Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Fundamentals, Education Standard и Education Plus. Сравните вашу версию.
Используя функцию предотвращения потери данных (DLP) для Gmail, вы можете создавать правила защиты данных для управления конфиденциальным содержимым, которым ваши пользователи делятся в электронных письмах. С помощью DLP для Gmail правила применяются к сообщениям, отправляемым или получаемым от людей внутри и за пределами вашей организации.
Как работает DLP для Gmail?
Когда пользователь отправляет или получает электронное письмо, DLP сканирует сообщение на наличие конфиденциальной информации. Если сообщение или вложение нарушает правило, к сообщению применяется действие, определенное в этом правиле.
DLP для потока Gmail
- Добавьте правила защиты данных, определяющие конфиденциальное содержимое и действия, которые необходимо предпринять в отношении сообщений, содержащих конфиденциальную информацию.
- Когда пользователь отправляет или получает электронное письмо, DLP сканирует его содержимое на предмет соответствия правилам.
- Если правило найдено, DLP применяет действие, определенное в этом правиле.
- Все события регистрируются в журнале событий правил для последующего анализа.
Поддерживаемые типы файлов вложений
Правила защиты данных проверяют следующие типы вложений:
- Типы файлов документов: TXT, DOC, DOCX, RTF, HTML, XHTML, XML, PDF, PPT, PPTX, ODP, ODS, ODT, XLS, XLSX, PS, CSS, CSV, JSON, SH
- Типы файлов изображений (при включенном распознавании текста): EPS, BMP, GIF, JPEG, PNG, а также изображения внутри файлов PDF.
- Типы сжатых файлов: BZIP, RAR, TAR, ZIP
- Пользовательские типы файлов — HWP, KML, KMZ, SDC, SDD, SDW, SXC, SXI, SXW, WML, XPS.
Множественные вложения
Если сообщение содержит более одного вложения, правило срабатывает, если хотя бы одно из вложений соответствует условию правила. Это иногда может приводить к неожиданным результатам в правилах, включающих условие NOT. Например, если используется условие NOT (содержимое содержит SSN) , и одно из вложений содержит SSN , условие истинно, и правило не будет срабатывать.
Понимание триггеров
Прежде чем определять, какой контент должно искать правило, необходимо указать триггер , запускающий процесс сканирования. В случае DLP для Gmail триггерами являются:
- Сообщение отправлено — Исходящие сообщения и вложения сканируются.
- Сообщение получено — Входящие сообщения и вложения просканированы.
Понимание действий DLP
При обнаружении конфиденциальной информации ваше правило может применять действия, перечисленные в следующей таблице.
Если у вас есть похожие правила с разными действиями реагирования, то будет действовать более строгое правило. Например, если одно правило предупреждает пользователей при обнаружении номера социального страхования (SSN), а другое правило блокирует использование SSN, то срабатывает правило блокировки, и пользователь не может отправлять или получать электронные письма.
Если в качестве триггера выбрать «Получено сообщение» , то будут доступны только действия «Только аудит» и «Применить метки классификации» .
| Действие | Описание |
|---|---|
| Блокировать сообщение | Только исходящие сообщения. Блокирует доставку электронных писем и отправляет пользователю уведомление. При желании можно добавить пользовательское сообщение. Событие регистрируется в журнале. |
| Предупредить пользователей | Только для исходящих сообщений. Позволяет пользователю продолжить после предупреждающего сообщения. При желании можно добавить пользовательское предупреждающее сообщение. Решение пользователя продолжить записывается в журнал событий. |
| Сообщение о карантине | Только исходящие сообщения. Помещает сообщения в карантин для проверки администратором перед отправкой или возвратом. При желании можно установить условия карантина или добавить пользовательское сообщение для пользователей. Для получения более подробной информации перейдите в раздел «Настройка карантина электронной почты» . |
| Только для аудита | Позволяет пользователю продолжить работу без прерываний и регистрирует событие. Вы можете выбрать аудит сообщений от внешних отправителей, внутренних отправителей или от обоих типов отправителей. |
| Примените классификационные метки | Применяет существующую метку классификации к соответствующим электронным письмам. Поддерживаются только метки с бейджами и стандартные метки с полем типа «Список параметров». Вы можете выбрать применение меток классификации к сообщениям от внешних отправителей, внутренних отправителей или к обоим типам. Правило защиты данных не может содержать метку классификации одновременно в качестве условия и действия. Для получения более подробной информации перейдите в раздел Gmail DLP и автоматические метки классификации . |
| Добавить пользовательскую заметку | Только для исходящих сообщений. Добавляет пользовательский заголовок или нижний колонтитул к соответствующим электронным письмам. Для получения более подробной информации перейдите в раздел «Добавление классификационных примечаний к исходящим сообщениям» . |
Понимание условий DLP
При создании правила защиты данных вы можете указать условия, определяющие, какой контент или активность следует сканировать. Вы можете использовать предопределенные типы данных или создавать собственные пользовательские детекторы контента. Вы также можете комбинировать несколько условий с помощью операторов AND , OR или NOT .
