檔案原則可讓您使用雲端供應商的 API 強制執行各種自動化程序。 可以設定原則,以針對公開共用的敏感性內容提供持續的合規性掃描、法律電子檔探索工作、DLP (資料外洩防護) ,以及更多使用案例。 Defender for Cloud Apps 可以根據 20 多個中繼資料篩選來監視任何檔案類型。 例如,存取層級和檔案類型。
支援的檔案類型
Defender for Cloud Apps引擎透過從 (100+) 常見檔案類型(包括 Office、Open Office、壓縮檔案、各種富文本格式、XML、HTML 等)中提取文字來執行內容檢查。
原則
引擎在每個原則下結合了三個層面:
根據預先設定的範本或自訂的運算式進行內容掃描。
內容篩選器包括使用者角色、檔案中繼資料、共用層級、組織群組整合、協同作業前後關聯,以及其他可自訂的屬性。
控管和補救的自動化動作。
注意事項
只有第一個觸發原則的治理動作才保證會套用。 例如,如果檔案原則已將敏感度標籤套用至檔案,則第二個檔案原則無法將另一個敏感度標籤套用至檔案。
啟用後,該策略會持續掃描您的雲端環境並識別符合內容和內容過濾器的檔案,並應用請求的自動化操作。 這些原則會偵測並補救待用資訊或建立新內容時的任何違規行為。 您可以使用即時警示或主控台產生的報告來監視原則。
以下是可建立的檔案原則範例:
公開共用檔案 - 選取共用層級為公用的所有檔案,以接收雲端中任何公開共用檔案的警示。
公開共用的檔案名稱包含組織名稱 - 接收有關包含您組織名稱且公開共用的任何檔案的警示。 選取檔案名稱包含貴組織名稱且已公開共用的檔案。
與外部網域共用 - 接收與特定外部網域所擁有的帳戶共用的任何檔案的警示。 例如,與競爭者網域共用的檔案。 選取您要限制共用的外部網域。
隔離上次期間未修改的共用檔案 - 接收最近沒有人修改的共用檔案的警示,以隔離這些檔案或選擇開啟自動動作。 排除在指定日期範圍內未修改的所有私人檔案。 在 Google Workspace 上,您可以選擇使用原則建立頁面上的 [隔離檔案] 核取方塊來隔離這些檔案。
與未經授權的使用者共用 - 接收與組織中未經授權的使用者群組共用檔案的警示。 選取未獲授權共用的使用者。
敏感性副檔名 - 接收具有高度公開的特定副檔名檔案的警示。 選取特定的副檔名 (例如 crt,意指憑證) 或檔案名稱,並排除具有私人共用層級的檔案。
必要條件
若要在租用戶中設定第一個檔案原則,您需要:
- Microsoft Entra 服務主體許可權。
只有在尚無檔案原則時,才會自動授與服務主體權限。 建立第一個檔案原則之後,您可以建立更多檔案原則,而不需要這些權限。
建立新的檔案原則
若要建立新的檔案原則,請遵循下列程序:
在 Microsoft Defender 入口網站的 [雲端應用程式] 底下,移至 [原則 ->原則管理]。 選取 [資訊保護] 索引標籤。
選取 [建立原則],然後選取 [檔案原則]。
為您的政策提供名稱和描述。 您也可以將其以範本為基礎。 如需原則範本的詳細資訊,請參閱 使用原則控制雲端應用程式。
將 原則嚴重性 指派給您的原則。 如果 Defender for Cloud Apps 設定為根據特定原則嚴重性層級傳送通知,則此層級會決定原則的相符專案是否觸發通知。
選取 類別, 並將原則連結至最適當的風險類型。 此欄位僅供參考,可協助您稍後根據風險類型搜尋特定原則和警示。 風險可能已根據您選擇建立原則的種類預先選取。 根據預設,檔案原則會設定為 DLP。
為此原則將對其採取行動的檔案建立篩選,以設定哪些探索到的應用程式會觸發此原則。 縮小原則篩選範圍,直到觸及您要處理的一組正確檔案。 請盡量給予限制,以避免誤判。 例如,如果您想刪除公共權限,請記得添加 公共 過濾器,如果您想刪除外部用戶,請使用“外部”過濾器,依此類推。
注意事項
檔案原則 'Contains' 篩選器只會搜尋完整的字詞。 這些單字必須用逗號、點、連字號或空格等標點符號分隔。
- 單詞之間的空格或連字符的功能類似於 OR。 例如,如果您搜尋「惡意軟體病毒」,它會找到名稱中包含惡意軟體或病毒的所有文件,因此它會找到 malware-virus.exe 和 virus.exe。
- 如果您要搜尋字串,請將單字括在引號中。 其功能類似於 AND。 例如,如果您搜尋「惡意軟體」、「病毒」,它會找到 virus-malware-file.exe 但找不到 malwarevirusfile.exe 也找不到 malware.exe。 不過,它會搜尋確切的字串。 如果您搜尋“惡意軟件病毒”,則找不到“病毒”或“病毒惡意軟件”。\
