Partilhar via


Tutorial: Proteger ficheiros com quarentena de administrador

As políticas de ficheiros são uma ótima ferramenta para encontrar ameaças às suas políticas de proteção de informações. Por exemplo, crie políticas de ficheiros que localizem locais onde os utilizadores armazenavam informações confidenciais, números de cartões de crédito e ficheiros ICAP de terceiros na sua nuvem.

Neste tutorial, irá aprender a utilizar Microsoft Defender for Cloud Apps para detetar ficheiros indesejados armazenados na sua nuvem que o deixam vulnerável e tomar medidas imediatas para os parar nos seus rastos e bloquear os ficheiros que representam uma ameaça ao utilizar Administração quarentena para proteger os seus ficheiros na cloud, remediar problemas e impedir a ocorrência de fugas futuras.

Importante

A partir de 1 de setembro de 2024, vamos preterir a página Ficheiros de Microsoft Defender for Cloud Apps. Nessa altura, crie e modifique Information Protection políticas e encontre ficheiros de software maligno na página Gestão de Políticas de Aplicações >> na Cloud. Para obter mais informações, veja Políticas de ficheiros no Microsoft Defender for Cloud Apps.

Compreender como funciona a quarentena

Nota

  • Para obter uma lista das aplicações que suportam a quarentena de administrador, veja a lista de ações de governação.
  • Os ficheiros etiquetados por Defender for Cloud Apps não podem ser colocados em quarentena.
  • Defender for Cloud Apps ações de quarentena de administrador estão limitadas a 100 ações por dia.
  • Os sites do Sharepoint cujo nome foi mudado diretamente ou como parte do nome do domínio não podem ser utilizados como uma localização de pasta para quarentena de administrador.
  1. Quando um ficheiro corresponde a uma política, a opção de quarentena Administração estará disponível para o ficheiro.

  2. Efetue uma das seguintes ações para colocar o ficheiro em quarentena:

    • Aplique manualmente a ação de quarentena Administração:

      ação de quarentena.

    • Defina-a como uma ação de quarentena automatizada na política:

      colocar em quarentena automaticamente.

  3. Quando Administração quarentena é aplicada, ocorrem os seguintes itens em segundo plano:

    1. O ficheiro original é movido para a pasta de quarentena de administrador que definiu.

    2. O ficheiro original é eliminado.

    3. Um ficheiro tombstone é carregado para a localização do ficheiro original.

      lápide de quarentena.

    4. O utilizador só pode aceder ao ficheiro tombstone. No ficheiro, podem ler as diretrizes personalizadas fornecidas pelas TI e o ID de correlação para fornecer ti para libertar o ficheiro.

  4. Quando receber o alerta de que um ficheiro foi colocado em quarentena, aceda a Políticas ->Gestão de Políticas. Em seguida, selecione o separador Information Protection. Na linha com a política de ficheiros, selecione as reticências no final da linha e selecione Ver todas as correspondências. Isto irá trazer-lhe o relatório de correspondências, onde pode ver os ficheiros correspondentes e em quarentena:

    Ficheiros em quarentena.

  5. Depois de colocar um ficheiro em quarentena, utilize o seguinte processo para remediar a situação de ameaça:

    1. Inspecione o ficheiro na pasta em quarentena no SharePoint Online.
    2. Também pode ver os registos de auditoria para aprofundar as propriedades do ficheiro.
    3. Se descobrir que o ficheiro é contra a política empresarial, execute o processo de Resposta a Incidentes (IR) da organização.
    4. Se achar que o ficheiro é inofensivo, pode restaurar o ficheiro a partir da quarentena. Nessa altura, o ficheiro original é libertado, o que significa que é copiado de volta para a localização original, a lápide é eliminada e o utilizador pode aceder ao ficheiro.

    restauro de quarentena.

  6. Valide se a política é executada sem problemas. Em seguida, pode utilizar as ações de governação automática na política para evitar fugas adicionais e aplicar automaticamente um Administração quarentena quando a política for correspondida.

Nota

Quando restaura um ficheiro:

  • As partilhas originais não são restauradas, herança de pastas predefinida aplicada.
  • O ficheiro restaurado contém apenas a versão mais recente.
  • A gestão do acesso ao site da pasta de quarentena é da responsabilidade do cliente.

Configurar a quarentena de administrador

  1. Defina políticas de ficheiros que detetem falhas. Exemplos destes tipos de políticas incluem:

    • Uma política apenas de metadados, como uma etiqueta de confidencialidade no SharePoint Online
    • Uma política DLP nativa, como uma política que procura números de cartão de crédito
    • Uma política de terceiros do ICAP, como uma política que procura Vontu
  2. Definir uma localização de quarentena:

    1. Para o Microsoft 365 SharePoint ou OneDrive para Empresas, não pode colocar ficheiros em quarentena de administrador como parte de uma política até que o configure: aviso de quarentena.

      Para definir as definições de quarentena de administrador, no Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud. Em Information Protection, escolha Administração quarentena. Forneça um site para a localização da pasta de quarentena e uma notificação do utilizador que o utilizador receberá quando o ficheiro for colocado em quarentena. definições de quarentena.

      Nota

      Defender for Cloud Apps criará uma pasta de quarentena no site selecionado.

    2. Para o Box, a localização da pasta de quarentena e a mensagem de utilizador não podem ser personalizadas. A localização da pasta é a unidade do administrador que ligou o Box ao Defender for Cloud Apps e a mensagem do utilizador é: Este ficheiro foi colocado em quarentena na unidade do administrador porque pode violar as políticas de segurança e conformidade da sua empresa. Contacte o seu administrador de TI para obter ajuda.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.