创建云端硬盘新版 DLP 规则和自定义内容检测器

云端硬盘数据泄露防护规则和内容检测器

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育基础版、教育标准版和教育 Plus 版;企业基本功能 Plus 版。比较您的版本

Cloud Identity 专业版用户只要拥有 Google Workspace 许可(企业版、商务版或教育版),即可使用云端硬盘数据泄露防护和 Chat 数据泄露防护功能。

借助云端硬盘数据泄露防护功能 (DLP),您可以结合使用触发器和条件,创建复杂的规则。您还可以指定一个操作,在用户的内容被屏蔽时向其发送邮件。

创建云端硬盘数据泄露防护规则和自定义内容检测器

第 1 步:设计规则

确定规则条件

数据泄露防护规则条件决定了规则将检测的敏感内容类型。如需查看基本示例,请参阅下文中的数据泄露防护规则示例。规则可能只需要一个条件,也可以使用“与”“或”或“非”运算符组合多个条件。请参阅云端硬盘数据泄露防护规则示例:使用运算符嵌套条件,查看嵌套条件的示例。

  • 如需检测驾照号码或纳税人识别号码等标准个人信息,您的规则可以使用预定义的内容检测器。如需查看完整的可用检测器列表,请参阅如何使用预定义的内容检测器
  • 规则条件也可以使用您创建的自定义内容检测器,例如包含字词表或正则表达式的内容检测器。有关说明,请参阅“第 2 步:创建自定义检测器

如要了解如何改进规则测试,包括设置规则测试环境,请参阅加快规则测试的最佳做法

您可以创建仅记入审核日志的规则来测试您在数据泄露防护功能中创建的规则,以便测试 Google 云端硬盘相关规则可能造成的影响。仅记入审核日志的规则与所有规则一样都可以被触发,但不同的是,这类规则被触发后,系统不会执行任何操作,但会将结果写入规则审核日志和调查工具。

如要了解如何改进规则测试,包括设置规则测试环境,请参阅加快规则测试的最佳做法

如要创建和使用仅记入审核日志的规则,请执行以下操作:

  1. 按照第 3 步:创建规则中的步骤创建规则。
  2. 在创建规则时,不要在“操作”部分选择任何操作。操作选项不是必选项。相应规则被触发时,没有关联的操作,且所有事件都会记录在规则审核日志中。在这种情况下,该规则会在“操作”部分显示“仅记入审核日志”标记。
  3. 继续创建该规则并完成规则配置。确保该规则处于“有效”状态。
  4. 自行测试相应功能,或者等待您网域中的用户自然而然地共享可能受该规则影响的数据。
  5. 查看规则审核日志。前往规则审核日志调查工具了解详情。当您使用仅记入审核日志的规则时,审核日志会列出没有触发操作的规则。

  6. 如果您确定已完全按照需求配置了规则,则可以更改规则以添加操作(如第 3 步:创建规则所述)。

推荐规则是系统根据数据保护洞察报告的结果向您推荐的数据泄露防护规则。例如,如果报告显示贵组织共享的数据类型中有护照号码,那么数据泄露防护功能就会推荐用于防止共享护照号码的规则。

必须启用数据保护洞察报告,才能收到推荐规则。有关详情,请参阅利用数据保护推荐规则防范数据泄露

我可以为规则范围选择哪些类型的群组?

您可以在管理控制台的“群组”列表中选择管理员或用户创建的群组。群组地址必须以贵组织的域名结尾,您无法为规则范围选择外部群组。

您可以将浏览器和用户添加到群组中。例如,如果您想将规则应用于 Chrome 浏览器,请将该浏览器添加到目标群组。

以下是一些可以考虑在数据泄露防护规则中使用的群组类型:

  • 动态群组:当用户加入组织、在组织中调动或离开组织时,系统会自动管理用户的成员资格。动态群组可通过管理控制台或 Cloud Identity API 创建和管理,可助您减少手动管理群组成员资格所耗费的时间。如需为数据泄露防护规则使用动态群组,请确保该群组同时也是安全群组(具有安全标签)。详细了解动态群组

  • 安全群组:您可以将标准群组或动态群组转换为安全群组,以便管理、审核和监控群组权限以及控制群组的访问权限。您可以通过管理控制台或 Cloud Identity Groups API 创建安全群组,只需为相应群组添加安全标签即可。不妨详细了解安全群组

