יצירת כללי DLP ל-Drive ומזהי תוכן בהתאמה אישית

כללי DLP ב-Drive ומזהי תוכן

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Fundamentals,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus. השוואה בין המהדורות

תכונות DLP ב-Drive וב-Chat זמינות גם למשתמשי Cloud Identity Premium שיש להם גם רישיון ל-Google Workspace (מהדורות Enterprise,‏ Business או Education).

באמצעות התכונה 'מניעת אובדן נתונים' (DLP) ב-Drive, אתם יכולים ליצור כללים מורכבים שמשלבים טריגרים ותנאים. אפשר גם לציין פעולה שתשלח הודעה למשתמש שהתוכן שלו נחסם.

יצירת כללי DLP ל-Drive ומזהי תוכן בהתאמה אישית

שלב 1: מתכננים את הכללים

קביעת התנאים להפעלת הכלל

התנאים של כלל ה-DLP קובעים איזה סוג של תוכן רגיש הכלל יזהה. למטה מפורטות דוגמאות לכללי DLP. יכול להיות שכלל יצטרך רק תנאי אחד, או שהוא יכול לשלב כמה תנאים באמצעות האופרטורים AND,‏ OR או NOT. דוגמאות לתנאים בתצוגת עץ זמינות במאמר דוגמאות לאופרטורים לתנאים בתצוגת עץ של כללי DLP ב-Drive.

  • כדי לזהות מידע אישי רגיל, כמו מספר רישיון נהיגה או מספר משלם מיסים, אפשר להשתמש במזהי תוכן מוגדרים מראש. רשימה מלאה של המזהים הזמינים מופיעה במאמר איך משתמשים במזהי תוכן מוגדרים מראש.
  • בתנאי הכלל אפשר להשתמש גם במזהי תוכן בהתאמה אישית שאתם יוצרים, כמו מזהה תוכן שמכיל רשימת מילים או ביטוי רגולרי. הוראות מפורטות מופיעות בשלב 2. יוצרים מזהה בהתאמה אישית.

הצעות לשיפור בדיקת הכללים, כולל הגדרת סביבת בדיקה לכללים, זמינות במאמר שיטות מומלצות לבדיקת כללים מהירה יותר.

אתם יכולים ליצור כלל לביקורת בלבד כדי לבדוק כללים שאתם יוצרים ב-DLP. כך תוכלו לבדוק את ההשפעה הפוטנציאלית של כלל ב-Google Drive. כמו כל הכללים, הכללים האלה מופעלים, אבל במקרה הזה הם לא מבצעים פעולה, אלא רק כותבים את התוצאות ביומן הביקורת של הכללים ובכלי החקירה.

הצעות לשיפור בדיקת הכללים, כולל הגדרת סביבת בדיקה לכללים, זמינות במאמר שיטות מומלצות לבדיקת כללים מהירה יותר.

כדי ליצור כלל שמיועד רק לבדיקה ולהשתמש בו:

  1. פועלים לפי השלבים ליצירת כלל שמפורטים בשלב 3. יצירת כללים.
  2. כשמגיעים לקטע 'פעולה' בתהליך יצירת הכלל, לא בוחרים פעולה. הפעולות הן אופציונליות. הכלל יופעל ללא פעולה שמשויכת אליו, וכל האירועים יתועדו ביומן הביקורת של הכללים. במקרה כזה, הכלל יסומן בתווית ביקורת בלבד בקטע 'פעולה'.
  3. ממשיכים ומשלימים את הגדרת הכלל. מוודאים שהכלל פעיל.
  4. בודקים את הפונקציונליות בעצמכם, או מחכים שהמשתמשים בדומיין ישתפו באופן טבעי נתונים שעשויים להיות מושפעים מהכלל הזה.
  5. צפייה ביומן הביקורת של הכללים. פרטים נוספים זמינים במאמרים בנושא יומן ביקורת של כללים או כלי החקירה. כשמשתמשים בכלל שמיועד רק לבדיקה, ביומן הביקורת מופיעים כללים ללא פעולה שהופעלה.

  6. אחרי שמוודאים שהכלל מוגדר בדיוק כמו שרוצים, משנים את הכלל כך שתחול עליו פעולה (כמו שמתואר בשלב 3. יצירת כללים).

כללים מומלצים הם כללי DLP שמומלצים לכם על סמך התוצאות של הדוח 'תובנות בנושא הגנה על נתונים'. לדוגמה, אם מספרי דרכונים רשומים בדוח בתור סוג של נתונים שמשותפים בארגון, תקבלו המלצה מה-DLP לכלל למניעת השיתוף של מספרי דרכונים.

