Examiner les fichiers suspects et prendre les mesures adéquates

Éditions compatibles avec cette fonctionnalité : Chrome Enterprise Premium. Comparer votre édition

Evidence Locker, disponible avec Chrome Enterprise Premium, permet aux administrateurs d'inspecter les fichiers signalés comme logiciels malveillants ou comme non conformes à des règles de protection des données. Ils peuvent ainsi avoir une meilleure visibilité sur les risques potentiels et mieux les contrôler. Les fichiers sont enregistrés dans le bucket Google Cloud Storage de votre organisation et peuvent être téléchargés par l'administrateur de la sécurité depuis l'outil d'investigation de sécurité (SIT) Google Workspace.

Avant de commencer

Les éléments suivants sont obligatoires :

Navigateur Chrome

Pour en savoir plus, consultez les pages suivantes :

Licence Chrome Enterprise Premium

Configurer Evidence Locker

Étape 1 : Créez un bucket Google Cloud Storage

Evidence Locker stocke les fichiers suspects ou sensibles dans un bucket Google Cloud Storage (GCS). Procédez comme suit pour créer un bucket. Il est utile de connaître Google Cloud Storage.

Remarque : Une règle de protection contre la perte de données (DLP) Google Cloud trop laxiste peut enregistrer de nombreux fichiers dans le bucket, ce qui entraîne des coûts de stockage élevés. Créez des règles qui n'enregistrent que les fichiers hautement suspects.

  1. Créez un projet Google Cloud. Pour en savoir plus, consultez Créer et gérer des projets.
  2. Activez l'API Cloud Resource Manager pour le projet :
    • L'API Cloud Resource Manager vous permet de gérer de façon programmatique les ressources en conteneur, telles que les organisations et les projets, dans Google Cloud.
    • Accédez à l'API Cloud Resource Manager pour le numéro de projet.
  3. Créez un bucket avec une clé de chiffrement gérée par le client (CMEK).
    • Activez l'API KMS. Consultez Utiliser des clés de chiffrement gérées par le client.
    • (Facultatif) Pour créer un trousseau de clés et une clé CMEK, accédez à Sécurité > Gestion des clés > Créer un trousseau de clés.
    • Accédez à Cloud Storage > Buckets pour créer un bucket. Consultez Créer des buckets.
      • Le bucket GCS doit appartenir à votre organisation et se trouver dans le même domaine.
      • La clé CMEK doit se trouver dans la même région que le bucket. En savoir plus
    • (Facultatif, mais recommandé) Définissez une valeur TTL (Time To Live) sur les fichiers. Par exemple, supprimez-les automatiquement au bout de 30 jours.

Étape 2 : Configurez Evidence Locker

  1. Dans la console d'administration Google, accédez à Menu puis ApplicationspuisServices Google supplémentaires.

    Vous devez disposer du droit d'administrateur "Paramètres du service".

  2. Cliquez sur Services de sécurité Chrome Enterprise.
  3. Cliquez sur Activé pour tous ou Désactivé pour tous, puis sur Enregistrer.
  4. (Facultatif) Pour activer ou désactiver un service pour une unité organisationnelle :
    1. Sur la gauche, sélectionnez l'unité organisationnelle.
    2. Pour modifier l'état du service, sélectionnez Activé ou Désactivé.
    3. Choisissez une option :
      • Si l'état du service est défini sur Hérité et que vous souhaitez conserver le paramètre mis à jour, même si le paramètre parent est modifié, cliquez sur Remplacer.
      • Si l'état du service est défini sur Remplacé, cliquez sur Hériter pour rétablir le paramètre parent, ou cliquez sur Enregistrer pour conserver le nouveau paramètre, même si le paramètre parent est modifié.
        En savoir plus sur la structure organisationnelle
  5. Cliquez sur Paramètres Evidence Locker.
  6. Cliquez sur Indiquez le nom du bucket Google Cloud Storage.
  7. Si vous n'avez pas de compte de service, cliquez sur Générer un compte de service. Veuillez indiquer un compte de service pour continuer.
  8. Ajoutez le compte de service à votre bucket Google Cloud Storage (GCS).
    Important : Le compte de service doit disposer des droits d'administrateur de l'espace de stockage dans le projet GCP contenant le bucket. Consultez Créer un bucket Google Cloud Storage.
    1. Dans la console Google Cloud, accédez à Menu puisIAM et administrationpuisGérer les ressources.
    2. Accédez au projet GCS contenant le bucket.
    3. Cliquez sur l'onglet Autorisations.
    4. Sélectionnez le compte de service Evidence Locker.
    5. Cliquez sur Accorder l'accès.
    6. Dans "Nouveau compte principal", saisissez le compte de service que vous venez de générer.
    7. Dans "Rôle", sélectionnez Administrateur de l'espace de stockage.
    8. (Facultatif) Les utilisateurs autres que les super-administrateurs doivent également disposer des droits d'administrateur de l'espace de stockage dans le projet GCP contenant le bucket. Cela est nécessaire pour sélectionner un bucket GCS dans le projet.
    9. Cliquez sur Enregistrer.
  9. Dans les paramètres Evidence Locker de la console d'administration Google Workspace, saisissez le nom du bucket Google Cloud.
  10. (Facultatif) Pour conserver des copies des fichiers signalés comme logiciels malveillants dans Evidence Locker, sélectionnez Enregistrer les contenus comportant des logiciels malveillants dans Evidence Locker.
  11. Cliquez sur Enregistrer.

