Voor deze functie is de Chrome Enterprise Premium-add-on vereist.
Met Chrome Enterprise Premium en regels voor gegevensbescherming kunt u gebruikersacties in de Chrome-browser en op Windows-, Mac-, Linux- en ChromeOS-apparaten monitoren. Dankzij DLP (Data Loss Prevention) in Chrome kunt u tot 10 MB aan tekstinhoud in een bestand scannen om automatisch te detecteren welke gegevens worden geopend, geüpload, gedownload, geplakt of overgedragen. Gebruik regels voor gegevensbescherming in Chrome Enterprise Premium om gevoelige informatie, zoals burgerservicenummers of creditcardnummers, te beschermen.
Voordat je begint
- Stel uw Chrome Enterprise-connectorbeleid in. Ga voor de stappen naar Chrome Enterprise-connectorbeleid instellen voor Chrome Enterprise Premium .
- Als u het toepassingsgebied van een regel wilt beperken tot een door de gebruiker aangemaakte groep, voegt u alle relevante gebruikers en browsers toe aan die groep. Als u de regel bijvoorbeeld wilt toepassen op de Chrome-browser, voegt u die browser toe aan uw doelgroep. Zie voor meer informatie Welke typen groepen kan ik selecteren voor het toepassingsgebied van een regel? en Groepsgebaseerde beleidsregels beheren .
Inzicht in triggers
Voordat je definieert naar welke inhoud je regel moet zoeken, geef je de trigger op die het scanproces start. De trigger die je selecteert, bepaalt welke opties voor het te scannen inhoudstype beschikbaar zijn voor je regel.
U kunt een van de volgende triggers selecteren:
- Bestand geüpload — Een gebruiker uploadt een bestand vanaf zijn of haar apparaat in de Chrome-browser.
- Bestand gedownload — Een gebruiker downloadt een bestand naar zijn of haar apparaat.
- Geplakte inhoud — Een gebruiker plakt inhoud in een webpagina.
- Inhoud afgedrukt — Een gebruiker drukt de inhoud van een webpagina af.
- Bezochte URL — Een gebruiker navigeert naar een URL.
Inzicht in DLP-acties
Wanneer gevoelige inhoud wordt gevonden, kan uw regel de acties afdwingen die in de volgende tabel worden vermeld.
| Actie (voor Chrome-browser en ChromeOS) | Beschrijving | Optionele instellingen |
|---|---|---|
| Blok | Voorkomt dat de gebruiker de actie voltooit, zoals het uploaden van een bestand. De gebruiker krijgt een foutmelding of een aangepast bericht. | Bericht aanpassen: Toon een aangepast bericht (maximaal 300 tekens, ondersteunt hyperlinks) aan de gebruiker waarin wordt uitgelegd waarom de actie is geblokkeerd. |
| Toestaan onder voorbehoud | Laat de gebruiker doorgaan na een waarschuwingsbericht. De keuze van de gebruiker om door te gaan wordt vastgelegd in de logboeken. | Bericht aanpassen: Geef een aangepast waarschuwingsbericht weer. Voeg een watermerk toe aan de pagina-inhoud: voor acties die via een URL worden uitgevoerd, wordt een doorschijnend watermerk met de tekst 'Vertrouwelijk' of een aangepast bericht over de webpagina geplaatst. Beperk de inhoud van schermafbeeldingen en schermdeling: Voor acties die via een URL op Mac en Windows worden uitgevoerd, worden schermafbeeldingen en schermdeling op de bijbehorende pagina's geblokkeerd. De inhoud wordt in schermafbeeldingen zwart gemaakt (Windows) of verdwijnt (Mac). |
| Alleen audit | Hiermee kan de gebruiker ongestoord verdergaan en wordt de gebeurtenis vastgelegd voor beoordeling. | Voeg een watermerk toe aan de pagina-inhoud: voor acties die via een URL worden uitgevoerd, wordt een doorschijnend watermerk met de tekst 'Vertrouwelijk' of een aangepast bericht over de webpagina geplaatst. Beperk de inhoud van schermafbeeldingen en schermdeling: Voor acties die via een URL op Mac en Windows worden uitgevoerd, worden schermafbeeldingen en schermdeling op de bijbehorende pagina's geblokkeerd. De inhoud wordt in schermafbeeldingen zwart gemaakt (Windows) of verdwijnt (Mac). |
Belangrijk: Voor de triggers 'Bestand geüpload' en 'Inhoud geplakt' is het blokkeringsgedrag afhankelijk van de instellingen ' Bestandsupload vertragen' en 'Tekstinvoer vertragen' in uw Chrome Enterprise-connectorbeleid. Zie 'Inhoudsanalyse uploaden' en 'Tekstinhoud bulkanalyse' voor meer informatie.