המלצות לכללים מתקבלות רק אם הדוח 'תובנות לגבי הגנה על נתונים' מופעל. פרטים נוספים זמינים במאמר בנושא מניעת דליפת נתונים באמצעות כללים מומלצים להגנה על נתונים.

אילו סוגים של קבוצות אפשר לבחור להיקף של הכלל?

אתם יכולים לבחור קבוצות שנוצרו על ידי אדמין או משתמש שנכללות ברשימת הקבוצות במסוף Admin. הסיומת של הכתובות בקבוצה צריכה להיות של הדומיין של הארגון. אי אפשר לבחור קבוצות חיצוניות להיקף ההרשאות של הכלל.

אפשר להוסיף לקבוצות גם דפדפנים וגם משתמשים. לדוגמה, אם רוצים להחיל את הכלל על דפדפן Chrome, מוסיפים את הדפדפן לקבוצת היעד.

אלו כמה סוגי קבוצות שאפשר לבחור בכללי DLP:

  • קבוצות דינמיות: ניהול החברות באופן אוטומטי כשמשתמשים מצטרפים לארגון, עוברים בין מחלקות בארגון או עוזבים אותו. הן זמינות במסוף Admin או עם Cloud Identity API. השימוש בקבוצות דינמיות עוזר לצמצם את הזמן שאתם מקדישים לניהול החברות בקבוצה באופן ידני. כדי להשתמש בקבוצות דינמיות בכלל DLP, חשוב להגדיר אותן גם כקבוצות אבטחה (קבוצות עם התווית אבטחה). מידע נוסף על קבוצות דינמיות

  • קבוצות אבטחה: המרת קבוצה רגילה או קבוצה דינמית לקבוצת אבטחה, שמאפשרת להשגיח, לבדוק ולעקוב אחרי ההרשאות ובקרת הגישה לקבוצה. אתם יכולים ליצור קבוצות אבטחה במסוף Admin, או באמצעות Cloud Identity Groups API, על ידי הוספת התווית אבטחה. מידע נוסף על קבוצות אבטחה

  • קבוצות שהועברו מפלטפורמות אחרות: אתם יכולים להשתמש ב-Google Cloud Directory Sync‏ (GCDS) כדי לסנכרן קבוצות שיצרתם ב-Microsoft Active Directory או בכלים אחרים עם Google Workspace. לאחר מכן, אתם יכולים להשתמש בקבוצות האלו שסונכרנו בכללי DLP. מידע נוסף על GCDS

שלב 2: יצירת מזהה בהתאמה אישית (אופציונלי)

יצירת מזהה בהתאמה אישית לפי הצורך

אלה הוראות כלליות ליצירת מזהה בהתאמה אישית, אם אתם צריכים להשתמש במזהה כזה בתנאי הכלל.

יצירת מזהה DLP לשימוש עם כללים

לפני שמתחילים, צריך להיכנס לחשבון סופר-אדמין או לחשבון אדמין עם ההרשאות הבאות:

  • הרשאות אדמין של יחידה ארגונית.
  • הרשאות אדמין של קבוצות Google.
  • הרשאות צפייה בכללי DLP וניהול כללי DLP. חשוב לזכור: כדי לקבל גישה מלאה ליצירה ולעריכה של כללים, צריך להפעיל את ההרשאות צפייה וניהול. מומלץ ליצור תפקיד בהתאמה אישית שכולל את שתי ההרשאות.
  • הרשאות צפייה במטא-נתונים ובמאפיינים (נדרשות לשימוש בכלי החקירה בלבד): מרכז האבטחה ואז כלי החקירה ואז כלל ואז צפייה במטא-נתונים ובמאפיינים.

כאן יש מידע נוסף על הרשאות אדמין וכאן יש מידע נוסף על יצירת תפקידי אדמין בהתאמה אישית.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז הגנה על נתונים.

    כדי לעשות את זה צריך הרשאות אדמין לצפייה בכללי DLP וניהול כללי DLP.

  2. לוחצים על ניהול אמצעי הזיהוי.
  3. לוחצים על הוספת גלאי. מוסיפים את השם והתיאור.

