Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Fundamentals, Education Standard и Education Plus. Сравните вашу версию.
Используя функцию предотвращения потери данных (DLP) для Gmail, вы можете создавать правила защиты данных для управления конфиденциальным содержимым, которым ваши пользователи делятся в электронных письмах. С помощью DLP для Gmail правила применяются к сообщениям, отправляемым или получаемым от людей внутри и за пределами вашей организации.
Как работает DLP для Gmail?
Когда пользователь отправляет или получает электронное письмо, DLP сканирует сообщение на наличие конфиденциальной информации. Если сообщение или вложение нарушает правило, к сообщению применяется действие, определенное в этом правиле.
DLP для потока Gmail
- Добавьте правила защиты данных, определяющие конфиденциальное содержимое и действия, которые необходимо предпринять в отношении сообщений, содержащих конфиденциальную информацию.
- Когда пользователь отправляет или получает электронное письмо, DLP сканирует его содержимое на предмет соответствия правилам.
- Если правило найдено, DLP применяет действие, определенное в этом правиле.
- Все события регистрируются в журнале событий правил для последующего анализа.
Поддерживаемые типы файлов вложений
Правила защиты данных проверяют следующие типы вложений:
- Типы файлов документов: TXT, DOC, DOCX, RTF, HTML, XHTML, XML, PDF, PPT, PPTX, ODP, ODS, ODT, XLS, XLSX, PS, CSS, CSV, JSON, SH
- Типы файлов изображений (при включенном распознавании текста): EPS, BMP, GIF, JPEG, PNG, а также изображения внутри файлов PDF.
- Типы сжатых файлов: BZIP, RAR, TAR, ZIP
- Пользовательские типы файлов — HWP, KML, KMZ, SDC, SDD, SDW, SXC, SXI, SXW, WML, XPS.
Множественные вложения
Если сообщение содержит более одного вложения, правило срабатывает, если хотя бы одно из вложений соответствует условию правила. Это иногда может приводить к неожиданным результатам в правилах, включающих условие NOT. Например, если используется условие NOT (содержимое содержит SSN) , и одно из вложений содержит SSN , условие истинно, и правило не будет срабатывать.
Понимание триггеров
Прежде чем определять, какой контент должно искать правило, необходимо указать триггер , запускающий процесс сканирования. В случае DLP для Gmail триггерами являются:
- Сообщение отправлено — Исходящие сообщения и вложения сканируются.
- Сообщение получено — Входящие сообщения и вложения просканированы.
Понимание действий DLP
При обнаружении конфиденциальной информации ваше правило может применять действия, перечисленные в следующей таблице.Если у вас есть похожие правила с разными действиями реагирования, то будет действовать более строгое правило. Например, если одно правило предупреждает пользователей при обнаружении номера социального страхования (SSN), а другое правило блокирует использование SSN, то срабатывает правило блокировки, и пользователь не может отправлять или получать электронные письма.
Если в качестве триггера выбрать «Получено сообщение» , то будут доступны только действия «Только аудит» и «Применить метки классификации» .
