支持此功能的版本:Chrome 企业进阶版。 版本对比
借助 Chrome 企业进阶版提供的 Evidence Locker,管理员可以检查被标记为恶意软件或违反数据保护规则的文件,从而更好地了解潜在风险并加以控制。文件会保存到贵组织的 Google Cloud Storage 存储分区中,安全管理员可以从 Google Workspace 安全调查工具 (SIT) 下载这些文件。
准备工作
以下是必需的:
Chrome 浏览器
如需了解详情,请参阅:
Chrome 企业进阶版许可
- 如需了解详情并注册,请参阅借助 Chrome 企业进阶版增强安全性或 Chrome 企业进阶版概览。
- 如需查看和管理 Chrome 企业进阶版许可,请执行以下操作:
在 Google 管理控制台中,依次点击“菜单”图标
结算订阅。需要拥有“结算管理”权限。
设置 Evidence Locker
第 1 步:创建 Google Cloud Storage 存储分区
Evidence Locker 会将可疑文件或敏感文件存储在 Google Cloud Storage (GCS) 存储分区中。您需要按照以下步骤创建存储分区。了解一些 Google Cloud Storage 知识会有所帮助。
提示:过于宽松的 Google Cloud Data Loss Prevention (DLP) 规则可能会将许多文件保存到存储分区中,导致高昂的存储成本。创建仅保存高度可疑文件的规则。
- 创建 Google Cloud 项目。如需了解相关说明,请参阅创建和管理项目。
- 服务账号和 Google Cloud 用户需要在包含存储分区的 Google Cloud 项目中拥有 Storage Admin 权限。请参阅在项目级层、存储分区级层或托管文件夹级层授予角色。
- 为项目启用 Cloud Resource Manager API:
- 借助 Cloud Resource Manager API,您可以以编程方式管理 Google Cloud 中的容器资源(例如组织和项目)。
- 如需获取项目编号,请参阅 Cloud Resource Manager API。
- 使用客户管理的加密密钥 (CMEK) 创建存储分区。
- 启用 KMS API。请参阅使用客户管理的加密密钥。
- (可选)如需创建 CMEK 密钥环和密钥,请依次前往安全性 > 密钥管理 > 创建密钥环。
- 依次点击 Cloud Storage > 存储分区,创建存储分区。请参阅创建存储分区。
- 该 GCS 存储分区必须归贵组织所有,并且位于同一网域中。
- CMEK 必须与存储分区位于同一区域。了解详情
- (可选但推荐)为文件设置存活时间 (TTL)。例如,在 30 天后自动删除文件。
第 2 步:设置 Evidence Locker
-
在 Google 管理控制台中,依次点击“菜单”图标
应用附加 Google 服务。需要拥有“服务设置”管理员权限。
- 点击 Chrome 企业版安全服务。
- 点击对所有人启用或对所有人停用,然后点击保存。
-
(可选)如要为某个组织部门启用或停用服务,请执行以下操作:
- 在左侧,选择所需组织部门。
- 如要更改服务状态,请选择启用或停用。
- 根据需要选择相应操作:
- 如果“服务状态”被设为已继承,而您想保留更新后的设置(即使在上级组织的设置发生变化时也保留该设置),请点击覆盖。
- 如果服务状态被设为已覆盖,您可以点击继承以恢复为与上级组织相同的设置,也可以点击保存以保留新设置,而不受上级组织的设置变更所影响。
详细了解组织结构。
- 点击 Evidence Locker 设置。
- 点击输入 Google Cloud Storage 存储分区名称。
- 如果您没有服务账号,请点击生成服务账号。需要服务账号才能继续。
- 将服务账号添加到 Google Cloud Storage (GCS) 存储分区。
重要提示:服务账号必须在包含存储分区的 GCP 项目中拥有 Storage Admin 权限。请参阅创建 Google Cloud Storage 存储分区。- 在 Google Cloud 控制台中,依次选择“菜单”图标
“IAM 和管理”“管理资源”。 - 前往包含该存储分区的 GCS 项目。
- 点击权限标签页。
- 选择 Evidence Locker 服务账号。
- 点击授予访问权限。
- 在“新建主账号”中,输入刚生成的服务账号。
- 在“角色”中,选择 Storage Admin。
- (可选)非超级用户还必须在包含存储分区的 GCP 项目中拥有 Storage Admin 权限。必须执行此操作才能从项目中选择 GCS 存储分区。
- 点击保存。
- 在 Google Cloud 控制台中,依次选择“菜单”图标
- 在 Google Workspace 管理控制台的 Evidence Locker 设置中,输入 Google Cloud 存储分区名称。
- (可选)如需在 Evidence Locker 中保留被标记为恶意软件的文件的副本,请选择将包含恶意软件的内容保存到 Evidence Locker。
- 点击保存。
第 3 步:启用 Evidence Locker 以进行恶意软件扫描
-
在 Google 管理控制台中,依次点击“菜单”图标
应用附加 Google 服务。需要拥有“服务设置”管理员权限。
- 点击 Chrome 企业版安全服务。
- 点击 Evidence Locker 设置。
- 点击
,然后等待贵组织的服务账号显示。 - 在存储分区名称字段下面,选择将包含恶意软件的内容保存到 Evidence Locker。
第 4 步:启用 Evidence Locker 以进行敏感数据传输扫描
当发生违反数据保护规则的情况时,您可以将文件复制到 Evidence Locker 存储分区。系统仅会复制由以下操作触发的文件:
- 文件已上传
- 下载了文件
- 打印
使用“粘贴的内容”标记的内容不会被复制到证据箱。
-
依次点击“菜单”图标
规则。
- 从下拉菜单中选择数据保护。
- 输入规则的名称和说明。
- 在“范围”下方,选择此规则适用的组织部门和/或群组。
注意:如果您选择群组范围,则只能选择管理员在 Google 管理控制台中创建的群组。 - 在“应用”下,选择 Chrome 选项上传了文件、下载了文件和/或已打印内容。
- 在“Evidence Locker”下方的“操作”部分,选择将此规则检测到的已上传、已下载或已打印的内容保存到 Evidence Locker。
如需了解详情,请参阅创建数据保护规则。
监控和下载 Evidence Locker 中的文件
重要提示:Evidence Locker 的数据保护规则具有高度可配置性。贵组织有责任确保遵守员工隐私权政策,并承担 Google Cloud Storage 存储分区中的所有存储费用。请注意,数据保护规则导致的大量文件存储可能会导致高昂的 Google Cloud Storage 费用。
在 Chrome 日志中
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性安全中心调查工具。需要拥有“安全中心”管理员权限。
必须拥有以下特定的安全中心管理员权限。请参阅安全调查工具的管理员权限。
- 如需下载和管理可疑文件,请依次点击以下各项:
管理 > Chrome - 如需查看可疑文件的内容,请依次点击以下各项:
查看敏感内容 > Chrome
- 如需下载和管理可疑文件,请依次点击以下各项:
- 点击数据源,然后选择 Chrome 日志事件。
- 找到您搜索的条目,然后向右滚动。
- 在 Evidence Locker 文件路径列下,点击指向存储的文件的链接。
文件详情会显示在侧边栏中。例如,文件在 Google Cloud Storage 存储分区中的原始名称和路径。 - 点击底部的下载文件。
下载的 zip 文件受密码保护。密码会受到妥善“保护”,并且对于所有文件均相同。
可查看其他操作。