    אפשר לבחור מבין האפשרויות הבאות:

    • ביטוי רגולרי: שיטה להתאמה בין טקסטים לבין דפוסים. לוחצים על בדיקת הביטוי כדי לאמת את הביטוי הרגולרי. דוגמאות לביטויים רגולריים
    • רשימת מילים – רשימת מילים בהתאמה אישית שאתם יוצרים. זוהי רשימה מופרדת בפסיקים של מילים לזיהוי. המערכת מתעלמת משימוש באותיות רישיות ומסמלים. ההתאמה מתבצעת רק למילים שלמות. אתם יכולים להוסיף הודעה קופצת שתופיע כשהמערכת תזהה תוכן. מילים ברשימת המילים של אמצעי הזיהוי צריכות להכיל לפחות 2 תווים שהם אותיות או ספרות.
  4. לוחצים על יצירה. בהמשך, תוכלו להשתמש במזהה המותאם אישית כשתרצו להוסיף תנאים לכלל.

שלב 3: יצירת כלל

אחרי שמחליטים מה רוצים שהכלל יעשה, יוצרים את הכלל. פרטים נוספים מופיעים במאמר בנושא יצירת כללים להגנה על נתונים.

שלב 4: מודיעים למשתמשים על הכלל החדש

הגדרת ציפיות המשתמשים לגבי כללים חדשים

כדאי להגדיר את הציפיות של המשתמשים לגבי ההתנהגות וההשלכות של הכלל החדש. לדוגמה, אפשר לחסום שיתוף עם גורמים מחוץ לארגון אם משתפים מידע אישי ורגיש. במקרה כזה, כדאי להסביר למשתמשים שלפעמים הם לא יוכלו לשתף מסמכים, ולציין את הסיבות האפשריות לכך.

דוגמאות לכללי DLP

דוגמאות לשימוש בסיווג מוגדר מראש, בגלאי מותאם אישית ובתבנית כלל.

דוגמה 1: הגנה על מספרי תעודת זהות באמצעות מסווג מוגדר מראש

בדוגמה הזו מוסבר איך להשתמש בסיווג מוגדר מראש כדי למנוע ממשתמשים בארגונים ובקבוצות ספציפיים לשתף נתונים רגישים. אתם יכולים להשתמש בסיווגים מוגדרים מראש כדי לציין נתונים שמוזנים בדרך כלל. בדוגמה הזו, הנתונים האלה הם מספרי ביטוח לאומי.

לפני שמתחילים, חשוב לוודא שאתם מחוברים לחשבון סופר-אדמין או לחשבון אדמין עם ההרשאות שמפורטות למעלה בקטע יצירת כלל DLP.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז הגנה על נתונים.

    כדי לעשות את זה צריך הרשאות אדמין לצפייה בכללי DLP וניהול כללי DLP.

  2. לוחצים על ניהול כללים. אחר כך לוחצים על הוספת כלל ואז כלל חדש.
  3. מוסיפים שם ותיאור לכלל.
  4. בקטע אפליקציות, בוחרים באפשרות Google Drive ואז קבצים ב-Drive.
  5. לוחצים על המשך.
  6. בקטע Actions (פעולות), בקטע Google Drive, בוחרים באפשרות Block external sharing (חסימת שיתוף חיצוני).
  7. בקטע שליחת התראות, בוחרים את רמת החומרה גבוהה. מסמנים את התיבה מרכז ההתראות כדי להפעיל התראה, ומציינים את הנמענים של האימייל.

    יש עיכוב בין הרגע שבו מתרחשת התראה לבין הרגע שבו היא נרשמת ביומן. מנהלי מערכת יכולים לקבל עד 50 התראות לכל כלל ביום, עד שמגיעים לסף הזה.

  8. לוחצים על המשך.
  9. בקטע היקף, בוחרים באפשרות החלה על כל <domain.name> או בוחרים לחפש ולכלול או להחריג יחידות ארגוניות או קבוצות שהכלל חל עליהן. אם יש סתירה בין יחידות ארגוניות לבין קבוצות מבחינת הכללה או החרגה, הקבוצה מקבלת עדיפות.
  10. בקטע תנאי תוכן, לוחצים על הוספת תנאי ובוחרים את הערכים הבאים:
    • סוג התוכן לסריקה – כל התוכן
    • מה לסרוק – התאמה לסוג מוגדר מראש של נתונים (מומלץ)
    • סוג הנתונים – ארצות הברית – מספר תעודת זהות.
    • סף סבירות להתאמה — גבוה מאוד. אמצעי נוסף שמשמש לקביעה אם הודעות מפעילות את הפעולה.
    • מספר מינימלי של התאמות ייחודיות – 1. מספר הפעמים המינימלי שהתאמה ייחודית צריכה להופיע במסמך כדי להפעיל את הפעולה.
    • מספר מינימלי של התאמות – 1. מספר הפעמים שהתוכן צריך להופיע בהודעה כדי שהפעולה תופעל. לדוגמה, אם בוחרים באפשרות 2, התוכן צריך להופיע לפחות פעמיים בהודעה כדי שהפעולה תופעל.
  11. לוחצים על המשך.
  12. לוחצים על המשך כדי לבדוק את פרטי הכלל.
  13. בקטע סטטוס הכלל, בוחרים סטטוס ראשוני לכלל:
    • פעיל – הכלל יפעל באופן מיידי
    • לא פעיל – הכלל קיים, אבל הוא לא מתחיל לפעול באופן מיידי. כך אתם יכולים לבדוק את הכלל ולשתף אותו עם חברי הצוות לפני שאתם מטמיעים אותו. כדי להפעיל את הכלל בשלב מאוחר יותר, נכנסים אל אבטחה ואז הגנה על נתונים ואז ניהול הכללים. לוחצים על הסטטוס לא פעיל של הכלל ובוחרים באפשרות פעיל. הכלל יפעל אחרי שתפעילו אותו, ומערכת ה-DLP תסרוק את התוכן הרגיש.
  14. לוחצים על יצירה.
השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף

דוגמה 2: הגנה על שמות פנימיים באמצעות גלאי בהתאמה אישית

בדוגמה הזו מוסבר איך מגדירים מזהה בהתאמה אישית. אפשר לפרט מילים שצריך לזהות במזהה בהתאמה אישית. אפשר להשתמש בהגדרות של טריגרים בכללים כדי למנוע ממשתמשים לשתף מסמכים עם נמענים חיצוניים שכוללים מידע רגיש, כמו שמות פנימיים של פרויקטים.

לפני שמתחילים, חשוב לוודא שאתם מחוברים לחשבון סופר-אדמין או לחשבון אדמין עם ההרשאות שמפורטות למעלה בקטע יצירת כלל DLP.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז הגנה על נתונים.

    כדי לעשות את זה צריך הרשאות אדמין לצפייה בכללי DLP וניהול כללי DLP.

  2. לוחצים על ניהול אמצעי הזיהוי. אחר כך לוחצים על הוספת גלאי ואז רשימת מילים.
  3. מזינים שם ותיאור לגלאי.
  4. מזינים את המילים שצריך לזהות, מופרדות בפסיקים. ברשימות מילים בהתאמה אישית:
    • אין חשיבות לאותיות רישיות או קטנות. לדוגמה, BAD תואם ל-bad,‏ Bad ו-BAD.
    • ההתאמה מתבצעת רק למילים שלמות. לדוגמה, אם מוסיפים את המילה bad לרשימת המילים המותאמת אישית, המילה badminton לא תזוהה.
  5. לוחצים על יצירה.
  6. לוחצים על ניהול כללים. אחר כך לוחצים על הוספת כלל ואז כלל חדש.
  7. בקטע שם, מזינים את השם ואם רוצים מוסיפים גם תיאור לכלל.
  8. בקטע אפליקציות, בוחרים באפשרות Google Drive ואז קבצים ב-Drive.
  9. בקטע Actions (פעולות), בקטע Google Drive, בוחרים באפשרות Block external sharing (חסימת שיתוף חיצוני).
  10. בקטע שליחת התראות, בוחרים את רמת החומרה גבוהה. מסמנים את התיבה מרכז ההתראות כדי להפעיל התראה, ומציינים את הנמענים של האימייל.

    יש עיכוב בין הרגע שבו מתרחשת התראה לבין הרגע שבו היא נרשמת ביומן. מנהלי מערכת יכולים לקבל עד 50 התראות לכל כלל ביום, עד שמגיעים לסף הזה.

  11. לוחצים על המשך.

