Эта страница переведена с помощью Cloud Translation API.

Провести расследование и принять меры в отношении подозрительных файлов.

Поддерживаемые версии для этой функции: Chrome Enterprise Premium . Сравните свою версию.

Evidence Locker, доступный в Chrome Enterprise Premium, позволяет администраторам проверять файлы, помеченные как вредоносное ПО или нарушающие правила защиты данных, обеспечивая более полную прозрачность и контроль над потенциальными рисками. Файлы сохраняются в хранилище Google Cloud Storage вашей организации и могут быть загружены администратором безопасности из инструмента расследования инцидентов безопасности Google Workspace (SIT).

Прежде чем начать

Необходимо следующее:

браузер Chrome

Для получения более подробной информации см.:

Лицензия Chrome Enterprise Premium

Для получения дополнительной информации и регистрации см. раздел «Повышение безопасности с помощью Chrome Enterprise Premium» или обзор Chrome Enterprise Premium .
Чтобы просмотреть и управлять своей лицензией Chrome Enterprise Premium :
В консоли администратора Google перейдите в меню. Выставление счетов Подписки .
Перейти к разделу «Подписки»
Требуется наличие прав на управление выставлением счетов .

Создайте хранилище для вещественных доказательств.

Шаг 1: Создайте корзину Google Cloud Storage.

Evidence Locker хранит подозрительные или конфиденциальные файлы в хранилище Google Cloud Storage (GCS). Вам потребуется создать такое хранилище, выполнив следующие шаги. Знание работы с Google Cloud Storage будет полезным.

Совет: Слишком мягкое правило Google Cloud Data Loss Prevention (DLP) может сохранить в хранилище множество файлов, что приведет к высоким затратам на хранение. Создавайте правила, которые сохраняют только файлы, вызывающие серьезные подозрения.

Создайте проект Google Cloud. Инструкции см. в разделе «Создание и управление проектами» .
- Для доступа к сервисной учетной записи и пользователю Google Cloud необходимы права администратора хранилища в проекте Google Cloud, содержащем этот сегмент. См. раздел «Предоставление ролей на уровне проекта, сегмента или управляемой папки» .
Включите API Cloud Resource Manager для проекта:
- API Cloud Resource Manager позволяет программно управлять ресурсами контейнеров, такими как организации и проекты, в Google Cloud.
- Для получения номера проекта перейдите в API Cloud Resource Manager .
Создайте сегмент данных (Bucket) с использованием управляемого клиентом ключа шифрования (CMEK).
- Включите API KMS. См. раздел «Использование управляемых клиентом ключей шифрования» .
- (Необязательно) Чтобы создать связку ключей CMEK и сам ключ, перейдите в раздел Безопасность > Управление ключами > Создать связку ключей .
- Создайте корзину в разделе Cloud Storage > Buckets . См. раздел Create buckets .
  - Корзина GCS должна принадлежать вашей организации и находиться в том же домене.
  - CMEK должен находиться в том же регионе, что и контейнер. Подробнее.
- (Необязательно, но рекомендуется): Установите время жизни (TTL) для файлов. Например, автоматически удаляйте их через 30 дней.

Шаг 2: Подготовьте хранилище вещественных доказательств.

В консоли администратора Google перейдите в меню. Приложения Дополнительные сервисы Google.
Перейдите в раздел «Дополнительные сервисы Google».
Для этого требуются права администратора в разделе «Настройки службы» .
Нажмите «Службы безопасности Chrome Enterprise» .
Выберите «Включить» для всех или «Выключить» для всех , а затем нажмите «Сохранить» .
(Необязательно) Чтобы включить или выключить службу для организационного подразделения:
1. В левой части экрана выберите организационное подразделение.
2. Чтобы изменить статус службы, выберите «Вкл. » или «Выкл.» .
3. Выберите один вариант:
  - Если для параметра «Статус службы» установлено значение «Наследуется» , и вы хотите сохранить обновленную настройку, даже если изменится родительская настройка, нажмите «Переопределить» .
  - Если для параметра «Статус службы» установлено значение «Переопределено» , нажмите «Наследовать» , чтобы вернуться к настройкам родительского параметра, или нажмите «Сохранить» , чтобы сохранить новые настройки, даже если настройки родительского параметра изменятся.
    Узнайте больше об организационной структуре .
Нажмите «Настройки хранилища улик» .
Нажмите «Ввести имя сегмента Google Cloud Storage» .
Если у вас нет учетной записи службы, нажмите «Создать учетную запись службы» . Для продолжения потребуется учетная запись службы.
Добавьте учетную запись службы в свой сегмент Google Cloud Storage (GCS).
Важно : у учетной записи службы должны быть права администратора хранилища в проекте GCP, содержащем корзину. См. раздел «Создание корзины Google Cloud Storage» .
1. В консоли Google Cloud перейдите в меню. IAM и администрирование Управляйте ресурсами.
2. Перейдите к проекту GCS, содержащему этот контейнер.
3. Перейдите на вкладку «Разрешения» .
4. Выберите учетную запись службы "Хранилище вещественных доказательств".
5. Нажмите «Предоставить доступ» .
6. В поле «Новый субъект» введите только что созданный вами сервисный аккаунт.
7. В разделе «Роль» выберите «Администратор хранилища» .
8. (Необязательно): Пользователи без прав суперадминистратора также должны иметь права администратора хранилища в проекте GCP, содержащем корзину. Это необходимо для выбора корзины GCS из проекта.
9. Нажмите « Сохранить ».
В настройках Evidence Locker в консоли администратора Google Workspace введите имя корзины Google Cloud.
(Необязательно) Чтобы сохранить копии файлов, помеченных как вредоносное ПО, в хранилище доказательств, выберите «Сохранить содержимое, содержащее вредоносное ПО, в хранилище доказательств» .
Нажмите « Сохранить ».

