Undersök och vidta åtgärder mot misstänkta filer

Utgåvor som stöds för den här funktionen: Chrome Enterprise Premium . Jämför din utgåva

Evidence Locker, som är tillgängligt med Chrome Enterprise Premium, låter administratörer inspektera filer som flaggats som skadlig programvara eller som bryter mot dataskyddsregler, vilket ger större insyn och kontroll över potentiella risker. Filer sparas i organisationens Google Cloud Storage-bucket och kan laddas ner av säkerhetsadministratören från Google Workspace Security Investigation Tool (SIT).

Innan du börjar

Följande krävs:

Chrome-webbläsaren

För mer information, se:

Chrome Enterprise Premium-licens

Ställ in bevisskåp

Steg 1: Skapa en Google Cloud Storage Bucket

Evidence Locker lagrar misstänkta eller känsliga filer i en Google Cloud Storage (GCS)-bucket. Du måste skapa en bucket med hjälp av följande steg. Viss kännedom om Google Cloud Storage är bra.

Tips: En för mild DLP-regel (Data Loss Prevention) i Google Cloud kan spara många filer i bucketen, vilket leder till höga lagringskostnader. Skapa regler som bara sparar mycket misstänkta filer.

  1. Skapa ett Google Cloud-projekt. Instruktioner finns i Skapa och hantera projekt .
  2. Aktivera Cloud Resource Manager API för projektet:
    • Med Cloud Resource Manager API kan du programmatiskt hantera containerresurser, till exempel organisationer och projekt, i Google Cloud.
    • Gå till Cloud Resource Manager API för project_number.
  3. Skapa en Bucket med kundhanterad krypteringsnyckel (CMEK).
    • Aktivera KMS API. Se Använd kundhanterade krypteringsnycklar .
    • (Valfritt) För att skapa en CMEK-nyckelring och nyckel, gå till Säkerhet > Nyckelhantering > Skapa nyckelring .
    • Skapa en bucket under Cloud Storage > Buckets . Se Skapa buckets .
      • GCS-bucket måste ägas av din organisation och inom samma domän.
      • CMEK:n måste vara i samma region som hinken. Läs mer
    • (Valfritt men rekommenderat): Ställ in en livslängd (TTL) för filerna. Ta till exempel bort dem automatiskt efter 30 dagar.

Steg 2: Ställ in bevisskåpet

  1. I Googles administratörskonsol, gå till Meny och sedan Appar och sedan Ytterligare Google-tjänster.

    Kräver administratörsbehörighet för tjänstinställningar .

  2. Klicka på Chrome Enterprise Security Services .
  3. Klicka på På för alla eller Av för alla och klicka sedan på Spara .
  4. (Valfritt) Så här aktiverar eller inaktiverar du en tjänst för en organisationsenhet:
    1. Till vänster väljer du organisationsenheten.
    2. För att ändra tjänstens status, välj eller Av .
    3. Välj ett:
      • Om tjänstens status är inställd på Ärvd och du vill behålla den uppdaterade inställningen, även om den överordnade inställningen ändras, klicka på Åsidosätt .
      • Om tjänstens status är inställd på Åsidosatt klickar du antingen på Ärv för att återgå till samma inställning som den överordnade inställningen, eller klicka på Spara för att behålla den nya inställningen, även om den överordnade inställningen ändras.

        Läs mer om organisationsstruktur .

  5. Klicka på Inställningar för bevisskåpet .
  6. Klicka på Ange namnet på Google Cloud Storage-bucket .
  7. Om du inte har ett servicekonto klickar du på Skapa ett servicekonto . Ett servicekonto krävs för att fortsätta.
  8. Lägg till tjänstkontot i din Google Cloud Storage (GCS)-bucket.
    Viktigt : Tjänstkontot måste ha lagringsadministratörsbehörighet i GCP-projektet som innehåller bucketen. Se Skapa en Google Cloud Storage Bucket .
    1. I Google Cloud-konsolen går du till Meny och sedan IAM och administratör och sedan Hantera resurser.
    2. Gå till GCS-projektet som innehåller hinken.
    3. Klicka på fliken Behörigheter .
    4. Välj Evidence Locker-tjänstkontot.
    5. Klicka på Bevilja åtkomst .
    6. I Ny princip anger du det servicekonto du just genererade.
    7. I Roll väljer du Lagringsadministratör .
    8. (Valfritt): Användare som inte är superadministratörer måste också ha lagringsadministratörsbehörighet i GCP-projektet som innehåller bucketen. Detta krävs för att välja en GCS-bucket från projektet.
    9. Klicka på Spara .
  9. Ange Google Cloud-bucketnamnet i inställningarna för Evidence Locker i Google Workspace-administratörskonsolen.
  10. (Valfritt) Om du vill spara kopior av filer som flaggats som skadlig kod i bevisskåpet väljer du Spara innehåll som innehåller skadlig kod i bevisskåpet .
  11. Klicka på Spara .

