Điều tra và xử lý các tệp đáng ngờ

Phiên bản dùng được tính năng này: Chrome Enterprise Premium. So sánh phiên bản của bạn

Evidence Locker (có trong Chrome Enterprise Premium) cho phép quản trị viên kiểm tra các tệp được gắn cờ là phần mềm độc hại hoặc vi phạm quy tắc bảo vệ dữ liệu, giúp tăng khả năng hiển thị và kiểm soát các rủi ro tiềm ẩn. Các tệp được lưu vào bộ chứa Google Cloud Storage của tổ chức và quản trị viên bảo mật có thể tải các tệp này xuống bằng Công cụ điều tra bảo mật (SIT) của Google Workspace.

Trước khi bắt đầu

Bạn phải có những điều sau:

Trình duyệt Chrome

Để biết thêm thông tin, hãy xem:

Giấy phép Chrome Enterprise Premium

Thiết lập Evidence Locker

Bước 1: Tạo bộ chứa Google Cloud Storage

Evidence Locker lưu trữ các tệp đáng ngờ hoặc nhạy cảm trong một bộ chứa Google Cloud Storage (GCS). Bạn cần tạo một bộ chứa theo các bước sau. Bạn nên làm quen với Google Cloud Storage.

Mẹo: Một quy tắc Ngăn chặn mất dữ liệu (DLP) của Google Cloud quá lỏng lẻo có thể lưu nhiều tệp vào bộ chứa, dẫn đến chi phí lưu trữ cao. Hãy tạo các quy tắc chỉ lưu những tệp có mức độ đáng ngờ cao.

  1. Tạo một dự án trên Google Cloud. Để biết hướng dẫn, hãy xem bài viết Tạo và quản lý dự án.
  2. Bật Cloud Resource Manager API cho dự án:
    • Cloud Resource Manager API cho phép bạn quản lý các tài nguyên vùng chứa theo cách có lập trình, chẳng hạn như tổ chức và dự án trong Google Cloud.
    • Chuyển đến Cloud Resource Manager API cho project_number.
  3. Tạo một bộ chứa bằng Khoá mã hoá do khách hàng quản lý (CMEK).
    • Bật KMS API. Xem bài viết Sử dụng khoá mã hoá do khách hàng quản lý.
    • (Không bắt buộc) Để tạo một vòng khoá và khoá CMEK, hãy chuyển đến phần Bảo mật > Quản lý khoá > Tạo vòng khoá.
    • Tạo một bộ chứa tại Cloud Storage > Bộ chứa. Xem bài viết Tạo bộ chứa.
      • Bộ chứa GCS phải do tổ chức của bạn sở hữu và nằm trong cùng một miền.
      • CMEK phải nằm trong cùng một khu vực với bộ chứa. Tìm hiểu thêm
    • (Không bắt buộc nhưng nên thực hiện): Đặt Thời gian tồn tại (TTL) cho các tệp. Ví dụ: tự động xoá các tệp sau 30 ngày.

Bước 2: Thiết lập Evidence Locker

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Ứng dụng sau đó Các dịch vụ bổ sung của Google.

    Yêu cầu có đặc quyền của quản trị viên Cài đặt dịch vụ.

  2. Nhấp vào Dịch vụ bảo mật của Chrome Enterprise.
  3. Nhấp vào Bật cho mọi người hoặc Tắt cho mọi người rồi nhấp vào Lưu.
  4. (Không bắt buộc) Cách bật hoặc tắt một dịch vụ cho một đơn vị tổ chức:
    1. Ở bên trái, hãy chọn đơn vị tổ chức đó.
    2. Để thay đổi Trạng thái dịch vụ, hãy chọn Bật hoặc Tắt.
    3. Chọn một phương án:
      • Nếu Trạng thái dịch vụ được đặt thành Đã kế thừa và bạn muốn giữ chế độ cài đặt đã cập nhật, ngay cả khi cài đặt gốc thay đổi, hãy nhấp vào Ghi đè.
      • Nếu Trạng thái dịch vụ được đặt thành Đã ghi đè, hãy nhấp vào Kế thừa để quay về chế độ cài đặt giống với chế độ gốc hoặc nhấp vào Lưu để giữ chế độ cài đặt mới, ngay cả khi chế độ cài đặt gốc thay đổi.

