Zapobieganie wyciekom danych z e-maili i załączników (DLP w Gmailu)

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Fundamentals, Education Standard i Education Plus. Porównanie wersji

Funkcja DLP dla Gmaila jest również dostępna dla użytkowników Cloud Identity Premium, którzy mają też licencje na wersje Google Workspace obejmujące Gmaila.

W konsoli administracyjnej Google możesz tworzyć reguły zapobiegania utracie danych (DLP), aby zarządzać treściami poufnymi udostępnianymi przez użytkowników w wiadomościach e-mail. W przypadku DLP w Gmailu reguły są stosowane do wiadomości wysyłanych do osób z Twojej organizacji i spoza niej. Za pomocą reguł możesz identyfikować informacje poufne i zapobiegać ich nieprawidłowemu udostępnianiu.

Na tej stronie

Funkcje DLP w Gmailu

Dzięki DLP w Gmailu możesz:

  • Tworzyć reguły DLP dla Gmaila lub innych aplikacji Google Workspace, które korzystają z DLP, takich jak Gmail, Google Chat i Dysk Google.
  • Używać reguł DLP do wywoływania odpowiednich działań w przypadku naruszenia reguł:
    • Zablokuj wiadomość – zablokuj dostarczenie e-maila i wyślij użytkownikowi powiadomienie.
    • Ostrzegaj użytkowników – ostrzegaj użytkowników o wykrytych w wiadomości informacji poufnych, ale zezwalaj im na wysłanie wiadomości.
    • Przenieś wiadomość do kwarantanny – umieść wiadomość w kwarantannie, aby administrator mógł ją sprawdzić przed wysłaniem lub zwróceniem.
    • Tylko kontrola – wyślij wiadomość i zapisz zdarzenie DLP na potrzeby przyszłej kontroli, aby ocenić wpływ nowych reguł.
  • Możesz zdefiniować warunki za pomocą ciągów tekstowych oraz wstępnie zdefiniowanych i niestandardowych wzorców do wykrywania treści, takich jak słowa kluczowe i wyrażenia regularne.
  • Dodawać reguły, które automatycznie dodają etykiety klasyfikacji do nowych wiadomości na podstawie określonych przez Ciebie warunków. Mogą na przykład zastosować etykietę klasyfikacji Poufne, gdy wiadomości zawierają informacje poufne, finansowe lub umożliwiające identyfikację osoby.
  • Wykrywać, gdy tryb poufny jest włączony dla wiadomości, i używać stanu trybu poufnego jako warunku, aby zezwolić użytkownikom na wysyłanie wiadomości z poufnymi treściami.
  • egzekwować reguły w określonych jednostkach organizacyjnych lub grupach albo w całej organizacji;
  • W Centrum alertów możesz powiadamiać administratorów o naruszeniach reguł, aby mogli je przeanalizować.
  • Skanować tekst we wszystkich załącznikach do wiadomości przy użyciu optycznego rozpoznawania znaków (OCR).

Jak działa DLP w Gmailu

Gdy użytkownik wysyła wiadomość e-mail, DLP skanuje ją pod kątem treści poufnych. Jeśli wiadomość lub załącznik naruszy regułę, zostanie zastosowane zdefiniowane w niej działanie.

Podsumowanie procesu:

  1. Dodaj reguły DLP określające treści poufne i działanie, które ma być wykonywane w przypadku wiadomości zawierających takie treści.
  2. Gdy użytkownik wysyła wiadomość e-mail, DLP skanuje jej treść pod kątem dopasowania do reguł.
  3. Jeśli treść pasuje do jakiejś reguły, DLP zastosuje określone w niej działanie.
  4. Wszystkie zdarzenia są rejestrowane w dzienniku reguł, gdzie można je sprawdzić.

Skanowanie synchroniczne i asynchroniczne

W DLP dla Gmaila reguły mogą być skanowane synchronicznie lub asynchronicznie:

  • Skanowanie synchroniczne – reguły DLP są skanowane, gdy użytkownik kliknie Wyślij. Użytkownik jest powiadamiany o obecności treści poufnych, zanim wiadomość opuści jego skrzynkę pocztową. Gmail w przeglądarce i aplikacja mobilna Gmail przeprowadzają skanowanie synchroniczne.

