הגנה על קבצים בשירות Office 365 הנמצאים בשירותי הענן הספציפיים של SharePoint Online ושל OneDrive for Business, נעשית על ידי מספר מנגנונים בענן המאפשרים זיהוי ומניעה של שימוש וצריכה של אותם קבצים נגועים, המניעה נעשית ע"י מנגנון Anti-Malware, ע"י מנגנון Anti-Virus וע"י מנגנון Office ATP.
המאמר מתייחס להגנה על קבצים בשירות SharePoint online, וכן בשירות OneDrive for Business.
מנגנון הגנה של קבצים על OneDrive for Business ועל SharePoint Online נחלק לשניים:
קבצים נגועים אשר מסונכרנים מול SharePoint Online מזוהים ע"י מספר מנגנוני Virus Detection ונבדקים רק לאחר העלאה של הקבצים אל SharePoint Online.
מה קורה עם קובץ נגוע? קובץ אשר נסרק ומזוהה עם תוכן נגוע מקבל תיוג ומאפיין של Infected File, והחל מרגע זה הקובץ אינו זמין לשימוש כמו קובץ רגיל, כלומר אין אפשרות לבצע הורדה.
תהליך זיהוי קובץ נגוע נעשה באופן הבא:
• קובץ נגוע מסונכרן אל SharePoint Online
• קובץ נסרק ע"י מספר מנגנוני AV
• קובץ מתויג ומקבל מאפיין של קובץ נגוע וחלים עליו תנאים מסוימים
• אדמין מקבל התראה לגבי קובץ נגוע ויכול לפעול בהתאם לכך
• משתמש מקבל התראה לגבי קובץ נגוע
• משתמש אינו יכול להוריד את הקובץ דרך ממשק WEB
• הקובץ לא מסונכרן יותר דרך OneDrive for Business
• משתמש יכול להוריד את הקובץ ולסרוק אותו באמצעות AV מקומי
טיפ: בממשק Threat Management באפשרות Workload ניתן לראות את הקבצים הנגועים ופרטים לגבי כל קובץ כולל סוג Virus\Malware, משתמשים אשר קיבלו את הקובץ ופרטים נוספים.
טיפ: בנוסף לכך ניתן לראות קבצים נגועים מתוך ממשק MCAS, ולהגיב ידנית או אוטומטית לקבצים נגועים.
בכדי להגן על קובץ נגוע ולמנוע הורדה, יש להפעיל את אפשרות DisallowInfectedFileDownload בשירות SharePoint Online
לאחר התחברות אל שירות SharePoint Online באמצעות PowerShell יש להפעיל את האפשרות של מניעת הורדת קבצים נגועים לפי הפקודה הבא:
Set-SPOTenant -DisallowInfectedFileDownload $true
בדיפולט, הגדרת DisallowInfectedFileDownload נמצאת במצב False.
בנוסף להגנה באמצעות מנגנוני הסריקה הדיפולטים ישנה אפשרות להגן על הקבצים באמצעות מנגנון Office ATP המאפשר הגנה על שירותי הענן הספציפיים של SharePoint Online, Teams, OneDrive for Business מפני קבצים נגועים.
Office ATP מבצע הגנה נוספת באמצעות מנגנון ATP עצמו, המאפשר זיהוי לפי פרמטרים נוספים:
• קישורים מצורפים
• התנהגות חריגה של שיתופים
• התחברות מתוך כתובות זדוניות (TOR)
במידה ופרמטר אחד או יותר נכנס לפעולה בעת פעולה כלשהי, למשל, קובץ אשר סונכרן מתוך תחנה מקומית, קבצים שהועתקו אל ספריה בשירות SPO או קובץ אשר הגיע דרך הדואר.
בכל התרחישים האלה ונוספים הקובץ עובר במנגנון Sandbox ובמידה והתגלה עם כקובץ נגוע הוא מתויג ומאופיין כקובץ נגוע, כולל סימון של קובץ נגוע - ואינו מאפשר הורדה או שיתוף, ולמעשה נועל את הקובץ.
הגנה באמצעות Office ATP היא פשוטה, ומצריכה סימון של אפשרות: Turn on ATP.
טיפ: בכדי לראות קובץ נגוע יש לוודא שאפשרות Modern experience פעילה.
מנגנוני הגנה על קבצים ומידע הנמצאים בשירות SharePoint Online + OneDrive for Business אינם מונעים העלאה של הקבצים אל שירותי הענן, ולכן עלולים להיות מספר מצבים:
• קובץ הועלה ונמצא SharePoint Online + OneDrive for Business, אך עדיין יכול להיות בשימוש בענן בלבד
• Office ATP אינו סורק את כלל הקבצים לאחר הפעלה, ולכן עלול להיות מצב שישנם קבצים אשר לא תויגו בקבצים נגועים
• במקרים מסוימים, קבצים נגועים עדיין יכולים להיות משותפים מול גורם חיצוני
• קובץ נגוע אשר שכב במערכת המון זמן והופעל, יקבל לאחר מכן תיוג של קובץ נגוע
בשורה התחתונה, Office ATP יחד עם האפשרויות המובנות של Virus Detection מבצע הגנה יעילה על הקבצים, ויודע לזהות כל נגיעה בקובץ נגוע, גם אם הוא לא היה פעיל במשך זמן מסוים.
הממשק של Threat Explorer (נקרא Real Time ברישוי ATP Plan 1) מאפשר לעקוב אחר כל פעילות של קובץ נגוע ולבצע פעולות מנע בהתאם.