Steg 3: Aktivera Evidence Locker för skanningar efter skadlig kod

Du kan spara alla filuppladdningar och nedladdningar som flaggats som skadlig kod till lagringsplatsen. Det här alternativet kan också aktiveras under installationen av Evidence Locker.

  1. I Googles administratörskonsol, gå till Meny och sedan Appar och sedan Ytterligare Google-tjänster.

    Kräver administratörsbehörighet för tjänstinställningar .

  2. Klicka på Chrome Enterprise Security Services .
  3. Klicka på Inställningar för bevisskåpet .
  4. Klick och vänta tills din organisations servicekonto visas.
  5. Under fältet för bucketnamn väljer du Spara innehåll som innehåller skadlig kod till Evidence Locker .

Steg 4: Aktivera Evidence Locker för skanningar av känsliga dataöverföringar

Du kan kopiera filer till Evidence Locker-hinken när en överträdelse av dataskyddsregler inträffar. Endast filer som utlöses av följande åtgärder kopieras:

  • Fil uppladdad
  • Fil nedladdad
  • Skriva ut

Innehåll som flaggas med "Innehåll inklistrat" ​​kopieras inte till Evidence Locker.

  1. I Googles administratörskonsol, gå till Meny och sedan Regler .

    Kräver administratörsbehörighet för att visa förtroenderegler .

  2. Välj Dataskydd i rullgardinsmenyn.
  3. Skriv ett namn och en beskrivning för regeln.
  4. Under Omfattning väljer du de organisationsenheter och/eller grupper som den här regeln gäller för.
    Obs! Om du väljer ett gruppomfång stöds endast de grupper som skapats av administratörer i Googles administratörskonsol.
  5. Under Appar väljer du Chrome-alternativen Fil uppladdad , Fil nedladdad och/eller Innehåll utskrivet .
  6. I Åtgärder, under Bevislås, välj Spara uppladdat, nedladdat eller utskrivet innehåll som upptäckts av den här regeln i Bevislås.

Mer information finns i Skapa dataskyddsregler .

Övervaka och ladda ner filer från Evidence Locker

Viktigt: Evidence Lockers dataskyddsregler är mycket konfigurerbara. Din organisation ansvarar för att säkerställa att anställdas integritetspolicyer följs och för alla lagringskostnader i Google Cloud Storage-bucket. Tänk på att omfattande fillagring från dataskyddsregler kan leda till betydande avgifter för Google Cloud Storage.

I Chrome-loggarna

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Säkerhetscenter och sedan Utredningsverktyg .

    Kräver administratörsbehörighet i säkerhetscenter .

    Följande specifika administratörsbehörigheter för säkerhetscentret krävs. Se Administratörsbehörigheter för Security Investigation Tool .

    • Så här laddar du ner och hanterar misstänkta filer:
      Hantera > Chrome
    • Så här visar du innehållet i misstänkta filer:
      Visa känsligt innehåll > Chrome
  2. Klicka på Datakälla och välj Chrome-logghändelser .
  3. Leta reda på posterna för din sökning och bläddra åt höger.
  4. Under kolumnen Filsökväg för bevisskåp klickar du på länken till den lagrade filen.
    Filinformationen visas i sidopanelen. Till exempel filens ursprungliga namn och sökväg i Google Cloud Storage-bucket.
  5. Klicka på Ladda ner fil längst ner.

Den nedladdade zip-filen är lösenordsskyddad. Lösenordet är "skyddat" och är detsamma för alla filer.

I regelloggarna

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Säkerhetscenter och sedan Utredningsverktyg .

    Kräver administratörsbehörighet i säkerhetscenter .

  2. Klicka på Datakälla och välj Regellogghändelser . Klicka på Sök .
  3. Leta reda på raden Åtgärd slutförd med önskad regel och bläddra åt höger för att hitta kolumnen Bevisskåpets filsökväg .
  4. Det här är sökvägen där filen lagras. Klicka på Mer för att se ytterligare åtgärder.