  • Skanowanie asynchroniczne – reguły DLP są skanowane po tym, jak wiadomość opuszcza skrzynkę pocztową nadawcy. Użytkownicy otrzymują wiadomość o tym, że wiadomość została zablokowana lub umieszczona w kwarantannie przed jej dostarczeniem odbiorcy. Skanowanie asynchroniczne ma miejsce, gdy użytkownik wysyła wiadomość za pomocą aplikacji innej firmy do poczty e-mail oraz w sytuacji, gdy skanowanie synchroniczne się nie powiedzie.

Wyniki skanowania synchronicznego i asynchronicznego

Skanowanie synchroniczne: Gmail w przeglądarce lub na urządzeniu mobilnym

Gdy zostanie uruchomiona reguła z działaniem Zablokuj wiadomość:

  • Pojawi się alert z informacją, że wiadomość nie może zostać wysłana w obecnym stanie. W regule tego alertu możesz dodać komunikat niestandardowy.
  • Alert zawiera opcję Wróć do edycji, dzięki której użytkownik może wrócić do edycji wiadomości i zaktualizować lub usunąć treści poufne.
  • Gdy użytkownik ponownie wyśle wiadomość po jej zmodyfikowaniu, zostanie ona ponownie zeskanowana pod kątem wszystkich obowiązujących zasad.

Gdy zostanie uruchomiona reguła z działaniem Ostrzegaj użytkowników:

  • Pojawi się alert informujący, że wiadomość może zawierać treści poufne. W opcjach ustawień reguły możesz dodać alert niestandardowy.
  • Alert zawiera opcję Wróć do edycji, dzięki której użytkownik może wrócić do edycji wiadomości i zaktualizować lub usunąć treści poufne.
  • Alert zawiera też opcję Wyślij mimo wszystko, która umożliwia użytkownikowi wysłanie wiadomości w jej obecnym stanie.

Gdy zostanie uruchomiona reguła z działaniem Przenieś wiadomość do kwarantanny:

  • Pojawi się alert informujący, że wiadomość może zawierać treści poufne. W opcjach ustawień reguły możesz dodać alert niestandardowy.
  • Pole zawiera opcję Wróć do edycji, dzięki której użytkownik może wrócić do edycji wiadomości i zaktualizować lub usunąć treści poufne.
  • W polu znajduje się przycisk Prześlij do sprawdzenia, przy użyciu którego użytkownik może wysłać wiadomość do sprawdzenia przez administratora lub innego upoważnionego użytkownika. Po sprawdzeniu wiadomości administrator może zatwierdzić jej dostarczenie odbiorcy lub zablokować jej wysłanie.

Gdy zostanie uruchomiona reguła z działaniem Tylko kontrola:

  • Użytkownik nie widzi alertu, a wiadomość jest dostarczana do adresatów.
  • Zdarzenie dotyczące wiadomości jest rejestrowane w dziennikach kontrolnych.

Uwaga: wiadomości skanowane synchronicznie mogą zostać przeskanowane jeszcze raz asynchronicznie, co stanowi dodatkowy środek bezpieczeństwa. Może to spowodować zablokowanie wiadomości, nawet jeśli podczas skanowania synchronicznego nie zostało wyświetlone żadne okno dialogowe.

Skanowanie asynchroniczne: Gmail z SMTP i aplikacją innej firmy do poczty e-mail.

Gdy zostanie uruchomiona reguła z działaniem Zablokuj wiadomość:

  • Nadawca zobaczy wiadomość w skrzynce pocztowej Wysłane.
  • Nadawca otrzyma wiadomość z informacją, że wiadomość została zablokowana. W regule tego alertu możesz dodać komunikat niestandardowy.

Gdy zostanie uruchomiona reguła z działaniem Ostrzegaj użytkowników:

  • Nadawca zobaczy wiadomość w skrzynce pocztowej Wysłane.
  • Nadawca otrzyma wiadomość z informacją, że wiadomość została zablokowana. W regule tego alertu możesz dodać komunikat niestandardowy.
  • W przypadku wiadomości wysyłanych za pomocą aplikacji do poczty e-mail innych firm połączonych z Gmailem za pomocą SMTP reguły z działaniem Ostrzegaj użytkowników działają tak samo jak reguły z działaniem Zablokuj wiadomość.