  • 迁移的群组:使用 Google Cloud Directory Sync (GCDS) 将您在 Microsoft Active Directory 或其他工具中创建的群组与 Google Workspace 同步。然后,您就可以在数据泄露防护规则中使用这些已同步的群组。详细了解 GCDS

第 2 步:创建自定义检测器(可选)

根据需要创建自定义检测器

如果您需要在规则条件中使用自定义检测器,可以根据以下通用说明创建。

创建数据泄露防护检测器以与规则搭配使用

在开始前,请先使用超级用户账号或者拥有以下权限的委派管理员账号登录:

  • “组织部门管理员”权限。
  • “群组管理员”权限。
  • 查看数据泄露防护规则和管理数据泄露防护规则的权限。请注意,您必须同时启用“查看”和“管理”权限,才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
  • “查看元数据和属性”权限(仅在使用调查工具时需要):安全中心 然后 调查工具 然后 规则 然后 查看元数据和属性

详细了解管理员权限如何创建自定义管理员角色

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 访问权限和数据控件 然后 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  2. 点击管理检测器
  3. 点击添加检测器。添加名称和说明。

    您可以选择:

    • 正则表达式 - 正则表达式也称为 regex,是一种将文本与格式进行匹配的方法。点击测试表达式以验证相应正则表达式。查看正则表达式示例
    • 字词表 - 您创建的自定义字词表。这是要检测的字词的列表,以英文逗号分隔。不区分大小写,且符号会被忽略。只有完整的字词才会匹配。您可以添加检测到相应内容时弹出的消息。字词列表检测器中的字词应至少包含 2 个字母或数字。
  4. 点击创建。之后,您就可以在添加规则条件时使用相应自定义检测器。

第 3 步:创建规则

确定规则的用途后,您就可以创建规则了。如需了解详情,请参阅创建数据保护规则

第 4 步:向用户介绍新规则

让用户建立对新规则的正确期望

用户需要预先了解新规则的运作模式和影响。例如,您可能选择禁止与外部共享包含敏感数据的内容。在这种情况下,请告诉用户他们有时可能无法共享文档,以及无法共享的原因。

DLP 规则示例

使用预定义敏感类别、自定义检测器和规则模板的示例。

示例 1:使用预定义敏感类别来保护社会保障号

此示例展示了如何使用预定义的敏感类别来禁止特定单位和群组的用户共享敏感数据。您可以使用预定义的敏感类别来指定经常输入的数据。在此示例中,该数据为社会保障号。

在开始之前,请确保您已登录超级用户账号或拥有上文创建数据泄露防护规则中所列权限的委派管理员的账号。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 访问权限和数据控件 然后 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  2. 点击管理规则。然后,点击添加规则 然后 新建规则
  3. 添加规则的名称和说明。
  4. 应用部分中,依次选择 Google 云端硬盘 然后 云端硬盘文件
  5. 点击继续
  6. 操作部分的“Google 云端硬盘”下,选择禁止与外部共享
  7. 提醒部分,选择严重程度。选中提醒中心复选框以启用提醒,并指定电子邮件收件人。

    触发提醒和记录提醒之间可能存在时间延迟。针对每条规则,管理员每天最多可以接收 50 条提醒。到达此上限后不会再收到。

  8. 点击继续
  9. 范围部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。domain.name 如果单位部门和群组在包含或排除设置上存在冲突,以群组的设置为准。
  10. 内容条件部分中,点击添加条件并选择以下值:
    • 要扫描的内容类型 - 所有内容
    • 要扫描的内容 - 与预定义的数据类型匹配(推荐)
    • 数据类型 - 美国 - 美国社会保障号。
    • 可能性阈值 - 很高。这个额外措施可用于决定邮件是否触发操作。
    • 不重复匹配数量下限 - 1。要触发相应操作,非重复匹配结果必须在文档中出现的最少次数。
    • 最低相符项目数 - 1。要触发相应操作,指定内容必须在邮件中出现的最少次数。例如,如果您选择 2,那么邮件中必须出现至少 2 次个人身份信息才会触发相应操作。
  11. 点击继续
  12. 点击继续以查看规则详情。
  13. 规则状态部分中,为规则选择初始状态:
    • 活跃 - 您的规则会立即生效
    • 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性 然后 数据保护 然后 管理规则来启用该规则。点击该规则的未启用状态,然后选择活跃。启用后,系统会立即执行该规则,数据泄露防护功能会扫描敏感内容。
  14. 点击创建
所做更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

