Verdächtige Dateien untersuchen und Maßnahmen ergreifen

Unterstützte Versionen für diese Funktion: Chrome Enterprise Premium. Versionen vergleichen

Mit Evidence Locker, das in Chrome Enterprise Premium verfügbar ist, können Administratoren Dateien prüfen, die als Malware gekennzeichnet wurden oder gegen Datenschutzregeln verstoßen. So erhalten sie mehr Einblick in potenzielle Risiken und können diese besser kontrollieren. Die Dateien werden im Google Cloud Storage-Bucket Ihrer Organisation gespeichert und können vom Sicherheitsadministrator über das Sicherheitsprüftool (SIT) von Google Workspace heruntergeladen werden.

Hinweis

Folgendes ist erforderlich:

Chrome-Browser

Weitere Informationen finden Sie unter:

Chrome Enterprise Premium-Lizenz

Evidence Locker einrichten

Schritt 1: Google Cloud Storage-Bucket erstellen

In Evidence Locker werden verdächtige oder sensible Dateien in einem GCS-Bucket (Google Cloud Storage) gespeichert. Sie müssen einen Bucket mit den folgenden Schritten erstellen. Einige Kenntnisse zu Google Cloud Storage sind hilfreich.

Tipp: Eine zu laxe Google Cloud Data Loss Prevention-Regel (DLP) kann dazu führen, dass viele Dateien im Bucket gespeichert werden und hohe Speicherkosten entstehen. Erstellen Sie Regeln, mit denen nur sehr verdächtige Dateien gespeichert werden.

  1. Erstellen Sie ein Google Cloud-Projekt. Eine Anleitung dazu finden Sie im Hilfeartikel Projekte erstellen und verwalten.
  2. Aktivieren Sie die Cloud Resource Manager API für das Projekt:
    • Mit der Cloud Resource Manager API können Sie Containerressourcen wie Organisationen und Projekte in Google Cloud programmatisch verwalten.
    • Rufen Sie die Cloud Resource Manager API für die Projektnummer auf.
  3. Erstellen Sie einen Bucket mit einem vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK).
    • Aktivieren Sie die KMS API. Weitere Informationen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel verwenden.
    • Optional: Wenn Sie einen CMEK-Schlüsselring und einen Schlüssel erstellen möchten, gehen Sie zu Sicherheit > Schlüsselverwaltung > Schlüsselring erstellen.
    • Erstellen Sie einen Bucket unter Cloud Storage > Buckets. Weitere Informationen finden Sie unter Buckets erstellen.
      • Der GCS-Bucket muss Ihrer Organisation gehören und sich in derselben Domain befinden.
      • Der CMEK muss sich in derselben Region wie der Bucket befinden. Weitere Informationen
    • Optional, aber empfohlen: Legen Sie eine Gültigkeitsdauer (Time to Live, TTL) für die Dateien fest. Sie können sie beispielsweise nach 30 Tagen automatisch löschen lassen.

Schritt 2: Evidence Locker einrichten

  1. Klicken Sie in der Admin-Konsole auf das Dreistrich-Menü und dann Appsund dannZusätzliche Google-Dienste.

    Erfordert die Administratorberechtigung „Diensteinstellungen

  2. Klicken Sie auf Chrome Enterprise Security Services.
  3. Klicken Sie auf Für alle aktiviert oder Für alle deaktiviert und anschließend auf Speichern.
  4. Optional: So aktivieren oder deaktivieren Sie einen Dienst für eine Organisationseinheit:
    1. Wählen Sie links die Organisationseinheit aus.
    2. Wenn Sie den Dienststatus ändern möchten, wählen Sie An oder Aus aus.
    3. Wählen Sie eine Option aus:
      • Wenn der Dienststatus auf Übernommen festgelegt ist und Sie die aktualisierte Einstellung beibehalten möchten, auch wenn sich die übergeordnete Einstellung ändert, klicken Sie auf Überschreiben.
      • Wenn der Dienststatus Überschrieben lautet, klicken Sie auf Übernehmen, um die Einstellung des übergeordneten Elements wiederherzustellen, oder auf Speichern, um die neue Einstellung beizubehalten, auch wenn sich die übergeordnete Einstellung ändert.
        Weitere Informationen zur Organisationsstruktur.
  5. Klicken Sie auf Einstellungen für Evidence Locker.
  6. Klicken Sie auf Geben Sie den Namen des Google Cloud Storage-Buckets ein.
  7. Wenn Sie kein Dienstkonto haben, klicken Sie auf Dienstkonto generieren. Ein Dienstkonto ist erforderlich, um fortzufahren.
  8. Fügen Sie das Dienstkonto Ihrem GCS-Bucket (Google Cloud Storage) hinzu.
    Wichtig: Das Dienstkonto muss im GCP-Projekt, das den Bucket enthält, Berechtigungen der Rolle „Storage-Administrator“ haben. Weitere Informationen finden Sie unter Google Cloud Storage-Bucket erstellen.
    1. Klicken Sie in der Google Cloud Console auf das Dreistrich-Menü und dannIAM & Verwaltungund dannRessourcen verwalten.
    2. Rufen Sie das GCS-Projekt auf, das den Bucket enthält.
    3. Klicken Sie auf den Berechtigungen Tab.
    4. Wählen Sie das Dienstkonto für Evidence Locker aus.
    5. Klicken Sie auf Zugriff gewähren.
    6. Geben Sie unter „Neues Hauptkonto“ das gerade generierte Dienstkonto ein.
    7. Wählen Sie unter „Rolle“ die Option Storage-Administrator aus.
    8. Optional: Nutzer, die keine Super Admins sind, müssen im GCP-Projekt, das den Bucket enthält, auch Berechtigungen der Rolle Storage-Administrator haben. Dies ist erforderlich, um einen GCS-Bucket aus dem Projekt auszuwählen.
    9. Klicken Sie auf Speichern.
  9. Geben Sie in den Einstellungen für Evidence Locker in der Admin-Konsole von Google Workspace den Namen des Google Cloud-Buckets ein.
  10. Optional: Wenn Sie Kopien von Dateien, die als Malware gekennzeichnet sind, in Evidence Locker speichern möchten, wählen Sie Inhalte mit Malware in Evidence Locker speichern aus.
  11. Klicken Sie auf Speichern.

