Investigar e tomar providências em relação a arquivos suspeitos

Edições compatíveis com este recurso: Chrome Enterprise Premium. Comparar sua edição

O Evidence Locker, disponível com o Chrome Enterprise Premium, permite que os administradores inspecionem arquivos sinalizados como malware ou que violam as regras de proteção de dados, oferecendo maior visibilidade e controle sobre possíveis riscos. Os arquivos são salvos no bucket do Google Cloud Storage da sua organização e podem ser transferidos por download pelo administrador de segurança na ferramenta de investigação de segurança (SIT, na sigla em inglês) do Google Workspace.

Antes de começar

Os seguintes requisitos são obrigatórios:

Navegador Chrome

Para mais informações, consulte:

Licença do Chrome Enterprise Premium

Configurar o Evidence Locker

Etapa 1: criar um bucket do Google Cloud Storage

O Evidence Locker armazena arquivos suspeitos ou confidenciais em um bucket do Google Cloud Storage (GCS). Siga as etapas abaixo para criar um bucket. É útil ter algum conhecimento do Google Cloud Storage.

Dica:uma regra de Prevenção contra perda de dados (DLP) do Google Cloud muito flexível pode salvar muitos arquivos no bucket, resultando em custos de armazenamento altos. Crie regras que salvem apenas arquivos altamente suspeitos.

  1. Criar um projeto do Google Cloud. Confira as instruções em Como criar e gerenciar projetos.
  2. Ative a API Cloud Resource Manager para o projeto:
    • A API Cloud Resource Manager permite gerenciar recursos de contêiner, como organizações e projetos, de forma programática no Google Cloud.
    • Acesse a API Cloud Resource Manager para o project_number.
  3. Crie um bucket com uma chave de criptografia gerenciada pelo cliente (CMEK).
    • Ative a API KMS. Consulte Usar chaves de criptografia gerenciadas pelo cliente.
    • (Opcional) Para criar um keyring e uma chave CMEK, acesse Segurança > Gerenciamento de chaves > Criar keyring.
    • Crie um bucket em Cloud Storage > Buckets. Consulte Criar buckets.
      • O bucket do GCS precisa ser da sua organização e estar no mesmo domínio.
      • A CMEK precisa estar na mesma região do bucket. Saiba mais
    • (Opcional, mas recomendado): defina um time to live (TTL) nos arquivos. Por exemplo, exclua automaticamente os dados após 30 dias.

Etapa 2: configurar o Evidence Locker

  1. No Admin Console do Google, acesse Menu e depois Appse depoisServiços adicionais do Google.

    Exige o privilégio de administrador "Configurações do serviço".

  2. Clique em Serviços de segurança do Chrome Enterprise.
  3. Clique em Ativar para todos ou Desativar para todos e depois em Salvar.
  4. (Opcional) Para ativar ou desativar um serviço em uma unidade organizacional:
    1. Selecione a unidade organizacional à esquerda.
    2. Para mudar o status do serviço, selecione Ativado ou Desativado.
    3. Escolha uma opção:
      • Se o status do serviço estiver definido como Herdado e você quiser manter a configuração atualizada, mesmo que a configuração mãe seja alterada, clique em Substituir.
      • Caso o status do serviço esteja definido como Substituído, clique em Herdar para reverter e usar a configuração mãe ou clique em Salvar para manter a nova configuração, mesmo que a configuração mãe seja alterada.
        Saiba mais sobre estrutura organizacional.
  5. Clique em Configurações do Evidence Locker.
  6. Clique em Insira o nome do bucket do Google Cloud Storage.
  7. Se você não tiver uma conta de serviço, clique em Gerar uma conta de serviço. É necessário ter uma conta de serviço para continuar.
  8. Adicione a conta de serviço ao bucket do Google Cloud Storage (GCS).
    Importante: a conta de serviço precisa ter privilégios de administrador do Storage no projeto do GCP que contém o bucket. Consulte Criar um bucket do Google Cloud Storage.
    1. No console do Google Cloud, acesse Menu e depoisIAM e administradore depoisGerenciar recursos.
    2. Acesse o projeto do GCS que contém o bucket.
    3. Clique na guia Permissões.
    4. Selecione a conta de serviço do Evidence Locker.
    5. Clique em Permitir acesso.
    6. Em "Novo princípio", insira a conta de serviço que você acabou de gerar.
    7. Em "Papel", selecione Administrador do Storage.
    8. (Opcional): os usuários que não são superadministradores também precisam ter privilégios de Administrador do Storage no projeto do GCP que contém o bucket. Isso é necessário para selecionar um bucket do GCS no projeto.
    9. Clique em Salvar.
  9. Nas configurações do Evidence Locker no Admin Console do Google Workspace, insira o nome do bucket do Google Cloud.
  10. (Opcional) Para manter cópias de arquivos sinalizados como malware no Evidence Locker, selecione Salvar conteúdo com malware no Evidence Locker.
  11. Clique em Salvar.