示例 2:使用自定义检测器保护内部名称

此示例展示了如何设置自定义检测器。您可以在自定义检测器中列出要检测的字词。在规则中使用触发器设置,禁止用户与外部收件人共享包含敏感数据的文档,例如内部项目名称。

在开始之前,请确保您已登录超级用户账号或拥有上文创建数据泄露防护规则中所列权限的委派管理员的账号。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 访问权限和数据控件 然后 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  2. 点击管理检测器。然后,点击添加检测器 然后 字词表
  3. 为检测器输入名称和说明。
  4. 输入要检测的字词(使用英文逗号分隔)。在自定义字词表中:
    • 不区分大小写。例如,BAD 与 bad、Bad 以及 BAD 都匹配。
    • 只有完整的字词才会匹配。例如,如果您向自定义字词表中添加了“bad”,则系统不会匹配“badminton”。
  5. 点击创建
  6. 点击管理规则。然后,点击添加规则 然后 新建规则
  7. 名称部分,输入规则的名称。您也可以添加规则的说明。
  8. 应用部分中,依次选择 Google 云端硬盘 然后 云端硬盘文件
  9. 操作部分的“Google 云端硬盘”下,选择禁止与外部共享
  10. 提醒部分,选择严重程度。选中提醒中心复选框以启用提醒,并指定电子邮件收件人。

    触发提醒和记录提醒之间可能存在时间延迟。针对每条规则,管理员每天最多可以接收 50 条提醒。到达此上限后不会再收到。

  11. 点击继续

  12. 范围部分,搜索并选择要应用规则的组织部门或群组。
  13. 内容条件部分中,点击添加条件并选择以下值:
    • 要扫描的内容类型 - 所有内容
    • 要扫描的内容 - 与字词表中的字词匹配
    • 字词表名称 - 滚动查找您在上文中创建的检测器。
    • 匹配模式 - 选择匹配模式:
      • 匹配任何字词 - 与预定义字词表中的任意字词匹配
      • 匹配所要求最低数量的不重复字词 - 指定检测到的不同字词的最低数目,以及自定义字词表中任意字词被检测到的最少总次数。
    • 任意字词被检测到的最少总次数 - 1。
  14. 点击继续以查看规则详情。
  15. 规则状态部分中,为规则选择初始状态:
    • 活跃 - 您的规则会立即生效
    • 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性 然后 数据保护 然后 管理规则来启用该规则。点击该规则的未启用状态,然后选择活跃。启用后,系统会立即执行该规则,数据泄露防护功能会扫描敏感内容。
  16. 点击创建
所做更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

示例 3:使用规则模板保护个人身份信息

规则模板会提供一组条件,可覆盖大量常见的数据保护情况。请使用规则模板为常见的数据保护情况设置政策。

此示例使用规则模板禁止发送或共享包含美国个人身份信息 (PII) 的云端硬盘文档或电子邮件。

在开始之前,请确保您已登录超级用户账号或拥有上文创建数据泄露防护规则中所列权限的委派管理员的账号。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 访问权限和数据控件 然后 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  2. 点击管理规则
  3. 点击添加规则 然后 使用模板新建规则
  4. 在“模板”页面中,点击 Prevent PII information sharing (US)(禁止共享(美国)个人身份信息)。
  5. 接受规则的默认名称和说明,或输入新值。
  6. 点击继续
  7. 查看“操作”和提醒设置,并根据需要进行修改。对于 Google 云端硬盘,系统已选择禁止与外部共享。禁止共享操作可禁止用户与组织以外的用户共享符合条件的文件。安全性设置为“低”,并且提醒已停用。
  8. 点击继续
  9. 规则模板中已预先选择了条件。如果您想了解应用于该规则的具体条件,请查看相应条件。
  10. 点击继续以查看规则详情。
  11. 规则状态部分中,为规则选择初始状态:
    • 活跃 - 您的规则会立即生效
    • 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性 然后 数据保护 然后 管理规则来启用该规则。点击该规则的未启用状态,然后选择活跃。启用后,系统会立即执行该规则,数据泄露防护功能会扫描敏感内容。
  12. 点击创建
所做更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