| Действие | Описание |
|---|---|
| Блокировать сообщение | Только исходящие сообщения. Блокирует доставку электронных писем и отправляет пользователю уведомление. При желании можно добавить пользовательское сообщение. Событие регистрируется в журнале. |
| Предупредить пользователей | Только для исходящих сообщений. Позволяет пользователю продолжить после предупреждающего сообщения. При желании можно добавить пользовательское предупреждающее сообщение. Решение пользователя продолжить записывается в журнал событий. |
| Сообщение о карантине | Только исходящие сообщения. Помещает сообщения в карантин для проверки администратором перед отправкой или возвратом. При желании можно установить условия карантина или добавить пользовательское сообщение для пользователей. Для получения более подробной информации перейдите в раздел «Настройка карантина электронной почты» . |
| Только для аудита | Позволяет пользователю продолжить работу без прерываний и регистрирует событие. Вы можете выбрать аудит сообщений от внешних отправителей, внутренних отправителей или от обоих типов отправителей. |
| Примените классификационные метки | Применяет существующую метку классификации к соответствующим электронным письмам. Поддерживаются только метки с бейджами и стандартные метки с полем типа «Список параметров». Вы можете выбрать применение меток классификации к сообщениям от внешних отправителей, внутренних отправителей или к обоим типам. Правило защиты данных не может содержать метку классификации одновременно в качестве условия и действия. Для получения более подробной информации перейдите в раздел Gmail DLP и автоматические метки классификации . |
| Добавить пользовательскую заметку | Только для исходящих сообщений. Добавляет пользовательский заголовок или нижний колонтитул к соответствующим электронным письмам. Для получения более подробной информации перейдите в раздел «Добавление классификационных примечаний к исходящим сообщениям» . |
Понимание условий DLP
При создании правила защиты данных вы можете указать условия, определяющие, какой контент или активность следует сканировать. Вы можете использовать предопределенные типы данных или создавать собственные пользовательские детекторы контента. Вы также можете комбинировать несколько условий с помощью операторов AND , OR или NOT .
Для получения более подробной информации перейдите к разделам «Как использовать предопределенные детекторы содержимого» , «Создание пользовательского детектора » и «Примеры правил с вложенными операторами условий» .
| Тип контента для сканирования | Что искать на экране | Подробности и применение |
|---|---|---|
| Весь контент | Соответствует предопределенному типу данных Содержит текстовую строку Содержит слово Соответствует регулярному выражению Сопоставляет слова из списка слов | Проверяет весь контент на наличие конфиденциальной информации. Опция «Всё содержимое» сканирует только 5 типов заголовков: Тема, Кому, От кого, Скрытая копия и Копия. Эти заголовки сразу же доступны для синхронного сканирования. Для сканирования всех заголовков сообщения рекомендуется использовать один из следующих вариантов:
|
| Тело | Соответствует предопределенному типу данных Содержит текстовую строку Содержит слово Соответствует регулярному выражению Сопоставляет слова из списка слов | Проверяет текст сообщения и вложения на наличие конфиденциальной информации. Текст сообщения сканируется синхронно, а вложения — асинхронно. |
| Метка классификации | Является | Указывается, была ли к сообщению применена классификационная метка. Подробнее см. в разделе Gmail DLP и автоматические классификационные метки . Правило защиты данных не может содержать метку классификации одновременно в качестве условия и действия. |
| Статус конфиденциального режима | Включено Отключено | Проверьте, включен ли в сообщении режим конфиденциальности. Подробности см. в разделе «Защита сообщений Gmail с помощью режима конфиденциальности» . |
| Заголовки электронных писем | Соответствует предопределенному типу данных Содержит текстовую строку Содержит слово Соответствует регулярному выражению Сопоставляет слова из списка слов | Проверяет заголовки электронных писем на наличие конфиденциальной информации. В то время как большинство заголовков сканируются асинхронно, заголовки Subject, To, From, Bcc и Cc сканируются как асинхронно, так и синхронно. Чтобы не создавать неудобства для пользователей, избегайте установки отрицательного условия соответствия (условия |
| Предмет | Соответствует предопределенному типу данных Содержит текстовую строку Содержит слово Соответствует регулярному выражению Сопоставляет слова из списка слов | Синхронно сканирует темы электронных писем на наличие конфиденциальной информации. |
Создать правило
После того, как вы определите, что должно делать ваше правило, вы создадите это правило. Подробности см. в разделе «Создание правил защиты данных» .Типичные сценарии использования
В таблице ниже приведены примеры того, как можно комбинировать триггер (действие пользователя), условия (что проверяется) и конкретное действие (применение) для определения политики защиты от утечки данных (DLP). Для использования этой таблицы необходимо:
- Выберите триггер.
- Сопоставьте значения условий с соответствующими параметрами.