- [等於] 只會搜尋完整字串。 例如,如果您搜尋 malware.exe 它會找到 malware.exe 但找不到 malware.exe.txt。
在 [套用至 篩選 ] 底下,選取 [ 所有檔案]、[ 所有檔案 (不包括選取的資料夾)] 或 [Box、SharePoint、Dropbox 或 OneDrive 的 選取資料夾 ]。 此設定可讓您在應用程式或特定資料夾中的所有檔案中強制執行檔案原則。 然後,系統會提示您登入雲端應用程式並新增相關資料夾。
在 [選取使用者群組 ] 篩選器下,選取 所有檔案擁有者、 所選使用者群組中的檔案擁有者 ,或選取 所有檔案擁有者 (不包括所選群組)。 然後選取相關的使用者群組,以決定哪些使用者和群組應包含在該原則中。
選取 內容檢查方法。 我們建議使用 資料分類服務。
啟用內容檢查後,您可以選擇使用預設運算式或搜尋其他自訂運算式。
此外,您可以指定正則運算式,以從結果中排除檔案。 如果您想要從原則中排除內部分類關鍵字標準,這個選項會非常實用。
您可以設定在檔案被視為違規之前要比對的內容違規數量下限。 例如,如果您想要收到在內容中找到至少 10 個信用卡號碼之檔案的警示,您可以選擇 10。
當內容與選取的運算式相符時,違規文字會以「X」字元取代。 根據預設,違規部分會被屏蔽並呈現在內容中,該部分的前後 100 個字元會顯示出來。 運算式內容中的數字會以「#」字元取代,而且絕不會儲存在 Defender for Cloud Apps 中。 您可以選取「 取消遮罩違規的最後四個字元 」選項,以取消遮罩違規本身的最後四個字元。 您必須設定規則運算式要搜尋的資料類型:內容、中繼資料和/或檔案名稱。 根據預設,它會搜尋內容和中繼資料。
在 警示 區段中,視需要設定下列任何動作:
- 為每個符合原則嚴重性的相符事件建立警示
- 以電子郵件形式傳送警示
- 每個原則的每日警示限制。 治理動作不會受到每日警示限制的影響。
- 將警示傳送至 Power Automate
選擇您想要 Defender for Cloud Apps 在偵測到相符專案時採取的 [治理] 動作。 設定治理動作時請小心,它們可能會導致檔案存取權限不可逆轉地喪失。
建立原則之後,您可以篩選 [ 檔案原則 ] 類型來檢視原則。 您隨時可以編輯原則、校正其篩選器或變更自動動作。 該策略在創建時自動啟用,並立即開始掃描您的雲文件。 我們建議使用多個搜尋欄位縮小篩選範圍,以取得您要使用的檔案。 篩選範圍越窄越好。 您可以使用篩選器旁邊的 [編輯和預覽結果] 按鈕。
若要檢視檔案原則相符項,請移至 原則 ->原則管理。 在這裡您可以看到懷疑違反策略的檔案。 使用頂端的 類型 篩選器篩選結果,以僅顯示檔案原則。 如需每個原則相符專案的詳細資訊,請在 [計數] 資料行下,選取原則的 相符專案 數目。 或者,選取政策資料列結尾的三個點,然後選擇 [ 檢視所有相符專案]。 這會開啟 檔案原則報告。 選取 [立即比對] 索引標籤,以查看目前符合原則的檔案。 選取 [歷程記錄] 索引標籤,以查看符合原則之最多六個月檔案的歷程記錄。
限制
Defender for Cloud Apps 中的檔案原則限制為 50 個。
當您建立或編輯檔案原則,或使用「編輯和預覽結果」選項時,會有查詢大小限制,以維持效能並防止系統過載。 如果您遇到查詢大小錯誤,請嘗試一次移除一個篩選器以隔離問題。 從「共同作業者」篩選器開始,特別是當它包含「所有人」或「外部使用者以外的所有人」等廣泛群組時,這些群組更有可能超過查詢限制。
檔案原則最佳實務
除非必要,否則請避免在生產環境中使用 [重設結果並再次套用動作 ] 核取方塊重設檔案原則。 這樣做會啟動對策略涵蓋的所有檔案的全面掃描,這可能會對效能產生負面影響。
將標籤套用至特定父資料夾 及其 子資料夾中的檔案時,請使用 套用至 ->Selected 資料夾 選項。 然後新增每個父資料夾。
僅將標籤套用至特定資料夾中的檔案 (排除任何子資料夾) 時,請使用檔案原則篩選器 父資料夾 搭配 等於 運算子。
與寬準則) 相比, (使用狹義篩選準則時,檔案原則會更快。
將相同服務 ((例如 SharePoint、OneDrive、Box 等) 的數個檔案原則合併) 單一原則。