示例 4:在 iOS 或 Android 设备上阻止下载敏感内容

此示例结合使用数据泄露防护规则与情境感知访问权限条件。将数据泄露防护规则与情境条件结合使用时,只有在满足该条件时,系统才会应用该规则。

在此示例中,数据泄露防护规则会阻止具有评论权限或查看权限的 Google 文档用户下载、打印或复制敏感内容。情境条件是指用户通过 iOS 或 Android 设备访问内容。

重要提示:如需将基于设备或设备操作系统的情境条件应用于移动设备,您必须启用基本高级设备管理功能。

在开始之前,请确保您已登录超级用户账号或拥有上文创建数据泄露防护规则中所列权限的委派管理员的账号。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 访问权限和数据控件 然后 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  2. 点击管理规则。然后,点击添加规则 然后 新建规则
  3. 为规则添加名称和说明。
  4. 应用部分中,依次选择 Google 云端硬盘 然后 云端硬盘文件
  5. 点击继续
  6. 操作部分中,针对 Google 云端硬盘,选择禁止下载、打印和复制,然后选择仅适用于评论者和查看者

    注意:仅当同时满足内容条件情境条件时,系统才会应用该操作。

  7. (可选)选择提醒严重程度级别(低、中或高),以及是否发送提醒和电子邮件提醒通知。
  8. 点击继续
  9. 范围部分,搜索并选择要应用规则的组织部门和群组。
  10. 应用Google 云端硬盘下,勾选云端硬盘文件
  11. 内容条件部分,点击添加条件
  12. 要扫描的内容类型部分,选择所有内容
  13. 要扫描的内容部分,选择数据泄露防护扫描类型,然后选择属性。如需详细了解可用属性,请参阅创建数据泄露防护规则
  14. 情境条件部分,点击选择一个访问权限级别,以显示您现有的访问权限级别。
  15. 点击创建新的访问权限级别
  16. 为新的访问权限级别输入名称和说明。
  17. 情境条件中,点击添加条件
  18. 选择符合所有属性
  19. 依次点击选择属性 然后 设备操作系统,然后点击选择操作系统,从下拉列表中选择 iOS。
  20. 对于最低版本,请保留默认选项“任何版本”,或选择特定版本。
  21. 点击添加条件,然后重复第 20-21 步,选择 Android 作为设备操作系统。
  22. 使用以下运算符将多个条件组合起来切换开关(位于条件上方)设置为“OR”。这意味着,如果用户使用 iOS 或 Android 设备访问敏感内容,系统将会应用数据泄露防护规则。
  23. 点击创建。您会返回到创建规则页面。您的新访问权限级别会添加到列表中,并且其属性会显示在右侧。
  24. 点击继续以查看规则详情。
  25. 规则状态部分中,为规则选择初始状态:
    • 活跃 - 您的规则会立即生效
    • 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性 然后 数据保护 然后 管理规则来启用该规则。点击该规则的未启用状态,然后选择活跃。启用后,系统会立即执行该规则,数据泄露防护功能会扫描敏感内容。
  26. 点击创建

更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

如需查看更多示例,请参阅将数据泄露防护规则与情境感知访问权限条件结合使用

维护 DLP 规则和自定义内容检测器

创建数据泄露防护规则或自定义检测器后,您可以查看、修改、启用、停用以及维护它们。

查看现有规则和自定义检测器

在开始前,请先使用超级用户账号或者拥有以下权限的委派管理员账号登录:

  • “组织部门管理员”权限。
  • “群组管理员”权限。
  • 查看数据泄露防护规则和管理数据泄露防护规则的权限。请注意,您必须同时启用“查看”和“管理”权限,才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
  • “查看元数据和属性”权限(仅在使用调查工具时需要):安全中心 然后 调查工具 然后 规则 然后 查看元数据和属性

详细了解管理员权限如何创建自定义管理员角色

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 访问权限和数据控件 然后 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  2. 点击管理规则管理检测器。“规则”页面位于安全性 > 数据保护 > 规则下。“检测器”页面位于安全性 > 数据保护 > 检测器下。

