Filprinciper i Microsoft Defender for Cloud Apps

Med filprinciper kan du framtvinga en mängd olika automatiserade processer med hjälp av molnleverantörens API:er. Principer kan anges för att tillhandahålla kontinuerliga efterlevnadsgenomsökningar, juridiska eDiscovery-uppgifter, DLP för känsligt innehåll som delas offentligt och många fler användningsfall. Defender for Cloud Apps kan övervaka alla filtyper baserat på fler än 20 metadatafilter (till exempel åtkomstnivå, filtyp).

En lista över filfilter som kan tillämpas finns i Filfilter i Microsoft Defender for Cloud Apps.

Filtyper som stöds

De Defender for Cloud Apps motorerna utför innehållsgranskning genom att extrahera text från alla vanliga filtyper (100+) inklusive Office, Öppna Office, komprimerade filer, olika RTF-format, XML, HTML med mera.

Policyer

Motorn kombinerar tre aspekter under varje princip:

• Innehållsgenomsökning baserat på förinställda mallar eller anpassade uttryck.

• Kontextfilter som användarroller, filmetadata, delningsnivå, organisationsgruppintegrering, samarbetskontext och ytterligare anpassningsbara attribut.

• Automatiserade åtgärder för styrning och reparation.

  Obs!

  Endast styrningsåtgärden för den första utlösta principen kommer garanterat att tillämpas. Om en filprincip till exempel redan har tillämpat en känslighetsetikett på en fil kan en andra filprincip inte tillämpa en annan känslighetsetikett på den.

När den är aktiverad genomsöker principen kontinuerligt din molnmiljö och identifierar filer som matchar innehållet och kontextfiltren och tillämpar de begärda automatiserade åtgärderna. Dessa principer identifierar och åtgärdar eventuella överträdelser för vilande information eller när nytt innehåll skapas. Principer kan övervakas med hjälp av realtidsaviseringar eller med hjälp av konsolgenererade rapporter.

Följande är exempel på filprinciper som kan skapas:

• Offentligt delade filer – Få en avisering om alla filer i molnet som delas offentligt genom att välja alla filer vars delningsnivå är offentlig.

• Offentligt delat filnamn innehåller organisationens namn – Ta emot en avisering om alla filer som innehåller organisationens namn och som delas offentligt. Välj filer med ett filnamn som innehåller namnet på din organisation och som delas offentligt.

• Dela med externa domäner – Få en avisering om alla filer som delas med konton som ägs av specifika externa domäner. Till exempel filer som delas med en konkurrents domän. Välj den externa domän som du vill begränsa delning med.

• Placera delade filer i karantän som inte har ändrats under den senaste perioden – Ta emot en avisering om delade filer som ingen har ändrat nyligen, för att sätta dem i karantän eller välja att aktivera en automatiserad åtgärd. Undanta alla privata filer som inte ändrades under ett angivet datumintervall. På Google Workspace kan du välja att placera filerna i karantän med kryssrutan "karantänfil" på sidan för att skapa principer.

• Dela med obehöriga användare – Få en avisering om filer som delas med obehöriga grupper av användare i din organisation. Välj de användare för vilka delning inte är tillåten.

• Känsligt filnamnstillägg – Få en avisering om filer med specifika tillägg som potentiellt är mycket exponerade. Välj det specifika tillägget (till exempel crt för certifikat) eller filnamnet och exkludera dessa filer med privat delningsnivå.

Skapa en ny filprincip

Följ den här proceduren om du vill skapa en ny filprincip:

1. I Microsoft Defender-portalen går du till Principer –>Principhantering under Cloud Apps. Välj fliken Information Protection.

2. Välj Skapa princip och välj Filprincip.

   

3. Ge principen ett namn och en beskrivning. Om du vill kan du basera den på en mall. Mer information om principmallar finns i Kontrollera molnappar med principer.

4. Ge principen en allvarlighetsgrad för principen. Om du har angett Defender for Cloud Apps att skicka meddelanden om principmatchningar för en viss allvarlighetsgrad för principen används den här nivån för att avgöra om principens matchningar utlöser ett meddelande.

