Điều tra và xử lý các tệp đáng ngờ

Các phiên bản được hỗ trợ có thể dùng tính năng này: Chrome Enterprise Premium. So sánh phiên bản của bạn

Evidence Locker (có trong Chrome Enterprise Premium) cho phép quản trị viên kiểm tra các tệp bị gắn cờ là phần mềm độc hại hoặc vi phạm các quy tắc Bảo vệ dữ liệu, giúp tăng khả năng giám sát và kiểm soát các rủi ro tiềm ẩn. Các tệp được lưu vào bộ chứa Google Cloud Storage của tổ chức và quản trị viên bảo mật có thể tải các tệp này xuống từ Công cụ điều tra bảo mật (SIT) của Google Workspace.

Trước khi bắt đầu

Bạn phải cung cấp những thông tin sau:

Trình duyệt Chrome

Để biết thêm thông tin, hãy xem các bài viết sau:

Giấy phép Chrome Enterprise Premium

Để biết thêm thông tin và đăng ký, hãy xem phần Tăng cường bảo mật bằng Chrome Enterprise Premium hoặc Tổng quan về Chrome Enterprise Premium.
Cách xem và quản lý giấy phép Chrome Enterprise Premium:
Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Thanh toánGói thuê bao.

Chuyển đến trang Gói thuê bao

Bạn phải có đặc quyền Quản lý thanh toán.

Thiết lập Evidence Locker

Bước 1: Tạo một bộ chứa Google Cloud Storage

Tủ đựng bằng chứng lưu trữ các tệp đáng ngờ hoặc nhạy cảm trong một bộ chứa Google Cloud Storage (GCS). Bạn cần tạo một vùng chứa theo các bước sau. Bạn nên có một số kiến thức về Google Cloud Storage.

Lưu ý: Một quy tắc Ngăn chặn mất dữ liệu (DLP) của Google Cloud quá lỏng lẻo có thể lưu nhiều tệp vào vùng lưu trữ, dẫn đến chi phí lưu trữ cao. Tạo các quy tắc chỉ lưu những tệp có dấu hiệu đáng ngờ cao.

Tạo một dự án trên Google Cloud. Để biết hướng dẫn, hãy xem phần Tạo và quản lý dự án.
- Tài khoản dịch vụ và người dùng Google Cloud cần có đặc quyền Quản trị viên bộ nhớ trong dự án Google Cloud chứa bộ chứa. Xem phần Cấp vai trò ở cấp dự án, cấp bộ chứa hoặc cấp thư mục được quản lý.
Bật Cloud Resource Manager API cho dự án:
- Cloud Resource Manager API cho phép bạn quản lý các tài nguyên vùng chứa (chẳng hạn như tổ chức và dự án) theo phương thức lập trình trong Google Cloud.
- Chuyển đến Cloud Resource Manager API để xem project_number.
Tạo một Nhóm bằng Khoá mã hoá do khách hàng quản lý (CMEK).
- Bật KMS API. Hãy xem phần Sử dụng khoá mã hoá do khách hàng quản lý.
- (Không bắt buộc) Để tạo một bộ khoá và khoá CMEK, hãy chuyển đến phần Bảo mật > Quản lý khoá > Tạo bộ khoá.
- Tạo một bộ chứa tại Cloud Storage > Bộ chứa. Xem phần Tạo nhóm.
  - Tổ chức của bạn phải sở hữu và sử dụng cùng một miền cho vùng lưu trữ GCS.
  - CMEK phải nằm trong cùng khu vực với vùng lưu trữ. Tìm hiểu thêm
- (Không bắt buộc nhưng nên thực hiện): Đặt Thời gian tồn tại (TTL) cho các tệp. Ví dụ: tự động xoá các tệp đó sau 30 ngày.

Bước 2: Thiết lập Tủ lưu trữ bằng chứng

Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Ứng dụngCác dịch vụ bổ sung của Google.