從「 設定 」頁面啟用檔案監控 () 時,請建立至少一個檔案原則。 當沒有檔案原則存在,或連續七天停用時,會自動停用檔案監視。
檔案原則參考
本節提供有關政策的參考詳細信息,提供每種政策類型的說明以及可以為每個政策配置的字段。
檔案原則是以 API 為基礎的原則,可讓您控制組織在雲端中的內容,同時考慮 20 多個檔案中繼資料篩選器 (,包括擁有者和共用層級) 以及內容檢查結果。 根據原則結果,可以套用控管動作。 內容檢查引擎可以透過第三方 DLP 引擎和反惡意軟體解決方案進行擴充。
每個原則都由以下部分組成:
檔案篩選器 — 可讓您根據中繼資料建立精細的條件。
內容檢查 — 可讓您根據 DLP 引擎結果縮小原則範圍。 您可以包含自訂運算式或預設運算式。 可以設定排除項目,您可以選擇相符項數目。 您也可以使用匿名化來遮罩使用者名稱。
動作 — 此政策提供一組治理動作,可在發現違規時自動套用。 這些動作分為共同作業動作、安全性動作和調查動作。
擴充功能 - 內容檢查可透過第三方引擎執行,以改善 DLP 或反惡意軟體功能。
檢視檔案原則結果
您可以前往政策中心查看檔案政策違規情況。
在 Microsoft Defender 入口網站的 [雲端應用程式] 底下,移至 [原則 ->原則管理],然後選取 [資訊保護] 索引標籤。
對於每個檔案原則,您可以選取 相符專案來查看檔案原則違規。
您可以選取檔案本身,以取得檔案的相關資訊。
例如,您可以選取 [ 共同作業者] 來查看誰有權存取此檔案,也可以選取 [相符專案] 來查看社會安全號碼。
檔案過濾器
檔案篩選器可讓您將特定條件套用至檔案原則,並專注於符合檔案類型、存取層級和共用狀態等條件的檔案。 這包括 PDF、Office 檔案、RTF、HTML 和程式碼檔案等檔案類型。
以下是可套用的檔案篩選器清單:
存取層級 – 共用存取層級;公共、外部、內部或私人。
- 內部 - 您在一般設定中設定的內部網域內的任何檔案。
- 外部 - 儲存在不在您設定的內部網域內的位置的任何檔案。
-
共用 - 共用層級高於私人的檔案。 共享包括:
- 內部共用 - 在內部網域內共用的檔案。
- 外部共用 - 在網域中共用的檔案,但未列在內部網域中。
- 使用連結公開 - 可透過連結與任何人共用的檔案。
- 公用 - 透過搜尋網際網路找到的檔案。
注意事項
外部使用者共用至連線儲存體應用程式的檔案會由 Defender for Cloud Apps 處理如下:
- OneDrive: OneDrive 會將內部使用者指派為外部使用者放入 OneDrive 的任何檔案的擁有者。 由於這些檔案接著會被視為由您的組織擁有,因此 Defender for Cloud Apps 會掃描這些檔案,並套用原則,就像套用至 OneDrive 中的任何其他檔案一樣。
- 谷歌雲端硬盤: Google 雲端硬碟會將這些檔案視為外部使用者擁有。 由於貴組織不擁有的檔案和資料的法律限制,Defender for Cloud Apps 無法存取這些檔案。
- 箱: 由於 Box 會將外部擁有的檔案視為私人資訊,因此 Box 全域管理員無法看到檔案的內容。 基於這個理由,Defender for Cloud Apps 無法存取這些檔案。
- Dropbox 的檔案箱: 由於 Dropbox 將外部擁有的檔案視為私人資訊,因此 Dropbox 全域管理員無法查看檔案內容。 基於這個理由,Defender for Cloud Apps 無法存取這些檔案。
應用程式 – 僅搜尋這些應用程式中的檔案。
協作者 — 包含/排除特定的協作者或群組。
任何來自網域 — 如果此網域中的任何使用者可以直接存取檔案。
注意事項
- 此篩選器不支援與群組共用的檔案,僅支援與特定使用者共用的檔案。
- 此篩選不支援透過 SharePoint 和 OneDrive 的共用連結與特定使用者共用的檔案。
- 將檔案上傳至 SharePoint、OneDrive 等時, [共同作業者 > 網域] 欄位會自動包含檔案擁有者的網域。 如果您使用 [ 任何寄件者] 網域 篩選器搭配 [不包含 ] 條件來排除組織的網域,則原則可能會忽略網域中使用者所擁有的檔案。
整個組織 — 如果整個組織都有權存取檔案。
群組 — 如果特定群組可以存取檔案。 群組可以從 Active Directory、雲端應用程式匯入,或在服務中手動建立。
