สร้างกฎ DLP สำหรับไดรฟ์และตัวตรวจจับเนื้อหาที่กำหนดเอง

กฎ DLP สำหรับไดรฟ์และตัวตรวจจับเนื้อหา

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard และ Frontline Plus, Enterprise Standard และ Enterprise Plus, Education Fundamentals, Education Standard และ Education Plus รวมถึง Enterprise Essentials Plus เปรียบเทียบรุ่นของคุณ

การใช้การป้องกันข้อมูลรั่วไหล (DLP) สำหรับไดรฟ์จะช่วยให้คุณสร้างกฎแบบซับซ้อนซึ่งมีทั้งทริกเกอร์และเงื่อนไขได้ นอกจากนี้คุณยังกำหนดการดำเนินการที่จะส่ง ข้อความแจ้งผู้ใช้ว่าเนื้อหาของตนถูกบล็อกได้อีกด้วย

สร้างกฎ DLP สำหรับไดรฟ์และตัวตรวจจับเนื้อหาที่กำหนดเอง

ขั้นตอนที่ 1: วางแผนกฎ

ตัดสินใจเกี่ยวกับเงื่อนไขของกฎ

เงื่อนไขของกฎ DLP จะกำหนดประเภทเนื้อหาที่ละเอียดอ่อนที่กฎจะตรวจหา ดูตัวอย่างพื้นฐานได้ที่ตัวอย่างกฎ DLP ด้านล่าง กฎอาจมีเพียงเงื่อนไขเดียว หรืออาจรวมหลายเงื่อนไขโดยใช้โอเปอเรเตอร์ AND, OR หรือ NOT ก็ได้ โปรดไปที่หัวข้อตัวอย่างโอเปอเรเตอร์เงื่อนไขของกฎที่ซ้อนกันของ DLP สำหรับไดรฟ์เพื่อดูตัวอย่างเงื่อนไขที่ซ้อนกัน

โปรดดูคำแนะนำเกี่ยวกับวิธีการปรับปรุงการทดสอบกฎ รวมถึงการตั้งค่าสภาพแวดล้อมการทดสอบกฎที่หัวข้อแนวทางปฏิบัติที่ดีที่สุดสำหรับการทดสอบกฎที่รวดเร็วขึ้น

คุณสามารถสร้างกฎเฉพาะการตรวจสอบเพื่อทดสอบกฎที่สร้างใน DLP ซึ่งจะช่วยให้คุณทดสอบผลที่อาจเกิดขึ้นจากกฎสำหรับ Google ไดรฟ์ได้ กฎนี้จะทำงานเช่นเดียวกับกฎอื่นๆ แต่ในกรณีนี้จะไม่ดำเนินการใดๆ นอกจากเขียนผลลัพธ์ลงในบันทึกการตรวจสอบกฎและเครื่องมือตรวจสอบ

โปรดดูคำแนะนำเกี่ยวกับวิธีการปรับปรุงการทดสอบกฎ รวมถึงการตั้งค่าสภาพแวดล้อมการทดสอบกฎที่หัวข้อแนวทางปฏิบัติที่ดีที่สุดสำหรับการทดสอบกฎที่รวดเร็วขึ้น

หากต้องการสร้างและใช้กฎเฉพาะการตรวจสอบ ให้ทำดังนี้

  1. ทำตามขั้นตอนการสร้างกฎในขั้นตอนที่ 3 สร้างกฎ
  2. เมื่อคุณไปที่ส่วนการดำเนินการของการสร้างกฎ โปรดอย่าเลือกการดำเนินการ การดำเนินการเป็นตัวเลือกที่ไม่บังคับ กฎจะเริ่มทำงานโดยไม่มีการดำเนินการที่เกี่ยวข้องและจะบันทึกเหตุการณ์ทั้งหมดในบันทึกการตรวจสอบกฎ ในกรณีนี้ กฎจะแสดงเฉพาะการระบุตรวจสอบเท่านั้นในตัวเลือกการดำเนินการ
  3. ดำเนินการต่อและกำหนดค่ากฎให้เรียบร้อย ตรวจสอบว่ากฎมีสถานะใช้งาน
  4. ทดสอบการทำงานด้วยตนเองหรือรอให้ผู้ใช้ในโดเมนแชร์ข้อมูลซึ่งอาจได้รับผลจากกฎนี้
  5. ดูบันทึกการตรวจสอบกฎ ดูรายละเอียดที่บันทึกการตรวจสอบกฎหรือเครื่องมือตรวจสอบ บันทึกการตรวจสอบจะแสดงรายการกฎที่ไม่มีการดำเนินการเกิดขึ้นเมื่อใช้กฎเฉพาะการตรวจสอบ

  6. เมื่อมั่นใจว่ากำหนดค่ากฎตามที่ต้องการแล้ว ให้เปลี่ยนกฎเพื่อให้มีการดำเนินการ (ตามที่อธิบายไว้ในขั้นตอนที่ 3 สร้างกฎ)

กฎที่แนะนำคือกฎ DLP ที่แนะนำให้คุณโดยอิงจากผลของรายงานข้อมูลเชิงลึกเกี่ยวกับการคุ้มครองข้อมูล เช่น หากในองค์กรมีรายงานที่ระบุว่าหมายเลขหนังสือเดินทางเป็นประเภทข้อมูลที่แชร์ DLP จะแนะนำกฎที่ป้องกันไม่ให้มีการแชร์หมายเลขหนังสือเดินทาง

คุณจะได้รับการแนะนำกฎก็ต่อเมื่อคุณเปิดรายงานข้อมูลเชิงลึกเกี่ยวกับการคุ้มครองข้อมูลเท่านั้น ดูรายละเอียดที่หัวข้อป้องกันข้อมูลรั่วไหลด้วยกฎที่แนะนำสำหรับการปกป้องข้อมูล

