Informacje o DLP w Gmailu

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Fundamentals, Education Standard i Education Plus. Porównanie wersji

Za pomocą funkcji zapobiegania utracie danych (DLP) w Gmailu możesz tworzyć reguły ochrony danych, aby zarządzać treściami poufnymi udostępnianymi przez użytkowników w wiadomościach e-mail. W przypadku DLP w Gmailu reguły są stosowane do wiadomości wysyłanych do osób z Twojej organizacji i spoza niej oraz odbieranych od nich.

Jak działa DLP w Gmailu

Gdy użytkownik wysyła lub odbiera wiadomość e-mail, DLP skanuje ją pod kątem treści o charakterze kontrowersyjnym. Jeśli wiadomość lub załącznik naruszy regułę, zostanie zastosowane zdefiniowane w niej działanie.

Proces DLP w Gmailu

  1. Dodaj reguły ochrony danych, które określają treści o charakterze kontrowersyjnym i działanie, które ma być wykonywane w przypadku wiadomości zawierających takie treści.
  2. Gdy użytkownik wysyła lub odbiera wiadomość e-mail, DLP skanuje jej treść pod kątem dopasowania do reguł.
  3. Jeśli treść pasuje do jakiejś reguły, DLP zastosuje określone w niej działanie.
  4. Wszystkie zdarzenia są rejestrowane w dzienniku reguł, gdzie można je sprawdzić.

Obsługiwane typy plików załączników

Reguły ochrony danych skanują te typy załączników:

  • Typy plików dokumentów – TXT, DOC, DOCX, RTF, HTML, XHTML, XML, PDF, PPT, PPTX, ODP, ODS, ODT, XLS, XLSX, PS, CSS, CSV, JSON i SH
  • Typy plików graficznych (jeśli jest włączona funkcja OCR) – EPS, BMP, GIF, JPEG, PNG oraz obrazy w plikach PDF
  • Typy plików skompresowanych: .bzip, .gzip, .rar, .tar, .zip
  • Niestandardowe typy plików – HWP, KML, KMZ, SDC, SDD, SDW, SXC, SXI, SXW, WML, XPS

Wiele załączników

Jeśli wiadomość ma więcej niż 1 załącznik, reguła jest wywoływana, gdy którykolwiek z nich spełnia warunek reguły. Może to czasami prowadzić do nieoczekiwanych wyników w przypadku reguł zawierających warunek NOT. Jeśli na przykład użyjesz warunku NOT(content contains SSN) [NIE (treść zawiera numer SSN), a jeden z załączników zawiera SSN, warunek będzie spełniony, ale reguła nie zostanie wywołana.

Wyzwalacze

Zanim określisz, jakich treści ma szukać reguła, musisz wskazać wyzwalacz, który inicjuje proces skanowania. W przypadku DLP w Gmailu wyzwalacze to:

  • Wysłano wiadomość – skanowane są wiadomości wychodzące i załączniki.
  • Odebrana wiadomość – skanowane są wiadomości przychodzące i załączniki.

Działania DLP

Gdy zostaną znalezione treści o charakterze kontrowersyjnym, reguła może wymusić działania z poniższej tabeli.

Jeśli masz podobne reguły z różnymi działaniami, zostanie zastosowane działanie bardziej rygorystyczne. Jeśli na przykład jedna reguła ostrzega użytkowników, gdy zostanie znaleziony numer ubezpieczenia społecznego (SSN), a druga reguła blokuje użytkownikowi możliwość używania numerów SSN, wywoływana jest reguła blokowania i użytkownik nie może wysyłać ani odbierać e-maili.

Jeśli jako regułę wybierzesz Otrzymano wiadomość, dostępne będą tylko działania Tylko kontrola i Zastosuj etykiety klasyfikacji.