5. I Kategori länkar du principen till den lämpligaste risktypen. Det här fältet är endast informativt och hjälper dig att söka efter specifika principer och aviseringar senare, baserat på risktyp. Risken kan redan vara förvald enligt den kategori som du valde att skapa principen för. Som standard är filprinciper inställda på DLP.

6. Skapa ett filter för de filer som den här principen ska agera på för att ange vilka identifierade appar som utlöser den här principen. Begränsa principfiltren tills du når en korrekt uppsättning filer som du vill agera på. Var så restriktiv som möjligt för att undvika falska positiva identifieringar. Om du till exempel vill ta bort offentliga behörigheter ska du komma ihåg att lägga till det offentliga filtret. Om du vill ta bort en extern användare använder du filtret "Extern" och så vidare.

   Obs!

   När du använder principfiltren söker Contains bara efter fullständiga ord – avgränsade med kommatecken, punkter, blanksteg eller understreck. Om du till exempel söker efter skadlig kod eller virus hittar den virus_malware_file.exe men hittar inte malwarevirusfile.exe. Om du söker efter malware.exehittar du ALLA filer med antingen skadlig kod eller exe i filnamnet, medan om du söker efter "malware.exe" (med citattecken) hittar du bara filer som innehåller exakt "malware.exe". Lika med söker bara efter den fullständiga strängen, till exempel om du söker efter malware.exe den hittar malware.exe men inte malware.exe.txt.

   Mer information om filprincipfilter finns i Filfilter i Microsoft Defender for Cloud Apps.

7. Under det första Tillämpa på-filtret väljer du alla filer exklusive markerade mappar eller valda mappar för Box, SharePoint, Dropbox eller OneDrive, där du kan tillämpa din filprincip över alla filer i appen eller på specifika mappar. Du omdirigeras för att logga in i molnappen och lägger sedan till relevanta mappar.

8. Under det andra filtret Använd för väljer du antingen alla filägare, filägare från valda användargrupper eller alla filägare exklusive valda grupper. Välj sedan relevanta användargrupper för att avgöra vilka användare och grupper som ska ingå i principen.

9. Välj innehållsgranskningsmetod. Du kan välja antingen Inbyggda DLP- eller dataklassificeringstjänster. Vi rekommenderar att du använder dataklassificeringstjänster.

   När innehållsgranskning har aktiverats kan du välja att använda förinställda uttryck eller söka efter andra anpassade uttryck.

   Dessutom kan du ange ett reguljärt uttryck för att undanta en fil från resultaten. Det här alternativet är mycket användbart om du har en nyckelordsstandard för inre klassificering som du vill undanta från principen.

   Du kan ange det minsta antalet innehållsöverträdelser som du vill matcha innan filen betraktas som en överträdelse. Du kan till exempel välja 10 om du vill bli varnad för filer med minst 10 kreditkortsnummer i innehållet.

   När innehållet matchas mot det valda uttrycket ersätts överträdelsetexten med "X"-tecken. Som standard maskeras överträdelser och visas i deras kontext med 100 tecken före och efter överträdelsen. Tal i uttryckets kontext ersätts med "#"-tecken och lagras aldrig i Defender for Cloud Apps. Du kan välja alternativet att Avmaska de sista fyra tecknen i en överträdelse för att avmaskering av de sista fyra tecknen i själva överträdelsen. Det är nödvändigt att ange vilka datatyper som det reguljära uttrycket söker efter: innehåll, metadata och/eller filnamn. Som standard söker den igenom innehållet och metadata.

10. Välj de styrningsåtgärder som du vill att Defender for Cloud Apps ska vidta när en matchning identifieras.

11. När du har skapat principen kan du visa den genom att filtrera efter typ av filprincip . Du kan alltid redigera en princip, kalibrera dess filter eller ändra de automatiserade åtgärderna. Principen aktiveras automatiskt när den skapas och börjar genomsöka dina molnfiler omedelbart. Var extra försiktig när du anger styrningsåtgärder, de kan leda till oåterkallelig förlust av åtkomstbehörigheter till dina filer. Vi rekommenderar att du begränsar filtren för att exakt representera de filer som du vill agera på med hjälp av flera sökfält. Desto smalare filter, desto bättre. För vägledning kan du använda knappen Redigera och förhandsgranska resultat bredvid filtren.