הגנה על קבצים בשירות Office 365 הנמצאים בשירותי הענן הספציפיים של SharePoint Online ושל OneDrive for Business, נעשית על ידי מספר מנגנונים בענן המאפשרים זיהוי ומניעה של שימוש וצריכה של אותם קבצים נגועים, המניעה נעשית ע"י מנגנון Anti-Malware, ע"י מנגנון Anti-Virus וע"י מנגנון Office ATP.
המאמר מתייחס להגנה על קבצים בשירות SharePoint online, וכן בשירות OneDrive for Business.
מנגנון הגנה של קבצים על OneDrive for Business ועל SharePoint Online נחלק לשניים:
קבצים נגועים אשר מסונכרנים מול SharePoint Online מזוהים ע"י מספר מנגנוני Virus Detection ונבדקים רק לאחר העלאה של הקבצים אל SharePoint Online.
מה קורה עם קובץ נגוע? קובץ אשר נסרק ומזוהה עם תוכן נגוע מקבל תיוג ומאפיין של Infected File, והחל מרגע זה הקובץ אינו זמין לשימוש כמו קובץ רגיל, כלומר אין אפשרות לבצע הורדה.
תהליך זיהוי קובץ נגוע נעשה באופן הבא:
• קובץ נגוע מסונכרן אל SharePoint Online
• קובץ נסרק ע"י מספר מנגנוני AV
• קובץ מתויג ומקבל מאפיין של קובץ נגוע וחלים עליו תנאים מסוימים
• אדמין מקבל התראה לגבי קובץ נגוע ויכול לפעול בהתאם לכך
• משתמש מקבל התראה לגבי קובץ נגוע
• משתמש אינו יכול להוריד את הקובץ דרך ממשק WEB
• הקובץ לא מסונכרן יותר דרך OneDrive for Business
• משתמש יכול להוריד את הקובץ ולסרוק אותו באמצעות AV מקומי
טיפ: בממשק Threat Management באפשרות Workload ניתן לראות את הקבצים הנגועים ופרטים לגבי כל קובץ כולל סוג Virus\Malware, משתמשים אשר קיבלו את הקובץ ופרטים נוספים.
טיפ: בנוסף לכך ניתן לראות קבצים נגועים מתוך ממשק MCAS, ולהגיב ידנית או אוטומטית לקבצים נגועים.
בכדי להגן על קובץ נגוע ולמנוע הורדה, יש להפעיל את אפשרות DisallowInfectedFileDownload בשירות SharePoint Online
לאחר התחברות אל שירות SharePoint Online באמצעות PowerShell יש להפעיל את האפשרות של מניעת הורדת קבצים נגועים לפי הפקודה הבא:
Set-SPOTenant -DisallowInfectedFileDownload $true
בדיפולט, הגדרת DisallowInfectedFileDownload נמצאת במצב False.
בנוסף להגנה באמצעות מנגנוני הסריקה הדיפולטים ישנה אפשרות להגן על הקבצים באמצעות מנגנון Office ATP המאפשר הגנה על שירותי הענן הספציפיים של SharePoint Online, Teams, OneDrive for Business מפני קבצים נגועים.
Office ATP מבצע הגנה נוספת באמצעות מנגנון ATP עצמו, המאפשר זיהוי לפי פרמטרים נוספים:
• קישורים מצורפים
• התנהגות חריגה של שיתופים
• התחברות מתוך כתובות זדוניות (TOR)
במידה ופרמטר אחד או יותר נכנס לפעולה בעת פעולה כלשהי, למשל, קובץ אשר סונכרן מתוך תחנה מקומית, קבצים שהועתקו אל ספריה בשירות SPO או קובץ אשר הגיע דרך הדואר.
בכל התרחישים האלה ונוספים הקובץ עובר במנגנון Sandbox ובמידה והתגלה עם כקובץ נגוע הוא מתויג ומאופיין כקובץ נגוע, כולל סימון של קובץ נגוע - ואינו מאפשר הורדה או שיתוף, ולמעשה נועל את הקובץ.
הגנה באמצעות Office ATP היא פשוטה, ומצריכה סימון של אפשרות: Turn on ATP.
טיפ: בכדי לראות קובץ נגוע יש לוודא שאפשרות Modern experience פעילה.
מנגנוני הגנה על קבצים ומידע הנמצאים בשירות SharePoint Online + OneDrive for Business אינם מונעים העלאה של הקבצים אל שירותי הענן, ולכן עלולים להיות מספר מצבים:
• קובץ הועלה ונמצא SharePoint Online + OneDrive for Business, אך עדיין יכול להיות בשימוש בענן בלבד
• Office ATP אינו סורק את כלל הקבצים לאחר הפעלה, ולכן עלול להיות מצב שישנם קבצים אשר לא תויגו בקבצים נגועים
• במקרים מסוימים, קבצים נגועים עדיין יכולים להיות משותפים מול גורם חיצוני
• קובץ נגוע אשר שכב במערכת המון זמן והופעל, יקבל לאחר מכן תיוג של קובץ נגוע
בשורה התחתונה, Office ATP יחד עם האפשרויות המובנות של Virus Detection מבצע הגנה יעילה על הקבצים, ויודע לזהות כל נגיעה בקובץ נגוע, גם אם הוא לא היה פעיל במשך זמן מסוים.
הממשק של Threat Explorer (נקרא Real Time ברישוי ATP Plan 1) מאפשר לעקוב אחר כל פעילות של קובץ נגוע ולבצע פעולות מנע בהתאם.
הודעתך לא התקבלה - נסה שוב מאוחר יותר
Oops! Something went wrong while submitting the form