Działanie Opis
Zablokuj wiadomość

Tylko wiadomości wychodzące. Blokuje dostarczanie e-maili i wysyła użytkownikowi powiadomienie. Opcjonalnie możesz dodać niestandardową wiadomość dla użytkowników. Zdarzenie jest rejestrowane.
Ostrzeganie użytkowników

Tylko wiadomości wychodzące. Umożliwia użytkownikowi kontynuowanie po wyświetleniu komunikatu ostrzegawczego. Opcjonalnie możesz dodać niestandardowy komunikat ostrzegawczy dla użytkowników. Decyzja użytkownika o kontynuowaniu czynności jest rejestrowana w zdarzeniach z dziennika.
Przenoszenie wiadomości do kwarantanny

Tylko wiadomości wychodzące. Umieszcza wiadomości w kwarantannie, aby administrator mógł je sprawdzić przed wysłaniem lub zwróceniem. Opcjonalnie możesz zastosować warunki kwarantanny lub dodać niestandardową wiadomość dla użytkowników.

Szczegółowe informacje znajdziesz w artykule Konfigurowanie kwarantanny poczty e-mail.
Tylko kontrola

Umożliwia użytkownikowi kontynuowanie działania bez zakłóceń i rejestruje zdarzenie. Możesz wybrać, czy chcesz sprawdzać wiadomości od nadawców zewnętrznych, wewnętrznych czy obu rodzajów.
Stosowanie etykiet klasyfikacji

Stosuje istniejącą etykietę klasyfikacji do pasujących wiadomości e-mail. Obsługiwane są tylko etykiety z plakietką i etykiety standardowe z typem pola Lista opcji. Możesz zastosować etykiety klasyfikacji do wiadomości od nadawców zewnętrznych, wewnętrznych lub obu.

Reguła ochrony danych nie może zawierać etykiety klasyfikacji jako warunku i działania.

Szczegółowe informacje znajdziesz w artykule Etykiety DLP i automatycznej klasyfikacji w Gmailu.
Dodaj notatkę niestandardową

Tylko wiadomości wychodzące. Dodaje niestandardowy nagłówek lub stopkę do pasujących wiadomości e-mail.

Szczegółowe informacje znajdziesz w artykule Dodawanie notatek z klasyfikacją do wiadomości wychodzących.

Warunki DLP

Podczas tworzenia reguły ochrony danych możesz określić warunki, które definiują, jakie treści lub działania mają być celem skanowania. Możesz używać wstępnie zdefiniowanych typów danych lub tworzyć własne niestandardowe wzorce do wykrywania treści. Możesz też połączyć wiele warunków za pomocą operatorów AND, OR lub NOT.

Szczegółowe informacje znajdziesz w artykułach Jak używać wstępnie zdefiniowanych wzorców do wykrywania treści, Tworzenie niestandardowego wzorca do wykrywania treści i Przykłady reguł z zagnieżdżonymi operatorami warunkowymi.

Typ treści do przeskanowania Cel skanowania Szczegóły i użycie
Wszystkie treści

Pasuje do wstępnie zdefiniowanego typu danych

Zawiera ciąg tekstowy

Zawiera słowo

Pasuje do wyrażenia regularnego

Zawiera słowa z listy słów

Skanuje wszystkie treści pod kątem informacji poufnych.

Opcja Wszystkie treści skanuje tylko 5 typów nagłówków: Temat, Do, Od, UDW i DW. Te nagłówki są natychmiast dostępne do skanowania synchronicznego. Aby przeskanować wszystkie nagłówki wiadomości, zalecamy użycie jednej z tych opcji:

  • Dodaj kilka warunków z operatorem OR, aby przeskanować nagłówki e-maili.
  • Utwórz osobną regułę przeznaczoną do skanowania nagłówków e-maili.
Treść

Pasuje do wstępnie zdefiniowanego typu danych

Zawiera ciąg tekstowy

Zawiera słowo

Pasuje do wyrażenia regularnego

Zawiera słowa z listy słów

Skanuje treść wiadomości i załączniki pod kątem informacji poufnych.

Treść wiadomości jest skanowana synchronicznie, a załączniki asynchronicznie.

Etykieta klasyfikacji Równe

Informacja o tym, czy do wiadomości zastosowano etykietę klasyfikacji. Szczegółowe informacje znajdziesz w artykule Etykiety DLP i automatycznej klasyfikacji w Gmailu.