Для получения более подробной информации перейдите к разделам «Как использовать предопределенные детекторы содержимого» , «Создание пользовательского детектора » и «Примеры правил с вложенными операторами условий» .
| Тип контента для сканирования | Что искать на экране | Подробности и применение |
|---|---|---|
| Весь контент | Соответствует предопределенному типу данных Содержит текстовую строку Содержит слово Соответствует регулярному выражению Сопоставляет слова из списка слов | Проверяет весь контент на наличие конфиденциальной информации. Опция «Всё содержимое» сканирует только 5 типов заголовков: Тема, Кому, От кого, Скрытая копия и Копия. Эти заголовки сразу же доступны для синхронного сканирования. Для сканирования всех заголовков сообщения рекомендуется использовать один из следующих вариантов:
|
| Тело | Соответствует предопределенному типу данных Содержит текстовую строку Содержит слово Соответствует регулярному выражению Сопоставляет слова из списка слов | Проверяет текст сообщения и вложения на наличие конфиденциальной информации. Текст сообщения сканируется синхронно, а вложения — асинхронно. |
| Метка классификации | Является | Указывается, была ли к сообщению применена классификационная метка. Подробнее см. в разделе Gmail DLP и автоматические классификационные метки . Правило защиты данных не может содержать метку классификации одновременно в качестве условия и действия. |
| Статус конфиденциального режима | Включено Отключено | Проверьте, включен ли в сообщении режим конфиденциальности. Подробности см. в разделе «Защита сообщений Gmail с помощью режима конфиденциальности» . |
| Заголовки электронных писем | Соответствует предопределенному типу данных Содержит текстовую строку Содержит слово Соответствует регулярному выражению Сопоставляет слова из списка слов | Проверяет заголовки электронных писем на наличие конфиденциальной информации. В то время как большинство заголовков сканируются асинхронно, заголовки Subject, To, From, Bcc и Cc сканируются как асинхронно, так и синхронно. Чтобы не создавать неудобства для пользователей, избегайте установки отрицательного условия соответствия (условия |
| Предмет | Соответствует предопределенному типу данных Содержит текстовую строку Содержит слово Соответствует регулярному выражению Сопоставляет слова из списка слов | Синхронно сканирует темы электронных писем на наличие конфиденциальной информации. |
Создать правило
После того, как вы определите, что должно делать ваше правило, вы создадите это правило. Подробности см. в разделе «Создание правил защиты данных» .
Типичные сценарии использования
В таблице ниже приведены примеры того, как можно комбинировать триггер (действие пользователя), условия (что проверяется) и конкретное действие (применение) для определения политики защиты от утечки данных (DLP). Для использования этой таблицы необходимо:
- Выберите триггер.
- Сопоставьте значения условий с соответствующими параметрами.
