Esaminare i file sospetti e intervenire di conseguenza

Versioni supportate per questa funzionalità: Chrome Enterprise Premium. Confronta la tua versione

L'Archivio prove, disponibile con Chrome Enterprise Premium, consente agli amministratori di ispezionare i file segnalati come malware o che violano le regole di protezione dei dati, offrendo maggiore visibilità e controllo sui potenziali rischi. I file vengono salvati nel bucket Google Cloud Storage della tua organizzazione e possono essere scaricati dall'amministratore della sicurezza dallo strumento di indagine sulla sicurezza (SIT) di Google Workspace.

Prima di iniziare

Sono richiesti i seguenti requisiti:

Browser Chrome

Per ulteriori informazioni, vedi:

Licenza Chrome Enterprise Premium

Per ulteriori informazioni e per registrarti, consulta Migliorare la sicurezza con Chrome Enterprise Premium o la Panoramica di Chrome Enterprise Premium.
Per visualizzare e gestire la licenza Chrome Enterprise Premium:
Nella Console di amministrazione Google, vai a Menu FatturazioneAbbonamenti.

Vai agli abbonamenti

È necessario disporre del privilegio Gestione fatturazione.

Configurare l'archivio prove

Passaggio 1: crea un bucket Google Cloud Storage

L'Archivio prove archivia i file sospetti o sensibili in un bucket Google Cloud Storage (GCS). Dovrai creare un bucket seguendo questi passaggi. È utile avere una certa familiarità con Google Cloud Storage.

Suggerimento: una regola Google Cloud Data Loss Prevention (DLP) troppo permissiva può salvare molti file nel bucket, con costi di archiviazione elevati. Crea regole che salvano solo i file altamente sospetti.

Crea un progetto Google Cloud. Per i dettagli, vedi Creazione e gestione dei progetti.
- Il service account e l'utente Google Cloud devono disporre dei privilegi amministrativi di archiviazione nel progetto Google Cloud contenente il bucket. Vedi Concedere ruoli a livello di progetto, di bucket o di cartella gestita.
Abilita l'API Cloud Resource Manager per il progetto:
- L'API Cloud Resource Manager ti consente di gestire in modo programmatico le risorse container, come organizzazioni e progetti, in Google Cloud.
- Vai all'API Cloud Resource Manager per il numero di progetto.
Crea un bucket con una chiave di crittografia gestita dal cliente (CMEK).
- Abilita l'API KMS. Vedi Utilizzare le chiavi di crittografia gestite dal cliente.
- (Facoltativo) Per creare una chiave e una chiave automatizzata CMEK, vai a Sicurezza > Gestione chiavi > Crea chiave automatizzata.
- Crea un bucket in Cloud Storage > Bucket. Vedi Creare bucket.
  - Il bucket GCS deve essere di proprietà della tua organizzazione e nello stesso dominio.
  - Il CMEK deve trovarsi nella stessa regione del bucket. Scopri di più
- (Facoltativo, ma consigliato) Imposta una durata TTL (Time to Live) sui file. Ad esempio, eliminali automaticamente dopo 30 giorni.

Passaggio 2: configura l'archivio prove

Nella Console di amministrazione Google, vai a Menu AppServizi Google aggiuntivi.

Vai a Servizi Google aggiuntivi

È necessario disporre del privilegio amministrativo "Impostazioni servizio".
Fai clic su Servizi di sicurezza di Chrome Enterprise.
Fai clic su ON per tutti o OFF per tutti, quindi fai clic su Salva.
(Facoltativo) Per attivare o disattivare un servizio per un'unità organizzativa:
1. A sinistra, seleziona l'unità organizzativa.
2. Per cambiare lo stato del servizio, seleziona ON o OFF.
3. Scegli un'opzione:
  - Se lo stato del servizio è impostato su Ereditato e vuoi mantenere l'impostazione aggiornata, anche se quella dell'unità organizzativa principale viene modificata, fai clic su Ignora.
  - Se lo stato del servizio è impostato su Ignorato, fai clic su Eredita per ripristinare la stessa impostazione dell'unità organizzativa principale oppure fai clic su Salva per mantenere la nuova configurazione, anche se cambia l'impostazione dell'unità organizzativa principale.
    Scopri di più sulla struttura organizzativa.
Fai clic su Impostazioni dell'archivio prove.
Fai clic su Inserisci il nome del bucket Google Cloud Storage.
Se non hai un service account, fai clic su Genera un service account. Per continuare è necessario un service account.
Aggiungi il service account al bucket Google Cloud Storage (GCS).
Importante: il service account deve disporre dei privilegi amministrativi dello spazio di archiviazione nel progetto Google Cloud contenente il bucket. Vedi Creare un bucket Google Cloud Storage.
1. Nella console Google Cloud, vai a Menu IAM e amministrazioneGestisci risorse.
2. Vai al progetto GCS che contiene il bucket.
3. Fai clic sulla scheda Autorizzazioni.
4. Seleziona il service account dell'archivio prove.
5. Fai clic su Concedi l'accesso.
6. In Nuova entità, inserisci il service account che hai appena generato.
7. In Ruolo, seleziona Amministratore Storage.
8. (Facoltativo) Gli utenti non super amministratori devono disporre anche dei privilegi di Amministratore dello spazio di archiviazione nel progetto Google Cloud che contiene il bucket. Questo è necessario per selezionare un bucket GCS dal progetto.
9. Fai clic su Salva.
In Impostazioni dell'archivio prove della Console di amministrazione Google Workspace, inserisci il nome del bucket Google Cloud.
(Facoltativo) Per conservare le copie dei file segnalati come malware nell'archivio prove, seleziona Salva i contenuti di tipo malware nell'archivio prove.
Fai clic su Salva.