- Выберите действие.
Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.
| Вариант использования | Курок | Состояние | Действие |
|---|---|---|---|
| Предупреждать пользователей о наличии номера кредитной карты в сообщениях Gmail или вложениях. | Google Gmail  Сообщение отправлено | Тип контента: Весь контент Соответствие: Соответствует предопределенному типу данных Тип данных: Глобальный – Номер кредитной карты Порог вероятности: высокий Минимальное количество уникальных совпадений: 1 Минимальное количество совпадений: 1 | Предупредить пользователей |
| Блокируйте сообщения Gmail, если в тексте сообщения содержится индивидуальный налоговый идентификатор США и сообщение не находится в конфиденциальном режиме. | Google Gmail Сообщение отправлено | Условие 1: Тип контента: Основной текст Соответствие: Соответствует предопределенному типу данных Тип данных: Соединенные Штаты Америки — Идентификационный номер индивидуального налогоплательщика Условие 2: Тип контента: Конфиденциальный режим Значение: Отключено | Блокировать сообщение |
| Аудит входящих электронных писем | Google Gmail Сообщение получено | Тип содержимого: Заголовки электронных писем Match: Соответствует регулярному выражению Значение: Внутренний инструмент Минимальное количество повторений шаблона: 1 | Только для аудита |
О синхронном и асинхронном сканировании
При отправке сообщений в Gmail сканирование правил может выполняться синхронно или асинхронно:
Синхронное сканирование — правила защиты данных сканируются, когда пользователь нажимает кнопку «Отправить» . Пользователь получает уведомление о конфиденциальном содержимом до того, как сообщение покинет его почтовый ящик. Gmail в веб-версии и мобильном приложении Gmail выполняет синхронное сканирование.
Примечание : электронные письма, сохраненные пользователем как черновики, также сканируются, и пользователь получает уведомление о наличии конфиденциальной информации.
Асинхронное сканирование — правила защиты данных сканируются после того, как сообщение покидает почтовый ящик отправителя. Пользователи получают сообщение о том, что сообщение заблокировано или помещено в карантин, прежде чем оно будет доставлено получателю. Асинхронное сканирование происходит, когда пользователь отправляет сообщение с помощью стороннего почтового приложения, и когда синхронное сканирование не удается.
При получении сообщений в Gmail правила сканируются перед доставкой сообщения в почтовый ящик получателя.
Результаты синхронного и асинхронного сканирования отправленных сообщений
Синхронное сканирование: Gmail в веб-версии или мобильном приложении.
Когда срабатывает правило с действием «Блокировать сообщение» :
- Появляется предупреждение, указывающее на невозможность отправки сообщения в текущем состоянии. Вы можете добавить пользовательское сообщение в правило для этого предупреждения.
- В уведомлении есть опция «Назад к редактированию» , позволяющая пользователю вернуться к редактированию сообщения и обновить или удалить конфиденциальную информацию.
- Когда пользователь повторно отправляет сообщение после редактирования, сообщение сканируется еще раз и проверяется на соответствие всем применимым правилам.
Когда срабатывает правило с действием «Предупредить пользователей» :
- Появляется предупреждение о том, что сообщение может содержать конфиденциальную информацию. Вы можете добавить собственное сообщение предупреждения в параметрах настройки правила.
- В уведомлении есть опция «Назад к редактированию» , позволяющая пользователю вернуться к редактированию сообщения и обновить или удалить конфиденциальную информацию.
- В оповещении есть опция « Отправить в любом случае» , которая позволяет пользователю отправить сообщение в его текущем состоянии.
Когда срабатывает правило с действием "Поместить сообщение в карантин" :
- Появляется предупреждение о том, что сообщение может содержать конфиденциальную информацию. Вы можете добавить собственное сообщение предупреждения в параметрах настройки правила.
- В поле есть опция «Назад к редактированию» , поэтому пользователь может по желанию вернуться к редактированию сообщения и обновить или удалить конфиденциальную информацию.