- Выберите действие.
| Вариант использования | Курок | Состояние | Действие |
|---|---|---|---|
| Предупреждать пользователей о наличии номера кредитной карты в сообщениях Gmail или вложениях. | Google Gmail  Сообщение отправлено | Тип контента: Весь контент Соответствие: Соответствует предопределенному типу данных Тип данных: Глобальный – Номер кредитной карты Порог вероятности: высокий Минимальное количество уникальных совпадений: 1 Минимальное количество совпадений: 1 | Предупредить пользователей |
| Блокируйте сообщения Gmail, если в тексте сообщения содержится индивидуальный налоговый идентификатор США и сообщение не находится в конфиденциальном режиме. | Google Gmail Сообщение отправлено | Условие 1: Тип контента: Основной текст Соответствие: Соответствует предопределенному типу данных Тип данных: Соединенные Штаты Америки — Идентификационный номер индивидуального налогоплательщика Условие 2: Тип контента: Конфиденциальный режим Значение: Отключено | Блокировать сообщение |
| Аудит входящих электронных писем | Google Gmail Сообщение получено | Тип содержимого: Заголовки электронных писем Match: Соответствует регулярному выражению Значение: Внутренний инструмент Минимальное количество повторений шаблона: 1 | Только для аудита |
Разберитесь в приоритетах и конфликтах правил DLP.
Когда электронное письмо активирует одно или несколько правил предотвращения потери данных (DLP), Gmail предпринимает действия для защиты данных в сообщениях электронной почты. Если одно сообщение активирует несколько правил, Gmail выполняет ряд шагов по приоритезации, чтобы гарантировать, что наиболее важное или защитное действие будет выполнено в первую очередь.
Например, если к сообщению применяется несколько правил, Gmail блокирует его вместо того, чтобы помещать в карантин, и помещает в карантин вместо того, чтобы выносить предупреждение. Это гарантирует, что конфиденциальные данные всегда будут обрабатываться самым строгим правилом, применимым к сообщению.
Типы действий DLP
Действия классифицируются в зависимости от того, как они влияют на сообщение или на пользователя. Ниже в таблице приведены некоторые термины, используемые в данной классификации:
- Действия на стороне клиента — это действия, происходящие в окне создания сообщения Gmail во время написания пользователем текста, например, появление предупреждающего диалогового окна.
- Действия на стороне сервера — это процессы, происходящие после того, как пользователь нажимает кнопку «Отправить» в новом сообщении, пока система доставки Gmail обрабатывает это сообщение.
- Конфликт — ситуация, когда к одному и тому же электронному письму применяются два разных правила. Например, одно правило гласит: предупредить пользователя, а другое — заблокировать отправку сообщения.
| Категория действий | Описание | Когда это происходит | Примеры |
| Контроль доставки | Это влияет на то, будет ли электронное письмо фактически отправлено. Это самые важные факторы. | Во время составления текста и после отправки | Блокировать, помещать в карантин, предупреждать пользователя |
| Отчетность и журналы | Сохраняет запись события, которую вы сможете просмотреть позже, не мешая передаче сообщения. | Во время составления текста и после отправки | Только для аудита |
| Изменения метаданных сообщения | Обновляет скрытую информацию или метки в электронном письме (например, метки конфиденциальности). | Во время составления текста и после отправки Эти действия всегда выполняются с сообщениями, независимо от любых других активированных действий. Теги добавляются во время составления сообщения пользователем, но, как правило, их нельзя изменить после того, как сообщение уже сохранено в системе. | Наклейте этикетки |
| Изменения в адресе электронной почты | Добавляет или изменяет текст непосредственно в электронном письме. | После отправки только | Добавить нижний колонтитул |
| Оповещения | Отправляет уведомление администратору или конкретному лицу. | Во время составления текста и после отправки | Уведомление центра оповещений |
Как Gmail управляет приоритетами и конфликтами правил DLP
Если сообщение активирует несколько правил, Gmail использует следующую логику для определения того, как применить правила к сообщению:
Приоритет доставки - от наиболее строгого к наименее строгому
Если к сообщению применяется несколько правил, Gmail применяет только самое строгое из них. Вот как определяется приоритет действий с сообщением:
- Блокировка сообщения (наивысший приоритет) — Отправка сообщения немедленно блокируется, и пользователь получает уведомление о том, что сообщение не было отправлено.
- Сообщение о карантине — электронное письмо хранится до тех пор, пока администратор не утвердит или не отклонит отправку, после чего пользователь получает уведомление.
- Предупредить пользователя — Пользователь получает предупреждение о содержании сообщения. Он может отправить сообщение, несмотря ни на что.
