Compartilhar via


Investigar ficheiros com Microsoft Defender para Aplicativos de Nuvem

Para fornecer proteção de dados, Microsoft Defender para Aplicativos de Nuvem dá-lhe visibilidade sobre todos os ficheiros das suas aplicações ligadas. Depois de ligar Microsoft Defender para Aplicativos de Nuvem a uma aplicação com o Conector de aplicações, Microsoft Defender para Aplicativos de Nuvem analisa todos os ficheiros, por exemplo, todos os ficheiros armazenados no OneDrive e no Salesforce. Em seguida, Defender para Aplicativos de Nuvem reanálise de cada ficheiro sempre que for modificado – a modificação pode ser para conteúdo, metadados ou permissões de partilha. Os tempos de análise dependem do número de ficheiros armazenados na sua aplicação. Também pode utilizar a página Ficheiros para filtrar ficheiros para investigar que tipo de dados são guardados nas suas aplicações na cloud.

Importante

A partir de 1 de setembro de 2024, iremos eliminar progressivamente a páginaFicheiros de Microsoft Defender para Aplicativos de Nuvem. As principais funcionalidades da página Ficheiros estarão disponíveis na página Gestão de Políticas de Aplicações >> na Cloud. Recomendamos que utilize a página Gestão de Políticas para investigar ficheiros e criar, modificar e filtrar políticas de Proteção de Informações e ficheiros malware. Para obter mais informações, veja Políticas de ficheiros no Microsoft Defender para Aplicativos de Nuvem.

Observação

Limitação do Tamanho da Consulta nos Filtros de Política de Ficheiros e "Editar e Pré-visualizar Resultados"

  • Ao criar ou editar uma política de ficheiros ou ao utilizar a opção "Editar e pré-visualizar resultados", existe uma limitação do tamanho da consulta. Esta limitação garante um desempenho ideal e impede a sobrecarga do sistema.
  • Se a consulta exceder o tamanho permitido, poderá ter de refinar os critérios ou utilizar outros filtros para se ajustar aos limites aceitáveis. Por exemplo, se a política envolver critérios de "colaboradores" que incluam o grupo "todos" ou "todos, exceto utilizadores externos", poderá causar uma falha devido à limitação do tamanho da consulta.
  • Tenha em atenção que se a consulta exceder a limitação de tamanho, o sistema não especificará o filtro que causou a falha.

Ativar a monitorização de ficheiros

Para ativar a monitorização de ficheiros para Defender para Aplicativos de Nuvem, ative primeiro a monitorização de ficheiros na área Definições. No portal Microsoft Defender, selecione Definições Aplicações>> naCloudProteção de Informações>FicheirosAtivar monitorização> de ficheiros >Guardar.

  • Se não existirem políticas de ficheiros ativas, sete dias após a hora de interação da última página de ficheiros, a monitorização de ficheiros é automaticamente desativada.
  • Se não existirem políticas de ficheiros ativas, 35 dias após a hora de interação da última página de ficheiros, Defender para Aplicativos de Nuvem começa a eliminar quaisquer dados mantidos pelas aplicações do Defender para Cloud sobre ficheiros armazenados.

Exemplos de filtro de ficheiros

Por exemplo, utilize a página Ficheiros para proteger ficheiros partilhados externamente identificados como Confidenciais, da seguinte forma:

Depois de ligar uma aplicação ao Defender para Aplicativos de Nuvem, integre com Proteção de Informações do Microsoft Purview. Em seguida, na página Ficheiros , filtre por ficheiros com o nome Confidencial e exclua o seu domínio no filtro Colaboradores . Se vir que existem ficheiros confidenciais partilhados fora da sua organização, pode criar uma política de ficheiros para os detetar. Pode aplicar ações de governação automáticas a estes ficheiros, como Remover colaboradores externos e Enviar resumo de correspondência de políticas ao proprietário do ficheiro para evitar a perda de dados para a sua organização.

Filtro de ficheiro confidencial.

Eis outro exemplo de como pode utilizar a página Ficheiros . Certifique-se de que ninguém na sua organização está a partilhar publicamente ou externamente ficheiros que não tenham sido modificados nos últimos seis meses:

Ligue uma aplicação ao Defender para Aplicativos de Nuvem e aceda à página Ficheiros. Filtre por ficheiros cujo nível de acesso seja Externo ou Público e defina a Data da última modificação para há seis meses. Crie uma política de ficheiros que detete estes ficheiros públicos obsoletos ao selecionar Nova política na pesquisa. Aplique ações de governação automáticas aos mesmos, como Remover utilizadores externos, para evitar a perda de dados para a sua organização.

Filtro de ficheiro externo obsoleto.

O filtro básico fornece-lhe excelentes ferramentas para começar a filtrar os seus ficheiros.

Filtro de registo de ficheiros básico.

