檔案原則 是尋找資訊保護原則威脅的絕佳工具。 例如,建立檔案原則,以尋找使用者在雲端中儲存敏感資訊、信用卡號和第三方 ICAP 檔案的位置。
在本教學課程中,您將瞭解如何使用適用於雲端的 Microsoft Defender for Cloud Apps 來偵測儲存在雲端中、讓您容易受到攻擊的不需要的檔案,並立即採取動作來阻止它們,並鎖定構成威脅的檔案,方法是使用管理員隔離來保護雲端中的檔案、補救問題,並防止未來發生洩漏。
瞭解隔離的運作方式
注意事項
- 如需支援系統管理員隔離的應用程式清單,請參閱 控管動作清單。
- 無法隔離 Defender for Cloud Apps 所標記的檔案。
- Defender for Cloud Apps 系統管理員隔離動作限制為每天 100 個動作。
- 直接重新命名或作為網域重新命名一部分的 SharePoint 網站無法作為系統管理員隔離的資料夾位置。
當檔案符合原則時,檔案的 [管理員隔離] 選項可用。
在原則中設定自動隔離動作。
套用管理員隔離區時,幕後會發生下列事件:
原始檔案會移至您設定的管理員隔離資料夾。
原始檔案會被刪除。
標記檔案會上傳至原始檔案位置。
使用者只能存取標記檔案。 在檔案中,他們可以讀取 IT 提供的自訂準則和相關性 ID,讓 IT 發行檔案。
當您收到檔案已被隔離的警示時,請移至 [原則 ] ->[原則管理]。 然後選取 [資訊保護] 索引標籤。在檔案原則的資料列中,選擇行尾的三個點,然後選取 [檢視所有相符專案]。 這會為您帶來相符的報告,您可以在其中查看相符和隔離的檔案:
隔離檔案之後,請使用下列程式來補救威脅狀況:
檢查 SharePoint Online 上隔離資料夾中的檔案。
您也可以查看稽核記錄,以深入了解檔案屬性。
如果您發現檔案違反公司原則,請執行組織的事件回應 (IR) 程序。
如果您發現該檔案無害,您可以將該檔案從隔離區恢復。 此時,原始檔案會釋放,並複製回原始位置。 刪除刪除,使用者可以存取檔案。
驗證原則是否順利執行。 然後,您可以使用原則中的自動治理動作來防止進一步洩漏,並在原則相符時自動套用管理員隔離區。
注意事項
還原檔案時:
- 不會還原原始共用,套用預設資料夾繼承。
- 還原的檔案僅包含最新版本。
- 隔離資料夾網站存取管理是客戶的責任。
設定管理員隔離區
設定偵測違規行為的檔案原則。 這些類型的政策範例包括:
- 僅限中繼資料的原則,例如 SharePoint Online 中的敏感度標籤
- 原生資料外洩防護 (DLP) 原則,例如搜尋信用卡號碼的原則
- ICAP 第三方原則,例如尋找 Vontu 的原則
設定隔離地點:
針對 Microsoft 365 SharePoint 或商務商務用 OneDrive,在您設定檔案之前,您無法將檔案置於系統管理員隔離區作為原則的一部分:
若要設定系統管理員隔離區設定,請在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [資訊保護] 底下,選擇 [管理員隔離區]。 提供隔離資料夾位置的網站,以及使用者在隔離檔案時將收到的使用者通知。
注意事項
Defender for Cloud Apps 會在選取的月臺上建立隔離資料夾。
針對 Box,無法自訂隔離資料夾位置和使用者訊息。 資料夾位置是將 Box 連線到適用於 Defender for Cloud Apps 的系統管理員的磁碟驅動器,而使用者訊息為:此檔案已隔離至系統管理員的磁碟驅動器,因為它可能會違反貴公司的安全性和合規性原則。 請連絡您的 IT 系統管理員以取得協助。
後續步驟
如果您遇到任何問題,我們隨時為您提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。