Reguła ochrony danych nie może zawierać etykiety klasyfikacji jako warunku i działania.
Stan trybu poufnego

Włączona

jest wyłączona,

Czy tryb poufny jest włączony. Więcej informacji znajdziesz w artykule Ochrona wiadomości w Gmailu w trybie poufnym.
Nagłówki e-maila

Pasuje do wstępnie zdefiniowanego typu danych

Zawiera ciąg tekstowy

Zawiera słowo

Pasuje do wyrażenia regularnego

Zawiera słowa z listy słów

Skanuje nagłówki e-maili pod kątem informacji wrażliwych.

Większość nagłówków jest skanowana asynchronicznie, ale nagłówki Temat, Do, Od, UDW i DW są skanowane zarówno asynchronicznie, jak i synchronicznie.

Aby nie przeszkadzać użytkownikom, unikaj ustawiania warunku dopasowania wykluczającego (warunku NOT) w przypadku niedostępnych nagłówków e-maili.

Temat

Pasuje do wstępnie zdefiniowanego typu danych

Zawiera ciąg tekstowy

Zawiera słowo

Pasuje do wyrażenia regularnego

Zawiera słowa z listy słów

Synchroniczne skanowanie tematów e-maili pod kątem informacji poufnych.

Utwórz regułę

Po określeniu, co ma robić reguła, możesz ją utworzyć. Szczegółowe informacje znajdziesz w artykule Tworzenie reguł ochrony danych.

Częste przypadki użycia

W tabeli poniżej znajdziesz przykłady łączenia wyzwalacza (działania użytkownika), warunków (sprawdzanych elementów) i konkretnego działania (wymuszania) w celu zdefiniowania zasady DLP. Aby korzystać z tej tabeli, musisz wykonać te czynności:

  1. Wybierz wyzwalacz.
  2. Zmapuj wartości warunków na odpowiednie opcje.
  3. Wybierz działanie.

Zastosowanie zmian może potrwać do 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji

Przypadek użycia Wyzwalacz Warunek Czynność
Ostrzeganie użytkowników, gdy wiadomości lub załączniki w Gmailu zawierają numer karty kredytowej Google Gmail a potem Wiadomość wysłana

Typ treści: wszystkie treści

Dopasowanie: pasuje do wstępnie zdefiniowanego typu danych

Typ danych: globalnie – numer karty kredytowej

Próg prawdopodobieństwa: Wysoki.

Minimalna liczba unikalnych dopasowań: 1

Minimalna liczba zgodnych pozycji: 1

 Ostrzeganie użytkowników
Blokowanie wiadomości w Gmailu, gdy treść wiadomości zawiera amerykański identyfikator podatkowy osoby fizycznej, a wiadomość nie jest wysyłana w trybie poufnym Google Gmail a potem Wiadomość wysłana

Condition 1:

Typ treści: treść

Dopasowanie: pasuje do wstępnie zdefiniowanego typu danych

Typ danych: Stany Zjednoczone – osobisty numer identyfikacji podatkowej

AND

Condition 2:

Typ treści: stan trybu poufnego

Wartość: wyłączono

 Zablokuj wiadomość
Kontrolowanie e-maili przychodzących Google Gmail a potem Odebrano wiadomość

Typ treści: nagłówki e-maili

Dopasowanie: pasuje do wyrażenia regularnego

Wartość: wewnętrzna – narzędzie

Minimalna liczba powtórzeń wzorca: 1

 Tylko kontrola

Skanowanie synchroniczne i asynchroniczne

W przypadku wysyłanych wiadomości Gmail reguły mogą być skanowane synchronicznie lub asynchronicznie:

  • Skanowanie synchroniczne – reguły ochrony danych są skanowane, gdy użytkownik kliknie przycisk Wyślij. Użytkownik jest powiadamiany o obecności treści o charakterze kontrowersyjnym, zanim wiadomość opuści jego skrzynkę pocztową. Gmail w przeglądarce i aplikacja mobilna Gmail przeprowadzają skanowanie synchroniczne.

    Uwaga: skanowane są też e-maile zapisane przez użytkownika jako wersje robocze. Użytkownik jest powiadamiany o wszelkich treściach o charakterze kontrowersyjnym.