Para desagregar ficheiros mais específicos, pode expandir o filtro básico ao selecionar Filtros avançados.

Filtro de registo de ficheiros avançado.

Filtros de ficheiros

Defender para Aplicativos de Nuvem pode monitorizar qualquer tipo de ficheiro com base em mais de 20 filtros de metadados (por exemplo, nível de acesso, tipo de ficheiro).

Os Defender para Aplicativos de Nuvem motores DLP incorporados efetuam a inspeção de conteúdo ao extrair texto de tipos de ficheiro comuns. Alguns dos tipos de ficheiro incluídos são FICHEIROF, ficheiros do Office, RTF, HTML e ficheiros de código.

Segue-se uma lista dos filtros de ficheiro que podem ser aplicados. Para lhe fornecer uma ferramenta avançada para a criação de políticas, a maioria dos filtros suporta vários valores e UM NÃO.

Observação

Ao utilizar os filtros da política de ficheiros, Contém irá procurar apenas palavras completas , separadas por vírgulas, pontos, hífenes ou espaços para procurar.

  • Os espaços ou hífenes entre palavras funcionam como OU. Por exemplo, se procurar vírusmaligno, encontrará todos os ficheiros com software maligno ou vírus no nome, pelo que irá encontrar malware-virus.exe e virus.exe.
  • Se quiser procurar uma cadeia, coloque as palavras entre aspas. Esta função funciona como E. Por exemplo, se procurar "malware""virus", este irá encontrar virus-malware-file.exe , mas não encontrará malwarevirusfile.exe e não encontrará malware.exe. No entanto, irá procurar a cadeia exata. Se procurar "vírus malware", este não encontrará "vírus" ou "vírus-malware".

É igual a procurar apenas a cadeia completa. Por exemplo, se procurar malware.exe encontrará malware.exe , mas não malware.exe.txt.

  • Nível de acesso – nível de acesso de partilha; público, externo, interno ou privado.

    • Interno – todos os ficheiros nos Domínios internos que definiu em Configuração geral.
    • Externo – todos os ficheiros guardados em localizações que não estejam dentro dos domínios internos que definiu.
    • Partilhado – ficheiros que têm um nível de partilha acima do privado. O shared inclui:
      • Partilha interna – ficheiros partilhados nos seus domínios internos.

      • Partilha externa – ficheiros partilhados em domínios que não estão listados nos seus domínios internos.

      • Público com uma ligação – ficheiros que podem ser partilhados com qualquer pessoa através de uma ligação.

      • Público – ficheiros que podem ser encontrados através da pesquisa na Internet.

        Observação

        Os ficheiros partilhados nas suas aplicações de armazenamento ligadas por utilizadores externos são processados da seguinte forma Defender para Aplicativos de Nuvem:

        • OneDrive: O OneDrive atribui um utilizador interno como proprietário de qualquer ficheiro colocado no seu OneDrive por um utilizador externo. Uma vez que estes ficheiros são considerados propriedade da sua organização, Defender para Aplicativos de Nuvem analisa estes ficheiros e aplica políticas tal como acontece com qualquer outro ficheiro no seu OneDrive.
        • Google Drive: O Google Drive considera-os propriedade do utilizador externo e, devido a restrições legais em ficheiros e dados que a sua organização não possui, Defender para Aplicativos de Nuvem não tem acesso a estes ficheiros.
        • Caixa: Uma vez que o Box considera os ficheiros de propriedade externa como informações privadas, os Administradores Globais do Box não conseguem ver o conteúdo dos ficheiros. Por este motivo, Defender para Aplicativos de Nuvem não tem acesso a estes ficheiros.
        • Dropbox: Uma vez que o Dropbox considera os ficheiros de propriedade externa como informações privadas, os Administradores Globais do Dropbox não conseguem ver o conteúdo dos ficheiros. Por este motivo, Defender para Aplicativos de Nuvem não tem acesso a estes ficheiros.
  • Aplicação – procure apenas ficheiros nestas aplicações.

  • Colaboradores – incluir/excluir colaboradores ou grupos específicos.

    • Qualquer um a partir do domínio – se algum utilizador deste domínio tiver acesso direto ao ficheiro.

      Observação

      • Este filtro não suporta ficheiros partilhados com um grupo, apenas com utilizadores específicos.
      • Para o SharePoint e o OneDrive, o filtro não suporta ficheiros partilhados com um utilizador específico através de uma ligação partilhada.
    • Toda a organização – se toda a organização tiver acesso ao ficheiro.

    • Grupos – se um grupo específico tiver acesso ao ficheiro. Grupos podem ser importados do Active Directory, aplicações na cloud ou criados manualmente no serviço.

      Observação

      • Este filtro é utilizado para procurar um grupo de colaboradores como um todo. Não corresponde a membros individuais do grupo.
    • Utilizadores – determinado conjunto de utilizadores que podem ter acesso ao ficheiro.