- В поле есть кнопка «Отправить на проверку» , позволяющая пользователю отправить сообщение на проверку администратору или другому уполномоченному пользователю. После проверки администратор может одобрить сообщение для доставки получателю или заблокировать его отправку.
Когда срабатывает правило с действием "Только аудит" :
- Пользователь не видит уведомления, и сообщение доставляется получателям.
- Сообщение о происшествии записывается в журналы аудита.
Примечание: Сообщения, сканируемые синхронно, могут быть повторно просканированы асинхронно в качестве дополнительной меры безопасности. Это может привести к блокировке сообщения, даже если во время синхронного сканирования не отображалось диалоговое окно.
Асинхронное сканирование: Gmail с использованием SMTP и сторонних почтовых приложений.
Когда срабатывает правило с действием «Блокировать сообщение» :
- Отправитель увидит сообщение в папке «Отправленные ».
- Отправитель получает сообщение о том, что сообщение было заблокировано. В правило для этого оповещения можно добавить пользовательское сообщение.
Когда срабатывает правило с действием «Предупредить пользователей» :
- Отправитель увидит сообщение в папке «Отправленные ».
- Отправитель получает сообщение о том, что сообщение было заблокировано. В правило для этого оповещения можно добавить пользовательское сообщение.
- Для сообщений, отправленных с помощью сторонних почтовых приложений, подключенных к Gmail по протоколу SMTP, правила с действием « Предупредить пользователей» работают так же, как и правила с действием «Заблокировать сообщение» .
Когда срабатывает правило с действием "Поместить сообщение в карантин" :
- Отправитель увидит сообщение в папке «Отправленные ».
- Если сообщение не было отправлено, отправитель получает уведомление о том, что сообщение было помещено в карантин. В правило для этого уведомления можно добавить пользовательское сообщение.
Когда срабатывает правило с действием "Только аудит" :
- Отправитель не получает уведомление, и сообщение доставляется получателю.
Асинхронное сканирование: Gmail в веб-версии или на мобильном устройстве.
При использовании Gmail в веб-версии или мобильном приложении сообщения дополнительно сканируются асинхронно в качестве дополнительной меры безопасности.
Когда срабатывает правило с действием «Блокировать сообщение» :
- Отправитель увидит сообщение в папке «Отправленные ».
- Отправитель получает сообщение о том, что сообщение было заблокировано. В правило для этого оповещения можно добавить пользовательское сообщение.
При срабатывании правила с действием «Предупредить пользователей» отправляется сообщение:
- Отправитель может увидеть сообщение в папке «Отправленные ».
- Сообщение о событии записывается в журнал событий правил.
Когда срабатывает правило с действием "Поместить сообщение в карантин" :
- Отправитель может увидеть сообщение в папке «Отправленные ».
- Если отправка сообщения была заблокирована рецензентом, они могут получить уведомление позже.
Когда срабатывает правило с действием "Только аудит" :
- Отправитель не получает никакого уведомления, и сообщение доставляется получателю.
Сообщения, созданные автоматически другими продуктами Google.
Gmail отправляет автоматические уведомления и сообщения, созданные другими сервисами Google и Google Workspace, включая Google Календарь, Документы и Диск. Например, когда кто-то создает событие в Календаре и приглашает гостей, создается сообщение Gmail с подробной информацией о событии и отправляется участникам события. Сообщение сканируется на стороне сервера. Если содержимое сообщения соответствует условиям какого-либо правила, применяется действие правила.
Когда срабатывает правило с действием «Блокировать сообщение» :
- Отправитель увидит сообщение в папке «Отправленные ».
- Отправитель получает сообщение о том, что сообщение было заблокировано. Вы можете добавить пользовательское сообщение в правило для этого уведомления.
Когда срабатывает правило с действием «Предупредить пользователей» :
- Сообщение отправлено.