Chuyển đến Các dịch vụ bổ sung của Google

Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt dịch vụ.
Nhấp vào Dịch vụ bảo mật của Chrome Enterprise.
Nhấp vào Bật cho mọi người hoặc Tắt cho mọi người rồi nhấp vào Lưu.
(Không bắt buộc) Cách bật hoặc tắt một dịch vụ cho một đơn vị tổ chức:
1. Ở bên trái, hãy chọn đơn vị tổ chức đó.
2. Để thay đổi Trạng thái dịch vụ, hãy chọn Bật hoặc Tắt.
3. Chọn một trong các lựa chọn sau:
  - Nếu Trạng thái dịch vụ được đặt thành Đã kế thừa và bạn muốn giữ chế độ cài đặt đã cập nhật, ngay cả khi chế độ cài đặt gốc thay đổi, hãy nhấp vào Ghi đè.
  - Nếu Trạng thái dịch vụ được đặt thành Đã ghi đè, hãy nhấp vào Kế thừa để quay về chế độ cài đặt giống với chế độ gốc hoặc nhấp vào Lưu để giữ chế độ cài đặt mới, ngay cả khi chế độ cài đặt gốc thay đổi.
    Tìm hiểu thêm về cơ cấu tổ chức.
Nhấp vào Cài đặt Evidence Locker.
Nhấp vào Nhập tên bộ chứa trong Google Cloud Storage.
Nếu bạn chưa có tài khoản dịch vụ, hãy nhấp vào Tạo tài khoản dịch vụ. Bạn phải có tài khoản dịch vụ để tiếp tục.
Thêm tài khoản dịch vụ vào bộ chứa Google Cloud Storage (GCS).
Lưu ý quan trọng: Tài khoản dịch vụ phải có đặc quyền Quản trị bộ nhớ trong dự án GCP chứa nhóm. Xem phần Tạo bộ chứa Google Cloud Storage.
1. Trong Google Cloud Console, hãy chuyển đến phần Trình đơn IAM và Quản trị viênQuản lý tài nguyên.
2. Chuyển đến dự án GCS có chứa nhóm lưu trữ.
3. Nhấp vào tab Permissions.
4. Chọn tài khoản dịch vụ Evidence Locker.
5. Nhấp vào Cấp quyền truy cập.
6. Trong Nguyên tắc mới, hãy nhập tài khoản dịch vụ mà bạn vừa tạo.
7. Trong phần Vai trò, hãy chọn Quản trị viên bộ nhớ.
8. (Không bắt buộc): Người dùng không phải là quản trị viên cấp cao cũng phải có đặc quyền Quản trị viên bộ nhớ trong dự án GCP có chứa bộ chứa. Bạn phải chọn một vùng lưu trữ GCS trong dự án.
9. Nhấp vào Lưu.
Trong phần cài đặt Evidence Locker của Bảng điều khiển dành cho quản trị viên Google Workspace, hãy nhập tên bộ chứa trên Google Cloud.
(Không bắt buộc) Để lưu giữ bản sao của những tệp bị gắn cờ là phần mềm độc hại trong Kho lưu trữ bằng chứng, hãy chọn Lưu những nội dung chứa phần mềm độc hại vào Kho lưu trữ bằng chứng.
Nhấp vào Lưu.

Bước 3: Bật Evidence Locker để quét phần mềm độc hại

Bạn có thể lưu tất cả tệp tải lên và tải xuống bị gắn cờ là phần mềm độc hại vào vùng lưu trữ. Bạn cũng có thể bật lựa chọn này trong quá trình thiết lập Kho lưu trữ bằng chứng.

Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Ứng dụngCác dịch vụ bổ sung của Google.

Chuyển đến Các dịch vụ bổ sung của Google

Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt dịch vụ.
Nhấp vào Dịch vụ bảo mật của Chrome Enterprise.
Nhấp vào Cài đặt Evidence Locker.
Nhấp vào rồi đợi tài khoản dịch vụ của tổ chức bạn xuất hiện.
Bên dưới trường tên nhóm, hãy chọn Lưu những nội dung chứa phần mềm độc hại vào Kho lưu trữ bằng chứng.

Bước 4: Bật Evidence Locker để quét hoạt động chuyển dữ liệu nhạy cảm

Bạn có thể sao chép tệp vào nhóm Kho lưu trữ bằng chứng khi xảy ra lỗi vi phạm quy tắc Bảo vệ dữ liệu. Hệ thống chỉ sao chép những tệp được kích hoạt bởi các thao tác sau:

Tệp đã tải lên
Đã tải tệp xuống
In

Nội dung bị gắn cờ bằng lựa chọn "Nội dung được dán" sẽ không được sao chép vào Tủ bằng chứng.