Когда сообщение активирует несколько правил DLP с одним и тем же действием (например, блокировкой сообщения), Gmail применяет только одно из них. Gmail применяет первое правило в алфавитном порядке по имени ресурса правила. Например, если сообщение активирует 2 правила блокировки, одно с именем ресурса правила policies/abb7a1e4c9f2d8a , а другое с именем ресурса правила policies/bb7aa1e4c9f2d8a , Gmail применяет только правило policies/abb7a1e4c9f2d8a . Другое правило игнорируется.
Как найти имя ресурса правила
Чтобы найти имена ресурсов правила DLP, используйте инструмент расследования инцидентов безопасности (SIT). В левой части страницы сведений о правиле нажмите «Расследовать правило» , чтобы открыть страницу SIT для этого правила. Имя ресурса правила отображается в поле «Идентификатор правила» в следующем формате: policies/ resource-name
Разрешение конфликтов меток — системных и пользовательских.
Если правила пытаются присваивать метки, например, «Общедоступная информация» или «Конфиденциальная информация»:
- DLP и DLP — Если новое правило DLP применяет метку, отличную от метки старого правила DLP, то новая метка имеет приоритет и заменяет старую.
- Пользователь и DLP — Если пользователь вручную выбирает метку, и активированное правило DLP позволяет пользователю вносить изменения, то Gmail не заменит выбранную пользователем метку автоматической меткой DLP.
Изменения в содержании сообщения
Изменения содержимого сообщений, внесенные с помощью правил DLP, имеют более низкий приоритет, чем изменения, внесенные правилами DLP для обработки запросов (предупреждение, карантин, блокировка). Примерами изменений содержимого сообщений являются добавление нижнего колонтитула к сообщению и добавление префикса к теме сообщения.
Если сообщение активирует несколько правил для добавления нижнего колонтитула, Gmail применяет правила в алфавитном порядке, основываясь на имени ресурса каждого правила, и добавляет все нижние колонтитулы. Узнайте , как найти имя ресурса правила .
Записи и оповещения
- Отчеты: Gmail сохраняет запись о каждом активированном правиле, даже если действие было пропущено из-за приоритета другого правила.
- Оповещения: Пользователи получают оповещение только тогда, когда конкретное действие действительно происходит. Например, если настроено действие по карантину, но сообщение было заблокировано, пользователи не получат оповещение о карантине.
О синхронном и асинхронном сканировании
При отправке сообщений в Gmail сканирование правил может выполняться синхронно или асинхронно:
Синхронное сканирование — правила защиты данных сканируются, когда пользователь нажимает кнопку «Отправить» . Пользователь получает уведомление о конфиденциальном содержимом до того, как сообщение покинет его почтовый ящик. Gmail в веб-версии и мобильном приложении Gmail выполняет синхронное сканирование.
Примечание : электронные письма, сохраненные пользователем как черновики, также сканируются, и пользователь получает уведомление о наличии конфиденциальной информации.
Асинхронное сканирование — правила защиты данных сканируются после того, как сообщение покидает почтовый ящик отправителя. Пользователи получают сообщение о том, что сообщение заблокировано или помещено в карантин, прежде чем оно будет доставлено получателю. Асинхронное сканирование происходит, когда пользователь отправляет сообщение с помощью стороннего почтового приложения, и когда синхронное сканирование не удается.
При получении сообщений в Gmail правила сканируются перед доставкой сообщения в почтовый ящик получателя.
Результаты синхронного и асинхронного сканирования отправленных сообщений
Синхронное сканирование: Gmail в веб-версии или мобильном приложении.
Когда срабатывает правило с действием «Блокировать сообщение» :
- Появляется предупреждение, указывающее на невозможность отправки сообщения в текущем состоянии. Вы можете добавить пользовательское сообщение в правило для этого предупреждения.
- В уведомлении есть опция «Назад к редактированию» , позволяющая пользователю вернуться к редактированию сообщения и обновить или удалить конфиденциальную информацию.
- Когда пользователь повторно отправляет сообщение после редактирования, сообщение сканируется еще раз и проверяется на соответствие всем применимым правилам.
Когда срабатывает правило с действием «Предупредить пользователей» :
- Появляется предупреждение о том, что сообщение может содержать конфиденциальную информацию. Вы можете добавить собственное сообщение предупреждения в параметрах настройки правила.