Schritt 3: Evidence Locker für Malware-Scans aktivieren

Sie können alle als Malware gekennzeichneten Datei-Uploads und ‑Downloads im Speicher-Bucket speichern. Diese Option kann auch während der Einrichtung von Evidence Locker aktiviert werden.

  1. Klicken Sie in der Admin-Konsole auf das Dreistrich-Menü und dann Appsund dannZusätzliche Google-Dienste.

    Erfordert die Administratorberechtigung „Diensteinstellungen

  2. Klicken Sie auf Chrome Enterprise Security Services.
  3. Klicken Sie auf Einstellungen für Evidence Locker.
  4. Klicken Sie auf und warten Sie, bis das Dienstkonto Ihrer Organisation angezeigt wird.
  5. Wählen Sie unter dem Feld für den Bucket-Namen die Option Inhalte mit Malware in Evidence Locker speichern aus.

Schritt 4: Evidence Locker für Scans auf sensible Datenübertragungen aktivieren

Sie können Dateien in den Evidence Locker-Bucket kopieren, wenn ein Verstoß gegen eine Datenschutzregel auftritt. Nur Dateien, die durch die folgenden Aktionen ausgelöst werden, werden kopiert:

  • Datei hochgeladen
  • Datei heruntergeladen
  • Drucken

Inhalte, die mit „Eingefügte Inhalte“ gekennzeichnet sind, werden nicht in Evidence Locker kopiert.

  1. Klicken Sie auf das Dreistrich-Menü und dann Regeln.
  2. Wählen Sie im Drop-down-Menü Datenschutz aus.
  3. Geben Sie einen Namen und eine Beschreibung für die Regel ein.
  4. Wählen Sie unter „Geltungsbereich“ die Organisationseinheiten und/oder Gruppen aus, für die diese Regel gilt.
    Hinweis: Wenn Sie einen Gruppenbereich auswählen, werden nur Gruppen unterstützt, die von Administratoren in der Google Admin-Konsole erstellt wurden.
  5. Wählen Sie unter „Apps“ die Chrome-Optionen Datei hochgeladen, Datei heruntergeladen und/oder Inhalt gedruckt aus.
  6. Wählen Sie unter „Aktionen“ unter „Evidence Locker“ die Option Von dieser Regel erkannte hochgeladene, heruntergeladene oder gedruckte Inhalte in Evidence Locker speichern aus.

Weitere Informationen finden Sie unter Datenschutzregeln erstellen.

Dateien in Evidence Locker prüfen und herunterladen

Wichtig: Die Datenschutzregeln von Evidence Locker sind hochgradig konfigurierbar. Ihre Organisation ist für die Einhaltung der Datenschutzrichtlinien für Mitarbeiter und für alle Speicherkosten im Google Cloud Storage-Bucket verantwortlich. Beachten Sie, dass die umfangreiche Speicherung von Dateien aufgrund von Datenschutzregeln zu erheblichen Google Cloud Storage-Gebühren führen kann.

In den Chrome-Protokollen

  1. Klicken Sie in der Admin-Konsole auf das Dreistrich-Menü und dann Sicherheitund dannSicherheitscenterund dannPrüftool.

    Hierfür ist die Administratorberechtigung Sicherheitscenter erforderlich.

    Die folgenden spezifischen Administratorberechtigungen für das Sicherheitscenter sind erforderlich. Weitere Informationen finden Sie unter Administratorberechtigungen für das Sicherheitsprüftool.

    • Verdächtige Dateien herunterladen und verwalten:
      Verwalten > Chrome
    • Inhalt verdächtiger Dateien ansehen:
      Sensible Inhalte ansehen > Chrome
  2. Klicken Sie auf Datenquelle und wählen Sie Chrome-Protokollereignisse aus.
  3. Suchen Sie die Einträge für Ihre Suche und scrollen Sie nach rechts.
  4. Klicken Sie in der Spalte Dateipfad für Evidence Locker auf den Link zur gespeicherten Datei.
    Die Dateidetails werden im Seitenbereich angezeigt. Dazu gehören beispielsweise der ursprüngliche Name und Pfad der Datei im Google Cloud Storage-Bucket.
  5. Klicken Sie unten auf Datei herunterladen.

Die heruntergeladene ZIP-Datei ist passwortgeschützt. Das Passwort ist „geschützt“ und für alle Dateien gleich.

In den Regelprotokollen

  1. Klicken Sie in der Admin-Konsole auf das Dreistrich-Menü und dann Sicherheitund dannSicherheitscenterund dannPrüftool.

    Hierfür ist die Administratorberechtigung Sicherheitscenter erforderlich.

  2. Klicken Sie auf Datenquelle und wählen Sie Ereignisse im Regelprotokoll aus. Klicken Sie auf Suchen.
  3. Suchen Sie die Zeile Aktion abgeschlossen mit der gewünschten Regel und scrollen Sie nach rechts zur Spalte Dateipfad für Evidence Locker.
  4. Dies ist der Pfad, in dem die Datei gespeichert ist. Klicken Sie auf das Dreipunkt-Menü , um weitere Aktionen aufzurufen.