教學課程:使用系統管理員隔離來保護檔案
檔案原則 是尋找資訊保護原則威脅的絕佳工具。 例如,建立檔案原則來尋找使用者在雲端中儲存敏感性資訊、信用卡號碼和第三方ICAP檔案的位置。
在本教學課程中,您將瞭解如何使用 Microsoft Defender for Cloud Apps 來偵測儲存在雲端中讓您易受攻擊的垃圾檔案,並立即採取動作來阻止這些檔案,並使用 管理員 隔離來鎖定造成威脅的檔案,以保護雲端中的檔案、補救問題,並防止未來發生外洩。
重要事項
從 2024 年 9 月 1 日開始,我們將淘汰 Microsoft Defender for Cloud Apps 中的 [檔案] 頁面。 此時,從 [雲端應用程式>>原則原則管理] 頁面建立和修改 資訊保護 原則,並尋找惡意代碼檔案。 如需詳細資訊,請參閱 Microsoft Defender for Cloud Apps 中的檔案原則。
瞭解隔離的運作方式
注意事項
- 如需支援系統管理隔離的應用程式清單,請參閱 治理動作清單。
- 無法隔離 Defender for Cloud Apps標示的檔案。
- Defender for Cloud Apps 系統管理員隔離動作限制為每天 100 個動作。
- 直接重新命名或作為網域重新命名一部分的 Sharepoint 網站,無法作為系統管理員隔離的資料夾位置。
當檔案符合原則時,管理員 隔離選項將可供檔案使用。
執行下列其中一個動作來隔離檔案:
手動套用 管理員 隔離動作:
將設定為原則中的自動化隔離動作:
套用 管理員 隔離時,會在幕後發生下列情況:
原始檔案會移至您設定的系統管理隔離資料夾。
原始檔案已刪除。
標記檔案會上傳至原始檔案位置。
使用者只能存取標記檔案。 在檔案中,他們可以讀取IT所提供的自定義指導方針和相互關聯標識碼,讓IT釋放檔案。
當您收到檔案已隔離的警示時,請移至 [原則 ->原則管理]。 然後選取 [資訊保護] 索引標籤。在檔案原則的數據列中,選擇行尾的三個點,然後選取 [檢視所有相符專案]。 這會帶入相符項目的報表,您可以在其中看到相符和隔離的檔案:
隔離檔案之後,請使用下列程式來補救威脅狀況:
- 在 SharePoint Online 上檢查隔離資料夾中的檔案。
- 您也可以查看稽核記錄,以深入探討文件屬性。
- 如果您發現檔案違反公司原則,請執行組織的事件回應 (IR) 程式。
- 如果您發現檔案無害,您可以從隔離中還原檔案。 此時會釋放原始檔案,這表示它會複製回原始位置、刪除標記,而且使用者可以存取檔案。
驗證原則是否順利執行。 然後,您可以使用原則中的自動治理動作來防止進一步外洩,並在符合原則時自動套用 管理員 隔離。
注意事項
還原檔案時:
- 不會還原原始共用,並套用預設資料夾繼承。
- 還原的檔案只包含最新的版本。
- 隔離資料夾網站存取管理是客戶的責任。
設定系統管理隔離
設定可偵測缺口的檔案原則。 這些原則類型的範例包括:
- 僅限元數據原則,例如 SharePoint Online 中的敏感度標籤
- 原生 DLP 原則,例如搜尋信用卡號碼的原則
- ICAP 第三方原則,例如尋找 Vontu 的原則
設定隔離位置:
針對 Microsoft 365 SharePoint 或 商務用 OneDrive,您必須先設定檔案,才能將檔案放在系統管理隔離區中:
若要設定系統管理隔離設定,請在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [資訊保護] 底下,選擇 [管理員 隔離]。 提供隔離資料夾位置的網站,以及使用者在檔案遭到隔離時會收到的使用者通知。
注意事項
Defender for Cloud Apps 會在選取的網站上建立隔離資料夾。
針對 Box,無法自定義隔離資料夾位置和使用者訊息。 資料夾位置是將 Box 連線至 Defender for Cloud Apps 的系統管理員磁碟驅動器,而使用者訊息為:此檔案已隔離至系統管理員的磁碟驅動器,因為它可能違反貴公司的安全性與合規性原則。 請連絡您的 IT 系統管理員以取得協助。
後續步驟
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。