        Tìm hiểu thêm về cơ cấu tổ chức.

  5. Nhấp vào Cài đặt Evidence Locker.
  6. Nhấp vào Nhập tên bộ chứa trong Google Cloud Storage.
  7. Nếu bạn chưa có tài khoản dịch vụ, hãy nhấp vào Tạo tài khoản dịch vụ. Bạn phải có tài khoản dịch vụ để tiếp tục.
  8. Thêm tài khoản dịch vụ vào bộ chứa Google Cloud Storage (GCS).
    Quan trọng: Tài khoản dịch vụ phải có đặc quyền Quản trị viên bộ nhớ trong dự án GCP chứa bộ chứa. Xem bài viết Tạo bộ chứa Google Cloud Storage.
    1. Trong bảng điều khiển Cloud của Google, hãy chuyển đến biểu tượng Trình đơn sau đó IAM và Quản trị viên sau đó Quản lý tài nguyên.
    2. Chuyển đến dự án GCS chứa bộ chứa.
    3. Nhấp vào thẻ Quyền.
    4. Chọn tài khoản dịch vụ Evidence Locker.
    5. Nhấp vào Cấp quyền truy cập.
    6. Trong phần Nguyên tắc mới, hãy nhập tài khoản dịch vụ mà bạn vừa tạo.
    7. Trong phần Vai trò, hãy chọn Quản trị viên bộ nhớ.
    8. (Không bắt buộc): Người dùng không phải là quản trị viên cấp cao cũng phải có đặc quyền Quản trị viên bộ nhớ trong dự án GCP chứa bộ chứa. Bạn phải thực hiện việc này để chọn một bộ chứa GCS từ dự án.
    9. Nhấp vào Lưu.
  9. Trong phần Cài đặt Evidence Locker của Bảng điều khiển dành cho quản trị viên Google Workspace, hãy nhập tên bộ chứa Google Cloud.
  10. (Không bắt buộc) Để giữ bản sao của các tệp được gắn cờ là phần mềm độc hại trong Evidence Locker, hãy chọn Lưu những nội dung chứa phần mềm độc hại vào Kho lưu trữ bằng chứng.
  11. Nhấp vào Lưu.

Bước 3: Bật Evidence Locker để quét phần mềm độc hại

Bạn có thể lưu tất cả các tệp tải lên và tải xuống được gắn cờ là phần mềm độc hại vào bộ chứa lưu trữ. Bạn cũng có thể bật tuỳ chọn này trong quá trình thiết lập Evidence Locker.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Ứng dụng sau đó Các dịch vụ bổ sung của Google.

    Yêu cầu có đặc quyền của quản trị viên Cài đặt dịch vụ.

  2. Nhấp vào Dịch vụ bảo mật của Chrome Enterprise.
  3. Nhấp vào Cài đặt Evidence Locker.
  4. Nhấp vào rồi đợi tài khoản dịch vụ của tổ chức bạn xuất hiện.
  5. Bên dưới trường tên bộ chứa, hãy chọn Lưu những nội dung chứa phần mềm độc hại vào Kho lưu trữ bằng chứng.

Bước 4: Bật Evidence Locker để quét quá trình truyền dữ liệu nhạy cảm

Bạn có thể sao chép các tệp vào bộ chứa Evidence Locker khi xảy ra hành vi vi phạm quy tắc Bảo vệ dữ liệu. Chỉ những tệp được kích hoạt bởi các hành động sau đây mới được sao chép:

  • Tệp đã tải lên
  • Đã tải tệp xuống
  • In

Nội dung được gắn cờ bằng "Nội dung đã dán" sẽ không được sao chép vào Evidence Locker.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Quy tắc.