Шаг 3: Включите Evidence Locker для сканирования на наличие вредоносных программ.

Вы можете сохранять все загруженные и скачанные файлы, помеченные как вредоносные, в хранилище. Эту опцию также можно включить во время настройки Evidence Locker.

В консоли администратора Google перейдите в меню. Приложения Дополнительные сервисы Google.
Перейдите в раздел «Дополнительные сервисы Google».
Для этого требуются права администратора в разделе «Настройки службы» .
Нажмите «Службы безопасности Chrome Enterprise» .
Нажмите «Настройки хранилища улик» .
Нажмите и дождитесь отображения учетной записи службы вашей организации.
Ниже поля с именем корзины выберите пункт «Сохранить содержимое, содержащее вредоносное ПО, в Evidence Locker» .

Шаг 4: Включите функцию «Блокировка улик» для сканирования при передаче конфиденциальных данных.

Вы можете копировать файлы в хранилище доказательств (Evidence Locker) при нарушении правил защиты данных. Копируются только файлы, запуск которых инициирован следующими действиями:

Файл загружен
Файл загружен
Печать

Контент, помеченный как "Вставленный контент", не копируется в Evidence Locker.

Перейти в меню Правила .
В выпадающем меню выберите «Защита данных» .
Введите название и описание правила.
В разделе «Область применения» выберите организационные подразделения и/или группы, к которым применяется это правило.
Примечание: Если вы выберете область действия группы, будут поддерживаться только те группы, которые созданы администраторами в консоли администратора Google.
В разделе «Приложения» выберите в Chrome параметры «Загруженный файл» , «Скачанный файл» и/или «Распечатанное содержимое» .
В разделе «Действия» в подразделе «Блокировка доказательств» выберите пункт «Сохранить загруженные, скачанные или распечатанные материалы, обнаруженные этим правилом, в Блокировке доказательств».

Для получения более подробной информации см. раздел «Создание правил защиты данных» .

Отслеживайте и загружайте файлы из хранилища доказательств.

Важно: правила защиты данных Evidence Locker обладают широкими возможностями настройки. Ваша организация несет ответственность за соблюдение политики конфиденциальности сотрудников и за все расходы на хранение данных в хранилище Google Cloud Storage. Имейте в виду, что хранение большого объема файлов в соответствии с правилами защиты данных может привести к существенным расходам на хранение в Google Cloud Storage.

В логах Chrome

В консоли администратора Google перейдите в меню. Безопасность Центр безопасности Инструмент расследования .
Перейдите к инструменту «Расследование».
Для этого требуются права администратора центра безопасности .
Для работы требуются следующие права администратора центра безопасности . См. раздел «Права администратора инструмента расследования инцидентов безопасности» .
- Для загрузки и управления подозрительными файлами:
  Управление > Chrome
- Чтобы просмотреть содержимое подозрительных файлов:
  Просмотр конфиденциального контента > Chrome
Нажмите «Источник данных» и выберите «События журнала Chrome» .
Найдите нужные вам записи и прокрутите страницу вправо.
В столбце «Путь к файлу в хранилище улик» щелкните ссылку на сохраненный файл.
Подробная информация о файле отображается на боковой панели. Например, исходное имя файла и путь к нему в хранилище Google Cloud Storage.
Внизу нажмите «Скачать файл» .

Загруженный zip-файл защищен паролем. Пароль "защищен" и одинаков для всех файлов.

В журналах правил

В консоли администратора Google перейдите в меню. Безопасность Центр безопасности Инструмент расследования .
Перейдите к инструменту «Расследование».
Для этого требуются права администратора центра безопасности .
Щелкните «Источник данных» и выберите «Журнал правил событий» . Нажмите «Поиск» .
Найдите строку «Действие завершено» с нужным правилом и прокрутите вправо, чтобы найти столбец «Путь к файлу хранилища доказательств» .
Это путь, по которому хранится файл. Нажмите «Подробнее». чтобы увидеть дополнительные действия.