ฉันจะเลือกกลุ่มประเภทใดเป็นขอบเขตของกฎได้บ้าง

คุณสามารถเลือกกลุ่มที่สร้างโดยผู้ดูแลระบบหรือผู้ใช้จากรายการกลุ่มในคอนโซลผู้ดูแลระบบ โดยอีเมลของกลุ่มต้องลงท้ายด้วยโดเมนขององค์กร คุณจึงไม่สามารถเลือกกลุ่มภายนอกมาเป็นขอบเขตของกฎได้

คุณเพิ่มทั้งเบราว์เซอร์และผู้ใช้ลงในกลุ่มได้ เช่น หากต้องการใช้กฎกับเบราว์เซอร์ Chrome ให้เพิ่มเบราว์เซอร์ลงในกลุ่มเป้าหมาย

กลุ่มบางประเภทที่ควรพิจารณาสำหรับกฎ DLP มีดังนี้

  • กลุ่มแบบไดนามิก - จัดการการเป็นสมาชิกโดยอัตโนมัติเมื่อผู้ใช้เข้าร่วม ย้ายภายในองค์กร หรือออกจากองค์กร กลุ่มแบบไดนามิกจะช่วยให้คุณประหยัดเวลาที่ใช้ในการจัดการการเป็นสมาชิกกลุ่มด้วยตนเองได้ โดยมีให้ในคอนโซลผู้ดูแลระบบหรือเมื่อใช้ Cloud Identity API หากต้องการใช้กลุ่มแบบไดนามิกสำหรับกฎ DLP โปรดตรวจสอบว่ากลุ่มดังกล่าวเป็นกลุ่มความปลอดภัยด้วยเช่นกัน (ซึ่งมีป้ายกำกับความปลอดภัย) ดูข้อมูลเพิ่มเติมเกี่ยวกับกลุ่มแบบไดนามิก

  • กลุ่มความปลอดภัย - แปลงกลุ่มมาตรฐานหรือกลุ่มแบบไดนามิกให้เป็นกลุ่มความปลอดภัย ซึ่งจะช่วยให้คุณควบคุม ตรวจสอบ และติดตามกลุ่มได้ เพื่อวัตถุประสงค์ในการอนุญาตและการควบคุมการเข้าถึง ซึ่งคุณสามารถสร้างกลุ่มความปลอดภัยได้ในคอนโซลผู้ดูแลระบบหรือใช้ Cloud Identity Groups API โดยการเพิ่มป้ายกำกับความปลอดภัยไปยังกลุ่ม ดูข้อมูลเพิ่มเติมเกี่ยวกับกลุ่มความปลอดภัย

  • กลุ่มที่ย้ายข้อมูลแล้ว - ใช้ Google Cloud Directory Sync (GCDS) เพื่อซิงค์กลุ่มที่สร้างใน Microsoft Active Directory หรือเครื่องมืออื่นๆ กับ Google Workspace จากนั้นจึงใช้กลุ่มที่ซิงค์ในกฎ DLP ดูข้อมูลเพิ่มเติมเกี่ยวกับ GCDS

ขั้นตอนที่ 2: สร้างตัวตรวจจับที่กำหนดเอง (ไม่บังคับ)

สร้างตัวตรวจจับที่กำหนดเองหากจำเป็น

ต่อไปนี้เป็นวิธีการทั่วไปสำหรับสร้างตัวตรวจจับที่กำหนดเอง หากคุณต้องการใช้ตัวตรวจจับในเงื่อนไขของกฎ

สร้างตัวตรวจจับ DLP เพื่อใช้ร่วมกับกฎ

ก่อนที่จะเริ่ม ให้ลงชื่อเข้าใช้บัญชีผู้ดูแลระบบขั้นสูงหรือบัญชีผู้ดูแลระบบที่ได้รับมอบสิทธิ์ที่มีสิทธิ์ดังต่อไปนี้

  • สิทธิ์ของผู้ดูแลระบบหน่วยขององค์กร
  • สิทธิ์ของผู้ดูแลระบบกลุ่ม
  • สิทธิ์ดูและจัดการกฎ DLP โปรดทราบว่าคุณต้องเปิดใช้งานทั้งสิทธิ์ดูและจัดการ จึงจะเข้าถึงเพื่อสร้างและแก้ไขกฎได้อย่างสมบูรณ์ เราขอแนะนำให้คุณสร้างบทบาทที่กำหนดเองซึ่งมีทั้งสองสิทธิ์
  • สิทธิ์ดูข้อมูลเมตาและแอตทริบิวต์ (จำเป็นสำหรับการใช้เครื่องมือตรวจสอบเท่านั้น) โดยไปที่ศูนย์ความปลอดภัย จากนั้น เครื่องมือตรวจสอบ จากนั้น กฎ จากนั้น ดูข้อมูลเมตาและแอตทริบิวต์

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับสิทธิ์ของผู้ดูแลระบบและการสร้างบทบาทผู้ดูแลระบบที่กำหนดเอง

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น การเข้าถึงและการควบคุมข้อมูล จากนั้น การคุ้มครองข้อมูล

    ต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับดูกฎ DLP และจัดการกฎ DLP

  2. คลิกจัดการตัวตรวจจับ
  3. คลิกเพิ่มตัวตรวจจับ เพิ่มชื่อและคำอธิบาย

    ตัวเลือกมีดังนี้

    • นิพจน์ทั่วไป - นิพจน์ทั่วไปหรือที่เรียกอีกอย่างว่า regex คือวิธีการสำหรับจับคู่ข้อความกับรูปแบบ คลิกทดสอบนิพจน์เพื่อยืนยันนิพจน์ทั่วไป โปรดดูตัวอย่างนิพจน์ทั่วไป
    • รายการคำ - รายการคำที่กำหนดเองที่คุณสร้าง ซึ่งเป็นรายการคำสำหรับตรวจหาที่คั่นด้วยคอมมา โดยระบบไม่คํานึงถึงการใช้อักษรตัวพิมพ์ใหญ่และสัญลักษณ์ และจะจับคู่เฉพาะคำที่มีใจความครบถ้วนเท่านั้น คุณจะเพิ่มข้อความป๊อปอัปซึ่งจะปรากฏเมื่อตรวจพบเนื้อหาได้ คำในตัวตรวจจับรายการคำต้องมีอักขระอย่างน้อย 2 ตัวที่เป็นตัวอักษรหรือตัวเลข
  4. คลิกสร้าง หลังจากนั้น ให้ใช้ตัวตรวจจับเนื้อหาที่กำหนดเองเมื่อเพิ่มเงื่อนไขในกฎ

