הגנה על קבצים בשירות SharePoint Online
הגנה על קבצים בשירות Office 365 הנמצאים בשירותי הענן הספציפיים של SharePoint Online ושל OneDrive for Business נעשית על ידי מספר מנגנונים בענן המאפשרים זיהוי ומניעה של שימוש וצריכה של אותם קבצים נגועים. המניעה נעשית ע”י מנגנון Anti-Malware, ע”י מנגנון Anti-Virus וע”י מנגנון Office ATP.
המאמר מתייחס להגנה על קבצים בשירות SharePoint online וכן בשירות OneDrive for Business.
מנגנון הגנה על קבצים
מנגנון הגנה של קבצים על OneDrive for Business ועל SharePoint Online נחלק לשניים:
הגנה דיפולטית עם Virus Detection
קבצים נגועים אשר מסונכרנים מול SharePoint Online מזוהים ע”י מספר מנגנוני Virus Detection ונבדקים רק לאחר העלאה של הקבצים אל SharePoint Online.
מה קורה עם קוץ נגוע? קובץ אשר נסרק ומזוהה עם תוכן נגוע מקבל תיוג ומאפיין של Infected File, והחל מרגע זה הקובץ אינו זמין לשימוש כמו קובץ רגיל, כלומר אין אפשרות לבצע הורדה.
תהליך זיהוי קובץ נגוע נעשה באופן הבא:
- קובץ נגוע מסונכרן אל SharePoint Online
- קובץ נסרק ע”י מספר מנגנוני AV
- קובץ מתויג ומקבל מאפיין של קובץ נגוע וחלים עליו תנאים מסוימים
מה קורה כאשר ישנו קובץ נגוע?
- אדמין מקבל התראה לגבי קובץ נגוע ויכול לפעול בהתאם לכך
- משתמש מקבל התראה לגבי קובץ נגוע
- משתמש אינו יכול להוריד את הקובץ דרך ממשק WEB
- הקובץ לא מסונכרן יותר דרך OneDrive for Business
- משתמש יכול להוריד את הקובץ ולסרוק אותו באמצעות AV מקומי
טיפ: בממשק Threat Management באפשרות Workload ניתן לראות את הקבצים הנגועים ופרטים לגבי כל קובץ כולל סוג Virus\Malware, משתמשים אשר קיבלו את הקובץ ופרטים נוספים
טיפ: בנוסף לכך ניתן לראות קבצים נגועים מתוך ממשק MCAS ולהגיב ידנית או אוטומטית לקבצים נגועים
הגדרת DisallowInfectedFileDownload – בכדי להגן על קובץ נגוע ולמנוע הורדה יש להפעיל את אפשרות DisallowInfectedFileDownload בשירות SharePoint Online
לאחר התחברות אל שירות SharePoint Online באמצעות PowerShell יש להפעיל את האפשרות של מניעת הורדת קבצים נגועים לפי הפקודה הבא:
Set-SPOTenant -DisallowInfectedFileDownload $true
בדיפולט הגדרת DisallowInfectedFileDownload נמצאת במצב False.
הגנה באמצעות Office ATP
בנוסף להגנה באמצעות מנגנוני הסריקה הדיפולטים ישנה אפשרות להגן על הקבצים באמצעות מנגנון Office ATP המאפשר הגנה על שירותי הענן הספציפים של SharePoint Online, Teams, OneDrive for Business מפני קבצים נגועים.
Office ATP מבצע הגנה נוספת באמצעות מנגנון ATP עצמו המאפשר זיהוי לפי פרמטרים נוספים:
- קישורים מצורפים
- התנהגות חריגה של שיתופים
- התחברות מתוך כתובות זדוניות (TOR)
במידה ופרמטר אחד או יותר נכנס לפעולה בעת פעולה כלשהיא, למשל, קובץ אשר סונכרן מתוך תחנה מקומית, קבצים שהועתקו אל ספריה בשירות SPO או קובץ אשר הגיע דרך הדואר.
בכל התרחישים האלה ונוספים הקובץ עובר במנגנון Sandbox ובמידה והתגלה עם כקובץ נגוע הוא מתויג ומאופיין כקובץ נגוע כולל סימון של קובץ נגוע ואינו מאפשר הורדה, שיתוף ולמעשה נועל את הקובץ.
הגנה באמצעות Office ATP היא פשוטה ומצריכה סימון של אפשרות: Turn on ATP
טיפ: בכדי לראות קובץ נגוע יש לוודא שאפשרות Modern experience פעילה
מהשטח
מנגנוני הגנה על קבצים ומידע הנמצאים בשירות SharePoint Online + OneDrive for Business אינם מונעים העלאה של הקבצים אל שירותי הענן ולכן עלולים להיות מספר מצבים:
- קובץ הועלה ונמצא SharePoint Online + OneDrive for Business אך עדיין יכול להיות בשימוש בענן בלבד
- Office ATP אינו סורק את כלל הקבצים לאחר הפעלה, ולכן עלול להיות מצב שישנם קבצים אשר לא תויגו בקבצים נגועים
- במקרים מסוימים קבצים נגועים עדיין יכולים להיות משותפים מול גורם חיצוני
- קובץ נגוע אשר שכב במערכת המון זמן והופעל, יקבל לאחר מכן תיוג של קובץ נגוע
בשורה התחתונה Office ATP יחד עם האפשרויות המובנות של Virus Detection מבצע הגנה יעילה על הקבצים, ויודע לזהות כל נגיעה בוקבץ נגוע גם אם לא היה פעיל במשך זמן מסוים.
הממשק של Threat Explorer (נקרא Real Time ברישוי ATP Plan 1) מאפשר לעקוב אחר כל פעילות של קובץ נגוע ולבצע פעולות מנע בהתאם.
מידע נוסף – Office 365 ATP for SharePoint
3 Responses
[…] פרטים נוספים במאמר הבא https://eshlomo.blog/2019/08/spo-1/ […]
[…] פרטים נוספים במאמר הבא https://eshlomo.blog/2019/08/spo-1/ […]
[…] הגנה על קבצים בשירות SharePoint Online […]