- Отправитель может увидеть сообщение в папке «Отправленные ».
- Сообщение о событии записывается в журнал событий правил.
Когда срабатывает правило с действием "Поместить сообщение в карантин" :
- Отправитель может получить уведомление позже, если отправка сообщения была предотвращена рецензентом.
Когда срабатывает правило с действием "Только аудит" :
- Сообщение отправлено.
- Отправитель не получает никакого уведомления.
DLP для взаимодействия в Gmail
Как DLP взаимодействует с другими правилами обработки электронной почты?
Правила защиты данных оцениваются до правил соответствия контента и правил маршрутизации.
Если правила защиты данных не допускают блокировку или помещение сообщения в карантин, то сообщение проверяется правилами соответствия содержимого и маршрутизации. Если правило соответствия содержимого или маршрутизации применяет действие, создающее еще одну копию сообщения (например, добавляет нового получателя), DLP сканирует новые копии сообщения перед их отправкой.
Для получения более подробной информации перейдите в раздел «Настройка правил для расширенной фильтрации содержимого электронной почты» .
Как функция DLP для Gmail взаимодействует с группами?
Правила защиты данных применяются к группам только в том случае, если правило установлено для всей организации. Для отправляемых сообщений правила защиты данных поддерживают только действие «Блокировать сообщение» для групп. Действия «Предупредить пользователей» и «Поместить сообщение в карантин» для групп не поддерживаются.
Для полученных сообщений правила защиты данных применяются к исходной копии, полученной группой. Если к сообщению применены классификационные метки, то все копии полученного сообщения, принадлежащие членам группы, будут иметь одинаковую классификацию.
Исследуйте события, связанные с правилами защиты данных, с помощью инструмента расследования инцидентов безопасности.
Выполните поиск событий журнала правил.
В следующем примере выполняется поиск сообщений Gmail, которые активировали правило защиты данных. Вы можете использовать другие условия в поиске или не использовать никаких условий.
В консоли администратора Google перейдите в меню.
Безопасность Центр безопасности Инструмент расследования .Для этого требуются права администратора центра безопасности .
- Источник данных Click Правила регистрируют события .
- Конструктор условий клика Добавить условие Атрибут Тип правила .
- Выберите DLP .
- Нажмите «Поиск» .
В результатах поиска внизу страницы вы можете просмотреть список мероприятий с подробной информацией о каждом из них.Примечание : В Gmail DLP не поддерживаются фрагменты с конфиденциальным содержимым . В результате в столбце «Содержит конфиденциальное содержимое» отображается значение «Ложь», даже если сообщение содержит конфиденциальное содержимое, которое активировало правило защиты данных.
- Прокрутите страницу до столбца «Идентификатор ресурса» и нажмите «Меню».
для отображения событий журнала Gmail и идентификатора сообщения . - Нажмите «Поиск» , чтобы открыть новую страницу поиска, где источником данных являются события журнала Gmail .
- Для просмотра дополнительных сведений щелкните идентификатор сообщения для любой строки в результатах поиска. В боковой панели отобразится дополнительная информация о вашем расследовании.
- Если появится запрос, укажите служебную необходимость просмотра содержимого Gmail, а затем нажмите «Подтвердить» .
Экспорт нарушений DLP с помощью BigQuery
Вы можете экспортировать нарушения DLP, зарегистрированные в журнале правил, в пользовательские таблицы для дальнейшего анализа. Подробности см. в разделе «Настройка экспорта журналов служб в BigQuery» .
Поделитесь своим мнением.
В консоли администратора на любой странице, посвященной защите данных, нажмите «Отправить отзыв» .
Связанные темы
- Защита от утечки данных в Gmail и автоматические метки классификации
- Просмотр ограничений на размер контента и правил DLP
- Используйте оптическое распознавание символов для чтения изображений.
- Параметры маршрутизации и доставки электронной почты для Google Workspace
- Настройте карантин электронной почты
- Журнал событий правил