- В уведомлении есть опция «Назад к редактированию» , позволяющая пользователю вернуться к редактированию сообщения и обновить или удалить конфиденциальную информацию.
- В оповещении есть опция « Отправить в любом случае» , которая позволяет пользователю отправить сообщение в его текущем состоянии.
Когда срабатывает правило с действием "Поместить сообщение в карантин" :
- Появляется предупреждение о том, что сообщение может содержать конфиденциальную информацию. Вы можете добавить собственное сообщение предупреждения в параметрах настройки правила.
- В поле есть опция «Назад к редактированию» , поэтому пользователь может по желанию вернуться к редактированию сообщения и обновить или удалить конфиденциальную информацию.
- В поле есть кнопка «Отправить на проверку» , позволяющая пользователю отправить сообщение на проверку администратору или другому уполномоченному пользователю. После проверки администратор может одобрить сообщение для доставки получателю или заблокировать его отправку.
Когда срабатывает правило с действием "Только аудит" :
- Пользователь не видит уведомления, и сообщение доставляется получателям.
- Сообщение о происшествии записывается в журналы аудита.
Примечание: Сообщения, сканируемые синхронно, могут быть повторно просканированы асинхронно в качестве дополнительной меры безопасности. Это может привести к блокировке сообщения, даже если во время синхронного сканирования не отображалось диалоговое окно.
Асинхронное сканирование: Gmail с использованием SMTP и сторонних почтовых приложений.
Когда срабатывает правило с действием «Блокировать сообщение» :
- Отправитель увидит сообщение в папке «Отправленные ».
- Отправитель получает сообщение о том, что сообщение было заблокировано. В правило для этого оповещения можно добавить пользовательское сообщение.
Когда срабатывает правило с действием «Предупредить пользователей» :
- Отправитель увидит сообщение в папке «Отправленные ».
- Отправитель получает сообщение о том, что сообщение было заблокировано. В правило для этого оповещения можно добавить пользовательское сообщение.
- Для сообщений, отправленных с помощью сторонних почтовых приложений, подключенных к Gmail по протоколу SMTP, правила с действием « Предупредить пользователей» работают так же, как и правила с действием «Заблокировать сообщение» .
Когда срабатывает правило с действием "Поместить сообщение в карантин" :
- Отправитель увидит сообщение в папке «Отправленные ».
- Если сообщение не было отправлено, отправитель получает уведомление о том, что сообщение было помещено в карантин. В правило для этого уведомления можно добавить пользовательское сообщение.
Когда срабатывает правило с действием "Только аудит" :
- Отправитель не получает уведомление, и сообщение доставляется получателю.
Асинхронное сканирование: Gmail в веб-версии или на мобильном устройстве.
При использовании Gmail в веб-версии или мобильном приложении сообщения дополнительно сканируются асинхронно в качестве дополнительной меры безопасности.
Когда срабатывает правило с действием «Блокировать сообщение» :
- Отправитель увидит сообщение в папке «Отправленные ».
- Отправитель получает сообщение о том, что сообщение было заблокировано. В правило для этого оповещения можно добавить пользовательское сообщение.
При срабатывании правила с действием «Предупредить пользователей» отправляется сообщение:
- Отправитель может увидеть сообщение в папке «Отправленные ».
- Сообщение о событии записывается в журнал событий правил.
Когда срабатывает правило с действием "Поместить сообщение в карантин" :
- Отправитель может увидеть сообщение в папке «Отправленные ».
- Если отправка сообщения была заблокирована рецензентом, они могут получить уведомление позже.
Когда срабатывает правило с действием "Только аудит" :
- Отправитель не получает никакого уведомления, и сообщение доставляется получателю.
Сообщения, созданные автоматически другими продуктами Google.
Gmail отправляет автоматические уведомления и сообщения, созданные другими сервисами Google и Google Workspace, включая Google Календарь, Документы и Диск. Например, когда кто-то создает событие в Календаре и приглашает гостей, создается сообщение Gmail с подробной информацией о событии и отправляется участникам события. Сообщение сканируется на стороне сервера. Если содержимое сообщения соответствует условиям какого-либо правила, применяется действие правила.
Когда срабатывает правило с действием «Блокировать сообщение» :
- Отправитель увидит сообщение в папке «Отправленные ».
