בדיקה של קבצים חשודים וטיפול בהם

בכספת הראיות מאוחסנים קבצים חשודים או רגישים בקטגוריה של Google Cloud Storage‏ (GCS). תצטרכו ליצור קטגוריה באמצעות השלבים הבאים. מומלץ להכיר את Google Cloud Storage.

טיפ: כלל למניעת אובדן נתונים (DLP) ב-Google Cloud שהוא מקל מדי יכול לגרום לשמירה של הרבה קבצים בקטגוריה, וכתוצאה מכך לעלויות אחסון גבוהות. יצירת כללים לשמירה רק של קבצים חשודים מאוד.

1. יוצרים פרויקט חדש ב-Google Cloud. הוראות מפורטות זמינות במאמר יצירה וניהול של פרויקטים.
   • לחשבון השירות ולמשתמש ב-Google Cloud צריכות להיות הרשאות של אדמין Storage בפרויקט ב-Google Cloud שמכיל את הדלי. במאמר הקצאת תפקידים ברמת הפרויקט, ברמת הקטגוריה או ברמת התיקייה המנוהלת מוסבר איך עושים את זה.
2. מפעילים את Cloud Resource Manager API בפרויקט:
   • ממשק Cloud Resource Manager API מאפשר לכם לנהל באופן פרוגרמטי משאבי קונטיינר, כמו ארגונים ופרויקטים, ב-Google Cloud.
   • עוברים אל Cloud Resource Manager API כדי למצוא את project_number.
3. יוצרים Bucket עם מפתח הצפנה בניהול הלקוח (CMEK).
   • מפעילים את KMS API. שימוש במפתחות הצפנה בניהול הלקוח
   • (אופציונלי) כדי ליצור אוסף מפתחות ומפתח CMEK, עוברים אל Security > Key Management > Create Keyring.
   • יוצרים קטגוריה ב-Cloud Storage > Buckets. איך יוצרים קטגוריות
     • הארגון שלכם צריך להיות הבעלים של דלי GCS, והוא צריך להיות באותו דומיין.
     • מפתח ה-CMEK צריך להיות באותו אזור שבו נמצאת הקטגוריה. מידע נוסף
   • (אופציונלי אבל מומלץ): מגדירים זמן חיים (TTL) לקבצים. לדוגמה, למחוק אותם אוטומטית אחרי 30 יום.

1. במסוף Google Admin, נכנסים לתפריט אפליקציותשירותי Google נוספים.

   לשירותי Google נוספים

   כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

2. לוחצים על שירותי אבטחה של Chrome Enterprise.
3. לוחצים על מופעל לכולם או מושבת לכולם, ואז לוחצים על שמירה.
4. (אופציונלי) כדי להפעיל או להשבית שירות ביחידה ארגונית:
   1. בצד ימין, בוחרים את היחידה הארגונית.
   2. כדי לשנות את סטטוס השירות, בוחרים באפשרות מופעל או מושבת.
   3. בוחרים אפשרות:
      • אם ההגדרה של סטטוס השירות היא הועבר בירושה ואתם רוצים שההגדרה שעדכנתם תישמר גם אם הגדרת ההורה תשתנה, לוחצים על שינוי.
      • אם ההגדרה של סטטוס השירות היא בוטל ואתם רוצים לחזור להגדרה שיש להורה, לוחצים על העברה בירושה. לחלופין, אם אתם רוצים שההגדרה החדשה תישמר גם אם ההגדרה של ההורה תשתנה, לוחצים על שמירה.
        מידע נוסף על מבנה ארגוני
5. לוחצים על הגדרות של נעילת ראיות.
6. לוחצים על הזנת שם הקטגוריה ב-Google Cloud Storage.
7. אם אין לכם חשבון שירות, לוחצים על Generate a service account (יצירת חשבון שירות). כדי להמשיך, צריך לציין חשבון שירות.
8. מוסיפים את חשבון השירות לקטגוריה של Google Cloud Storage ‏ (GCS).
   חשוב: לחשבון השירות צריכות להיות הרשאות אדמין ב-Storage בפרויקט GCP שמכיל את הדלי. איך יוצרים קטגוריה ב-Google Cloud Storage
   1. במסוף Google Cloud, עוברים אל תפריט IAM & AdminManage resources.
   2. עוברים לפרויקט GCS שמכיל את הקטגוריה.
   3. לוחצים על הכרטיסייה Permissions.
   4. בוחרים את חשבון השירות של מאגר הראיות.
   5. לוחצים על הענקת גישה.
   6. בשדה New principle (חשבון משתמש חדש), מזינים את חשבון השירות שיצרתם.
   7. בקטע Role (תפקיד), בוחרים באפשרות Storage Admin (אדמין אחסון).
   8. (אופציונלי): למשתמשים שאינם סופר-אדמינים צריכות להיות גם הרשאות Storage Admin בפרויקט ב-GCP שמכיל את הקטגוריה. הפעולה הזו נדרשת כדי לבחור מאגר GCS מהפרויקט.
   9. לוחצים על שמירה.
9. בהגדרות של כספת הראיות במסוף Google Workspace Admin, מזינים את שם הקטגוריה של Google Cloud.
10. (אופציונלי) כדי לשמור עותקים של קבצים שמסומנים כתוכנות זדוניות ב-Evidence Locker, בוחרים באפשרות שמירת תוכן שמכיל תוכנות זדוניות ב-Evidence Locker.
11. לוחצים על שמירה.