  12. בקטע היקף, מחפשים את היחידות הארגוניות או הקבוצות שהכלל יחול עליהן ובוחרים אותן.
  13. בקטע תנאי תוכן, לוחצים על הוספת תנאי ובוחרים את הערכים הבאים:
    • סוג התוכן לסריקה – כל התוכן
    • מה לחפש? — התאמה של מילים מרשימת המילים
    • שם של רשימת מילים – גוללים כדי למצוא את המזהה שיצרתם למעלה.
    • מצב התאמה – בוחרים מצב התאמה:
      • התאמה לאחת מהמילים – ספירת התאמות של מילים כלשהן ברשימת המילים המוגדרת מראש
      • התאמה למספר מינימלי של מילים ייחודיות – מציינים את מספר המילים הייחודיות המינימלי שזוהו ואת מספר הפעמים הכולל המינימלי שזוהתה אחת המילים (מתוך רשימת המילים המוגדרת מראש)
    • מספר פעמים כולל מינימלי שזוהתה אחת המילים — 1
  14. לוחצים על המשך כדי לבדוק את פרטי הכלל.
  15. בקטע סטטוס הכלל, בוחרים סטטוס ראשוני לכלל:
    • פעיל – הכלל יפעל באופן מיידי
    • לא פעיל – הכלל קיים, אבל הוא לא מתחיל לפעול באופן מיידי. כך אתם יכולים לבדוק את הכלל ולשתף אותו עם חברי הצוות לפני שאתם מטמיעים אותו. כדי להפעיל את הכלל בשלב מאוחר יותר, נכנסים אל אבטחה ואז הגנה על נתונים ואז ניהול הכללים. לוחצים על הסטטוס לא פעיל של הכלל ובוחרים באפשרות פעיל. הכלל יפעל אחרי שתפעילו אותו, ומערכת ה-DLP תסרוק את התוכן הרגיש.
  16. לוחצים על יצירה.
השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף

דוגמה 3: הגנה על פרטים אישיים מזהים באמצעות תבנית כלל

תבנית כלל מספקת קבוצה של תנאים שמכסים הרבה תרחישים אופייניים של הגנה על נתונים. אפשר להשתמש בתבנית של כלל כדי להגדיר מדיניות למצבים נפוצים של הגנה על נתונים.

בדוגמה הזו נעשה שימוש בתבנית של כלל כדי לחסום שליחה או שיתוף של מסמך ב-Drive או אימייל שמכילים פרטים אישיים מזהים (PII) בארה"ב.

לפני שמתחילים, חשוב לוודא שאתם מחוברים לחשבון סופר-אדמין או לחשבון אדמין עם ההרשאות שמפורטות למעלה בקטע יצירת כלל DLP.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז הגנה על נתונים.

    כדי לעשות את זה צריך הרשאות אדמין לצפייה בכללי DLP וניהול כללי DLP.

  2. לוחצים על ניהול כללים.
  3. לוחצים על הוספת כלל ואז יצירת כלל חדש לפי תבנית.
  4. בדף Templates (תבניות), לוחצים על Prevent PII information sharing (US) (מניעה של שיתוף מידע אישי מזהה (ארה"ב)).
  5. מאשרים את השם והתיאור שמוגדרים כברירת מחדל לכלל או מזינים ערכים חדשים.
  6. לוחצים על המשך.
  7. בודקים את ההגדרות של 'פעולות' ושל התראות ועורכים אותן אם צריך. ב-Google Drive, האפשרות חסימת האפשרות לשתף תוכן עם גורמים חיצוניים מסומנת. חסימת השיתוף מונעת מהמשתמשים לשתף קבצים שעומדים בתנאים עם משתמשים מחוץ לארגון. האבטחה מוגדרת לרמה נמוכה וההתראות מושבתות.
  8. לוחצים על המשך.
  9. התנאים נבחרים מראש בתבנית הכלל. כדאי לעיין בהם כדי לראות את התנאים הספציפיים שחלים על הכלל.
  10. לוחצים על המשך כדי לבדוק את פרטי הכלל.
  11. בקטע סטטוס הכלל, בוחרים סטטוס ראשוני לכלל:
    • פעיל – הכלל יפעל באופן מיידי
    • לא פעיל – הכלל קיים, אבל הוא לא מתחיל לפעול באופן מיידי. כך אתם יכולים לבדוק את הכלל ולשתף אותו עם חברי הצוות לפני שאתם מטמיעים אותו. כדי להפעיל את הכלל בשלב מאוחר יותר, נכנסים אל אבטחה ואז הגנה על נתונים ואז ניהול הכללים. לוחצים על הסטטוס לא פעיל של הכלל ובוחרים באפשרות פעיל. הכלל יפעל אחרי שתפעילו אותו, ומערכת ה-DLP תסרוק את התוכן הרגיש.
  12. לוחצים על יצירה.
השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף

דוגמה 4: חסימת הורדה של תוכן רגיש במכשירי iOS או Android

בדוגמה הזו משולב כלל DLP עם תנאי של בקרת גישה מבוססת-הקשר. כשמשלבים כלל DLP עם תנאי לפי הקשר, הכלל מופעל רק כשהתנאי מתקיים.

בדוגמה הזו, כלל ה-DLP חוסם את האפשרות של משתמשים במסמך Google עם הרשאת תגובה או גישת צפייה להוריד, להדפיס או להעתיק תוכן רגיש. התנאי לפי הקשר הוא שהמשתמשים ניגשים לתוכן ממכשירי iOS או Android.