    

12. Om du vill visa filprincipmatchningar går du till Principer –>Principhantering. Filtrera resultaten så att endast filprinciperna visas med hjälp av typfiltret högst upp. Om du vill ha mer information om matchningarna för varje princip går du till kolumnen Antal och väljer antalet matchningar för en princip. Du kan också välja de tre punkterna i slutet av raden för en princip och välja Visa alla matchningar. Då öppnas filprinciprapporten. Välj fliken Matchande nu för att se filer som för närvarande matchar principen. Välj fliken Historik för att se en historik tillbaka till upp till sex månader med filer som matchade principen.

Metodtips för filprincip

1. Undvik att återställa filprincipen (genom att använda kryssrutan Återställ resultat och tillämpa åtgärder igen ) i produktionsmiljöer om det inte är absolut nödvändigt, eftersom det kommer att initiera en fullständig genomsökning av de filer som omfattas av principen, vilket kan ha en negativ inverkan på dess prestanda.

2. När du tillämpar etiketter på filer i en specifik överordnad mapp och dess undermappar använder du alternativet Tillämpa på ->Valda mappar . Lägg sedan till var och en av de överordnade mapparna.

3. När du tillämpar etiketter på filer i en specifik mapp (exklusive eventuella undermappar) använder du filprincipfiltret Överordnad mapp med operatorn Lika med.

4. Filprincipen går snabbare när smala filtreringsvillkor används (jämfört med breda kriterier).

5. Konsolidera flera filprinciper för samma tjänst (till exempel SharePoint, OneDrive, Box och så vidare) till en enda princip.

6. När du aktiverar filövervakning (från sidan Inställningar ) skapar du minst en filprincip. När det inte finns någon filprincip eller är inaktiverad i sju dagar i följd kan filövervakningen identifieras automatiskt.

Referens för filprincip

Det här avsnittet innehåller referensinformation om principer, som ger förklaringar för varje principtyp och de fält som kan konfigureras för varje princip.

En filprincip är en API-baserad princip som gör att du kan styra organisationens innehåll i molnet, med hänsyn till över 20 filmetadatafilter (inklusive ägare och delningsnivå) och resultat av innehållsgranskning. Baserat på principresultaten kan styrningsåtgärder tillämpas. Innehållsgranskningsmotorn kan utökas via DLP-motorer från tredje part och lösningar mot skadlig kod.

Varje princip består av följande delar:

• Filfilter – Gör att du kan skapa detaljerade villkor baserat på metadata.

• Innehållsgranskning – Gör att du kan begränsa principen baserat på DLP-motorns resultat. Du kan inkludera ett anpassat uttryck eller ett förinställt uttryck. Undantag kan anges och du kan välja antalet matchningar. Du kan också använda maskering för att maskera användarnamnet.

• Åtgärder – Principen innehåller en uppsättning styrningsåtgärder som kan tillämpas automatiskt när överträdelser hittas. Dessa åtgärder är indelade i samarbetsåtgärder, säkerhetsåtgärder och undersökningsåtgärder.

• Tillägg – Innehållsgranskning kan utföras via tredjepartsmotorer för bättre DLP- eller anti-malware-funktioner.

Visa resultat för filprinciper

Du kan gå till Principcenter för att granska överträdelser av filprinciper.

1. I Microsoft Defender-portalen går du till Principer –>Principhantering under Cloud Apps och väljer sedan fliken Informationsskydd.

2. För varje filprincip kan du se överträdelser av filprincipen genom att välja matchningarna.

   

3. Du kan välja själva filen för att få information om filerna.

   

4. Du kan till exempel välja Medarbetare för att se vem som har åtkomst till den här filen, och du kan välja Matchningar för att se personnummer.

Relaterade videor

Nästa steg

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.