Gdy zostanie uruchomiona reguła z działaniem Przenieś wiadomość do kwarantanny

  • Nadawca zobaczy wiadomość w skrzynce pocztowej Wysłane.
  • Jeśli wiadomość nie została wysłana, nadawca otrzyma alert informujący o tym, że została ona umieszczona w kwarantannie. W regule tego alertu możesz dodać komunikat niestandardowy.

Gdy zostanie uruchomiona reguła z działaniem Tylko kontrola:

  • Nadawca nie otrzyma powiadomienia, a wiadomość zostanie dostarczona do adresata.

Skanowanie asynchroniczne: Gmail w przeglądarce lub na urządzeniu mobilnym

Gdy korzystasz z Gmaila w przeglądarce lub aplikacji mobilnej, wiadomości są skanowane asynchronicznie jeszcze raz w ramach dodatkowych środków bezpieczeństwa.

Gdy zostanie uruchomiona reguła z działaniem Zablokuj wiadomość:

  • Nadawca zobaczy wiadomość w skrzynce pocztowej Wysłane.
  • Nadawca otrzyma wiadomość z informacją, że wiadomość została zablokowana. W regule tego alertu możesz dodać komunikat niestandardowy.

Gdy zostanie uruchomiona reguła z działaniem Ostrzegaj użytkowników, wiadomość zostanie wysłana:

  • Nadawca może zobaczyć wiadomość w skrzynce pocztowej Wysłane.
  • Zdarzenie dotyczące wiadomości jest rejestrowane w zdarzeniach z dziennika reguł.

Gdy zostanie uruchomiona reguła z działaniem Przenieś wiadomość do kwarantanny:

  • Nadawca może zobaczyć wiadomość w skrzynce pocztowej Wysłane.
  • Jeśli weryfikator zablokował wysyłanie wiadomości, nadawca może otrzymać powiadomienie z opóźnieniem.

Gdy zostanie uruchomiona reguła z działaniem Tylko kontrola:

  • Nadawca nie otrzyma żadnego powiadomienia, a wiadomość zostanie dostarczona do adresata.

Wiadomości utworzone automatycznie przez inne usługi Google

Gmail wysyła automatyczne powiadomienia i wiadomości utworzone przez inne usługi Google i Google Workspace, w tym Kalendarz Google, Dokumenty i Dysk. Gdy np. ktoś utworzy wydarzenie w Kalendarzu i zaprosi gości, zostanie utworzona wiadomość w Gmailu ze szczegółami wydarzenia i wysyłana do uczestników. Wiadomość jest skanowana po stronie serwera. Jeśli treść wiadomości spełnia warunki określone w jakiejkolwiek regule, stosowane jest działanie tej reguły.

Gdy zostanie uruchomiona reguła z działaniem Zablokuj wiadomość:

  • Nadawca zobaczy wiadomość w skrzynce pocztowej Wysłane.
  • Nadawca otrzyma wiadomość z informacją, że wiadomość została zablokowana. W regule tego powiadomienia możesz dodać komunikat niestandardowy.

Gdy zostanie uruchomiona reguła z działaniem Ostrzegaj użytkowników:

  • Wiadomość zostanie wysłana.
  • Nadawca może zobaczyć wiadomość w skrzynce pocztowej Wysłane.
  • Zdarzenie dotyczące wiadomości jest rejestrowane w zdarzeniach z dziennika reguł.

Gdy zostanie uruchomiona reguła z działaniem Przenieś wiadomość do kwarantanny:

  • Jeśli weryfikator zablokował wysyłanie wiadomości, nadawca może otrzymać powiadomienie z opóźnieniem.

Gdy zostanie uruchomiona reguła z działaniem Tylko kontrola:

  • Wiadomość zostanie wysłana.
  • Nadawca nie otrzyma żadnego powiadomienia.

Co jest skanowane?

Skanowane są tylko wiadomości wychodzące. Warunki Typ treści do przeskanowania dodane w regule określają, która część wiadomości jest skanowana:

  • Cała treść – synchronicznie skanowane są temat wiadomości, pola Do, Od, UDW, DW oraz treść wiadomości. Załączniki są skanowane asynchronicznie. Załączniki obejmują pliki i obrazy. Skanowane są też nazwy załączonych plików. Więcej informacji znajdziesz w sekcji Obsługiwane typy plików na tej stronie.
    Załączników nie można używać jako warunku do zastosowania działania Ostrzegaj, ponieważ załączniki są zawsze skanowane asynchronicznie.