ขั้นตอนที่ 3: สร้างกฎ

หลังจากที่กำหนดได้แล้วว่าต้องการให้กฎดำเนินการอะไร คุณก็สร้างกฎนั้นขึ้นมา โปรดดูรายละเอียดที่หัวข้อสร้างกฎการคุ้มครองข้อมูล

ขั้นตอนที่ 4: แจ้งผู้ใช้ทราบเกี่ยวกับกฎใหม่

แนะนำกฎใหม่ให้ผู้ใช้ทราบ

แนะนำให้ผู้ใช้ทราบเกี่ยวกับลักษณะการทำงานและผลของกฎใหม่ เช่น ในกรณีที่มีการเลือกบล็อกการแชร์กับภายนอกเมื่อมีการแชร์ข้อมูลที่ละเอียดอ่อน ในกรณีนี้ คุณควรแจ้งให้ผู้ใช้ทราบว่าผู้ใช้อาจแชร์เอกสารไม่ได้เป็นบางครั้ง และสาเหตุที่ทำให้อาจแชร์ไม่ได้

ตัวอย่างกฎ DLP

ตัวอย่างการใช้ตัวแยกประเภทที่กำหนดไว้ล่วงหน้า ตัวตรวจจับที่กำหนดเอง และเทมเพลตกฎ

ตัวอย่างที่ 1: ปกป้องหมายเลขประกันสังคมโดยใช้ตัวแยกประเภทที่กำหนดไว้ล่วงหน้า

ตัวอย่างนี้แสดงวิธีการใช้ตัวแยกประเภทที่กำหนดไว้ล่วงหน้าเพื่อป้องกันไม่ให้ผู้ใช้ในองค์กรและกลุ่มที่ระบุแชร์ข้อมูลที่ละเอียดอ่อน คุณใช้ตัวแยกประเภทที่กำหนดไว้ล่วงหน้าเพื่อระบุข้อมูลที่ป้อนเป็นประจำได้ โดยในตัวอย่างนี้ ข้อมูลดังกล่าวจะเป็นหมายเลขประกันสังคม

ก่อนเริ่ม โปรดตรวจสอบว่าคุณได้ลงชื่อเข้าใช้บัญชีผู้ดูแลระบบขั้นสูงหรือบัญชีผู้ดูแลระบบที่ได้รับมอบสิทธิ์ซึ่งมีสิทธิ์ตามที่ระบุไว้ในหัวข้อสร้างกฎ DLP ด้านบน

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น การเข้าถึงและการควบคุมข้อมูล จากนั้น การคุ้มครองข้อมูล

    ต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับดูกฎ DLP และจัดการกฎ DLP

  2. คลิกจัดการกฎ จากนั้นคลิกเพิ่มกฎ จากนั้น กฎใหม่
  3. เพิ่มชื่อและคำอธิบายกฎ
  4. ในส่วนแอป ให้เลือก Google ไดรฟ์ จากนั้น ไฟล์ในไดรฟ์
  5. คลิกต่อไป
  6. ในส่วนการดำเนินการ ภายใต้ Google ไดรฟ์ ให้เลือกบล็อกการแชร์กับภายนอก
  7. ในส่วนการแจ้งเตือน ให้เลือกระดับความรุนแรงสูง เลือกช่องศูนย์แจ้งเตือนเพื่อเปิดใช้งานการแจ้งเตือน และระบุผู้รับอีเมล

    ระหว่างตอนที่เกิดและตอนที่บันทึกการแจ้งเตือนจะมีเวลาหน่วง ผู้ดูแลระบบจะได้รับการแจ้งเตือนสูงสุด 50 รายการต่อกฎต่อวัน และจะได้รับไปจนกว่าจะถึงเกณฑ์นี้