  • Skanowanie asynchroniczne – reguły ochrony danych są skanowane po tym, jak wiadomość opuszcza skrzynkę pocztową nadawcy. Użytkownicy otrzymują wiadomość o tym, że wiadomość została zablokowana lub umieszczona w kwarantannie przed jej dostarczeniem odbiorcy. Skanowanie asynchroniczne ma miejsce, gdy użytkownik wysyła wiadomość za pomocą aplikacji do poczty e-mail innej firmy oraz w sytuacji, gdy skanowanie synchroniczne się nie powiedzie.

Gdy otrzymywane są wiadomości Gmaila, reguły są skanowane przed dostarczeniem wiadomości do skrzynki pocztowej adresata.

Wyniki skanowania synchronicznego i asynchronicznego w przypadku wysłanych wiadomości

Skanowanie synchroniczne: Gmail w przeglądarce lub na urządzeniu mobilnym

Gdy zostanie uruchomiona reguła z działaniem Zablokuj wiadomość:

  • Pojawi się alert z informacją, że wiadomość nie może zostać wysłana w obecnym stanie. W regule tego alertu możesz dodać komunikat niestandardowy.
  • Alert zawiera opcję Wróć do edycji, dzięki której użytkownik może wrócić do edycji wiadomości i zaktualizować lub usunąć treści poufne.
  • Gdy użytkownik ponownie wyśle wiadomość po jej zmodyfikowaniu, zostanie ona ponownie zeskanowana pod kątem wszystkich obowiązujących zasad.

Gdy zostanie uruchomiona reguła z działaniem Ostrzegaj użytkowników:

  • Pojawi się alert informujący, że wiadomość może zawierać treści poufne. W opcjach ustawień reguły możesz dodać alert niestandardowy.
  • Alert zawiera opcję Wróć do edycji, dzięki której użytkownik może wrócić do edycji wiadomości i zaktualizować lub usunąć treści poufne.
  • Alert zawiera też opcję Wyślij mimo wszystko, która umożliwia użytkownikowi wysłanie wiadomości w jej obecnym stanie.

Gdy zostanie uruchomiona reguła z działaniem Przenieś wiadomość do kwarantanny:

  • Pojawi się alert informujący, że wiadomość może zawierać treści poufne. W opcjach ustawień reguły możesz dodać alert niestandardowy.
  • Pole zawiera opcję Wróć do edycji, dzięki której użytkownik może wrócić do edycji wiadomości i zaktualizować lub usunąć treści poufne.
  • W polu znajduje się przycisk Prześlij do sprawdzenia, przy użyciu którego użytkownik może wysłać wiadomość do sprawdzenia przez administratora lub innego upoważnionego użytkownika. Po sprawdzeniu wiadomości administrator może zatwierdzić jej dostarczenie odbiorcy lub zablokować jej wysłanie.

Gdy zostanie uruchomiona reguła z działaniem Tylko kontrola:

  • Użytkownik nie widzi alertu, a wiadomość jest dostarczana do adresatów.
  • Zdarzenie dotyczące wiadomości jest rejestrowane w dziennikach kontrolnych.

Uwaga: wiadomości skanowane synchronicznie mogą zostać przeskanowane jeszcze raz asynchronicznie, co stanowi dodatkowy środek bezpieczeństwa. Może to spowodować zablokowanie wiadomości, nawet jeśli podczas skanowania synchronicznego nie zostało wyświetlone żadne okno dialogowe.

Skanowanie asynchroniczne: Gmail z SMTP i aplikacją innej firmy do poczty e-mail.

Gdy zostanie uruchomiona reguła z działaniem Zablokuj wiadomość:

  • Nadawca zobaczy wiadomość w skrzynce pocztowej Wysłane.
  • Nadawca otrzyma wiadomość z informacją, że wiadomość została zablokowana. W regule tego alertu możesz dodać komunikat niestandardowy.