    Ważne: opcja Wszystkie treści skanuje tylko 5 typów nagłówków: Temat, Do, Od, UDW i DW. Te nagłówki są natychmiast dostępne do skanowania synchronicznego. Zalecamy użycie jednej z tych opcji do przeskanowania wszystkich nagłówków wiadomości:

    • Dodaj warunek z operatorem LUB, aby przeskanować nagłówki e-maili.
    • Utwórz osobną regułę przeznaczoną do skanowania nagłówków e-maili.

  • Nagłówki e-maili – zawartość nagłówków e-maili. Większość nagłówków jest skanowana asynchronicznie, ale nagłówki Temat, Do, Od, UDW i DW są skanowane zarówno asynchronicznie, jak i synchronicznie. Aby nie przeszkadzać użytkownikom, unikaj ustawiania warunku dopasowania wykluczającego (warunku NOT) w przypadku niedostępnych nagłówków e-maili. Nagłówki e-maili są skanowane w celu sprawdzenia, czy nie zawierają informacji poufnych.

  • Treść – treść wiadomości jest skanowana synchronicznie, a załączniki asynchronicznie.

  • Temat – temat jest skanowany synchronicznie.

  • Etykieta klasyfikacji – etykiety klasyfikacji, które zostały zastosowane ręcznie przez użytkownika lub automatycznie za pomocą reguły DLP. Reguła nie może zawierać zarówno Etykiety klasyfikacji jako warunku, jak i Zastosuj etykiety klasyfikacji jako działania.

  • Stan trybu poufnego – określa, czy tryb poufny jest włączony. Zalecamy użycie tego warunku z innymi warunkami reguły. Jeśli na przykład treść wiadomości zawiera identyfikator podatkowy, a wiadomość nie jest wysyłana w trybie poufnym, wiadomość zostaje zablokowana i nie można jej wysłać. Więcej informacji znajdziesz w artykule Ochrona wiadomości w Gmailu w trybie poufnym.

Obsługiwane typy plików załączników

Reguły DLP skanują te typy załączników:

  • Typy plików dokumentów – TXT, DOC, DOCX, RTF, HTML, XHTML, XML, PDF, PPT, PPTX, ODP, ODS, ODT, XLS, XLSX, PS, CSS, CSV, JSON i SH
  • Typy plików graficznych (jeśli jest włączona funkcja OCR) – EPS, BMP, GIF, JPEG, PNG oraz obrazy w plikach PDF
  • Typy plików skompresowanych: .bzip, .gzip, .rar, .tar, .zip
  • Niestandardowe typy plików – HWP, KML, KMZ, SDC, SDD, SDW, SXC, SXI, SXW, WML, XPS

Wiele załączników

Jeśli wiadomość ma więcej niż 1 załącznik, reguła jest wywoływana, gdy którykolwiek z nich spełnia warunek reguły. Może to czasami prowadzić do nieoczekiwanych wyników w przypadku reguł zawierających warunek NOT. Jeśli na przykład użyjesz warunku NOT(content contains SSN) [NIE (treść zawiera numer SSN), a jeden z załączników zawiera SSN, warunek będzie spełniony, ale reguła nie zostanie wywołana.

Jak DLP współpracuje z innymi regułami dotyczącymi poczty e-mail?

Reguły DLP są sprawdzane przed regułami zgodności treści i regułami routingu.

Jeśli reguły DLP nie zaakceptują działań blokowania lub umieszczania wiadomości w kwarantannie, jest ona oceniana przez reguły zgodności treści i reguły routingu. Jeśli reguła zgodności treści lub reguła routingu stosuje działanie, które powoduje utworzenie kolejnej kopii wiadomości (np. dodanie nowego odbiorcy), DLP skanuje nowe kopie wiadomości przed ich wysłaniem.
Szczegółowe informacje znajdziesz w artykule Konfigurowanie reguł zaawansowanego filtrowania treści e-maili.

DLP w Gmailu i Grupy dyskusyjne

W tej sekcji opisaliśmy, jak reguły DLP w Gmailu współpracują z grupami.