Inzicht in DLP-voorwaarden
Wanneer u een gegevensbeschermingsregel maakt, kunt u voorwaarden specificeren die bepalen naar welke inhoud of activiteit moet worden gezocht. U kunt vooraf gedefinieerde gegevenstypen gebruiken of uw eigen aangepaste inhoudsdetectoren maken. U kunt ook meerdere voorwaarden combineren met behulp van de operatoren AND , OR of NOT .
Zie voor meer informatie Hoe vooraf gedefinieerde inhoudsdetectoren te gebruiken , Een aangepaste detector maken en Voorbeelden van regels met geneste voorwaardelijke operatoren .
De beschikbare opties voor het scannen van inhoudstypen variëren afhankelijk van de trigger die is geselecteerd om de scan te starten, zoals geüpload bestand , gedownload bestand , geplakte inhoud , afgedrukte inhoud , bezochte URL , enzovoort.
| Type inhoud om te scannen | Waarop moet je zoeken? | Details en gebruik |
|---|---|---|
| Alle inhoud | Komt overeen met een vooraf gedefinieerd gegevenstype. Bevat tekstreeks Bevat woord Komt overeen met een reguliere expressie Zoekt woorden uit de woordenlijst. | Alle inhoud wordt gescand op gevoelige informatie die overeenkomt met een van de volgende criteria:
|
| Lichaam | Komt overeen met een vooraf gedefinieerd gegevenstype. Bevat tekstreeks Bevat woord Komt overeen met een reguliere expressie Zoekt woorden uit de woordenlijst. | Scant de hoofdtekst (body) van een webpagina of bestand. |
| Bestandsgrootte | Gelijk aan Is groter dan Is minder dan | Stelt een drempelwaarde voor de bestandsgrootte (in bytes) in om de regel te activeren op basis van uw vergelijking. |
| Bestandstype | Komt overeen met een gangbaar MIME-type. Komt overeen met een aangepast MIME-type. Komt overeen met de systeembestandscategorie | Filtert wat er gescand moet worden op basis van vooraf gedefinieerde bestandscategorieën, zoals Afbeelding of Uitvoerbaar bestand, of op basis van een specifiek MIME-type. Lees meer over MIME-typen per bestandscategorie . |
| Bron Chrome-context | Specifieke kenmerken met betrekking tot de Chrome-browser | Deze functie scant interne Chrome-attributen om de browseromgeving of -status te bepalen. De regel is van toepassing als de context een van de volgende waarden heeft: Incognito , Klembord of Ander profiel . |
| Bron-URL | Bevat tekstreeks Zoekt woorden uit de woordenlijst. Komt overeen met een reguliere expressie | Scant de URL waar de inhoud vandaan komt op specifieke tekst, woorden uit een aangepaste lijst of patronen. |
| Bron-URL-categorie | Selecteer categorie | Werkt met triggers, zoals 'Inhoud geplakt', om te controleren of een bron-URL tot een vooraf gedefinieerde categorie behoort, zoals 'Sociale netwerken' of 'Nieuws'. |
| Titel | Komt overeen met een vooraf gedefinieerd gegevenstype. Bevat tekstreeks Bevat woord Eindigt met Komt overeen met een reguliere expressie Zoekt woorden uit de woordenlijst. Begint met | De titel van de webpagina of het document dat bij de actie betrokken is, wordt gescand. |
| URL | Bevat tekstreeks Eindigt met Komt overeen met de URL in de lijst met URL's Komt overeen met een reguliere expressie Zoekt woorden uit de woordenlijst. Begint met | De URL die bij de actie betrokken is, wordt gescand. Deze scan omvat de URL's van de inhoud die in eventuele ingesloten iframes is geladen. |
| URL-categorie | Selecteer categorie | Controleert of de URL die bij de actie betrokken is, tot een vooraf gedefinieerde categorie behoort, zoals sociale netwerken, games of gokken. Deze scan omvat ook de URL's van content die in ingesloten iframes wordt geladen. |
| Aangemeld account in de webapp | Komt overeen met de domeinnaam Komt overeen met het e-mailadres Komt overeen met de reguliere expressie voor e-mailadressen | Scant het gebruikersaccount dat actief is aangemeld bij de Google-webapp, zoals Gmail of Drive, op het moment dat de trigger wordt geactiveerd. Deze voorwaarde is van toepassing op regels die worden geactiveerd door gebeurtenissen zoals plakken, bezochte URL's, bestandsdownloads, bestandsuploads en afdrukken. Momenteel alleen ondersteund voor persoonlijke en beheerde Google-accounts. |
| Aangemeld account in de webapp | Komt overeen met de domeinnaam Komt overeen met het e-mailadres Komt overeen met de reguliere expressie voor e-mailadressen | Scant het gebruikersaccount dat is aangemeld bij de Google-webapp die de bron van de inhoud bevat (de app waar de gebruiker de inhoud heeft gekopieerd). Deze voorwaarde is alleen van toepassing op regels die worden geactiveerd door de gebeurtenis 'Inhoud geplakt'. Momenteel alleen ondersteund voor persoonlijke en beheerde Google-accounts. |
Let op: de trigger 'URL bezocht' scant geen URL's of de bijbehorende categorieën binnen ingesloten iframes.