  8. คลิกต่อไป
  9. ในส่วนขอบเขต เลือกใช้กับ <domain.name> ทั้งหมด หรือเลือกที่จะค้นหาและรวมหรือยกเว้นหน่วยขององค์กรหรือกลุ่มที่ใช้กฎ หากมีข้อขัดแย้งระหว่างหน่วยขององค์กรและกลุ่มในด้านการรวมหรือการยกเว้น กลุ่มจะมีความสำคัญเหนือกว่า
  10. ในส่วนเงื่อนไขเนื้อหา ให้คลิกเพิ่มเงื่อนไข แล้วเลือกค่าดังต่อไปนี้
    • ประเภทเนื้อหาที่จะสแกน - เนื้อหาทั้งหมด
    • สิ่งที่จะสแกน - ตรงกับประเภทข้อมูลที่กำหนดไว้ล่วงหน้า (แนะนำ)
    • ประเภทข้อมูล - หมายเลขประกันสังคมของสหรัฐอเมริกา
    • เกณฑ์ขั้นต่ำของโอกาสที่เป็นไปได้ - สูงมาก ระบบจะใช้มาตรการเพิ่มเติมเพื่อพิจารณาว่าข้อความเรียกให้เกิดการดำเนินการหรือไม่
    • เนื้อหาที่ตรงกันโดยไม่ซ้ำกันขั้นต่ำ - 1 จำนวนครั้งขั้นต่ำที่เนื้อหาที่ตรงกันโดยไม่ซ้ำกันต้องเกิดขึ้นในเอกสารเพื่อเรียกให้เกิดการดำเนินการ
    • จำนวนเนื้อหาที่ตรงกันขั้นต่ำ - 1 จำนวนครั้งที่เนื้อหาต้องปรากฏในข้อความเพื่อทริกเกอร์การดำเนินการ เช่น หากคุณเลือก 2 เนื้อหาก็ต้องปรากฏอย่างน้อย 2 ครั้งในข้อความจึงจะทริกเกอร์การดำเนินการ
  11. คลิกต่อไป
  12. คลิกต่อไปเพื่อตรวจสอบรายละเอียดกฎ
  13. ในส่วนสถานะของกฎ ให้เลือกสถานะเริ่มต้นของกฎดังนี้
    • ใช้งาน - กฎจะทำงานทันที
    • ไม่ใช้งาน - กฎจะคงอยู่ แต่จะไม่ทำงานทันที ซึ่งจะช่วยให้คุณมีเวลาตรวจสอบและแชร์กฎกับสมาชิกในทีมก่อนจะนำไปใช้งาน คุณเปิดใช้งานกฎในภายหลังได้โดยไปที่ความปลอดภัย จากนั้น การคุ้มครองข้อมูล จากนั้น จัดการกฎ คลิกสถานะไม่ใช้งานของกฎแล้วเลือกใช้งาน กฎจะทำงานหลังจากเปิดใช้งาน และ DLP จะสแกนหาเนื้อหาที่ละเอียดอ่อน
  14. คลิกสร้าง
การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาน้อยกว่านั้น ดูข้อมูลเพิ่มเติม

ตัวอย่างที่ 2: ปกป้องชื่อภายในโดยใช้ตัวตรวจจับที่กำหนดเอง

ตัวอย่างนี้แสดงวิธีตั้งค่าตัวตรวจจับที่กำหนดเอง คุณกำหนดรายการคำที่ต้องการตรวจหาในตัวตรวจจับที่กำหนดเองได้ ใช้การตั้งค่าทริกเกอร์ในกฎเพื่อป้องกันไม่ให้ผู้ใช้แชร์เอกสารกับผู้รับภายนอกที่กล่าวถึงข้อมูลที่ละเอียดอ่อน เช่น ชื่อโครงการภายใน

ก่อนเริ่ม โปรดตรวจสอบว่าคุณได้ลงชื่อเข้าใช้บัญชีผู้ดูแลระบบขั้นสูงหรือบัญชีผู้ดูแลระบบที่ได้รับมอบสิทธิ์ซึ่งมีสิทธิ์ตามที่ระบุไว้ในหัวข้อสร้างกฎ DLP ด้านบน

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น การเข้าถึงและการควบคุมข้อมูล จากนั้น การคุ้มครองข้อมูล

    ต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับดูกฎ DLP และจัดการกฎ DLP

  2. คลิกจัดการตัวตรวจจับ จากนั้นคลิกเพิ่มตัวตรวจจับ จากนั้น รายการคำ
  3. ป้อนชื่อและคำอธิบายตัวตรวจจับ
  4. ป้อนคำที่ต้องการตรวจหาโดยคั่นด้วยคอมมา รายการคำที่กำหนดเองจะมีลักษณะดังนี้
    • ไม่คำนึงถึงการใช้อักษรตัวพิมพ์ใหญ่ เช่น BAD จะจับคู่กับ bad, Bad และ BAD
    • จับคู่เฉพาะคำที่มีใจความครบถ้วนเท่านั้น เช่น หากเพิ่มคำว่า bad ลงในรายการคำที่กำหนดเอง ระบบก็จะไม่จับคู่กับคำว่า badminton
  5. คลิกสร้าง
  6. คลิกจัดการกฎ จากนั้นคลิกเพิ่มกฎ จากนั้น กฎใหม่
  7. ในส่วนชื่อ ให้ป้อนชื่อโดยไม่จำเป็นต้องป้อนคำอธิบายกฎ
  8. ในส่วนแอป ให้เลือก Google ไดรฟ์ จากนั้น ไฟล์ในไดรฟ์
  9. ในส่วนการดำเนินการ ภายใต้ Google ไดรฟ์ ให้เลือกบล็อกการแชร์กับภายนอก
  10. ในส่วนการแจ้งเตือน ให้เลือกระดับความรุนแรงสูง เลือกช่องศูนย์แจ้งเตือนเพื่อเปิดใช้งานการแจ้งเตือน และระบุผู้รับอีเมล

    ระหว่างตอนที่เกิดและตอนที่บันทึกการแจ้งเตือนจะมีเวลาหน่วง ผู้ดูแลระบบจะได้รับการแจ้งเตือนสูงสุด 50 รายการต่อกฎต่อวัน และจะได้รับไปจนกว่าจะถึงเกณฑ์นี้