  • Criado – hora de criação de ficheiros. O filtro suporta datas antes/depois e um intervalo de datas.

  • Extension – foco em extensões de ficheiro específicas. Por exemplo, todos os ficheiros que são executáveis (*.exe).

    Observação

    • Este filtro é sensível às maiúsculas e minúsculas.
    • Utilize a cláusula OR para aplicar o filtro em mais do que uma única variação de capitalização.
  • ID do Ficheiro – procure IDs de ficheiro específicos. O ID de Ficheiro é uma funcionalidade avançada que lhe permite controlar determinados ficheiros de valor elevado sem dependência do proprietário, localização ou nome.

  • Nome do ficheiro – nome de ficheiro ou subcadeia do nome, conforme definido na aplicação na cloud. Por exemplo, todos os ficheiros com uma palavra-passe no respetivo nome.

  • Etiqueta de confidencialidade – procure ficheiros com etiquetas específicas definidas. As etiquetas são:

    Observação

    Se este filtro for utilizado numa política de ficheiros, a política será aplicada apenas aos ficheiros do Microsoft Office e ignorará outros tipos de ficheiro.

    • Proteção de Informações do Microsoft Purview – requer integração com Proteção de Informações do Microsoft Purview.
    • Defender para Aplicativos de Nuvem - Fornece mais informações sobre os ficheiros que analisa. Para cada ficheiro analisado por Defender para Aplicativos de Nuvem DLP, pode saber se a inspeção foi bloqueada porque o ficheiro está encriptado ou danificado. Por exemplo, pode configurar políticas para alertar e colocar em quarentena ficheiros protegidos por palavra-passe que são partilhados externamente.
      • Encriptação do Azure RMS – ficheiros cujo conteúdo não foi inspecionado porque têm um conjunto de encriptação do Azure RMS.
      • Palavra-passe encriptada – ficheiros cujo conteúdo não foi inspecionado porque estão protegidos por palavra-passe pelo utilizador.
      • Ficheiro danificado – ficheiros cujo conteúdo não foi inspecionado porque os respetivos conteúdos não puderam ser lidos.
  • Tipo de ficheiro – Defender para Aplicativos de Nuvem analisa o ficheiro para determinar se o tipo de ficheiro verdadeiro corresponde ao tipo de MIME recebido (ver tabela) do serviço. Esta análise destina-se a ficheiros relevantes para a análise de dados (documentos, imagens, apresentações, folhas de cálculo, texto e ficheiros zip/arquivo). O filtro funciona por tipo de ficheiro/pasta. Por exemplo, Todas as pastas que são ... ou Todos os ficheiros de folha de cálculo que são...

Tipo de MIME Tipo de arquivo
- application/vnd.openxmlformats-officedocument.wordprocessingml.document
- application/vnd.ms-word.document.macroEnabled.12
- aplicação/msword
- application/vnd.oasis.opendocument.text
- application/vnd.stardivision.writer
- application/vnd.stardivision.writer-global
- application/vnd.sun.xml.writer
- application/vnd.stardivision.math
- application/vnd.stardivision.chart
- application/x-starwriter
- application/x-stardraw
- application/x-starmath
- application/x-starchart
- application/vnd.google-apps.document
- application/vnd.google-apps.kix
- aplicação/pdf
- aplicação/x-pdf
- application/vnd.box.webdoc
- application/vnd.box.boxnote
- application/vnd.jive.document
- texto/rtf
- aplicação/rtf
Documento
- application/vnd.oasis.opendocument.image
- application/vnd.google-apps.photo
- começa com: imagem/
Image
- application/vnd.openxmlformats-officedocument.presentationml.presentation
- application/vnd.ms-powerpoint.template.macroEnabled.12
- aplicação/mspowerpoint
- aplicação/powerpoint
- application/vnd.ms-powerpoint
- application/x-mspowerpoint
- aplicação/mspowerpoint
- application/vnd.ms-powerpoint
- application/vnd.oasis.opendocument.presentation
- application/vnd.sun.xml.impress
- application/vnd.stardivision.impress
- application/x-starimpress
- application/vnd.google-apps.presentation
Apresentação
- application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
- application/vnd.ms-excel.sheet.macroEnabled.12
- aplicação/excel
- application/vnd.ms-excel
- aplicação/x-excel
- application/x-msexcel
- application/vnd.oasis.opendocument.spreadsheet
- application/vnd.sun.xml.calc
- application/vnd.stardivision.calc
- application/x-starcalc
- application/vnd.google-apps.spreadsheet
Planilha
- começa por: texto/ Texto
Todos os outros tipos de MIME de ficheiro Outros

policy_file tipo de filtros.