Passaggio 3: attiva l'archivio prove per le scansioni di malware

Puoi salvare nel bucket di archiviazione tutti i caricamenti e i download di file segnalati come malware. Questa opzione può essere attivata anche durante la configurazione di Archivio prove.

Nella Console di amministrazione Google, vai a Menu AppServizi Google aggiuntivi.

Vai a Servizi Google aggiuntivi

È necessario disporre del privilegio amministrativo "Impostazioni servizio".
Fai clic su Servizi di sicurezza di Chrome Enterprise.
Fai clic su Impostazioni dell'archivio prove.
Fai clic su e attendi che venga visualizzato il service account della tua organizzazione.
Sotto il campo del nome del bucket, seleziona Salva i contenuti di tipo malware nell'archivio prove.

Passaggio 4: attiva l'archivio prove per le scansioni dei trasferimenti di dati sensibili

Puoi copiare i file nel bucket dell'archivio prove quando si verifica una violazione della regola per la protezione dei dati. Vengono copiati solo i file attivati dalle seguenti azioni:

File caricato
File scaricato
Stampa

I contenuti segnalati utilizzando "Contenuti incollati" non vengono copiati in Archivio prove.

Vai a Menu Regole.
Seleziona Protezione dei dati dal menu a discesa.
Digita un nome e una descrizione per la regola.
In Ambito, seleziona le unità organizzative e/o i gruppi a cui si applica questa regola.
**Nota** : se selezioni un ambito del gruppo, sono supportati solo i gruppi creati da amministratori all'interno della Console di amministrazione Google.
In App, seleziona le opzioni di Chrome File caricato, File scaricato e/o Contenuti stampati.
In Azioni, sotto Archivio prove, seleziona Salva i contenuti caricati, scaricati o stampati rilevati da questa regola nell'archivio prove.

Per saperne di più, vedi Creare regole di protezione dei dati.

Monitorare e scaricare file dall'archivio prove

Importante:le regole per la protezione dei dati di Archivio prove sono altamente configurabili. La tua organizzazione è responsabile di garantire la conformità alle norme sulla privacy dei dipendenti e di tutti i costi di archiviazione nel bucket Google Cloud Storage. Tieni presente che l'archiviazione di un numero elevato di file dalle regole di protezione dei dati può comportare costi elevati per Google Cloud Storage.

Nei log di Chrome

Nella Console di amministrazione Google, vai a Menu SicurezzaCentro sicurezzaStrumento di indagine.

Vai a Strumento di indagine

È necessario disporre del privilegio di amministratore Centro sicurezza.

Sono richiesti i seguenti privilegi amministrativi del Centro sicurezza. Vedi Privilegi amministrativi dello strumento di indagine sulla sicurezza.
- Per scaricare e gestire i file sospetti:
  Gestisci > Chrome
- Per visualizzare i contenuti di file sospetti:
  Visualizza contenuti sensibili > Chrome
Fai clic su Origine dati e seleziona Eventi dei log di Chrome.
Individua le voci corrispondenti alla tua ricerca e scorri verso destra.
Nella colonna Percorso file dell'archivio prove, fai clic sul link del file archiviato.
I dettagli del file vengono visualizzati nel riquadro laterale. Ad esempio, il nome e il percorso originali del file nel bucket Google Cloud Storage.
In basso, fai clic su Scarica file.

Il file ZIP scaricato è protetto da password. La password è "protected" ed è la stessa per tutti i file.

Nei log delle regole

Nella Console di amministrazione Google, vai a Menu SicurezzaCentro sicurezzaStrumento di indagine.

Vai a Strumento di indagine

È necessario disporre del privilegio di amministratore Centro sicurezza.
Fai clic su Origine dati e seleziona Eventi del log delle regole. Fai clic su Cerca.
Individua la riga Azione completata con la regola desiderata e scorri verso destra per trovare la colonna Percorso file dell'archivio prove.
Questo è il percorso in cui è archiviato il file. Fai clic su Altro per visualizzare altre azioni.

Esaminare i file sospetti e intervenire di conseguenza Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.