] ページを使用して、次のように 社外秘としてラベル付けされた外部共有ファイルをセキュリティで保護します。
アプリをDefender for Cloud Appsに接続したら、Microsoft Purview Information Protectionと統合します。 次に、[ ファイル ] ページで、[ 機密] というラベルの付いたファイルをフィルター処理し、[ コラボレーター ] フィルターでドメインを除外します。 organizationの外部で共有されている機密ファイルがある場合は、ファイル ポリシーを作成して検出できます。 外部コラボレーターの削除やファイル所有者へのポリシー一致ダイジェストの送信など、これらのファイルに自動ガバナンス アクションを適用して、organizationへのデータ損失を防ぐことができます。
[ ファイル] ページを使用する方法の別の例を次に示します。 organization内のユーザーが、過去 6 か月間変更されていないファイルをパブリックまたは外部で共有していないことを確認します。
アプリをDefender for Cloud Appsに接続し、[ファイル] ページに移動します。 アクセス レベルが [外部] または [ パブリック ] のファイルをフィルター処理し、[ 最終更新日] を 6 か月前に設定します。 [検索から新しいポリシー] を選択して、これらの古いパブリック ファイルを検出するファイル ポリシーを作成します。 外部ユーザーの削除などの自動ガバナンス アクションを適用して、organizationにデータが失われるのを防ぎます。
基本的なフィルターには、ファイルのフィルター処理を開始するための優れたツールが用意されています。
より具体的なファイルにドリルダウンするには、[詳細フィルター] を選択して基本フィルターを展開 します。
ファイル フィルター
Defender for Cloud Appsは、20 を超えるメタデータ フィルター (アクセス レベル、ファイルの種類など) に基づいて任意のファイルの種類を監視できます。
DLP エンジンに組み込まれているDefender for Cloud Appsは、一般的なファイルの種類からテキストを抽出してコンテンツ検査を実行します。 含まれるファイルの種類には、PDF、Office ファイル、RTF、HTML、コード ファイルなどがあります。
適用できるファイル フィルターの一覧を次に示します。 ポリシー作成のための強力なツールを提供するために、ほとんどのフィルターでは複数の値と NOT がサポートされています。
注:
ファイル ポリシー フィルターを使用する場合、 Contains は 完全な単語 のみを検索します。検索する単語はコンマ、ドット、ハイフン、またはスペースで区切られます。
- 単語間のスペースまたはハイフンは 、OR のように機能します。 たとえば、 マルウェアウイルス を検索すると、名前にマルウェアまたはウイルスが含まれるすべてのファイルが見つかるので、 malware-virus.exe と virus.exeの両方が見つかります。
- 文字列を検索する場合は、単語を引用符で囲みます。 この関数は AND と似ています。 たとえば、 "マルウェア"ウイルス"を検索すると、 virus-malware-file.exe が見つかりますが、 malwarevirusfile.exe が見つからないため、 malware.exeが見つかりません。 ただし、正確な文字列を検索します。 "マルウェア ウイルス" を検索すると、"ウイルス" または "ウイルスマルウェア" が見つかりません。
Equals は、完全な文字列のみを検索します。 たとえば、 malware.exe を検索すると、 malware.exe が見つかりますが、 malware.exe.txtは見つかりません。
アクセス レベル – 共有アクセス レベル。パブリック、外部、内部、またはプライベート。
- 内部 - [全般設定] で設定した内部ドメイン内のすべてのファイル。
- 外部 - 設定した内部ドメイン内にない場所に保存されたすべてのファイル。
-
共有 - 共有 レベルがプライベートより上のファイル。 共有には、次のものが含まれます。
内部共有 - 内部ドメイン内で共有されているファイル。
外部共有 - 内部ドメインに一覧表示されていないドメインで共有されているファイル。
リンク付きパブリック - リンクを介して誰とでも共有できるファイル。
パブリック - インターネットを検索して見つけられるファイル。
注:
外部ユーザーによって接続されたストレージ アプリに共有されたファイルは、次のようにDefender for Cloud Appsによって処理されます。
- OneDrive: OneDrive は、外部ユーザーによって OneDrive に配置されたファイルの所有者として内部ユーザーを割り当てます。 これらのファイルはorganizationによって所有されていると見なされるため、Defender for Cloud Appsはこれらのファイルをスキャンし、OneDrive 内の他のファイルと同様にポリシーを適用します。
- Google ドライブ:Google Drive では、これらを外部ユーザーが所有していると見なしており、organizationが所有していないファイルとデータに対する法的制限のため、Defender for Cloud Appsはこれらのファイルにアクセスできません。
- 箱: Box は外部所有のファイルを個人情報と見なしているため、Box Global Admins はファイルの内容を表示できません。 このため、Defender for Cloud Appsはこれらのファイルにアクセスできません。
- Dropbox: Dropbox は外部所有のファイルを個人情報と見なしているため、Dropbox グローバル管理者はファイルの内容を表示できません。 このため、Defender for Cloud Appsはこれらのファイルにアクセスできません。
アプリ – これらのアプリ内のファイルのみを検索します。
コラボレーター – 特定のコラボレーターまたはグループを含める/除外します。
Any from domain – このドメインのユーザーがファイルに直接アクセスできる場合。
注:
- このフィルターは、特定のユーザーとのみ、グループと共有されたファイルをサポートしていません。