Reguły DLP mają zastosowanie do grup tylko wtedy, gdy są ustawione dla całej organizacji. W przypadku grup reguły DLP obsługują tylko działanie Odrzuć. Działania Ostrzegaj i Przenieś do kwarantanny nie są obsługiwane w przypadku grup.

Tworzenie reguł DLP w Gmailu

  1. Otwórz Menu a potem Reguły > Utwórz regułę > Ochrona danych.

    Wymaga uprawnień do wyświetlania reguł DLP i zarządzania nimi.

  2. Wpisz nazwę reguły i opcjonalnie opis.
  3. W sekcji Aplikacje obok pola Gmail kliknij pole Wiadomość wysłana.
  4. (Opcjonalnie) Aby włączyć OCR, kliknij Sprawdź i zaznacz pole Gmail.
  5. Kliknij Dalej.

  6. W sekcji Działania w obszarze Gmail wybierz odpowiednią opcję.

    Wszystkie działania są rejestrowane w zdarzeniach dziennika reguł.

    • Zablokuj wiadomość – nie wysyłaj wiadomości od razu, ale wyświetl alert nadawcy o potencjalnie poufnych informacjach zawartych w wiadomości. Nadawca może zmodyfikować wiadomość i wysłać ją ponownie.
    • Ostrzegaj użytkowników – nie wysyłaj wiadomości od razu, ale wyświetl alert nadawcy. Nadawca może wysłać wiadomość bez zmian lub zmodyfikować ją i wysłać ponownie.
      Uwaga: załączniki są zawsze skanowane asynchronicznie, więc nie możesz użyć załączników jako warunku działania Ostrzegaj użytkowników w regule.
    • Przenieś wiadomość do kwarantanny – nie wysyłaj wiadomości od razu, ale wyświetl alert nadawcy. Nadawca może wysłać wiadomość bez zmian lub wysłać ją do sprawdzenia przez administratora bądź inną właściwą osobę. Musisz wybrać opcję z menu Warunek kwarantanny.
    • Tylko kontrola – wiadomość jest wysyłana. Nie wyświetla się żaden alert. Wiadomość jest skanowana pod kątem reguł i rejestrowana jako zdarzenie, które administrator może później sprawdzić.
    • Zastosuj etykietę klasyfikacji – zastosuj etykietę klasyfikacji do wiadomości, które spełniają warunki. Musisz wybrać opcję z menu Pole etykiety i Opcje pola.
    • Dodaj niestandardową notatkę – dodaje niestandardowy nagłówek lub stopkę do pasujących wiadomości e-mail.

  7. W polu Określ, kiedy to działanie ma być stosowane wybierz, czy działanie ma być stosowane do wiadomości wewnętrznych, zewnętrznych czy do obu rodzajów wiadomości.

  8. (Opcjonalnie) Aby utworzyć alert niestandardowy, w sekcji Komunikat do użytkowników zaznacz pole Dostosuj wiadomość i wpisz tekst alertu. Alerty mogą zawierać adresy URL i maksymalnie 300 znaków (włącznie ze znakami w adresach URL). Jeśli nie utworzysz wiadomości niestandardowej, w polu wyświetli się komunikat domyślny.

  9. (Opcjonalnie) Aby ustawić poziom ważności zgłoszonych zdarzeń wiadomości, w sekcji Alerty wybierz poziom ważności: Mała, Umiarkowana lub Duża. Waga raportowania jest rejestrowana w zdarzeniach dziennika reguł i może służyć do analizy incydentów.

  10. (Opcjonalnie) Aby wysyłać alerty o zdarzeniach związanych z wiadomościami (komunikaty aktywowane przez tę regułę), zaznacz pole Centrum alertów. Powiadomienie o alertach jest też wysyłane do superadministratorów przy użyciu opcji Wszyscy superadministratorzy. Wpisz inne alerty z powiadomieniami dla innych odbiorców.

  11. Kliknij Dalej.

  12. W polu Zakres wybierz opcję:

    • Aby zastosować regułę w całej organizacji, wybierz Wszyscy w domenie domain.name.
    • Aby zastosować regułę do określonych jednostek organizacyjnych lub grup, wybierz Jednostki organizacyjne lub grupy i uwzględnij lub wyklucz jednostki organizacyjne albo grupy.