注意事項
- 此篩選器可用來搜尋整個協作者群組。 它與個別群組成員不匹配。
使用者 — 可能有權存取檔案的特定使用者集。
已建立 — 檔案建立時間。 篩選器支援之前/之後日期和日期範圍。
擴展名 – 專注於特定的文件擴展名。 例如,所有可執行檔 (*.exe) 。 此篩選器區分大小寫。 使用 OR 子句將篩選器套用至多個大小寫變化。
檔案 ID — 搜尋特定檔案 ID。 檔案 ID 是一項進階功能,可讓您追蹤某些高價值文件,而無需依賴所有者、位置或名稱。
檔案名稱 – 雲端應用程式中定義的名稱的檔案名稱或子字串。 例如,名稱中帶有密碼的所有檔案。
敏感度標籤 - 搜尋已設定特定標籤的檔案。 如果在檔案原則中使用此篩選條件,則原則只會套用至 Microsoft Office 檔案,並忽略其他檔案類型。 標籤包括:
- Microsoft Purview 資訊保護 - 需要與 Microsoft Purview 資訊保護整合。
-
Defender for Cloud Apps - 提供其掃描檔案的深入解析。 針對 Defender for Cloud Apps DLP 掃描的每個檔案,您可以知道檢查是否因為檔案已加密或損毀而遭到封鎖。 例如,您可以設定原則來警示和隔離與外部共用的受密碼保護檔案。
- Azure RMS 加密 – 未檢查其內容的檔案,因為它們已設定 Azure RMS 加密。
- 密碼加密 — 未檢查其內容的檔案,因為它們受到使用者的密碼保護。
- 損毀的檔案 — 由於無法讀取其內容而未檢查其內容的檔案。
檔案類型 — Defender for Cloud Apps掃描檔案,以判斷真實的檔案類型是否符合收到的 MIME 類型 (請參閱從服務中取得的表格) 。 此掃描適用於與資料掃描相關的檔案, (文件、影像、簡報、試算表、文字和 zip/保存檔案) 。 過濾器適用於每個檔案/資料夾類型。 例如,所有資料夾... 或所有試算表檔案...
| MIME 類型 | 檔案類型 |
|---|---|
| - application/vnd.openxmlformats-officedocument.wordprocessingml.document - 應用程式/vnd.ms-word.document.macroEnabled.12 - 應用程式/msword - 應用程式/vnd.oasis.opendocument.text - 應用程式/vnd.stardivision.writer - 應用程式/vnd.stardivision.writer-global - 應用程式/vnd.sun.xml.writer - 應用程式/vnd.stardivision.math - 應用程式/vnd.stardivision.chart - 應用程式/X-Starwriter - 應用/X-Stardraw - 應用程式/x-starmath - 應用程式/X-星圖 - 應用程式/vnd.google-apps.document - 應用程式/vnd.google-apps.kix - 申請/PDF - 申請/X-PDF - 應用程式/vnd.box.webdoc - 應用程式/vnd.box.boxnote - 應用程式/vnd.jive.document - 文/RTF - 應用/RTF |
Document |
| - 應用程式/vnd.oasis.opendocument.image - 應用程式/vnd.google-apps.photo - 開頭為: image/ |
影像 |
| - 應用程式/vnd.openxmlformats-officedocument.presentationml.presentation - 應用程式/vnd.ms-powerpoint.template.macroEnabled.12 - 應用程式/mspowerpoint - 應用程序/PowerPoint - 應用程式/vnd.ms-powerpoint - 應用程式/x-mspowerpoint - 應用程式/mspowerpoint - 應用程式/vnd.ms-powerpoint - 應用程式/vnd.oasis.opendocument.presentation - 應用程式/vnd.sun.xml.impress - 申請/vnd.stardivision.impress - 應用/x-starimpress - 應用程式/vnd.google-apps.presentation |
