支援這項功能的版本:Chrome Enterprise 進階版。 版本比較
管理員可透過 Chrome Enterprise 進階版提供的 Evidence Locker 檢查標記為惡意軟體或違反資料保護規則的檔案,進一步掌握並控管潛在風險。檔案會儲存至貴機構的 Google Cloud Storage bucket,安全管理員可透過 Google Workspace 安全調查工具 (SIT) 下載這些檔案。
事前準備
必備條件如下:
Chrome 瀏覽器
如需詳細資訊,請參閱:
Chrome Enterprise 進階版授權
- 如要進一步瞭解並註冊服務,請參閱「透過 Chrome Enterprise 進階版提升安全性」或「Chrome Enterprise 進階版總覽」。
- 如要查看及管理 Chrome Enterprise 進階版授權,請按照下列步驟操作:
在 Google 管理控制台中,依序點選「選單」圖示
「帳單」「訂閱」。必須具備帳單管理權限。
設定 Evidence Locker
步驟 1:建立 Google Cloud Storage bucket
Evidence Locker 會將可疑或機密檔案儲存在 Google Cloud Storage (GCS) bucket 中。請按照下列步驟建立 bucket,建議您先熟悉 Google Cloud Storage 的操作。
提示:如果 Google Cloud Data Loss Prevention (DLP) 規則過於寬鬆,可能會將過多檔案儲存至 bucket,導致儲存空間費用偏高。請建立只儲存可疑度極高檔案的規則。
- 建立 Google Cloud 專案。詳情請參閱「建立與管理專案」。
- 服務帳戶和 Google Cloud 使用者必須在含有 bucket 的 Google Cloud 專案中,具備 Storage 管理員權限。請參閱「在專案、bucket 或受管理的資料夾層級授予角色」。
- 為專案啟用 Cloud Resource Manager API:
- 透過 Cloud Resource Manager API,您可以利用程式管理 Google Cloud 中的容器資源,例如機構和專案。
- 請前往「Cloud Resource Manager API」瞭解 project_number。
- 使用客戶管理式加密金鑰 (CMEK) 建立 Bucket。
- 啟用 KMS API。請參閱「使用客戶管理式加密金鑰」。
- (選用) 如要建立 CMEK 金鑰環和金鑰,請依序前往「安全性」>「金鑰管理」>「建立金鑰環」。
- 依序前往「Cloud Storage」>「Bucket」建立值區。請參閱「建立 bucket」一文。
- GCS bucket 必須由貴機構擁有,且位於相同網域。
- CMEK 必須與 bucket 位於相同區域。瞭解詳情
- (建議採取的選用步驟):為檔案設定存留時間 (TTL)。例如:自動刪除超過 30 天的檔案。
步驟 2:設定證據櫃
-
在 Google 管理控制台中,依序點選「選單」圖示
「應用程式」「額外的 Google 服務」。必須擁有服務設定管理員權限。
- 按一下「Chrome Enterprise Security Services」。
- 按一下「為所有人啟用」或「為所有人關閉」,然後按一下「儲存」。
-
(選用) 如何為機構單位開啟或關閉服務:
- 在左側選取機構單位。
- 選取「開啟」或「關閉」即可變更服務狀態。
- 選擇下列其中一個選項:
- 如果服務狀態設為「已沿用」,而您想要保留更新後的設定 (即使上層設定發生變更也一樣),請按一下「覆寫」。
- 如果服務狀態設為「已覆寫」,按一下「沿用」即可還原成與上層機構相同的設定,點選「儲存」則可保留新設定,即使上層設定發生變更也一樣。
進一步瞭解機構架構。
- 按一下「證據櫃設定」。
- 點選「輸入 Google Cloud Storage bucket 名稱」。
- 如果沒有服務帳戶,請按一下「建立服務帳戶」。您必須擁有服務帳戶才能繼續操作。
- 將服務帳戶新增至 Google Cloud Storage (GCS) bucket。
