Onderzoek verdachte bestanden en neem actie.

Ondersteunde edities voor deze functie: Chrome Enterprise Premium . Vergelijk uw editie.

Evidence Locker, beschikbaar met Chrome Enterprise Premium, stelt beheerders in staat bestanden te inspecteren die zijn gemarkeerd als malware of die de regels voor gegevensbescherming schenden. Dit biedt meer inzicht in en controle over potentiële risico's. De bestanden worden opgeslagen in de Google Cloud Storage-bucket van uw organisatie en kunnen door de beveiligingsbeheerder worden gedownload via de Google Workspace Security Investigation Tool (SIT).

Voordat je begint

Het volgende is vereist:

Chrome-browser

Voor meer informatie, zie:

Chrome Enterprise Premium-licentie

Een bewijskluis inrichten

Stap 1: Maak een Google Cloud Storage-bucket aan.

Evidence Locker slaat verdachte of gevoelige bestanden op in een Google Cloud Storage (GCS)-bucket. U moet een bucket aanmaken met behulp van de onderstaande stappen. Enige kennis van Google Cloud Storage is handig.

Tip: Een te soepele DLP-regel (Data Loss Prevention) in Google Cloud kan veel bestanden in de bucket opslaan, wat leidt tot hoge opslagkosten. Maak regels die alleen zeer verdachte bestanden opslaan.

  1. Maak een Google Cloud-project aan. Zie ' Projecten maken en beheren' voor instructies.
  2. Schakel de Cloud Resource Manager API in voor het project:
    • Met de Cloud Resource Manager API kunt u programmatisch containerbronnen beheren, zoals organisaties en projecten, in Google Cloud.
    • Ga naar de Cloud Resource Manager API voor het projectnummer.
  3. Maak een bucket aan met een door de klant beheerde encryptiesleutel (CMEK).
    • Schakel de KMS API in. Zie 'Gebruik door de klant beheerde versleutelingssleutels' .
    • (Optioneel) Om een ​​CMEK-sleutelring en -sleutel te maken, ga naar Beveiliging > Sleutelbeheer > Sleutelring maken .
    • Maak een bucket aan via Cloud Storage > Buckets . Zie Buckets maken .
      • De GCS-bucket moet eigendom zijn van uw organisatie en zich binnen hetzelfde domein bevinden.
      • De CMEK moet zich in dezelfde regio bevinden als de bucket. Meer informatie
    • (Optioneel, maar aanbevolen): Stel een Time to Live (TTL) in voor de bestanden. Bijvoorbeeld: verwijder ze automatisch na 30 dagen.

Stap 2: De bewijskluis inrichten

  1. Ga in de Google Admin-console naar Menu. en dan Apps en dan Aanvullende Google-diensten.

    Hiervoor is beheerdersrechten voor service-instellingen vereist.

  2. Klik op Chrome Enterprise Security Services .
  3. Klik op 'Aan' voor iedereen of 'Uit' voor iedereen en klik vervolgens op 'Opslaan' .
  4. (Optioneel) Om een ​​service voor een organisatie-eenheid in of uit te schakelen:
    1. Selecteer aan de linkerkant de organisatie-eenheid.
    2. Om de servicestatus te wijzigen, selecteert u Aan of Uit .
    3. Kies er één:
      • Als de servicestatus is ingesteld op 'Overgenomen' en u de bijgewerkte instelling wilt behouden, zelfs als de instelling van de bovenliggende service verandert, klikt u op 'Overschrijven' .
      • Als de servicestatus is ingesteld op 'Overschreven' , kunt u op 'Overnemen' klikken om terug te keren naar dezelfde instelling als het bovenliggende element, of op ' Opslaan' klikken om de nieuwe instelling te behouden, zelfs als de instelling van het bovenliggende element verandert.

        Leer meer over organisatiestructuur .

  5. Klik op Instellingen voor bewijskluis .
  6. Klik op 'Voer de naam van de Google Cloud Storage-bucket in' .
  7. Als u geen serviceaccount hebt, klikt u op 'Een serviceaccount genereren' . Een serviceaccount is vereist om verder te gaan.
  8. Voeg het serviceaccount toe aan uw Google Cloud Storage (GCS)-bucket.
    Belangrijk : Het serviceaccount moet beheerdersrechten hebben voor de opslag in het GCP-project waarin de bucket zich bevindt. Zie Een Google Cloud Storage-bucket maken .
    1. Ga in de Google Cloud-console naar Menu. en dan IAM & Beheer en dan Beheer de beschikbare middelen.
    2. Ga naar het GCS-project dat de bucket bevat.
    3. Klik op het tabblad Machtigingen .
    4. Selecteer het serviceaccount voor de bewijskluis.
    5. Klik op Toegang verlenen .
    6. Voer bij 'Nieuw principe' het serviceaccount in dat u zojuist hebt aangemaakt.
    7. Selecteer bij Rol de optie Opslagbeheerder .
    8. (Optioneel): Gebruikers die geen superbeheerder zijn, moeten ook beheerdersrechten voor de opslag hebben in het GCP-project dat de bucket bevat. Dit is vereist om een ​​GCS-bucket uit het project te kunnen selecteren.
    9. Klik op Opslaan .
  9. Voer in de instellingen van Evidence Locker in de Google Workspace-beheerconsole de naam van de Google Cloud-bucket in.
  10. (Optioneel) Om kopieën van bestanden die als malware zijn gemarkeerd in de bewijskluis te bewaren, selecteert u 'Inhoud met malware opslaan in bewijskluis' .
  11. Klik op Opslaan .