Presentation |
| - 應用程式/vnd.openxmlformats-officedocument.spreadsheetml.sheet - 應用程式/vnd.ms-excel.sheet.macroEnabled.12 - 應用程式/Excel - 應用程式/vnd.ms-excel - 應用程式/X-Excel - 應用程式/X-MSEXCEL - 應用程式/vnd.oasis.opendocument.spreadsheet - 應用程式/vnd.sun.xml.calc - 應用程式/vnd.stardivision.calc - 應用/x-starcalc - 應用程式/vnd.google-apps.spreadsheet |
試算表 |
| - 開頭為: text/ | Text |
| 所有其他檔案 MIME 類型 | 其他 |
- 在垃圾桶中 – 排除/包含垃圾桶資料夾中的檔案。 這些檔案可能仍會共用並帶來風險。 此篩選不適用於 SharePoint 和 OneDrive 上的檔案。
上次修改時間 — 檔案修改時間。 篩選器支援日期之前和之後、日期範圍和相對時間運算式。 例如,過去六個月內未修改的所有檔案。
相符的原則 - 與作用中的 Defender for Cloud Apps 原則相符的檔案。
MIME 類型 – 檔案多用途網際網路郵件延伸 (MIME) 類型檢查。 它接受自由文本。
擁有者 - 包含/排除特定檔案擁有者。 例如,追蹤 rogue_employee_#100 共用的所有檔案。
擁有者 OU — 包含或排除屬於特定組織單位的檔案擁有者。 例如,除了 EMEA_marketing共用的檔案之外的所有公用檔案。 僅適用於儲存在 Google 雲端硬碟中的檔案。
父資料夾 — 包含或排除特定資料夾 (不適用於子資料夾) 。 例如,除了此資料夾中的檔案之外,所有公開共用的檔案。
注意事項
Defender for Cloud Apps 只會在新的 SharePoint 和 OneDrive 資料夾中發生某些檔案活動之後偵測這些資料夾。
已隔離 — 如果檔案已由服務隔離。 例如,顯示所有隔離的檔案。
授權檔案
在 Defender for Cloud Apps 將檔案識別為構成惡意代碼或 DLP 風險之後,建議您調查檔案。 如果您確定檔案是安全的,則可以授權它們。 授權檔案會將其從惡意軟體偵測報告中移除,並禁止此檔案的未來相符專案。
授權檔案
在 Microsoft Defender 入口網站的 [雲端應用程式] 底下,選取 [原則 ->原則管理]。 選取 [資訊保護] 索引標籤。
在原則清單中,在觸發調查之原則顯示的資料列上,在 [計數] 資料行中,選取 相符專案 連結。
提示
您可以依類型篩選原則清單。 下表列出每個風險類型要使用的篩選類型:
風險類型 篩選器類型 DLP 檔案原則 惡意程式碼 惡意軟體偵測原則 在相符的檔案清單中,在顯示調查中檔案的資料列上,選取 ✓ 以授權。
使用檔案抽屜
您可以在檔案日誌中選取檔案本身,以檢視每個檔案的詳細資訊。 選取檔案會開啟「 檔案」抽屜 ,其中提供您可以對檔案採取的下列動作:
- URL - 帶您前往檔案位置。
- 檔案識別碼 - 開啟快顯視窗,其中包含檔案的原始資料詳細資料,包括檔案識別碼和加密金鑰(如果可用)。
- 擁有者 - 檢視此檔案擁有者的使用者頁面。
- 相符的原則 - 查看檔案相符的原則清單。
- 敏感度標籤 - 檢視此檔案中找到的 Microsoft Purview 資訊保護 的敏感度標籤清單。 然後,您可以依符合此標籤的所有檔案進行篩選。
「檔案」抽拉匣中的欄位提供檔案的內容連結,以及您可能想要直接從抽貼匣執行的向下切入。 例如,如果您將游標移至 「擁有者」 欄位旁邊,則可以使用「新增至篩選器」圖示 
以立即將擁有者新增至目前頁面的篩選器。 您也可以使用設定齒輪圖示設定 
,會彈出直接到達修改其中一個欄位設定所需的設定頁面,例如 敏感度標籤。
如需可用的控管動作清單,請參閱 檔案控管動作。
Related videos
後續步驟
如果您遇到任何問題,我們隨時為您提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。