  2. Trong trình đơn thả xuống, hãy chọn Bảo vệ dữ liệu.
  3. Nhập tên và nội dung mô tả cho quy tắc.
  4. Trong phần Phạm vi, hãy chọn đơn vị tổ chức và/hoặc nhóm bạn muốn áp dụng quy tắc này.
    Lưu ý: Nếu bạn chọn phạm vi nhóm, thì hệ thống chỉ hỗ trợ những nhóm do quản trị viên tạo trong Bảng điều khiển dành cho quản trị viên của Google.
  5. Trong phần Ứng dụng, hãy chọn các tuỳ chọn của Chrome là Tệp đã tải lên, Đã tải tệp xuống và/hoặc Nội dung đã in.
  6. Trong phần Hành động, trong Evidence Locker, hãy chọn Lưu nội dung đã tải lên, nội dung đã tải xuống hoặc nội dung đã in do quy tắc này trong Kho lưu trữ bằng chứng phát hiện.

Để biết thêm thông tin, hãy xem bài viết Tạo quy tắc bảo vệ dữ liệu.

Giám sát và tải tệp xuống từ Evidence Locker

Quan trọng: Bạn có thể định cấu hình quy tắc Bảo vệ dữ liệu của Evidence Locker theo nhiều cách. Tổ chức của bạn chịu trách nhiệm đảm bảo tuân thủ chính sách quyền riêng tư của nhân viên và chịu mọi chi phí lưu trữ trong bộ chứa Google Cloud Storage. Xin lưu ý rằng việc lưu trữ tệp mở rộng từ các quy tắc Bảo vệ dữ liệu có thể dẫn đến phí Google Cloud Storage đáng kể.

Trong nhật ký Chrome

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Trung tâm bảo mật sau đó Công cụ điều tra.

    Bạn phải có đặc quyền của quản trị viên đối với Trung tâm bảo mật.

    Bạn phải có các đặc quyền cụ thể sau đây của quản trị viên Trung tâm bảo mật. Xem bài viết Đặc quyền của quản trị viên đối với Công cụ điều tra bảo mật.

    • Cách tải xuống và quản lý các tệp đáng ngờ:
      Quản lý > Chrome
    • Cách xem nội dung của các tệp đáng ngờ:
      Xem nội dung nhạy cảm > Chrome
  2. Nhấp vào Nguồn dữ liệu rồi chọn Sự kiện trong nhật ký Chrome.
  3. Tìm các mục cho nội dung tìm kiếm của bạn rồi cuộn sang phải.
  4. Trong cột Đường dẫn đến tệp trong kho lưu trữ bằng chứng, hãy nhấp vào đường liên kết đến tệp đã lưu trữ.
    Thông tin chi tiết về tệp sẽ xuất hiện trong bảng điều khiển bên. Ví dụ: tên và đường dẫn gốc của tệp trong bộ chứa Google Cloud Storage.
  5. Ở dưới cùng, hãy nhấp vào Tải tệp xuống.

Tệp zip đã tải xuống được bảo vệ bằng mật khẩu. Mật khẩu là "protected" và như nhau cho tất cả các tệp.

Trong nhật ký Quy tắc

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Trung tâm bảo mật sau đó Công cụ điều tra.

    Bạn phải có đặc quyền của quản trị viên đối với Trung tâm bảo mật.

  2. Nhấp vào Nguồn dữ liệu rồi chọn Sự kiện trong nhật ký quy tắc. Nhấp vào Tìm kiếm.
  3. Tìm hàng Đã hoàn tất hành động có quy tắc mong muốn rồi cuộn sang phải để tìm cột Đường dẫn đến tệp trong kho lưu trữ bằng chứng.
  4. Đây là đường dẫn nơi lưu trữ tệp. Nhấp vào Tuỳ chọn khác để xem các hành động khác.