- SharePoint と OneDrive の場合、フィルターは共有リンクを介して特定のユーザーと共有されるファイルをサポートしていません。
organization全体 – organization全体がファイルにアクセスできる場合。
グループ – 特定のグループがファイルにアクセスできる場合。 グループは、Active Directory、クラウド アプリ、またはサービスで手動で作成してインポートできます。
注:
- このフィルターは、コラボレーター グループ全体を検索するために使用されます。 個々のグループ メンバーと一致しません。
ユーザー – ファイルにアクセスできるユーザーの特定のセット。
[作成済み ] – ファイルの作成時刻。 フィルターは、前後の日付と日付範囲をサポートします。
拡張機能 – 特定のファイル拡張子に焦点を当てます。 たとえば、実行可能ファイルであるすべてのファイル (*.exe)。
注:
- このフィルターでは大文字と小文字が区別されます。
- OR 句を使用して、1 つ以上の大文字と小文字のバリエーションにフィルターを適用します。
ファイル ID – 特定のファイル ID を検索します。 ファイル ID は、所有者、場所、または名前に依存することなく、特定の高価値ファイルを追跡できる高度な機能です。
ファイル名 – クラウド アプリで定義されている名前のファイル名またはサブ文字列。 たとえば、名前にパスワードを含むすべてのファイルなどです。
秘密度ラベル - 特定のラベルが設定されているファイルを検索します。 ラベルは次のいずれかです。
注:
このフィルターがファイル ポリシーで使用されている場合、ポリシーは Microsoft Office ファイルにのみ適用され、他のファイルの種類は無視されます。
- Microsoft Purview Information Protection - Microsoft Purview Information Protectionとの統合が必要です。
-
Defender for Cloud Apps - スキャンするファイルに関するより多くの分析情報を提供します。 DEFENDER FOR CLOUD APPS DLP によってスキャンされた各ファイルについて、ファイルが暗号化されているか破損しているために検査がブロックされたかどうかを確認できます。 たとえば、外部で共有されているパスワードで保護されたファイルを警告および検疫するポリシーを設定できます。
- Azure RMS 暗号化 – Azure RMS 暗号化 セットがあるためにコンテンツが検査されなかったファイル。
- パスワード暗号化 – ユーザーがパスワードで保護されているためにコンテンツが検査されなかったファイル。
- 破損したファイル – コンテンツを読み取ることができなかったため、コンテンツが検査されなかったファイル。
ファイルの種類 – Defender for Cloud Appsは、ファイルをスキャンして、真のファイルの種類がサービスから受け取った MIME の種類 (表を参照) と一致するかどうかを判断します。 このスキャンは、データ スキャンに関連するファイル (ドキュメント、画像、プレゼンテーション、スプレッドシート、テキスト、zip/archive ファイル) を対象としています。 フィルターは、ファイル/フォルダーの種類ごとに機能します。 たとえば、 ...であるすべてのフォルダー 、またはすべての スプレッドシート ファイルが ... です。
| MIME タイプ | ファイルの種類 |
|---|---|
| - application/vnd.openxmlformats-officedocument.wordprocessingml.document - application/vnd.ms-word.document.macroEnabled.12 - application/msword - application/vnd.oasis.opendocument.text - application/vnd.stardivision.writer - application/vnd.stardivision.writer-global - application/vnd.sun.xml.writer - application/vnd.stardivision.math - application/vnd.stardivision.chart - application/x-starwriter - application/x-stardraw - application/x-starmath - application/x-starchart - application/vnd.google-apps.document - application/vnd.google-apps.kix - application/pdf - application/x-pdf - application/vnd.box.webdoc - application/vnd.box.boxnote - application/vnd.jive.document - text/rtf - application/rtf |
ドキュメント |
| - application/vnd.oasis.opendocument.image - application/vnd.google-apps.photo - で始まる: image/ |
イメージ |
| - application/vnd.openxmlformats-officedocument.presentationml.presentation - application/vnd.ms-powerpoint.template.macroEnabled.12 - application/mspowerpoint - application/powerpoint - application/vnd.ms-powerpoint - application/x-mspowerpoint - application/mspowerpoint - application/vnd.ms-powerpoint - application/vnd.oasis.opendocument.presentation - application/vnd.sun.xml.impress - application/vnd.stardivision.impress - application/x-starimpress - application/vnd.google-apps.presentation |
