بررسی و اقدام در مورد فایل‌های مشکوک

نسخه‌های پشتیبانی‌شده برای این ویژگی: Chrome Enterprise Premium . نسخه خود را مقایسه کنید

Evidence Locker که با Chrome Enterprise Premium در دسترس است، به مدیران اجازه می‌دهد تا فایل‌هایی را که به عنوان بدافزار علامت‌گذاری شده‌اند یا قوانین حفاظت از داده‌ها را نقض می‌کنند، بررسی کنند و دید و کنترل بیشتری بر خطرات احتمالی ارائه دهند. فایل‌ها در مخزن ذخیره‌سازی ابری گوگل سازمان شما ذخیره می‌شوند و مدیر امنیتی می‌تواند آن‌ها را از ابزار بررسی امنیتی فضای کاری گوگل (SIT) دانلود کند.

قبل از اینکه شروع کنی

موارد زیر الزامی است:

مرورگر کروم

برای اطلاعات بیشتر، مراجعه کنید به:

مجوز Chrome Enterprise Premium

قفسه شواهد را تنظیم کنید

مرحله ۱: یک سطل ذخیره‌سازی ابری گوگل ایجاد کنید

Evidence Locker فایل‌های مشکوک یا حساس را در یک مخزن ذخیره‌سازی ابری گوگل (GCS) ذخیره می‌کند. شما باید با استفاده از مراحل زیر یک مخزن ایجاد کنید. آشنایی با ذخیره‌سازی ابری گوگل مفید است.

نکته: یک قانون پیشگیری از دست رفتن داده‌های گوگل کلود (DLP) که بیش از حد سهل‌گیرانه باشد، می‌تواند فایل‌های زیادی را در سطل ذخیره کند و منجر به هزینه‌های بالای ذخیره‌سازی شود. قوانینی ایجاد کنید که فقط فایل‌های بسیار مشکوک را ذخیره کنند.

  1. یک پروژه Google Cloud ایجاد کنید. برای دستورالعمل‌ها، به ایجاد و مدیریت پروژه‌ها مراجعه کنید.
  2. فعال کردن API مدیریت منابع ابری برای پروژه:
    • رابط برنامه‌نویسی کاربردی مدیریت منابع ابری (Cloud Resource Manager API) به شما امکان می‌دهد منابع کانتینر، مانند سازمان‌ها و پروژه‌ها را در گوگل کلود (Google Cloud)، به صورت برنامه‌نویسی مدیریت کنید.
    • برای یافتن شماره پروژه به رابط برنامه‌نویسی کاربردی مدیریت منابع ابری (Cloud Resource Manager API) بروید.
  3. یک سطل با کلید رمزگذاری مدیریت‌شده توسط مشتری (CMEK) ایجاد کنید.
    • رابط برنامه‌نویسی کاربردی KMS را فعال کنید. به بخش «استفاده از کلیدهای رمزگذاری مدیریت‌شده توسط مشتری» مراجعه کنید.
    • (اختیاری) برای ایجاد یک حلقه کلید و کلید CMEK، به امنیت > مدیریت کلید > ایجاد حلقه کلید بروید.
    • یک سطل (bucket) در فضای ذخیره‌سازی ابری > سطل‌ها (Buckets) ایجاد کنید. به بخش ایجاد سطل‌ها (Create buckets) مراجعه کنید.
      • سطل GCS باید متعلق به سازمان شما و در همان دامنه باشد.
      • CMEK باید در همان منطقه سطل باشد. اطلاعات بیشتر
    • (اختیاری اما توصیه می‌شود): برای فایل‌ها زمان ماندگاری (TTL) تعیین کنید. برای مثال، آن‌ها را به‌طور خودکار پس از 30 روز حذف کنید.

مرحله ۲: راه‌اندازی قفسه شواهد

  1. در کنسول مدیریت گوگل، به منو بروید و سپس برنامه‌ها و سپس سرویس‌های اضافی گوگل

    نیاز به داشتن امتیاز مدیر تنظیمات سرویس دارد.