- Отправитель получает сообщение о том, что сообщение было заблокировано. Вы можете добавить пользовательское сообщение в правило для этого уведомления.
Когда срабатывает правило с действием «Предупредить пользователей» :
- Сообщение отправлено.
- Отправитель может увидеть сообщение в папке «Отправленные ».
- Сообщение о событии записывается в журнал событий правил.
Когда срабатывает правило с действием "Поместить сообщение в карантин" :
- Отправитель может получить уведомление позже, если отправка сообщения была предотвращена рецензентом.
Когда срабатывает правило с действием "Только аудит" :
- Сообщение отправлено.
- Отправитель не получает никакого уведомления.
DLP для взаимодействия в Gmail
Как DLP взаимодействует с другими правилами обработки электронной почты?
Правила защиты данных оцениваются до правил соответствия контента и правил маршрутизации.
Если правила защиты данных не допускают блокировку или помещение сообщения в карантин, то сообщение проверяется правилами соответствия содержимого и маршрутизации. Если правило соответствия содержимого или маршрутизации применяет действие, создающее еще одну копию сообщения (например, добавляет нового получателя), DLP сканирует новые копии сообщения перед их отправкой.
Для получения более подробной информации перейдите в раздел «Настройка правил для расширенной фильтрации содержимого электронной почты» .
Как функция DLP для Gmail взаимодействует с группами?
Правила защиты данных применяются к группам только в том случае, если правило установлено для всей организации. Для отправляемых сообщений правила защиты данных поддерживают только действие «Блокировать сообщение» для групп. Действия «Предупредить пользователей» и «Поместить сообщение в карантин» для групп не поддерживаются.
Для полученных сообщений правила защиты данных применяются к исходной копии, полученной группой. Если к сообщению применены классификационные метки, то все копии полученного сообщения, принадлежащие членам группы, будут иметь одинаковую классификацию.
Исследуйте события, связанные с правилами защиты данных, с помощью инструмента расследования инцидентов безопасности.
Выполните поиск событий журнала правил.
В следующем примере выполняется поиск сообщений Gmail, которые активировали правило защиты данных. Вы можете использовать другие условия в поиске или не использовать никаких условий.
В консоли администратора Google перейдите в меню.
Безопасность Центр безопасности Инструмент расследования .Для этого требуются права администратора центра безопасности .
- Источник данных Click Правила регистрируют события .
- Конструктор условий клика Добавить условие Атрибут Тип правила .
- Выберите DLP .
- Нажмите «Поиск» .
В результатах поиска внизу страницы вы можете просмотреть список мероприятий с подробной информацией о каждом из них.Примечание : В Gmail DLP не поддерживаются фрагменты с конфиденциальным содержимым . В результате в столбце «Содержит конфиденциальное содержимое» отображается значение «Ложь», даже если сообщение содержит конфиденциальное содержимое, которое активировало правило защиты данных.
- Прокрутите страницу до столбца «Идентификатор ресурса» и нажмите «Меню».
для отображения событий журнала Gmail и идентификатора сообщения . - Нажмите «Поиск» , чтобы открыть новую страницу поиска, где источником данных являются события журнала Gmail .
- Для просмотра дополнительных сведений щелкните идентификатор сообщения для любой строки в результатах поиска. В боковой панели отобразится дополнительная информация о вашем расследовании.
- Если появится запрос, укажите служебную необходимость просмотра содержимого Gmail, а затем нажмите «Подтвердить» .
Экспорт нарушений DLP с помощью BigQuery
Вы можете экспортировать нарушения DLP, зарегистрированные в журнале правил, в пользовательские таблицы для дальнейшего анализа. Подробности см. в разделе «Настройка экспорта журналов служб в BigQuery» .
Поделитесь своим мнением.
В консоли администратора на любой странице, посвященной защите данных, нажмите «Отправить отзыв» .
Связанные темы
- Защита от утечки данных в Gmail и автоматические метки классификации
- Просмотр ограничений на размер контента и правил DLP
- Используйте оптическое распознавание символов для чтения изображений.
- Параметры маршрутизации и доставки электронной почты для Google Workspace
- Настройте карантин электронной почты
- Журнал событий правил