Gdy zostanie uruchomiona reguła z działaniem Ostrzegaj użytkowników:

  • Nadawca zobaczy wiadomość w skrzynce pocztowej Wysłane.
  • Nadawca otrzyma wiadomość z informacją, że wiadomość została zablokowana. W regule tego alertu możesz dodać komunikat niestandardowy.
  • W przypadku wiadomości wysyłanych za pomocą aplikacji do poczty e-mail innych firm połączonych z Gmailem za pomocą SMTP reguły z działaniem Ostrzegaj użytkowników działają tak samo jak reguły z działaniem Zablokuj wiadomość.

Gdy zostanie uruchomiona reguła z działaniem Przenieś wiadomość do kwarantanny:

  • Nadawca zobaczy wiadomość w skrzynce pocztowej Wysłane.
  • Jeśli wiadomość nie została wysłana, nadawca otrzyma alert informujący o tym, że została ona poddana kwarantannie. W regule tego alertu możesz dodać komunikat niestandardowy.

Gdy zostanie uruchomiona reguła z działaniem Tylko kontrola:

  • Nadawca nie otrzyma powiadomienia, a wiadomość zostanie dostarczona do adresata.

Skanowanie asynchroniczne: Gmail w przeglądarce lub na urządzeniu mobilnym

Gdy korzystasz z Gmaila w przeglądarce lub aplikacji mobilnej, wiadomości są skanowane asynchronicznie jeszcze raz w ramach dodatkowych środków bezpieczeństwa.

Gdy zostanie uruchomiona reguła z działaniem Zablokuj wiadomość:

  • Nadawca zobaczy wiadomość w skrzynce pocztowej Wysłane.
  • Nadawca otrzyma wiadomość z informacją, że wiadomość została zablokowana. W regule tego alertu możesz dodać komunikat niestandardowy.

Gdy zostanie uruchomiona reguła z działaniem Ostrzegaj użytkowników, wiadomość zostanie wysłana:

  • Nadawca może zobaczyć wiadomość w skrzynce pocztowej Wysłane.
  • Zdarzenie dotyczące wiadomości jest rejestrowane w zdarzeniach z dziennika reguł.

Gdy zostanie uruchomiona reguła z działaniem Przenieś wiadomość do kwarantanny:

  • Nadawca może zobaczyć wiadomość w skrzynce pocztowej Wysłane.
  • Jeśli weryfikator zablokował wysyłanie wiadomości, nadawca może otrzymać powiadomienie z opóźnieniem.

Gdy zostanie uruchomiona reguła z działaniem Tylko kontrola:

  • Nadawca nie otrzyma żadnego powiadomienia, a wiadomość zostanie dostarczona do adresata.

Wiadomości utworzone automatycznie przez inne usługi Google

Gmail wysyła automatyczne powiadomienia i wiadomości utworzone przez inne usługi Google i Google Workspace, w tym Kalendarz Google, Dokumenty i Dysk. Gdy np. ktoś utworzy wydarzenie w Kalendarzu i zaprosi gości, zostanie utworzona wiadomość w Gmailu ze szczegółami wydarzenia i wysyłana do uczestników. Wiadomość jest skanowana po stronie serwera. Jeśli treść wiadomości spełnia warunki określone w jakiejkolwiek regule, stosowane jest działanie tej reguły.

Gdy zostanie uruchomiona reguła z działaniem Zablokuj wiadomość:

  • Nadawca zobaczy wiadomość w skrzynce pocztowej Wysłane.
  • Nadawca otrzyma wiadomość z informacją, że wiadomość została zablokowana. W regule tego powiadomienia możesz dodać komunikat niestandardowy.

Gdy zostanie uruchomiona reguła z działaniem Ostrzegaj użytkowników:

  • Wiadomość zostanie wysłana.
  • Nadawca może zobaczyć wiadomość w skrzynce pocztowej Wysłane.
  • Zdarzenie dotyczące wiadomości jest rejestrowane w zdarzeniach z dziennika reguł.

Gdy zostanie uruchomiona reguła z działaniem Przenieś wiadomość do kwarantanny:

  • Jeśli weryfikator zablokował wysyłanie wiadomości, nadawca może otrzymać powiadomienie z opóźnieniem.

Gdy zostanie uruchomiona reguła z działaniem Tylko kontrola:

  • Wiadomość zostanie wysłana.
  • Nadawca nie otrzymuje żadnego powiadomienia.