  2. روی سرویس‌های امنیتی سازمانی کروم کلیک کنید.
  3. روی «برای همه روشن» یا «برای همه خاموش» کلیک کنید و سپس روی «ذخیره» کلیک کنید.
  4. (اختیاری) برای فعال یا غیرفعال کردن یک سرویس برای یک واحد سازمانی:
    1. در سمت چپ، واحد سازمانی را انتخاب کنید.
    2. برای تغییر وضعیت سرویس، روشن یا خاموش را انتخاب کنید.
    3. یکی را انتخاب کنید:
      • اگر وضعیت سرویس روی «به ارث رسیده» تنظیم شده است و می‌خواهید تنظیمات به‌روزرسانی‌شده را حفظ کنید، حتی اگر تنظیمات والد تغییر کند، روی «لغو» کلیک کنید.
      • اگر وضعیت سرویس روی «لغو شده» تنظیم شده باشد، یا روی «وراثت» کلیک کنید تا به همان تنظیمات والد خود برگردید، یا روی «ذخیره» کلیک کنید تا تنظیمات جدید حفظ شود، حتی اگر تنظیمات والد تغییر کند.
        درباره ساختار سازمانی بیشتر بدانید.
  5. روی تنظیمات Evidence Locker کلیک کنید.
  6. روی «وارد کردن نام مخزن ذخیره‌سازی ابری گوگل» کلیک کنید.
  7. اگر حساب کاربری سرویس ندارید، روی «ایجاد یک حساب کاربری سرویس» کلیک کنید. برای ادامه، یک حساب کاربری سرویس لازم است.
  8. حساب سرویس را به مخزن ذخیره‌سازی ابری گوگل (GCS) خود اضافه کنید.
    مهم : حساب کاربری سرویس باید در پروژه GCP که شامل سطل ذخیره‌سازی است، دارای امتیازات مدیریت ذخیره‌سازی باشد. به بخش «ایجاد سطل ذخیره‌سازی ابری گوگل» مراجعه کنید.
    1. در کنسول گوگل کلود، به منو بروید و سپس مدیر داخلی و IAM و سپس منابع را مدیریت کنید.
    2. به پروژه GCS که شامل سطل است بروید.
    3. روی برگه مجوزها کلیک کنید.
    4. حساب کاربری سرویس Evidence Locker را انتخاب کنید.
    5. روی اعطای دسترسی کلیک کنید.
    6. در بخش New Principle، حساب کاربری سرویسی که ایجاد کرده‌اید را وارد کنید.
    7. در قسمت نقش، گزینه «مدیر ذخیره‌سازی» را انتخاب کنید.
    8. (اختیاری): کاربران غیر مدیر ارشد نیز باید در پروژه GCP که شامل سطل است، دارای امتیازات مدیر ذخیره‌سازی باشند. این برای انتخاب یک سطل GCS از پروژه ضروری است.
    9. روی ذخیره کلیک کنید.
  9. در تنظیمات Evidence Locker کنسول مدیریت Google Workspace، نام مخزن Google Cloud را وارد کنید.
  10. (اختیاری) برای نگه داشتن کپی فایل‌هایی که به عنوان بدافزار در Evidence Locker علامت‌گذاری شده‌اند، گزینه «ذخیره محتوای حاوی بدافزار در Evidence Locker» را انتخاب کنید.
  11. روی ذخیره کلیک کنید.

مرحله ۳: فعال کردن Evidence Locker برای اسکن بدافزارها

شما می‌توانید تمام فایل‌های آپلود و دانلود شده که به عنوان بدافزار علامت‌گذاری شده‌اند را در مخزن ذخیره‌سازی ذخیره کنید. این گزینه را می‌توان در طول راه‌اندازی Evidence Locker نیز فعال کرد.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس برنامه‌ها و سپس سرویس‌های اضافی گوگل

    نیاز به داشتن امتیاز مدیر تنظیمات سرویس دارد.

  2. روی سرویس‌های امنیتی سازمانی کروم کلیک کنید.
  3. روی تنظیمات Evidence Locker کلیک کنید.
  4. کلیک و منتظر بمانید تا حساب کاربری سرویس سازمان شما نمایش داده شود.
  5. در زیر فیلد نام مخزن، گزینه «ذخیره محتوای حاوی بدافزار در Evidence Locker» را انتخاب کنید.