1. במסוף Google Admin, נכנסים לתפריט אפליקציותשירותי Google נוספים.

   לשירותי Google נוספים

   כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

2. לוחצים על שירותי אבטחה של Chrome Enterprise.
3. לוחצים על הגדרות של נעילת ראיות.
4. לוחצים על ומחכים שחשבון השירות של הארגון יוצג.
5. מתחת לשדה של שם המאגר, בוחרים באפשרות שמירת תוכן שמכיל תוכנות זדוניות ב-Evidence Locker.

אתם יכולים להעתיק קבצים למאגר Evidence Locker כשמתרחשת הפרה של כלל להגנה על נתונים. רק קבצים שהופעלו על ידי הפעולות הבאות מועתקים:

• הקובץ הועלה
• הקובץ הורד
• הדפסה

תוכן שמסומן באמצעות האפשרות 'הדבקת תוכן' לא מועתק לתיקיית ההוכחות.

1. עוברים לתפריט  כללים.
2. בתפריט הנפתח, בוחרים באפשרות הגנה על נתונים.
3. מקלידים שם ותיאור לכלל.
4. בקטע 'היקף', בוחרים את היחידות הארגוניות או הקבוצות שהכלל יחול עליהן.
   הערה: אם בוחרים בהיקף קבוצה, נתמכות רק קבוצות שנוצרו על ידי אדמינים במסוף Google Admin.
5. בקטע 'אפליקציות', בוחרים באפשרויות של Chrome: הקובץ הועלה, הקובץ הורד או התוכן הודפס.
6. בקטע 'פעולות', בקטע 'Evidence Locker', בוחרים באפשרות שמירת תוכן ב-Evidence Locker שהועלה, ירד או הודפס וזוהה על ידי הכלל הזה.

מידע נוסף זמין במאמר יצירת כללים להגנה על נתונים.

1. במסוף Google Admin, נכנסים לתפריט אבטחהמרכז האבטחהכלי החקירה.

   כניסה לכלי החקירה

   כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

   נדרשות הרשאות אדמין ספציפיות למרכז האבטחה. הרשאות אדמין בכלי לחקירת אבטחה

   • כדי להוריד ולנהל קבצים חשודים:
     ניהול > Chrome
   • כדי לראות את התוכן של קבצים חשודים:
     הצגה של תוכן רגיש > Chrome
2. לוחצים על מקור נתונים ובוחרים באפשרות אירועים ביומן של Chrome.
3. מחפשים את הרשומות של החיפוש וגוללים שמאלה.
4. בעמודה נתיב קובץ של כספת הראיות, לוחצים על הקישור לקובץ המאוחסן.
   פרטי הקובץ מוצגים בחלונית הצדדית. לדוגמה, השם והנתיב המקוריים של הקובץ בקטגוריה של Google Cloud Storage.
5. למטה, לוחצים על הורדת הקובץ.

קובץ ה-ZIP שהורדתם מוגן בסיסמה. הסיסמה היא protected והיא זהה לכל הקבצים.

1. במסוף Google Admin, נכנסים לתפריט אבטחהמרכז האבטחהכלי החקירה.

   כניסה לכלי החקירה

   כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

2. לוחצים על מקור נתונים ובוחרים באפשרות אירועים ביומן של Rule. לוחצים על חיפוש.
3. מחפשים את השורה Action complete עם הכלל הרצוי וגוללים שמאלה כדי למצוא את העמודה Evidence Locker Filepath.
4. זה הנתיב שבו הקובץ מאוחסן. לוחצים על סמל האפשרויות הנוספות כדי לראות פעולות נוספות.