  11. คลิกต่อไป

  12. ในส่วนขอบเขต ให้ค้นหาและเลือกหน่วยขององค์กรหรือกลุ่มที่ใช้กฎ
  13. ในส่วนเงื่อนไขเนื้อหา ให้คลิกเพิ่มเงื่อนไข แล้วเลือกค่าดังต่อไปนี้
    • ประเภทเนื้อหาที่จะสแกน - เนื้อหาทั้งหมด
    • สิ่งที่จะสแกนหา - คำที่ตรงกับในรายการคำ
    • ชื่อรายการคำ - เลื่อนหาตัวตรวจจับที่คุณสร้างไว้ด้านบน
    • โหมดการจับคู่ - เลือกโหมดการจับคู่ดังนี้
      • จับคู่กับทุกคำ - นับคำทั้งหมดที่ตรงกันในรายการคำที่กำหนดไว้ล่างหน้า
      • จับคู่กับคำที่ไม่ซ้ำกันขั้นต่ำ - ระบุคำที่ไม่ซ้ำกันที่ตรวจพบขั้นต่ำและจำนวนครั้งทั้งหมดที่ตรวจพบคำทุกคำ (ที่อยู่ในรายการคำที่กำหนดไว้ล่วงหน้า) ขั้นต่ำ
    • จำนวนครั้งทั้งหมดที่ตรวจพบคำขั้นต่ำ - 1
  14. คลิกต่อไปเพื่อตรวจสอบรายละเอียดกฎ
  15. ในส่วนสถานะของกฎ ให้เลือกสถานะเริ่มต้นของกฎดังนี้
    • ใช้งาน - กฎจะทำงานทันที
    • ไม่ใช้งาน - กฎจะคงอยู่ แต่จะไม่ทำงานทันที ซึ่งจะช่วยให้คุณมีเวลาตรวจสอบและแชร์กฎกับสมาชิกในทีมก่อนจะนำไปใช้งาน คุณเปิดใช้งานกฎในภายหลังได้โดยไปที่ความปลอดภัย จากนั้น การคุ้มครองข้อมูล จากนั้น จัดการกฎ คลิกสถานะไม่ใช้งานของกฎแล้วเลือกใช้งาน กฎจะทำงานหลังจากเปิดใช้งาน และ DLP จะสแกนหาเนื้อหาที่ละเอียดอ่อน
  16. คลิกสร้าง
การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาน้อยกว่านั้น ดูข้อมูลเพิ่มเติม

ตัวอย่างที่ 3: ปกป้องข้อมูลส่วนบุคคลที่ระบุตัวบุคคลนั้นได้โดยใช้เทมเพลตกฎ

เทมเพลตกฎมีชุดเงื่อนไขที่ครอบคลุมสถานการณ์การคุ้มครองข้อมูลทั่วไปจำนวนมาก ใช้เทมเพลตกฎเพื่อกำหนดนโยบายสำหรับสถานการณ์การคุ้มครองข้อมูลทั่วไป

ตัวอย่างนี้ใช้เทมเพลตกฎเพื่อบล็อกการส่งหรือการแชร์เอกสารในไดรฟ์หรืออีเมลที่มีข้อมูลส่วนบุคคลที่ระบุตัวบุคคลนั้นได้ (PII) ของสหรัฐอเมริกา

ก่อนเริ่ม โปรดตรวจสอบว่าคุณได้ลงชื่อเข้าใช้บัญชีผู้ดูแลระบบขั้นสูงหรือบัญชีผู้ดูแลระบบที่ได้รับมอบสิทธิ์ซึ่งมีสิทธิ์ตามที่ระบุไว้ในหัวข้อสร้างกฎ DLP ด้านบน

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น การเข้าถึงและการควบคุมข้อมูล จากนั้น การคุ้มครองข้อมูล

    ต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับดูกฎ DLP และจัดการกฎ DLP

  2. คลิกจัดการกฎ
  3. คลิกเพิ่มกฎ จากนั้น กฎใหม่จากเทมเพลต
  4. ในหน้าเทมเพลต ให้คลิกป้องกันการแชร์ข้อมูล PII (สหรัฐอเมริกา)
  5. ยอมรับชื่อและคำอธิบายกฎเริ่มต้น หรือป้อนค่าใหม่
  6. คลิกต่อไป
  7. ตรวจสอบการตั้งค่าการดำเนินการและการแจ้งเตือน แล้วแก้ไขหากจำเป็น สำหรับ Google ไดรฟ์ ระบบจะเลือกบล็อกการแชร์กับภายนอกเอาไว้ การบล็อกการแชร์จะทำให้ผู้ใช้แชร์ไฟล์ที่ตรงตามเงื่อนไขกับผู้ใช้ภายนอกองค์กรไม่ได้ ความปลอดภัยจะตั้งค่าเป็นต่ำ และจะปิดใช้การแจ้งเตือน
  8. คลิกต่อไป
  9. โดยระบบจะเลือกเทมเพลตกฎเอาไว้ล่วงหน้าแล้ว ตรวจสอบเงื่อนไขดังกล่าวหากต้องการดูเงื่อนไขที่ใช้กับกฎ
  10. คลิกต่อไปเพื่อตรวจสอบรายละเอียดกฎ
  11. ในส่วนสถานะของกฎ ให้เลือกสถานะเริ่มต้นของกฎดังนี้
    • ใช้งาน - กฎจะทำงานทันที
    • ไม่ใช้งาน - กฎจะคงอยู่ แต่จะไม่ทำงานทันที ซึ่งจะช่วยให้คุณมีเวลาตรวจสอบและแชร์กฎกับสมาชิกในทีมก่อนจะนำไปใช้งาน คุณเปิดใช้งานกฎในภายหลังได้โดยไปที่ความปลอดภัย จากนั้น การคุ้มครองข้อมูล จากนั้น จัดการกฎ คลิกสถานะไม่ใช้งานของกฎแล้วเลือกใช้งาน กฎจะทำงานหลังจากเปิดใช้งาน และ DLP จะสแกนหาเนื้อหาที่ละเอียดอ่อน
  12. คลิกสร้าง
การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาน้อยกว่านั้น ดูข้อมูลเพิ่มเติม

ตัวอย่างที่ 4: บล็อกการดาวน์โหลดเนื้อหาที่ละเอียดอ่อนในอุปกรณ์ iOS หรือ Android

ตัวอย่างนี้จะรวมกฎ DLP เข้ากับเงื่อนไขการเข้าถึงแบบ Context-Aware เมื่อคุณรวมกฎ DLP เข้ากับเงื่อนไขของบริบท ระบบจะใช้กฎก็ต่อเมื่อเป็นไปตามเงื่อนไขเท่านั้น

ในตัวอย่างนี้ กฎ DLP จะบล็อกผู้ใช้เอกสารใน Google เอกสารที่มีสิทธิ์แสดงความคิดเห็นหรือสิทธิ์ดู ไม่ให้ดาวน์โหลด พิมพ์ หรือคัดลอกเนื้อหาที่ละเอียดอ่อนได้ โดยเงื่อนไขของบริบทคือผู้ใช้เข้าถึงเนื้อหาจากอุปกรณ์ iOS หรือ Android