Presentation |
| - application/vnd.openxmlformats-officedocument.spreadsheetml.sheet - application/vnd.ms-excel.sheet.macroEnabled.12 - application/excel - application/vnd.ms-excel - application/x-excel - application/x-msexcel - application/vnd.oasis.opendocument.spreadsheet - application/vnd.sun.xml.calc - application/vnd.stardivision.calc - application/x-starcalc - application/vnd.google-apps.spreadsheet |
スプレッドシート |
| - で始まる: text/ | テキスト |
| その他のすべてのファイル MIME の種類 | その他 |
ごみ箱内 – ごみ箱 フォルダー内のファイルを除外/含めます。 これらのファイルは引き続き共有され、リスクが発生する可能性があります。
注:
このフィルターは、SharePoint および OneDrive 上のファイルには適用されません。
最終更新日 – ファイルの変更時刻。 フィルターでは、日付の前後、日付範囲、および相対時間式がサポートされています。 たとえば、過去 6 か月間に変更されなかったすべてのファイルです。
一致したポリシー - アクティブなDefender for Cloud Apps ポリシーによって一致するファイル。
MIME の種類 – ファイル MIME の種類チェック。 無料のテキストを受け入れます。
所有者 - 特定のファイル所有者を含める/除外します。 たとえば、 rogue_employee_#100 で共有されているすべてのファイルを追跡します。
所有者 OU – 特定の組織単位に属するファイル所有者を含めるか除外します。 たとえば、 EMEA_marketingによって共有されるファイルを除くすべてのパブリック ファイルです。 Google ドライブに保存されているファイルにのみ適用されます。
親フォルダー – 特定のフォルダーを含めるか除外します (サブフォルダーには適用されません)。 たとえば、このフォルダー内のファイルを除くすべてのパブリック共有ファイル。
注:
Defender for Cloud Appsは、いくつかのファイル アクティビティが実行された後にのみ、新しい SharePoint フォルダーと OneDrive フォルダーを検出します。
検疫済み – サービスによって検疫されたファイルの場合。 たとえば、検疫されているすべてのファイルを表示します。
ポリシーを作成するときに、[適用先] フィルターを設定して、特定のファイルで実行 するように 設定することもできます。 すべてのファイル、選択したフォルダー (サブフォルダーが含まれる)、または選択したフォルダーを除くすべてのファイルにフィルター処理します。 次に、関連するファイルまたはフォルダーを選択します。
ファイルの承認
Defender for Cloud Appsファイルがマルウェアや DLP のリスクを与えたと特定した後、ファイルを調査することをお勧めします。 ファイルが安全と判断した場合は、ファイルを承認できます。 ファイルを承認すると、マルウェア検出レポートから削除され、このファイルの将来の一致が抑制されます。
ファイルを承認するには
Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->[ポリシー管理] を選択します。 [情報保護] タブを選択します。
ポリシーの一覧で、調査をトリガーしたポリシーが表示される行の [ カウント ] 列で、 一致 するリンクを選択します。
ヒント
種類別にポリシーの一覧をフィルター処理できます。 次の表に、使用するフィルターの種類をリスクの種類ごとに示します。
リスクの種類 フィルターの種類 DLP ファイル ポリシー マルウェア マルウェア検出ポリシー 一致したファイルの一覧で、調査中のファイルが表示される行で、[✓ to Authorize]\(承認\) を選択します。
ファイル ドロワーの操作
各ファイルの詳細を表示するには、ファイル ログでファイル自体を選択します。 選択すると、 ファイル ドロワー が開き、ファイルに対して次の追加アクションを実行できます。
- URL - ファイルの場所に移動します。
- ファイル識別子 - ファイル ID や暗号化キーを含む、ファイルに関する生データの詳細を含むポップアップを開きます。
- 所有者 - このファイルの所有者のユーザー ページを表示します。
- 一致したポリシー - ファイルが一致したポリシーの一覧を表示します。
- 秘密度ラベル - このファイルにあるMicrosoft Purview Information Protectionの秘密度ラベルの一覧を表示します。 その後、このラベルに一致するすべてのファイルでフィルター処理できます。
[ファイル] ドロワーのフィールドには、追加のファイルへのコンテキスト リンクと、ドロワーから直接実行できるドリルダウンが用意されています。 たとえば、[ 所有者 ] フィールドの横にカーソルを移動した場合は、[フィルターに追加] アイコン ![[フィルターに追加] を使用して](media/add-to-filter-icon.png){kind=icon}
、現在のページのフィルターに所有者をすぐに追加できます。 設定歯車アイコンの 
を使用することもできます。ポップアップ表示され、 秘密度ラベルなどのいずれかのフィールドの構成を変更するために必要な設定ページに直接表示されます。
使用できるガバナンス アクションの一覧については、「 ファイル ガバナンス アクション」を参照してください。
次の手順
問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。