חשוב לדעת: כדי להחיל תנאים לפי הקשר שמבוססים על מכשיר או על מערכת ההפעלה של המכשיר על מכשירים ניידים, צריך להפעיל ניהול מכשירים בסיסי או מתקדם.

לפני שמתחילים, חשוב לוודא שאתם מחוברים לחשבון סופר-אדמין או לחשבון אדמין עם ההרשאות שמפורטות למעלה בקטע יצירת כלל DLP.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז הגנה על נתונים.

    כדי לעשות את זה צריך הרשאות אדמין לצפייה בכללי DLP וניהול כללי DLP.

  2. לוחצים על ניהול כללים. אחר כך לוחצים על הוספת כלל ואז כלל חדש.
  3. מוסיפים שם ותיאור לכלל.
  4. בקטע אפליקציות, בוחרים באפשרות Google Drive ואז קבצים ב-Drive.
  5. לוחצים על המשך.
  6. בקטע פעולות, בוחרים באפשרות השבתת ההורדה, ההדפסה וההעתקה עבור Google Drive ובוחרים באפשרות לבעלי הרשאת תגובה וצפייה בלבד.

    הערה: הפעולה מתבצעת רק אם מתקיימים גם תנאי התוכן וגם התנאים לפי הקשר.

  7. (אופציונלי) בוחרים את רמת החומרה של ההתראה (נמוכה, בינונית או גבוהה) ואם לשלוח התראה והתראות באימייל.
  8. לוחצים על המשך.
  9. בקטע היקף, מחפשים את היחידות הארגוניות או הקבוצות שהכלל יחול עליהן ובוחרים אותן.
  10. בקטע אפליקציות, בקטע Google Drive, מסמנים את התיבה קבצים ב-Drive.
  11. בקטע תנאי תוכן, לוחצים על הוספת תנאי.
  12. בקטע סוג התוכן לסריקה, בוחרים באפשרות כל התוכן.
  13. בקטע מה לחפש?, בוחרים סוג סריקת DLP ומאפיינים. מידע נוסף על המאפיינים הזמינים מופיע במאמר יצירת כלל DLP.
  14. בקטע תנאים לפי הקשר, לוחצים על בחירת רמת גישה כדי להציג את רמות הגישה הקיימות.
  15. לוחצים על יצירה של רמת גישה חדשה.
  16. מזינים שם ותיאור לרמת הגישה החדשה.
  17. בקטע תנאים לפי הקשר, לוחצים על הוספת תנאי.
  18. בוחרים באפשרות עומד בכל המאפיינים.
  19. לוחצים על בחירת מאפיין ואז מערכת הפעלה של המכשיר, ואז על בחירת מערכת הפעלה ובוחרים באפשרות iOS מהתפריט הנפתח.
  20. בקטע גרסה מינימלית, משאירים את ברירת המחדל 'כל גרסה' או בוחרים גרסה ספציפית.
  21. לוחצים על הוספת תנאי, חוזרים על שלבים 20 עד 21 ובוחרים באפשרות Android כמערכת ההפעלה של המכשיר.
  22. מעבירים את המתג Join multiple conditions with (שנמצא מעל Conditions) למצב OR. המשמעות היא שכלל ה-DLP יחול אם המשתמשים יגשו לתוכן רגיש באמצעות מכשירי iOS או Android.
  23. לוחצים על יצירה. חוזרים לדף יצירת כלל. רמת הגישה החדשה תתווסף לרשימה, והמאפיינים שלה יוצגו בצד שמאל.
  24. לוחצים על המשך כדי לבדוק את פרטי הכלל.
  25. בקטע סטטוס הכלל, בוחרים סטטוס ראשוני לכלל:
    • פעיל – הכלל יפעל באופן מיידי
    • לא פעיל – הכלל קיים, אבל הוא לא מתחיל לפעול באופן מיידי. כך אתם יכולים לבדוק את הכלל ולשתף אותו עם חברי הצוות לפני שאתם מטמיעים אותו. כדי להפעיל את הכלל בשלב מאוחר יותר, נכנסים אל אבטחה ואז הגנה על נתונים ואז ניהול הכללים. לוחצים על הסטטוס לא פעיל של הכלל ובוחרים באפשרות פעיל. הכלל יפעל אחרי שתפעילו אותו, ומערכת ה-DLP תסרוק את התוכן הרגיש.
  26. לוחצים על יצירה.

השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף

דוגמאות נוספות זמינות במאמר שילוב של כללי DLP עם תנאים של בקרת גישה מבוססת-הקשר.

תחזוקה של כללי DLP ומזהי תוכן בהתאמה אישית

אחרי שיוצרים כללי DLP או גלאים בהתאמה אישית, אפשר להציג, לערוך, להפעיל או להשבית אותם, ולבצע פעולות נוספות כדי לתחזק אותם.

הצגת כללים קיימים ומזהים מותאמים אישית

לפני שמתחילים, צריך להיכנס לחשבון סופר-אדמין או לחשבון אדמין עם ההרשאות הבאות:

  • הרשאות אדמין של יחידה ארגונית.
  • הרשאות אדמין של קבוצות Google.
  • הרשאות צפייה בכללי DLP וניהול כללי DLP. חשוב לזכור: כדי לקבל גישה מלאה ליצירה ולעריכה של כללים, צריך להפעיל את ההרשאות צפייה וניהול. מומלץ ליצור תפקיד בהתאמה אישית שכולל את שתי ההרשאות.
  • הרשאות צפייה במטא-נתונים ובמאפיינים (נדרשות לשימוש בכלי החקירה בלבד): מרכז האבטחה ואז כלי החקירה ואז כלל ואז צפייה במטא-נתונים ובמאפיינים.

כאן יש מידע נוסף על הרשאות אדמין וכאן יש מידע נוסף על יצירת תפקידי אדמין בהתאמה אישית.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז הגנה על נתונים.

    כדי לעשות את זה צריך הרשאות אדמין לצפייה בכללי DLP וניהול כללי DLP.

  2. לוחצים על ניהול כללים או על ניהול אמצעי זיהוי. דף הכללים נמצא בקטע אבטחה > הגנה על נתונים > כללים. דף המזהים נמצא בקטע אבטחה > הגנה על נתונים > מזהים.

עבודה עם כללי DLP

מיון כללים

אפשר למיין את הכללים לפי העמודות שם או השינוי האחרון בסדר עולה או יורד.

  1. בדף הכללים, לוחצים על שם העמודה שם או תאריך שינוי אחרון.
  2. לוחצים על החץ למעלה או למטה כדי למיין את העמודה.

הפעלה או השבתה של כללים

אם מפעילים כלל, ה-DLP מריץ סריקה על המסמכים שבהם נעשה שימוש בכלל הזה.

  1. בדף הכללים, בעמודה 'סטטוס' של כלל מסוים, בוחרים באפשרות פעיל או לא פעיל.
  2. מאשרים שרוצים להפעיל או להשבית את הכלל.

מחיקת כלל

מחיקת כללים היא פעולה בלתי הפיכה.

  1. בדף הכללים, מצביעים על שורה כדי להציג את סמל הפח בסוף השורה.
  2. לוחצים על סמל פח האשפה .
  3. מאשרים שרוצים למחוק את הכלל.

ייצוא כללים

אפשר לייצא כללים לקובץ ‎ .txt.

  1. בדף הכללים, לוחצים על ייצוא כללים.
  2. רשימת הכללים תורד לקובץ טקסט. כדי לראות את הכללים שהורדו, לוחצים על קובץ .txt בפינה הימנית התחתונה.

עריכה של פרטי הכלל

כשעורכים כללים, מתבצע סריקה חדשה של המסמכים שמושפעים מהכללים האלה.

  1. ברשימת הכללים, לוחצים על הכלל שרוצים לערוך.
  2. לוחצים על עריכת כלל.
  3. עורכים את הכלל לפי הצורך. התהליך זהה לתהליך של יצירת כלל.
  4. בסיום, לוחצים על עדכון ובוחרים באחת מהאפשרויות הבאות:
    • פעיל – הכלל יפעל באופן מיידי
    • לא פעיל – הכלל קיים, אבל הוא לא מתחיל לפעול באופן מיידי. כך אתם יכולים לבדוק את הכלל ולשתף אותו עם חברי הצוות לפני שאתם מטמיעים אותו. כדי להפעיל את הכלל בשלב מאוחר יותר, נכנסים אל אבטחה ואז הגנה על נתונים ואז ניהול הכללים. לוחצים על הסטטוס לא פעיל של הכלל ובוחרים באפשרות פעיל. הכלל יפעל אחרי שתפעילו אותו, ומערכת ה-DLP תסרוק את התוכן הרגיש.
  5. לוחצים על סיום.
השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף

חקירת כלל באמצעות הכלי לחקירת אבטחה

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus. השוואה בין המהדורות

הכלי DLP משתמש בכלי לחקירת אבטחה כדי להראות באיזו תדירות מופעל כלל מסוים. בכלי מוצגות תוצאות של חיפוש לפי הכלל, ומוצגות הפעולות שהופעלו לגבי כל אירוע.