Chuyển đến phần Trình đơn Quy tắc.
Trong trình đơn thả xuống, hãy chọn Bảo vệ dữ liệu.
Nhập tên và nội dung mô tả cho quy tắc.
Trong mục Phạm vi, hãy chọn đơn vị tổ chức và/hoặc nhóm mà bạn muốn áp dụng quy tắc này.
Lưu ý: Nếu bạn chọn một phạm vi nhóm, thì chỉ những nhóm do quản trị viên tạo trong Bảng điều khiển dành cho quản trị viên của Google mới được hỗ trợ.
Trong phần Ứng dụng, hãy chọn các mục Tệp đã tải lên, Tệp đã tải xuống và/hoặc Nội dung đã in của Chrome.
Trong phần Hành động, trong Kho lưu trữ bằng chứng, hãy chọn Lưu nội dung đã tải lên, nội dung đã tải xuống hoặc nội dung đã in do quy tắc này trong Kho lưu trữ bằng chứng phát hiện.

Để biết thêm thông tin, hãy xem bài viết Tạo quy tắc bảo vệ dữ liệu.

Theo dõi và tải tệp xuống từ Kho lưu trữ bằng chứng

Lưu ý quan trọng: Bạn có thể tuỳ chỉnh các quy tắc Bảo vệ dữ liệu của Kho lưu trữ bằng chứng ở mức độ cao. Tổ chức của bạn chịu trách nhiệm đảm bảo tuân thủ chính sách quyền riêng tư dành cho nhân viên và chịu mọi chi phí lưu trữ trong bộ chứa Google Cloud Storage. Xin lưu ý rằng việc lưu trữ nhiều tệp theo các quy tắc Bảo vệ dữ liệu có thể dẫn đến phí Google Cloud Storage đáng kể.

Trong nhật ký Chrome

Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Bảo mậtTrung tâm bảo mậtCông cụ điều tra.

Chuyển đến Công cụ điều tra

Bạn phải có đặc quyền của quản trị viên đối với Trung tâm bảo mật.

Bạn phải có các đặc quyền cụ thể sau đây của quản trị viên đối với Trung tâm bảo mật. Xem Đặc quyền của quản trị viên đối với Công cụ điều tra bảo mật.
- Cách tải xuống và quản lý tệp đáng ngờ:
  Quản lý > Chrome
- Cách xem nội dung của các tệp đáng ngờ:
  Xem nội dung nhạy cảm > Chrome
Nhấp vào Nguồn dữ liệu rồi chọn Sự kiện trong nhật ký Chrome.
Tìm các mục cho nội dung tìm kiếm của bạn rồi di chuyển sang phải.
Trong cột Đường dẫn tệp trong tủ đựng bằng chứng, hãy nhấp vào đường liên kết đến tệp được lưu trữ.
Thông tin chi tiết về tệp sẽ xuất hiện trong bảng điều khiển bên. Ví dụ: tên và đường dẫn ban đầu của tệp trong bộ chứa Google Cloud Storage.
Ở dưới cùng, hãy nhấp vào Tải tệp xuống.

Tệp zip đã tải xuống được bảo vệ bằng mật khẩu. Mật khẩu được "bảo vệ" và giống nhau cho tất cả các tệp.

Trong Nhật ký quy tắc

Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Bảo mậtTrung tâm bảo mậtCông cụ điều tra.

Chuyển đến Công cụ điều tra

Bạn phải có đặc quyền của quản trị viên đối với Trung tâm bảo mật.
Nhấp vào Nguồn dữ liệu rồi chọn Sự kiện trong nhật ký quy tắc. Nhấp vào Tìm kiếm.
Tìm hàng Đã hoàn tất hành động có quy tắc mong muốn rồi di chuyển sang phải để tìm cột Đường dẫn tệp trong tủ đựng bằng chứng.
Đây là đường dẫn lưu trữ tệp. Nhấp vào biểu tượng Tuỳ chọn khác để xem các thao tác khác.

Điều tra và xử lý các tệp đáng ngờ Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.