Étape 3 : Activez les analyses de logiciels malveillants Evidence Locker

Vous pouvez enregistrer tous les fichiers importés et téléchargés signalés comme des logiciels malveillants dans le bucket de stockage. Vous pouvez également activer cette option lors de la configuration d'Evidence Locker.

  1. Dans la console d'administration Google, accédez à Menu puis ApplicationspuisServices Google supplémentaires.

    Vous devez disposer du droit d'administrateur "Paramètres du service".

  2. Cliquez sur Services de sécurité Chrome Enterprise.
  3. Cliquez sur Paramètres Evidence Locker.
  4. Cliquez sur et attendez que le compte de service de votre organisation s'affiche.
  5. Sous le champ "Nom du bucket", sélectionnez Enregistrer les contenus comportant des logiciels malveillants dans Evidence Locker.

Étape 4 : Activez les analyses des transferts de données sensibles Evidence Locker

Vous pouvez copier des fichiers dans le bucket Evidence Locker en cas de non-respect d'une règle de protection des données. Seuls les fichiers déclenchés par les actions suivantes sont copiés :

  • Fichier importé
  • Fichier téléchargé
  • Imprimer

Les contenus signalés avec l'option "Contenu collé" ne sont pas copiés dans Evidence Locker.

  1. Accédez à Menu puis Règles.
  2. Dans le menu déroulant, sélectionnez Protection des données.
  3. Saisissez un nom et une description pour la règle.
  4. Sous "Champ d'application", sélectionnez les unités organisationnelles et/ou les groupes auxquels cette règle s'applique.
    Remarque : Si vous sélectionnez un champ d'application de groupe, seuls les groupes créés par les administrateurs dans la console d'administration Google sont compatibles.
  5. Sous "Applications", sélectionnez les options Chrome Fichier importé, Fichier téléchargé et/ou Contenu imprimé.
  6. Dans "Actions", sous "Evidence Locker", sélectionnez Enregistrer le contenu importé, téléchargé ou imprimé détecté par cette règle dans Evidence Locker.

Pour en savoir plus, consultez Créer des règles de protection des données.

Surveiller et télécharger des fichiers depuis Evidence Locker

Important : Les règles de protection des données d'Evidence Locker sont hautement configurables. Il incombe à votre organisation de veiller au respect des règles de confidentialité relatives aux employés et de payer tous les frais de stockage du bucket Google Cloud Storage. N'oubliez pas que le stockage d'un grand nombre de fichiers à l'aide de règles de protection des données peut entraîner des frais Google Cloud Storage importants.

Dans les journaux Chrome

  1. Dans la console d'administration Google, accédez à Menu puis SécuritépuisCentre de sécuritépuisOutil d'investigation.

    Vous devez disposer du droit d'administrateur Centre de sécurité.

    Vous devez disposer des droits d'administrateur Centre de sécurité spécifiques suivants. Consultez Droits d'administrateur pour l'outil d'investigation de sécurité.

    • Pour télécharger et gérer des fichiers suspects :
      Gérer > Chrome
    • Pour afficher le contenu de fichiers suspects :
      Consulter le contenu sensible > Chrome
  2. Cliquez sur Source de données, puis sélectionnez Événements de journaux Chrome.
  3. Recherchez les résultats de votre recherche, puis faites défiler l'écran vers la droite.
  4. Dans la colonne Chemin d'accès à Evidence Locker, cliquez sur le lien vers le fichier stocké.
    Les détails du fichier, comme son nom et son chemin d'accès d'origine dans le bucket Google Cloud Storage, s'affichent dans le panneau latéral.
  5. En bas de la page, cliquez sur Télécharger le fichier.

Le fichier ZIP téléchargé est protégé par un mot de passe. Le mot de passe est "protected" et est le même pour tous les fichiers.

Dans les journaux des règles

  1. Dans la console d'administration Google, accédez à Menu puis SécuritépuisCentre de sécuritépuisOutil d'investigation.

    Vous devez disposer du droit d'administrateur Centre de sécurité.

  2. Cliquez sur Source de données, puis sélectionnez Événements du journal des règles. Cliquez sur Rechercher.
  3. Recherchez la ligne Action terminée correspondant à la règle souhaitée, puis faites défiler l'écran vers la droite pour accéder à la colonne Chemin d'accès à Evidence Locker.
  4. Il s'agit du chemin d'accès au fichier. Cliquez sur Plus  pour afficher d'autres actions.