Interakcje DLP w Gmailu

Jak DLP współpracuje z innymi regułami dotyczącymi poczty e-mail?

Reguły ochrony danych są sprawdzane przed regułami zgodności treści i regułami routingu.

Jeśli reguły ochrony danych nie zaakceptują działań blokowania lub umieszczania wiadomości w kwarantannie, jest ona oceniana przez reguły zgodności treści i reguły routingu. Jeśli reguła zgodności treści lub reguła routingu stosuje działanie, które powoduje utworzenie kolejnej kopii wiadomości (np. dodanie nowego odbiorcy), DLP skanuje nowe kopie wiadomości przed ich wysłaniem.

Szczegółowe informacje znajdziesz w artykule Konfigurowanie reguł zaawansowanego filtrowania treści e-maili.

Jak DLP w Gmailu współpracuje z grupami?

Reguły ochrony danych mają zastosowanie do grup tylko wtedy, gdy reguła jest ustawiona dla całej organizacji. W przypadku wysłanych wiadomości reguły ochrony danych obsługują tylko działanie Zablokuj wiadomość w przypadku grup. Działania Ostrzegaj użytkowników i Przenieś wiadomość do kwarantanny nie są obsługiwane w przypadku grup.

W przypadku otrzymanych wiadomości reguły ochrony danych są stosowane do oryginalnej kopii otrzymanej przez grupę. Jeśli do wiadomości zastosowano etykiety klasyfikacji, wszystkie kopie otrzymanej wiadomości należące do członków grupy będą miały tę samą klasyfikację.

Analizowanie zdarzeń dotyczących reguł ochrony danych za pomocą narzędzia do analizy zagrożeń

Przeprowadzanie wyszukiwania zdarzeń z dziennika reguł

W przykładzie poniżej przeprowadzane jest wyszukiwanie w celu przeanalizowania wiadomości z Gmaila, które uruchomiły regułę ochrony danych. Możesz użyć innych warunków wyszukiwania lub przeprowadzić wyszukiwanie bez warunków.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Bezpieczeństwo a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. Kliknij Źródło danych a potem Zdarzenia z dziennika reguł.
  3. Kliknij Narzędzie do definiowania warunków a potem Dodaj warunek a potem Atrybut a potem Typ reguły.
  4. Wybierz DLP.
  5. Kliknij Szukaj.
    W wynikach wyszukiwania u dołu strony możesz wyświetlić listę zdarzeń ze szczegółowymi informacjami o poszczególnych zdarzeniach.

    Uwaga: Fragmenty treści o charakterze kontrowersyjnym nie są obsługiwane w DLP w Gmailu. Z tego powodu kolumna Zawiera treści o charakterze kontrowersyjnym będzie zawierać wartość False (Fałsz), nawet jeśli wiadomość zawiera treści o charakterze kontrowersyjnym, które spowodowały uruchomienie reguły ochrony danych.

  6. Przewiń do kolumny Identyfikator zasobu i kliknij Menu , aby wyświetlić Zdarzenia z dziennika Gmaila i Identyfikator wiadomości.
  7. Kliknij Szukaj, aby otworzyć nową stronę wyszukiwania, na której źródłem danych są Zdarzenia z dziennika Gmaila.
  8. Aby wyświetlić dodatkowe dane, kliknij Identyfikator wiadomości w dowolnym wierszu wyników wyszukiwania. Wyświetli się panel boczny z dodatkowymi informacjami na temat analizy zagrożeń.
  9. Jeśli pojawi się taka prośba, wpisz uzasadnienie potrzeby wyświetlenia treści z Gmaila, a następnie kliknij Potwierdź.

Eksportowanie naruszeń DLP za pomocą BigQuery

Możesz wyeksportować naruszenia reguł DLP zarejestrowane w zdarzeniach z dziennika reguł do tabel niestandardowych, aby przeprowadzić dalszą analizę. Więcej informacji znajdziesz w artykule Konfigurowanie eksportów dzienników usług do BigQuery.

Prześlij opinię

W konsoli administracyjnej na dowolnej stronie dotyczącej ochrony danych kliknij Prześlij opinię.