สำคัญ: หากต้องการใช้เงื่อนไขบริบทตามระบบปฏิบัติการของอุปกรณ์หรือของอุปกรณ์กับมือถือ คุณต้องเปิดใช้การจัดการอุปกรณ์ขั้นพื้นฐานหรือขั้นสูง

ก่อนเริ่ม โปรดตรวจสอบว่าคุณได้ลงชื่อเข้าใช้บัญชีผู้ดูแลระบบขั้นสูงหรือบัญชีผู้ดูแลระบบที่ได้รับมอบสิทธิ์ซึ่งมีสิทธิ์ตามที่ระบุไว้ในหัวข้อสร้างกฎ DLP ด้านบน

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น การเข้าถึงและการควบคุมข้อมูล จากนั้น การคุ้มครองข้อมูล

    ต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับดูกฎ DLP และจัดการกฎ DLP

  2. คลิกจัดการกฎ จากนั้นคลิกเพิ่มกฎ จากนั้น กฎใหม่
  3. เพิ่มชื่อและคำอธิบายกฎ
  4. ในส่วนแอป ให้เลือก Google ไดรฟ์ จากนั้น ไฟล์ในไดรฟ์
  5. คลิกต่อไป
  6. ในส่วนการดำเนินการของ Google ไดรฟ์ ให้เลือกปิดใช้การดาวน์โหลด พิมพ์ และคัดลอก แล้วเลือกสำหรับผู้แสดงความคิดเห็นและผู้มีสิทธิ์อ่านเท่านั้น

    หมายเหตุ: การดำเนินการดังกล่าวจะมีผลก็ต่อเมื่อเป็นไปตามเงื่อนไขเนื้อหาและเงื่อนไขบริบท

  7. (ไม่บังคับ) เลือกระดับความรุนแรงของการแจ้งเตือน (ต่ำ ปานกลาง หรือสูง) และเลือกว่าจะส่งการแจ้งเตือนและข้อความแจ้งเตือนทางอีเมลหรือไม่
  8. คลิกต่อไป
  9. ในส่วนขอบเขต ให้ค้นหาและเลือกกลุ่มหน่วยขององค์กรที่ใช้กฎ
  10. ในแอป ให้เลือกไฟล์ในไดรฟ์ในส่วน Google ไดรฟ์
  11. ในส่วนเงื่อนไขเนื้อหา ให้คลิกเพิ่มเงื่อนไข
  12. เลือกเนื้อหาทั้งหมดในส่วนประเภทเนื้อหาที่จะสแกน
  13. ในส่วนสิ่งที่จะสแกนหา ให้เลือกประเภทการสแกน DLP และเลือกแอตทริบิวต์ โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับแอตทริบิวต์ที่ใช้ได้ที่หัวข้อสร้างกฎ DLP
  14. ในส่วนเงื่อนไขบริบท ให้คลิกเลือกระดับการเข้าถึงเพื่อแสดงระดับการเข้าถึงที่มีอยู่
  15. คลิกสร้างระดับการเข้าถึงใหม่
  16. ป้อนชื่อและคำอธิบายของระดับการเข้าถึงใหม่
  17. ในส่วนเงื่อนไขบริบท ให้คลิกเพิ่มเงื่อนไข
  18. เลือกตรงตามแอตทริบิวต์ทั้งหมด
  19. คลิกเลือกแอตทริบิวต์ จากนั้น ระบบปฏิบัติการของอุปกรณ์ จากนั้นคลิกเลือกระบบปฏิบัติการ แล้วเลือก iOS จากรายการแบบเลื่อนลง
  20. สำหรับเวอร์ชันขั้นต่ำ ให้ใช้ค่าเริ่มต้นเป็น "ทุกเวอร์ชัน" หรือเลือกเวอร์ชันที่ต้องการ
  21. คลิกเพิ่มเงื่อนไข แล้วทำตามขั้นตอนที่ 20-21 อีกครั้งโดยเลือก Android เป็นระบบปฏิบัติการของอุปกรณ์
  22. ตั้งค่าปุ่มเปิด/ปิดเข้าร่วมหลายเงื่อนไขด้วย (อยู่ด้านบนเงื่อนไข) เป็น "OR" ซึ่งหมายความว่าระบบจะใช้กฎ DLP หากผู้ใช้เข้าถึงเนื้อหาที่ละเอียดอ่อนด้วยอุปกรณ์ iOS หรือ Android
  23. คลิกสร้าง แล้วกลับไปที่หน้าสร้างกฎ ระบบจะเพิ่มระดับการเข้าถึงใหม่ลงในรายการและแอตทริบิวต์ของระดับดังกล่าวจะแสดงอยู่ทางด้านขวา
  24. คลิกต่อไปเพื่อตรวจสอบรายละเอียดกฎ
  25. ในส่วนสถานะของกฎ ให้เลือกสถานะเริ่มต้นของกฎดังนี้
    • ใช้งาน - กฎจะทำงานทันที
    • ไม่ใช้งาน - กฎจะคงอยู่ แต่จะไม่ทำงานทันที ซึ่งจะช่วยให้คุณมีเวลาตรวจสอบและแชร์กฎกับสมาชิกในทีมก่อนจะนำไปใช้งาน คุณเปิดใช้งานกฎในภายหลังได้โดยไปที่ความปลอดภัย จากนั้น การคุ้มครองข้อมูล จากนั้น จัดการกฎ คลิกสถานะไม่ใช้งานของกฎแล้วเลือกใช้งาน กฎจะทำงานหลังจากเปิดใช้งาน และ DLP จะสแกนหาเนื้อหาที่ละเอียดอ่อน
  26. คลิกสร้าง

การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม

โปรดดูตัวอย่างเพิ่มเติมได้ที่หัวข้อรวมกฎ DLP เข้ากับเงื่อนไขการเข้าถึงแบบ Context-Aware

รักษากฎ DLP และตัวตรวจจับเนื้อหาที่กำหนดเอง

หลังจากที่สร้างกฎ DLP หรือตัวตรวจจับที่กำหนดเองแล้ว คุณสามารถดู แก้ไข เปิดหรือปิดใช้งาน รวมถึงรักษากฎและตัวตรวจจับนั้นไว้ได้

ดูกฎและตัวตรวจจับที่กำหนดเองที่มีอยู่

ก่อนที่จะเริ่ม ให้ลงชื่อเข้าใช้บัญชีผู้ดูแลระบบขั้นสูงหรือบัญชีผู้ดูแลระบบที่ได้รับมอบสิทธิ์ที่มีสิทธิ์ดังต่อไปนี้

  • สิทธิ์ของผู้ดูแลระบบหน่วยขององค์กร
  • สิทธิ์ของผู้ดูแลระบบกลุ่ม
  • สิทธิ์ดูและจัดการกฎ DLP โปรดทราบว่าคุณต้องเปิดใช้งานทั้งสิทธิ์ดูและจัดการ จึงจะเข้าถึงเพื่อสร้างและแก้ไขกฎได้อย่างสมบูรณ์ เราขอแนะนำให้คุณสร้างบทบาทที่กำหนดเองซึ่งมีทั้งสองสิทธิ์
  • สิทธิ์ดูข้อมูลเมตาและแอตทริบิวต์ (จำเป็นสำหรับการใช้เครื่องมือตรวจสอบเท่านั้น) โดยไปที่ศูนย์ความปลอดภัย จากนั้น เครื่องมือตรวจสอบ จากนั้น กฎ จากนั้น ดูข้อมูลเมตาและแอตทริบิวต์

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับสิทธิ์ของผู้ดูแลระบบและการสร้างบทบาทผู้ดูแลระบบที่กำหนดเอง

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น การเข้าถึงและการควบคุมข้อมูล จากนั้น การคุ้มครองข้อมูล

    ต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับดูกฎ DLP และจัดการกฎ DLP

  2. คลิกจัดการกฎหรือจัดการตัวตรวจจับ หน้ากฎจะอยู่ในส่วนความปลอดภัย > การคุ้มครองข้อมูล > กฎ ส่วนหน้าตัวตรวจจับจะอยู่ในส่วนความปลอดภัย > การคุ้มครองข้อมูล > ตัวตรวจจับ

ใช้งานกฎ DLP

จัดเรียงกฎ

คุณสามารถจัดเรียงกฎตามคอลัมน์ชื่อหรือแก้ไขล่าสุด โดยจะเลือกจัดเรียงตามลำดับใดก็ได้

  1. ในหน้ากฎ ให้คลิกคอลัมน์ชื่อหรือแก้ไขล่าสุด
  2. คลิกลูกศรขึ้นหรือลงเพื่อจัดเรียงคอลัมน์

เปิดหรือปิดใช้งานกฎ

หากเปิดใช้งานกฎ DLP จะสแกนเอกสารที่ใช้กฎนั้น

  1. ในหน้ากฎ ให้เลือกใช้งานหรือไม่ใช้งานในส่วนคอลัมน์สถานะสำหรับกฎ
  2. ยืนยันว่าต้องการเปิดหรือปิดใช้งานกฎ

ลบกฎ

การลบกฎจะมีผลถาวร

  1. ในหน้ากฎ ให้ชี้ไปที่แถวเพื่อแสดงถังขยะ ปรากฏที่ท้ายแถว
  2. คลิกถังขยะ
  3. ยืนยันว่าต้องการลบกฎดังกล่าว

กฎการส่งออก

คุณส่งออกกฎเป็นไฟล์ .txt ได้

  1. ในหน้ากฎ ให้คลิกส่งออกกฎ
  2. รายการกฎจะดาวน์โหลดลงในไฟล์ข้อความ คลิกไฟล์ .txt ที่มุมซ้ายล่างเพื่อดูกฎที่ดาวน์โหลด

แก้ไขรายละเอียดกฎ

การแก้ไขกฎจะส่งผลให้มีการสแกนเอกสารที่ได้รับผลจากกฎนั้นอีกครั้ง

  1. ในรายการกฎ ให้คลิกกฎที่ต้องการแก้ไข
  2. คลิกแก้ไขกฎ
  3. แก้ไขกฎตามต้องการ ขั้นตอนนี้เหมือนกับการสร้างกฎ
  4. เมื่อเสร็จแล้ว ให้คลิกอัปเดต แล้วเลือกดังนี้
    • ใช้งาน - กฎจะทำงานทันที
    • ไม่ใช้งาน - กฎจะคงอยู่ แต่จะไม่ทำงานทันที ซึ่งจะช่วยให้คุณมีเวลาตรวจสอบและแชร์กฎกับสมาชิกในทีมก่อนจะนำไปใช้งาน คุณเปิดใช้งานกฎในภายหลังได้โดยไปที่ความปลอดภัย จากนั้น การคุ้มครองข้อมูล จากนั้น จัดการกฎ คลิกสถานะไม่ใช้งานของกฎแล้วเลือกใช้งาน กฎจะทำงานหลังจากเปิดใช้งาน และ DLP จะสแกนหาเนื้อหาที่ละเอียดอ่อน
  5. คลิกเสร็จสิ้น
การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาน้อยกว่านั้น ดูข้อมูลเพิ่มเติม

ตรวจสอบกฎด้วยเครื่องมือตรวจสอบความปลอดภัย

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard และ Frontline Plus; Enterprise Standard และ Enterprise Plus; Education Standard และ Education Plus; Enterprise Essentials Plus เปรียบเทียบรุ่นของคุณ