重要事項:服務帳戶必須在含有 bucket 的 GCP 專案中具備 Storage 管理員權限。請參閱「建立 Google Cloud Storage bucket」一節。- 在 Google Cloud 控制台中,依序前往「選單」
「IAM 與管理」「管理資源」。 - 前往包含 bucket 的 GCS 專案。
- 按一下「Permissions」(權限) 分頁標籤。
- 選取 Evidence Locker 服務帳戶。
- 點選「授予存取權」。
- 在「新增主體」中,輸入剛剛建立的服務帳戶。
- 在「角色」中選取「儲存空間管理員」。
- (選用) 非超級管理員使用者也必須在含有 bucket 的 GCP 專案中具備 Storage 管理員權限,才能從專案中選取 GCS bucket。
- 按一下 [儲存]。
- 在 Google Cloud 控制台中,依序前往「選單」
- 在 Google Workspace 管理控制台的「證據櫃」設定中,輸入 Google Cloud bucket 名稱。
- (選用) 如要將標記為惡意軟體的檔案副本保留在 Evidence Locker 中,請選取「將含有惡意軟體的內容儲存至 Evidence Locker」。
- 按一下 [儲存]。
步驟 3:啟用 Evidence Locker 來掃描惡意軟體
-
在 Google 管理控制台中,依序點選「選單」圖示
「應用程式」「額外的 Google 服務」。必須擁有服務設定管理員權限。
- 按一下「Chrome Enterprise Security Services」。
- 按一下「證據櫃設定」。
- 按一下
,等待系統顯示貴機構的服務帳戶。 - 在 bucket 名稱欄位下方,選取「將含有惡意軟體的內容儲存至 Evidence Locker」。
步驟 4:啟用 Evidence Locker 進行機密資料移轉掃描
發生資料保護規則違規事件時,您可以將檔案複製到 Evidence Locker bucket。系統只會複製下列動作觸發的檔案:
- 檔案已上傳
- 已下載檔案
- 列印
系統「不會」將使用「已貼上的內容」標記的內容複製到 Evidence Locker。
-
依序點選「選單」圖示
「規則」。
- 在下拉式選單中選取「資料保護」。
- 輸入規則名稱和說明。
- 在「範圍」下方,選取要套用這項規則的機構單位和/或群組。
注意:如果您選取群組範圍,則只有管理員在 Google 管理控制台中建立的群組才適用這項規則。 - 在「應用程式」下方,選取 Chrome 選項「已上傳檔案」、「已下載檔案」和/或「已列印的內容」。
- 在「動作」部分的「Evidence Locker」下方,選取「如果這項規則偵測到上傳檔案、下載檔案或列印內容,就會儲存至 Evidence Locker」。
詳情請參閱「建立資料保護規則」。
監控及下載 Evidence Locker 中的檔案
重要事項:證據櫃的資料保護規則可高度自訂。貴機構須負責確保遵守員工隱私權政策,並支付 Google Cloud Storage bucket 中所有儲存空間的費用。請注意,如果資料保護規則會儲存大量檔案,可能導致 Google Cloud Storage 費用偏高。
Chrome 記錄
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」「安全中心」「調查工具」。必須具備安全中心管理員權限。
您必須具備下列特定的安全中心管理員權限,請參閱「安全調查工具的管理員權限」。
- 如要下載及管理可疑檔案:
依序前往「管理」>「Chrome」 - 如要查看可疑檔案的內容:
依序前往「查看機密內容」>「Chrome」
- 如要下載及管理可疑檔案:
- 按一下「資料來源」,然後選取「Chrome 記錄事件」。
- 找到搜尋結果,然後向右捲動。
- 在「證據櫃檔案路徑」欄下方,點選儲存檔案的連結。
側邊面板會顯示檔案詳細資料。例如:檔案在 Google Cloud Storage bucket 中的原始名稱和路徑。 - 按一下底部的「下載檔案」。
下載的 ZIP 檔案須使用密碼開啟,該密碼須受到「妥善保護」,且所有檔案的密碼必須相同。
即可查看其他動作。