使用数据泄露防护规则

对规则进行排序

您可以根据名称上次修改时间列对规则进行升序或降序排列。

  1. 在“规则”页面上,点击名称上次修改时间列名称。
  2. 点击向上或向下箭头即可对列进行排序。

启用或停用规则

如果您启用规则,DLP 就会扫描使用该规则的文档。

  1. 在“规则”页面的“状态”列下,选择活跃未启用
  2. 确认您要启用或停用该规则。

删除规则

规则一旦删除,就无法恢复。

  1. 在“规则”页面上,将光标指向某一行,系统会在行末显示回收站图标
  2. 点击回收站图标
  3. 确认您要删除该规则。

导出规则

您可以将规则导出为 .txt 文件。

  1. 在“规则”页面上,点击导出规则
  2. 规则列表会下载到文本文件中。点击左下角的 .txt 文件,查看已下载的规则。

修改规则详细信息

当您修改规则时,会触发系统重新扫描受该规则影响的文档。

  1. 在规则列表中,点击要修改的规则。
  2. 点击修改规则
  3. 根据需要修改规则。此流程与创建规则相同。
  4. 修改完成后,点击更新,然后选择:
    • 活跃 - 您的规则会立即生效
    • 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性 然后 数据保护 然后 管理规则来启用该规则。点击该规则的未启用状态,然后选择活跃。启用后,系统会立即执行该规则,数据泄露防护功能会扫描敏感内容。
  5. 点击完成
所做更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

使用安全调查工具调查规则

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版。 比较您的版本

DLP 会使用安全调查工具来显示触发规则的频率。该工具会列出相应规则对应的搜索结果,并显示每个事件的触发操作。

如需使用调查工具,您必须拥有“查看元数据和属性”权限,该权限位于安全中心 然后 调查工具 然后 规则 然后 查看元数据和属性

要调查某条规则,请执行以下操作:

  1. 在规则列表中,将光标指向某一行,然后依次点击 然后 调查规则
  2. 您会看到该规则的搜索结果。请注意,触发规则和更新日志之间存在时间延迟。有关详情,请参阅调查工具

提示:您可以通过调查工具启用或停用规则。在结果表格中,将光标指向列标题“规则 ID”。点击并选择操作 然后 启用规则操作 然后 停用规则

提示:如需查看所有数据泄露防护规则的结果,请点击“关闭”图标 X 以移除特定规则。

使用自定义检测器

过滤自定义检测器

您可以按检测器名称和类型过滤自定义检测器列表。

  1. 在自定义检测器页面上,点击添加过滤条件
  2. 按检测器名称或类型过滤:
    • 检测器名称 - 输入要搜索的字符串
    • 检测器类型 - 选择检测器类型
  3. 点击应用。过滤器会一直应用,直到您将其关闭。

导出检测器

您可以将检测器导出为 .txt 文件。

  1. 在检测器页面上,点击导出检测器
  2. 检测器列表会下载到文本文件中。点击左下角的 .txt 文件,查看已下载的检测器。

修改自定义字词表检测器

当您修改规则使用的自定义检测器时,会触发系统重新扫描受包含所修改的检测器的规则影响的文档。

要修改自定义检测器名称和说明,请执行以下操作:

  1. 点击列表中的自定义字词表检测器。
  2. 点击修改信息
  3. 修改标题和说明。
  4. 点击保存

要将字词添加到列表中,请执行以下操作:

  1. 点击列表中的自定义字词表检测器。
  2. 点击添加字词
  3. 向字词表中添加字词。
  4. 点击保存

要修改列表中的字词,请执行以下操作:

  1. 点击列表中的自定义字词表检测器。
  2. 点击修改字词
  3. 修改列表中的字词。
  4. 点击保存

修改自定义正则表达式检测器

当您修改规则使用的自定义检测器时,会触发系统重新扫描受包含所修改的检测器的规则影响的文档。

要修改自定义正则表达式的名称、说明或正则表达式,请执行以下操作:

  1. 在自定义检测器页面上,点击相应自定义正则表达式检测器。
  2. 在弹出式窗口中,修改标题、说明或正则表达式。
  3. 如果您修改了正则表达式,请点击测试表达式。输入要验证的测试数据。
  4. 点击保存

删除自定义检测器

检测器一旦删除,就无法恢复。

  1. 在自定义检测器页面上,将光标指向某一行,系统会在行末显示回收站图标
  2. 选择回收站图标
  3. 确认您要删除该检测器。