  13. W menu Warunki dotyczące treści kliknij Dodaj warunek i wybierz część wiadomości, która ma być skanowana.

    Ważne: jeśli utworzysz regułę DLP bez warunku, będzie ona skanować wszystkie części wiadomości i stosować określone działanie do każdej wiadomości w Gmailu.

    • Cała treść – skanuje nagłówek, temat, treść i załączniki wiadomości.
    • Treść – skanuje treść wiadomości i załączniki.
    • Etykieta klasyfikacji – skanuje etykiety klasyfikacji zastosowane do wiadomości.
    • Stan trybu poufnego – skanuje, czy tryb poufny jest włączony dla wiadomości.
    • Nagłówki e-maili – skanuje nagłówek i temat wiadomości. Jeśli wiadomość jest wysyłana przy użyciu szyfrowania po stronie klienta Google Workspace, można skanować tylko treść nagłówków e-maili (w tym temat).
    • Temat – skanuje tylko temat wiadomości.

  14. Kliknij Cel skanowania oraz opcje i atrybuty skanowania. Szczegółowe informacje o poszczególnych polach znajdziesz w sekcji Opcje i atrybuty dotyczące celu skanowania na tej stronie.

  15. Kliknij Dalej i sprawdź szczegółowe informacje o regule.

  16. Wybierz stan reguły:

    • Aktywna – reguła jest uruchamiana od razu.
    • Nieaktywna – reguła została dodana, ale nie jest uruchamiana od razu. Dzięki temu masz czas, aby ją sprawdzić i udostępnić innym osobom przed wdrożeniem. Aby później aktywować regułę, w konsoli administracyjnej kliknij Bezpieczeństwoa potemDostęp do danych i kontrola nad nimia potemOchrona danycha potemZarządzanie regułami, zmień stan na Aktywnaa potem kliknij Potwierdź.

  17. Kliknij Utwórz.

Zastosowanie zmian może potrwać do 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji

Opcje i atrybuty dotyczące celu skanowania

Opcje Cel skanowania różnią się w zależności od wybranego typu treści do przeskanowania. W przypadku warunków reguły Gmaila do wyboru są te opcje skanowania:

  • Pasuje do wstępnie zdefiniowanego typu danych (zalecane)
  • Zawiera ciąg tekstowy
  • Zawiera słowo
  • Dopasowanie wyrażenia regularnego
  • Zawiera słowa z listy słów
  • Jest etykietą klasyfikacji
  • Jest włączony lub wyłączony (tylko stan trybu poufnego).

W warunkach możesz używać operatorów AND, OR i NOT. Szczegółowe informacje na temat korzystania z tych operatorów z warunkami znajdziesz w artykule Przykłady reguł DLP z zagnieżdżonymi operatorami warunkowymi.

Cel skanowania Atrybuty
Pasuje do wstępnie zdefiniowanego typu danych

Typ danych – wybierz wstępnie zdefiniowany typ danych. Szczegółowe informacje znajdziesz w artykule Jak używać wstępnie zdefiniowanych wzorców do wykrywania treści.

Próg prawdopodobieństwa – wybierz próg prawdopodobieństwa. Dostępne progi:

  • Bardzo niski
  • Niski
  • Średni
  • Wysoki
  • Bardzo wysoka

Te progi odzwierciedlają zaufanie systemu DLP do wyniku dopasowania. Zwykle próg Bardzo wysoki ma mniej dopasowań i jest dokładniejszy. Próg Bardzo niski wiąże się z większą liczbą dopasowań, ale mniejszą dokładnością.

Minimalna liczba unikalnych dopasowań – wpisz minimalną liczbę unikalnych wystąpień wyników dopasowania w dokumencie, jaka jest wymagana do wywołania działania.

Minimalna liczba zgodnych pozycji – minimalna liczba wystąpień dopasowanego wyniku w dokumencie, jaka jest wymagana do wywołania działania.