Stap 3: Schakel Evidence Locker in voor malware-scans.

Je kunt alle geüploade en gedownloade bestanden die als malware zijn gemarkeerd, opslaan in de opslagbucket. Deze optie kan ook worden ingeschakeld tijdens de configuratie van Evidence Locker.

  1. Ga in de Google Admin-console naar Menu. en dan Apps en dan Aanvullende Google-diensten.

    Hiervoor is beheerdersrechten voor service-instellingen vereist.

  2. Klik op Chrome Enterprise Security Services .
  3. Klik op Instellingen voor bewijskluis .
  4. Klik en wacht tot het serviceaccount van uw organisatie wordt weergegeven.
  5. Selecteer onder het veld voor de bucketnaam de optie 'Inhoud met malware opslaan in Evidence Locker' .

Stap 4: Schakel Evidence Locker in voor scans bij de overdracht van gevoelige gegevens.

U kunt bestanden naar de Evidence Locker-bucket kopiëren wanneer er een schending van de gegevensbeschermingsregels optreedt. Alleen bestanden die door de volgende acties worden geactiveerd, worden gekopieerd:

  • Geüploade bestand
  • Bestand gedownload
  • Afdrukken

Inhoud die is gemarkeerd met "Geplakte inhoud" wordt niet naar Evidence Locker gekopieerd.

  1. Ga in de Google Admin-console naar Menu. en dan Regels .

    Hiervoor is de beheerdersmachtiging 'Vertrouwensregels bekijken' vereist.

  2. Selecteer 'Gegevensbescherming' in het下拉菜单.
  3. Voer een naam en beschrijving in voor de regel.
  4. Selecteer onder Bereik de organisatie-eenheden en/of groepen waarop deze regel van toepassing is.
    Let op: als u een groepsbereik selecteert, worden alleen groepen ondersteund die door beheerders in de Google Admin-console zijn aangemaakt.
  5. Selecteer onder Apps de Chrome-opties Geüploade bestand , Gedownload bestand en/of Afgedrukte inhoud .
  6. Selecteer in het gedeelte 'Acties', onder 'Bewijskluis', de optie 'Geüploade, gedownloade of afgedrukte inhoud die door deze regel is gedetecteerd, opslaan in de bewijskluis'.

Zie voor meer informatie 'Regels voor gegevensbescherming maken' .

Bestanden uit de bewijskluis controleren en downloaden.

Belangrijk: De gegevensbeschermingsregels van Evidence Locker zijn zeer flexibel in te stellen. Uw organisatie is verantwoordelijk voor de naleving van het privacybeleid voor werknemers en voor alle opslagkosten in de Google Cloud Storage-bucket. Houd er rekening mee dat uitgebreide bestandsopslag als gevolg van gegevensbeschermingsregels kan leiden tot aanzienlijke kosten voor Google Cloud Storage.

In de Chrome-logboeken

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Beveiligingscentrum en dan Onderzoeksinstrument .

    Hiervoor is beheerdersrechten voor het beveiligingscentrum vereist.

    De volgende specifieke beheerdersrechten voor het beveiligingscentrum zijn vereist. Zie Beheerdersrechten van de tool voor beveiligingsonderzoek .

    • Om verdachte bestanden te downloaden en te beheren:
      Beheer > Chrome
    • Om de inhoud van verdachte bestanden te bekijken:
      Gevoelige inhoud bekijken > Chrome
  2. Klik op Gegevensbron en selecteer Chrome-logboekgebeurtenissen .
  3. Zoek de resultaten die overeenkomen met uw zoekopdracht en scroll naar rechts.
  4. Klik in de kolom 'Bestandspad bewijskluis' op de link naar het opgeslagen bestand.
    De bestandsdetails worden weergegeven in het zijpaneel. Bijvoorbeeld de oorspronkelijke naam van het bestand en het pad in de Google Cloud Storage-bucket.
  5. Klik onderaan op 'Bestand downloaden' .

Het gedownloade zipbestand is met een wachtwoord beveiligd. Het wachtwoord is "beveiligd" en is hetzelfde voor alle bestanden.

In de regellogboeken

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Beveiligingscentrum en dan Onderzoeksinstrument .

    Hiervoor is beheerdersrechten voor het beveiligingscentrum vereist.

  2. Klik op Gegevensbron en selecteer Logboekgebeurtenissen voor regels . Klik op Zoeken .
  3. Zoek de rij 'Actie voltooid' met de gewenste regel en scrol naar rechts om de kolom 'Bestandspad bewijskluis' te vinden.
  4. Dit is het pad waar het bestand is opgeslagen. Klik op Meer om aanvullende acties te bekijken.