Etapa 3: ativar o Evidence Locker para verificações de malware

É possível salvar todos os uploads e downloads de arquivos sinalizados como malware no bucket de armazenamento. Essa opção também pode ser ativada durante a configuração do Evidence Locker.

  1. No Admin Console do Google, acesse Menu e depois Appse depoisServiços adicionais do Google.

    Exige o privilégio de administrador "Configurações do serviço".

  2. Clique em Serviços de segurança do Chrome Enterprise.
  3. Clique em Configurações do Evidence Locker.
  4. Clique em e aguarde a exibição da conta de serviço da sua organização.
  5. Abaixo do campo de nome do bucket, selecione Salvar conteúdo com malware no Evidence Locker.

Etapa 4: ativar o Evidence Locker para verificações de transferência de dados sensíveis

É possível copiar os arquivos para o bucket do Evidence Locker quando ocorrer uma violação da regra de proteção de dados. Somente os arquivos acionados pelas seguintes ações são copiados:

  • Arquivo enviado
  • Download concluído
  • Imprimir

O conteúdo marcado com "Conteúdo colado" não é copiado para o Evidence Locker.

  1. Acesse Menu e depois Regras.
  2. No menu suspenso, selecione Proteção de dados.
  3. Digite um nome e uma descrição para a regra.
  4. Em "Escopo", selecione as unidades organizacionais e/ou os grupos a que esta regra se aplica.
    Observação:se você selecionar um escopo de grupo, apenas os grupos criados por administradores no Google Admin Console serão compatíveis.
  5. Em "Apps", selecione as opções do Chrome Arquivo enviado, Arquivo salvo e/ou Conteúdo impresso.
  6. Em "Ações", em "Evidence Locker", selecione Salvar no Evidence Locker o conteúdo enviado por upload, baixado ou impresso detectado por essa regra.

Para mais informações, consulte Criar regras de proteção de dados.

Monitorar e fazer o download de arquivos do Evidence Locker

Importante:as regras de proteção de dados do Evidence Locker são altamente configuráveis. Sua organização é responsável por garantir a conformidade com as políticas de privacidade dos funcionários e por todos os custos de armazenamento no bucket do Google Cloud Storage. O armazenamento de arquivos extensivo com as regras de proteção de dados pode gerar taxas substanciais do Google Cloud Storage.

Nos registros do Chrome

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisCentral de segurançae depoisFerramenta de investigação.

    Exige o privilégio de administrador Central de segurança.

    Os seguintes privilégios de administrador da Central de segurança são necessários. Consulte Privilégios de administrador da ferramenta de investigação de segurança.

    • Para fazer o download e gerenciar arquivos suspeitos:
      Gerenciar > Chrome
    • Para conferir o conteúdo de arquivos suspeitos:
      Acessar conteúdo sensível > Chrome
  2. Clique em Origem de dados e selecione Eventos de registro do Chrome.
  3. Localize as entradas da sua pesquisa e role para a direita.
  4. Na coluna Evidence Locker Filepath, clique no link para o arquivo armazenado.
    Os detalhes do arquivo são exibidos no painel lateral. Por exemplo, o nome e o caminho originais do arquivo no bucket do Google Cloud Storage.
  5. Na parte de baixo, clique em Fazer o download do arquivo.

O arquivo ZIP baixado é protegido por senha. A senha é "protected" e é a mesma para todos os arquivos.

Nos registros de regras

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisCentral de segurançae depoisFerramenta de investigação.

    Exige o privilégio de administrador Central de segurança.

  2. Clique em Fonte de dados e selecione Eventos de registro de regras. Clique em Pesquisar.
  3. Localize a linha Ação concluída com a regra desejada e role para a direita para encontrar a coluna Caminho do arquivo do Evidence Locker.
  4. Esse é o caminho em que o arquivo está armazenado. Clique em Mais para conferir outras ações.