DLP ใช้เครื่องมือตรวจสอบความปลอดภัยเพื่อแสดงความถี่ในการทริกเกอร์กฎ เครื่องมือนี้จะแสดงผลลัพธ์ของการค้นหาในกฎ และแสดงการดำเนินการที่เรียกใช้สำหรับแต่ละเหตุการณ์

หากต้องการใช้เครื่องมือตรวจสอบ คุณต้องมีสิทธิ์ดูข้อมูลเมตาและแอตทริบิวต์ซึ่งอยู่ที่ศูนย์ความปลอดภัย จากนั้น เครื่องมือตรวจสอบ จากนั้น กฎ จากนั้น ดูข้อมูลเมตาและแอตทริบิวต์

หากต้องการตรวจสอบกฎ ให้ทำดังนี้

  1. จากรายการกฎ ให้ชี้เมาส์ไปที่แถวแล้วคลิก จากนั้น ตรวจสอบกฎ
  2. คุณจะเห็นผลการค้นหาสำหรับกฎ โปรดทราบว่าจะมีเวลาหน่วงระหว่างตอนที่กฎทริกเกอร์และตอนที่อัปเดตบันทึก โปรดดูรายละเอียดที่เครื่องมือตรวจสอบ

เคล็ดลับ: คุณเปิดหรือปิดใช้งานกฎได้จากเครื่องมือตรวจสอบ ในตารางผลลัพธ์ ให้ชี้ที่ส่วนหัวคอลัมน์รหัสกฎ คลิกแล้วเลือกการดำเนินการ จากนั้น เปิดใช้งานกฎหรือการดำเนินการ จากนั้น ปิดใช้งานกฎ

เคล็ดลับ: หากต้องการดูผลลัพธ์สำหรับกฎ DLP ทั้งหมด ให้คลิกปิด X เพื่อนำกฎที่ต้องการออก

ใช้งานตัวตรวจจับที่กำหนดเอง

กรองตัวตรวจจับที่กำหนดเอง

คุณกรองรายการตัวตรวจจับที่กำหนดเองตามชื่อและประเภทตัวตรวจจับได้

  1. ในหน้าตัวตรวจจับที่กำหนดเอง ให้คลิกเพิ่มตัวกรอง
  2. กรองตามชื่อหรือประเภทของตัวตรวจจับ ดังนี้
    • ชื่อตัวตรวจจับ - ป้อนสตริงที่จะค้นหา
    • ประเภทตัวตรวจจับ - เลือกประเภทตัวตรวจจับ
  3. คลิกใช้ ซึ่งตัวกรองจะยังคงอยู่จนกว่าคุณจะปิด

ส่งออกตัวตรวจจับ

คุณส่งออกตัวตรวจจับเป็นไฟล์ .txt ได้

  1. ในหน้าตัวตรวจจับ ให้คลิกส่งออกตัวตรวจจับ
  2. รายการตัวตรวจจับจะดาวน์โหลดลงในไฟล์ข้อความ คลิกไฟล์ .txt ที่มุมซ้ายล่างเพื่อดูตัวตรวจจับที่ดาวน์โหลด

แก้ไขตัวตรวจจับที่กำหนดเองของรายการคำ

การแก้ไขตัวตรวจจับที่กำหนดเองซึ่งใช้ในกฎจะส่งผลให้มีการสแกนเอกสารที่ได้รับผลจากกฎซึ่งมีตัวตรวจจับที่แก้ไขนั้นอีกครั้ง

หากต้องการแก้ไขชื่อและคำอธิบายของตัวตรวจจับที่กำหนดเอง ให้ทำดังนี้

  1. คลิกตัวตรวจจับที่กำหนดเองของรายการคำในรายการ
  2. คลิกแก้ไขข้อมูล
  3. แก้ไขชื่อและคำอธิบาย
  4. คลิกบันทึก

หากต้องการเพิ่มคำในรายการ ให้ทำดังนี้

  1. คลิกตัวตรวจจับที่กำหนดเองของรายการคำในรายการ
  2. คลิกเพิ่มคำ
  3. เพิ่มคำลงในรายการคำ
  4. คลิกบันทึก

หากต้องการแก้ไขคำในรายการ ให้ทำดังนี้

  1. คลิกตัวตรวจจับที่กำหนดเองของคำที่กำหนดเองในรายการ
  2. คลิกแก้ไขคำ
  3. แก้ไขคำในรายการ
  4. คลิกบันทึก

แก้ไขตัวตรวจจับนิพจน์ทั่วไปที่กำหนดเอง

การแก้ไขตัวตรวจจับที่กำหนดเองซึ่งใช้ในกฎจะส่งผลให้มีการสแกนเอกสารที่ได้รับผลจากกฎซึ่งมีตัวตรวจจับที่แก้ไขนั้นอีกครั้ง

หากต้องการแก้ไขชื่อตัวตรวจจับนิพจน์ทั่วไปที่กำหนดเอง คำอธิบาย หรือนิพจน์ทั่วไป

  1. ในหน้าตัวตรวจจับที่กำหนดเอง ให้คลิกตัวตรวจจับนิพจน์ทั่วไปที่กำหนดเอง
  2. ในป๊อปอัป ให้แก้ไขชื่อ คำอธิบาย หรือนิพจน์ทั่วไป
  3. หากแก้ไขนิพจน์ทั่วไปแล้ว ให้คลิกทดสอบนิพจน์ ป้อนข้อมูลทดสอบเพื่อยืนยัน
  4. คลิกบันทึก

ลบตัวตรวจจับที่กำหนดเอง

การลบตัวตรวจจับจะมีผลถาวร

  1. ในหน้าตัวตรวจจับที่กำหนดเอง ให้ชี้ที่แถวเพื่อให้ถังขยะ ปรากฏที่ท้ายแถว
  2. เลือกถังขยะ
  3. ยืนยันว่าต้องการลบตัวตรวจจับดังกล่าว