  • No lixo – exclua/inclua ficheiros na pasta do lixo. Estes ficheiros ainda podem ser partilhados e representar um risco.

    Observação

    Este filtro não se aplica a ficheiros no SharePoint e no OneDrive.

    policy_file filtra o lixo.

  • Última modificação – hora de modificação do ficheiro. O filtro suporta datas anteriores e posteriores, intervalo de datas e expressões de hora relativa. Por exemplo, todos os ficheiros que não foram modificados nos últimos seis meses.

  • Política correspondida – ficheiros que são correspondidos por uma política de Defender para Aplicativos de Nuvem ativa.

  • Tipo de MIME – tipo de MIME de ficheiro marcar. Aceita texto livre.

  • Proprietário – Incluir/excluir proprietários de ficheiros específicos. Por exemplo, controle todos os ficheiros partilhados por rogue_employee_#100.

  • UO Proprietário – inclua ou exclua proprietários de ficheiros que pertencem a determinadas unidades organizacionais. Por exemplo, todos os ficheiros públicos, exceto os ficheiros partilhados por EMEA_marketing. Aplica-se apenas a ficheiros armazenados no Google Drive.

  • Pasta principal – incluir ou excluir uma pasta específica (não se aplica a subpastas). Por exemplo, todos os ficheiros partilhados publicamente, exceto os ficheiros nesta pasta.

    Observação

    Defender para Aplicativos de Nuvem deteta apenas as novas pastas do SharePoint e do OneDrive depois de ter sido realizada alguma atividade de ficheiros nas mesmas.

  • Em quarentena – se o ficheiro for colocado em quarentena pelo serviço. Por exemplo, mostre-me todos os ficheiros que estão em quarentena.

Ao criar uma política, também pode defini-la para ser executada em ficheiros específicos ao definir o filtro Aplicar a . Filtre para todos os ficheiros, pastas selecionadas (subpastas incluídas) ou todos os ficheiros excluindo as pastas selecionadas. Em seguida, selecione os ficheiros ou pastas relevantes.

aplicar ao filtro.

Autorizar ficheiros

Depois de Defender para Aplicativos de Nuvem ter identificado ficheiros como representando um risco de software maligno ou DLP, recomendamos que investigue os ficheiros. Se determinar que os ficheiros são seguros, pode autorizá-los. Autorizar um ficheiro remove-o do relatório de deteção de software maligno e suprime futuras correspondências neste ficheiro.

Para autorizar ficheiros

  1. No portal do Microsoft Defender, em Aplicações na Cloud, selecione Políticas ->Gestão de políticas. Selecione a guia Proteção de Informações do Azure.

  2. Na lista de políticas, na linha em que é apresentada a política que acionou a investigação, na coluna Contagem , selecione a ligação correspondências .

    Dica

    Pode filtrar a lista de políticas por tipo. A tabela seguinte lista, por tipo de risco, que tipo de filtro utilizar:

    Tipo de risco Tipo de filtro
    DLP Política de arquivo
    Malware Política de detecção de malware
  3. Na lista de ficheiros correspondentes, na linha em que o ficheiro em investigação é apresentado, selecione ✓ para Autorizar.

Trabalhar com a Gaveta de ficheiros

Pode ver mais informações sobre cada ficheiro ao selecionar o próprio ficheiro no registo de ficheiros. Ao selecioná-la, abre a Gaveta de ficheiros que fornece as seguintes ações adicionais que pode efetuar no ficheiro:

  • URL – leva-o para a localização do ficheiro.
  • Identificadores de ficheiro – abre um pop-up com detalhes de dados não processados sobre o ficheiro, incluindo o ID de ficheiro e as chaves de encriptação quando estão disponíveis.
  • Proprietário – veja a página de utilizador do proprietário deste ficheiro.
  • Políticas correspondidas – veja uma lista de políticas às quais o ficheiro correspondeu.
  • Etiquetas de confidencialidade – veja a lista de etiquetas de confidencialidade de Proteção de Informações do Microsoft Purview encontradas neste ficheiro. Em seguida, pode filtrar por todos os ficheiros correspondentes a esta etiqueta.

Os campos na Gaveta de ficheiros fornecem ligações contextuais para ficheiros adicionais e desagregações que poderá querer efetuar diretamente a partir da gaveta. Por exemplo, se mover o cursor junto ao campo Proprietário , pode utilizar o ícone "adicionar ao filtro" adicionar ao filtro. Para adicionar o proprietário imediatamente ao filtro da página atual. Também pode utilizar o ícone de engrenagem de definições ícone de definições. é apresentado para chegar diretamente à página de definições necessária para modificar a configuração de um dos campos, como etiquetas de Confidencialidade.

Gaveta de ficheiros.

Para obter uma lista das ações de governação disponíveis, veja Ações de governação de ficheiros.

Próximas etapas

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.