Jak działa Minimalna liczba zgodnych pozycji i Minimalna liczba unikalnych dopasowań? Załóżmy, że mamy 2 listy numerów PESEL – pierwsza zawiera 50 kopii dokładnie tego samego numeru, a druga 50 unikalnych numerów. Jeśli Minimalna liczba zgodnych pozycji wynosi 10, to w przypadku obu list zostanie wywołane działanie, ponieważ w obu przypadkach jest co najmniej 10 dopasowań. Natomiast jeśli Minimalna liczba unikalnych dopasowań wynosi 10, a Minimalna liczba zgodnych pozycji równa się 1, to działanie zostanie wywołane tylko w przypadku drugiej listy, ponieważ jest na niej 10 dopasowań i wszystkie dotyczą unikalnych wartości.
Zawiera ciąg tekstowy Wpisz treść do dopasowania – wprowadź podłańcuch, liczbę lub inne znaki do wyszukania. Określ, czy w treści ma być uwzględniana wielkość liter. W przypadku podłańcucha dopasowanie zostanie znalezione, jeśli reguła obejmuje np. słowo klucz, a dokument zawiera słowo klucz.
Zawiera słowo Wpisz treść do dopasowania – wpisz słowo, liczbę lub inne znaki do wyszukania.
Dopasowanie wyrażenia regularnego

Nazwa wyrażenia regularnego – niestandardowy wzorzec do wykrywania treści z wyrażeniem regularnym.

Minimalna liczba wykryć wzorca – wpisz minimalną liczbę wystąpień wzorca wyrażonego wyrażeniem regularnym w dokumencie, jaka jest wymagana do wywołania działania.
Zawiera słowa z listy słów

Lista słów – wybierz niestandardową listę słów.

Tryb dopasowania – wybierz Dopasuj dowolne słowa lub Dopasuj minimalną liczbę unikalnych słów.

Minimalna łączna liczba wykryć dowolnego słowa – wpisz minimalną liczbę wykryć słowa wymaganą do wywołania działania.

Minimalna liczba unikalnych wystąpień słowa – wpisz minimalną liczbę unikalnych słów wymaganą do wywołania działania (dostępne tylko w przypadku opcji Dopasuj minimalną liczbę unikalnych słów).

Analizowanie zdarzeń dotyczących reguł DLP za pomocą narzędzia do analizy zagrożeń

Przeprowadzanie wyszukiwania zdarzeń z dziennika reguł

W przykładzie poniżej przeprowadzane jest wyszukiwanie w celu przeanalizowania wiadomości z Gmaila, które uruchomiły regułę DLP. Możesz użyć innych warunków wyszukiwania lub przeprowadzić wyszukiwanie bez warunków.

  1. W konsoli administracyjnej Google otwórz Menu a potem Bezpieczeństwoa potemCentrum bezpieczeństwaa potemNarzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. Kliknij Źródło danycha potemZdarzenia z dziennika reguł.
  3. Kliknij Narzędzie do definiowania warunkówa potemDodaj waruneka potemAtrybuta potemTyp reguły.
  4. Wybierz DLP.
  5. Kliknij Szukaj.
    W wynikach wyszukiwania u dołu strony możesz wyświetlić listę zdarzeń ze szczegółowymi informacjami o poszczególnych zdarzeniach.

    Uwaga: fragmenty treści poufnych nie są obsługiwane w DLP w Gmailu. Z tego powodu kolumna Zawiera treści poufne będzie zawierać wartość False (Fałsz), nawet jeśli wiadomość zawiera treści poufne, które spowodowały uruchomienie reguły DLP.

  6. Przewiń do kolumny Identyfikator zasobu i kliknij Menu , aby wyświetlić Zdarzenia z dziennika Gmaila i Identyfikator wiadomości.
  7. Kliknij Szukaj, aby otworzyć nową stronę wyszukiwania, na której źródłem danych są Zdarzenia z dziennika Gmaila.
  8. Aby wyświetlić dodatkowe dane, kliknij Identyfikator wiadomości w dowolnym wierszu wyników wyszukiwania. Wyświetli się panel boczny z dodatkowymi informacjami na temat analizy zagrożeń.
  9. Jeśli pojawi się taka prośba, wpisz uzasadnienie potrzeby wyświetlenia treści z Gmaila, a następnie kliknij Potwierdź.

Eksportowanie naruszeń DLP za pomocą BigQuery

Możesz wyeksportować naruszenia reguł DLP zarejestrowane w zdarzeniach z dziennika reguł do tabel niestandardowych, aby przeprowadzić dalszą analizę. Więcej informacji znajdziesz w artykule Konfigurowanie eksportów dzienników usług do BigQuery.

Prześlij opinię

W konsoli administracyjnej na dowolnej stronie dotyczącej ochrony danych kliknij Prześlij opinię.