כדי להשתמש בכלי החקירה, צריך לקבל הרשאות לצפייה במטא-נתונים ובמאפיינים. ההרשאות האלה נמצאות במרכז האבטחה ואז כלי החקירה ואז כלל ואז צפייה במטא-נתונים ובמאפיינים.

כדי לחקור כלל:

  1. ברשימת הכללים, מצביעים על שורה ולוחצים על ואז חקירת הכלל.
  2. יוצגו תוצאות חיפוש של הכלל. שימו לב: יש עיכוב בין הפעלת הכלל לבין העדכון של היומן. פרטים נוספים זמינים במאמר בנושא כלי החקירה.

טיפ: אפשר להפעיל או להשבית כלל מכלי החקירה. בטבלת התוצאות, מצביעים על כותרת העמודה 'מזהה כלל'. לוחצים על ואז בוחרים באפשרות פעולות ואז הפעלת הכלל או פעולות ואז השבתת הכלל.

טיפ: כדי לראות את התוצאות של כל כללי ה-DLP, לוחצים על סמל הסגירה X כדי להסיר את הכלל הספציפי.

עבודה עם מזהים מותאמים אישית

סינון מזהים מותאמים אישית

אפשר לסנן את רשימת הגלאים המותאמים אישית לפי שם הגלאי וסוג הגלאי.

  1. בדף של המזהה המותאם אישית, לוחצים על הוספת מסנן.
  2. סינון לפי שם או סוג של גלאי:
    • שם המזהה – מזינים מחרוזת לחיפוש
    • סוג גלאי — בוחרים סוג של גלאי
  3. לוחצים על אישור. המסנן יישאר בתוקף עד שתסגרו אותו.

ייצוא מזהים

אפשר לייצא גלאים לקובץ ‎ .txt.

  1. בדף 'גלאים', לוחצים על ייצוא גלאים.
  2. הגלאים מפרטים את ההורדות בקובץ טקסט. לוחצים על קובץ ה-txt בפינה הימנית התחתונה כדי לראות את הגלאים שהורדו.

עריכת גלאי מותאם אישית של רשימת מילים

כשעורכים מזהים מותאמים אישית שמשמשים בכללים, מתבצע סריקה חדשה של המסמכים שמושפעים מהכללים שמכילים את המזהים ששונו.

כדי לערוך את השם והתיאור של גלאי בהתאמה אישית:

  1. לוחצים על מזהה בהתאמה אישית של רשימת מילים ברשימה.
  2. לוחצים על עריכת המידע.
  3. עורכים את השם והתיאור.
  4. לוחצים על שמירה.

כדי להוסיף מילים לרשימה:

  1. לוחצים על מזהה בהתאמה אישית של רשימת מילים ברשימה.
  2. לוחצים על הוספת מילים.
  3. מוסיפים מילים לרשימת המילים.
  4. לוחצים על שמירה.

כדי לערוך מילים ברשימה:

  1. לוחצים על מזהה מותאם אישית של מילים מותאמות אישית ברשימה.
  2. לוחצים על עריכת המילים.
  3. עורכים את המילים ברשימה.
  4. לוחצים על שמירה.

עריכה של מזהה בהתאמה אישית של ביטוי רגולרי

כשעורכים מזהים מותאמים אישית שמשמשים בכללים, מתבצע סריקה חדשה של המסמכים שמושפעים מהכללים שמכילים את המזהים ששונו.

כדי לערוך את השם, התיאור או הביטוי הרגולרי של מזהה בהתאמה אישית של ביטוי רגולרי

  1. בדף של המזהה בהתאמה אישית, לוחצים על מזהה בהתאמה אישית של ביטוי רגולרי.
  2. בחלון הקופץ, עורכים את השם, התיאור או הביטוי הרגולרי.
  3. אם ערכתם את הביטוי הרגולרי, לוחצים על בדיקת הביטוי. מזינים נתונים לבדיקה כדי לאמת.
  4. לוחצים על שמירה.

מחיקת גלאי בהתאמה אישית

מחיקה של מזהים היא סופית.

  1. בדף של הגלאי המותאם אישית, מצביעים על שורה כדי להציג את סמל הפח בסוף השורה.
  2. לוחצים על סמל פח האשפה .
  3. מאשרים שרוצים למחוק את אמצעי הזיהוי.