Tutorial: proteja seus arquivos com a quarentena de administrador

Importante

As políticas de arquivamento serão desativadas em 6 de janeiro de 2027. Para manter a proteção de dados baseada em arquivo, migre para as políticas de DLP ou de rotulagem automática do Microsoft Purview.

As políticas de ficheiros são uma ótima ferramenta para encontrar ameaças às suas políticas de proteção de informações. Por exemplo, crie políticas de ficheiros que localizem locais onde os utilizadores armazenavam informações confidenciais, números de card de crédito e ficheiros ICAP de terceiros na sua nuvem.

Neste tutorial, irá aprender a utilizar Microsoft Defender para Aplicativos de Nuvem para detetar ficheiros indesejados armazenados na sua nuvem que o deixam vulnerável e tomar medidas imediatas para os parar nos seus rastos e bloquear os ficheiros que representam uma ameaça ao utilizar Administração quarentena para proteger os seus ficheiros na cloud, remediar problemas e impedir a ocorrência de fugas futuras.

Compreender como funciona a quarentena

Observação

  • Para obter uma lista das aplicações que suportam a quarentena de administrador, veja a lista de ações de governação.
  • Os ficheiros etiquetados por Defender para Aplicativos de Nuvem não podem ser colocados em quarentena.
  • As ações de quarentena de administrador no Defender para Aplicativos de Nuvem estão limitadas a 100 ações por dia.
  • Os sites do SharePoint que foram renomeados, seja diretamente ou como parte da renomeação do domínio, não podem ser usados como local de pasta para a quarentena administrativa.
  1. Quando um arquivo corresponde a uma política, a opção Quarentena de administrador fica disponível para o arquivo.

  2. Defina uma ação de quarentena automatizada na política.

    colocar em quarentena automaticamente.

  3. Quando a quarentena de administrador é aplicada, as seguintes ações ocorrem nos bastidores:

    1. O ficheiro original é movido para a pasta de quarentena de administrador que definiu.

    2. O ficheiro original é eliminado.

    3. Um arquivo de marca de exclusão é carregado para o local do arquivo original.

      marca de exclusão de quarentena.

    4. O usuário só pode acessar o arquivo de marca de exclusão. No arquivo, ele pode ler as diretrizes personalizadas fornecidas pela TI e a ID de correlação a ser fornecida à IT para liberar o arquivo.

  4. Quando receber o alerta de que um ficheiro foi colocado em quarentena, aceda a Políticas ->Gestão de Políticas. Em seguida, selecione a guia Proteção de Informações. Na linha com sua política de arquivo, escolha os três pontos no final da linha e selecione Exibir todas as correspondências. Isso trará a você o relatório de correspondências, onde poderá ver os arquivos correspondentes e os em quarentena:

    Ficheiros em quarentena.

  5. Depois de colocar um ficheiro em quarentena, utilize o seguinte processo para remediar a situação de ameaça:

    1. Inspecione o ficheiro na pasta em quarentena no SharePoint Online.

    2. Também pode ver os registos de auditoria para aprofundar as propriedades do ficheiro.

    3. Se descobrir que o ficheiro é contra a política empresarial, execute o processo de Resposta a Incidentes (IR) da organização.

    4. Se achar que o ficheiro é inofensivo, pode restaurar o ficheiro a partir da quarentena. Nessa altura, o ficheiro original é lançado e copiado novamente para a localização original. O tombstone é eliminado e o utilizador pode aceder ao ficheiro.

      restauração da quarentena.

  6. Valide se a política é executada sem problemas. Em seguida, você pode usar as ações automáticas de governança na política para evitar mais vazamentos e aplicar automaticamente uma quarentena de administrador quando houver correspondência com a política.

Observação

Quando restaura um ficheiro:

  • As partilhas originais não são restauradas, a herança de pastas predefinida é aplicada.
  • O ficheiro restaurado contém apenas a versão mais recente.
  • O gerenciamento do acesso ao site da pasta de quarentena é de responsabilidade do cliente.

Configurar a quarentena de administrador

  1. Defina políticas de ficheiros que detetem falhas. Exemplos destes tipos de políticas incluem:

    • Uma política apenas de metadados, como uma etiqueta de confidencialidade no SharePoint Online
    • Uma política nativa de prevenção contra perda de dados (DLP), como uma política que pesquisa números de cartão de crédito
    • Uma política ICAP de terceiros, como uma política que procura o Vontu
  2. Definir uma localização de quarentena:

    1. Para o Microsoft 365 SharePoint ou OneDrive for Business, não pode colocar ficheiros em quarentena de administrador como parte de uma política até a configurar:

      aviso de quarentena.

      Para definir as definições de quarentena de administrador, no Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud. Em Proteção de Informações, selecione Quarentena de administrador. Forneça um site para a localização da pasta de quarentena e uma notificação do utilizador que o utilizador receberá quando o ficheiro for colocado em quarentena.

      definições de quarentena.

      Observação

      Defender para Aplicativos de Nuvem cria uma pasta de quarentena no site selecionado.

    2. Para o Box, a localização da pasta de quarentena e a mensagem de utilizador não podem ser personalizadas. A localização da pasta é a unidade do administrador que ligou o Box ao Defender para Aplicativos de Nuvem e a mensagem do utilizador é: Este ficheiro foi colocado em quarentena na unidade do administrador porque pode violar as políticas de segurança e conformidade da sua empresa. Contate o administrador de TI para obter ajuda.

Próximas etapas

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.