مرحله ۴: برای اسکن انتقال داده‌های حساس، Evidence Locker را فعال کنید

در صورت بروز نقض قانون حفاظت از داده‌ها، می‌توانید فایل‌ها را به مخزن Evidence Locker کپی کنید. فقط فایل‌هایی که توسط اقدامات زیر فعال می‌شوند، کپی می‌شوند:

  • فایل آپلود شده
  • فایل دانلود شده
  • چاپ

محتوایی که با استفاده از عبارت «Content pasteed» علامت‌گذاری شده باشد، در Evidence Locker کپی نمی‌شود .

  1. رفتن به منو و سپس قوانین .
  2. از منوی کشویی، گزینه حفاظت از داده‌ها (Data protection) را انتخاب کنید.
  3. یک نام و توضیح برای قانون تایپ کنید.
  4. در قسمت «محدوده»، واحدهای سازمانی و/یا گروه‌هایی را که این قانون در مورد آنها اعمال می‌شود، انتخاب کنید.
    توجه: اگر محدوده گروه را انتخاب کنید، فقط گروه‌هایی که توسط مدیران در کنسول گوگل ادمین ایجاد شده‌اند پشتیبانی می‌شوند.
  5. در قسمت برنامه‌ها، گزینه‌های کروم شامل «فایل آپلود شده» ، «فایل دانلود شده» و/یا «محتوای چاپ شده» را انتخاب کنید.
  6. در بخش اقدامات (Actions)، در قسمت شواهد و مدارک (Evidence Locker)، گزینه ذخیره محتوای آپلود شده، دانلود شده یا چاپ شده شناسایی شده توسط این قانون در شواهد و مدارک (Evidence Locker) را انتخاب کنید.

برای اطلاعات بیشتر، به ایجاد قوانین حفاظت از داده‌ها مراجعه کنید.

نظارت و دانلود فایل‌ها از Evidence Locker

مهم: قوانین حفاظت از داده‌های Evidence Locker بسیار قابل تنظیم هستند. سازمان شما مسئول اطمینان از رعایت سیاست‌های حفظ حریم خصوصی کارکنان و تمام هزینه‌های ذخیره‌سازی در فضای ذخیره‌سازی ابری گوگل است. توجه داشته باشید که ذخیره‌سازی گسترده فایل‌ها از قوانین حفاظت از داده‌ها می‌تواند منجر به هزینه‌های قابل توجه ذخیره‌سازی ابری گوگل شود.

در گزارش‌های کروم

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس مرکز امنیتی و سپس ابزار تحقیق .

    نیاز به داشتن امتیاز مدیر مرکز امنیت دارد.

    امتیازات مدیریتی خاص مرکز امنیت زیر مورد نیاز است. به امتیازات مدیریتی ابزار بررسی امنیت مراجعه کنید.

    • برای دانلود و مدیریت فایل‌های مشکوک:
      مدیریت > کروم
    • برای مشاهده محتوای فایل‌های مشکوک:
      مشاهده محتوای حساس > کروم
  2. روی منبع داده کلیک کنید و رویدادهای گزارش کروم را انتخاب کنید.
  3. ورودی‌های مربوط به جستجوی خود را پیدا کنید و به سمت راست بروید.
  4. در زیر ستون Evidence Locker Filepath ، روی لینک فایل ذخیره شده کلیک کنید.
    جزئیات فایل در پنل کناری نمایش داده می‌شود. برای مثال، نام اصلی فایل و مسیر آن در فضای ذخیره‌سازی ابری گوگل.
  5. در پایین، روی «دانلود فایل» کلیک کنید.

فایل زیپ دانلود شده دارای رمز عبور است. رمز عبور "محافظت شده" است و برای همه فایل ها یکسان است.

در لاگ‌های قوانین

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس مرکز امنیتی و سپس ابزار تحقیق .

    نیاز به داشتن امتیاز مدیر مرکز امنیت دارد.

  2. روی منبع داده کلیک کنید و رویدادهای ثبت وقایع را انتخاب کنید. روی جستجو کلیک کنید.
  3. ردیف «کامل عمل» را با قانون مورد نظر پیدا کنید و به سمت راست بروید تا ستون «مسیر فایل شواهد قفل‌کننده» را پیدا کنید.
  4. این مسیری است که فایل در آن ذخیره شده است. روی «بیشتر» کلیک کنید برای دیدن اقدامات تکمیلی