Kies een regio voor uw gegevens.
U kunt uw DLP- en malware-scans in een specifieke regio opslaan, bijvoorbeeld de Verenigde Staten of Europa. U kunt een regio kiezen om gegevensresidentie te bereiken, wat een vereiste is voor veel compliance-overeenkomsten. Ga naar Een geografische regio voor uw gegevens kiezen voor meer informatie.
Maak een regel aan
Nadat je hebt bepaald wat je met je regel wilt doen, maak je de regel aan. Zie Gegevensbeschermingsregels maken voor meer informatie.
Veelvoorkomende gebruiksscenario's
De volgende tabel geeft voorbeelden van hoe u een trigger (wat de gebruiker doet), voorwaarden (wat wordt gecontroleerd) en een specifieke actie (de handhaving) kunt combineren om uw DLP-beleid te definiëren. Om deze tabel te gebruiken, moet u het volgende doen:
- Selecteer een trigger.
- Wijs voorwaardewaarden toe aan de overeenkomstige opties.
- Selecteer een actie.
| Gebruiksvoorbeeld | Gebruikersgebeurtenis | Voorwaarden | Actie |
| Blokkeer het downloaden van bestanden vanuit Google Drive. | Bestand gedownload | Inhoudstype: URL* Overeenkomst: Bevat tekstreeks Waarde: drive.google.com | Blok |
| Waarschuw de gebruiker als een gedownload bestand meer dan 30 e-mailadressen bevat. | Bestand gedownload | Inhoudstype: Alle inhoud Overeenkomst: Komt overeen met een vooraf gedefinieerd gegevenstype. Instellingen: Gegevenstype: Globaal - E-mailadres, Gemiddelde waarschijnlijkheid, Minimaal 30 unieke overeenkomsten | Toestaan onder voorbehoud |
| Blokkeer het uploaden van bestanden naar sociale mediasites. | Bestand uploaden | Inhoudstype: URL-categorie Overeenkomst: Selecteer categorie Waarde: Sociale netwerken | Blok |
| Blokkeer het downloaden van afbeeldingsbestanden groter dan 10 kilobyte. | Bestand gedownload | Voorwaarde 1: Bestandsgrootte Overeenkomst : Is groter dan Waarde : 10.000 bytes EN Voorwaarde 2: Bestandstype Overeenkomst : Komt overeen met de systeembestandscategorie Waarde : Afbeelding | Blok |
| Registreer gevallen waarin Amerikaanse burgerservicenummers (Social Security numbers) worden overgedragen in bestanden in ChromeOS. | Bestandsoverdracht | Inhoudstype: Alle inhoud Overeenkomst: Komt overeen met een vooraf gedefinieerd gegevenstype. Instellingen: Gegevenstype: Verenigde Staten - Burgerservicenummer (BSN), Waarschijnlijkheid: Gemiddeld, Minimaal aantal unieke overeenkomsten: 1, Minimaal aantal overeenkomsten: 1 | Alleen audit |
| Voorkom dat gebruikers inhoud kopiëren en plakken vanuit Gmail (mail.google.com). | Geplakte inhoud | Inhoudstype: Bron-URL* Overeenkomst: Bevat tekstreeks Waarde: mail.google.com | Blok |
| Een watermerk toepassen of screenshots beperken wanneer gebruikers bepaalde gevoelige websites bezoeken. | Bezochte URL | Inhoudstype: URL* of URL-categorie Match: Selecteer de juiste match Waarde: De specifieke gevoelige URL of categorie | Toestaan met waarschuwing / Alleen controleren (met 'Watermerk toevoegen' en/of 'Schermafbeelding beperken' geselecteerd) |
| Blokkeer het uploaden van bestanden naar een persoonlijk Google Drive-account. | Geüploade bestand | Voorwaarde 1: Overeenkomst: Bevat tekstreeks Waarde: drive.google.com EN Voorwaarde 2: Overeenkomst: Komt niet overeen met de domeinnaam Waarde: uw-organisatie-domeinnaam.com | Blok |
*Als een URL die u filtert recent is bezocht, wordt deze enkele minuten in de cache opgeslagen en kan het zijn dat een nieuwe (of gewijzigde) regel pas succesvol filtert nadat de cache is gewist. Wacht ongeveer 5 minuten voordat u een nieuwe of gewijzigde regel test.
Waarschuwingen beoordelen, bewaken en onderzoeken
Nadat u regels voor gegevensbescherming hebt aangemaakt, kunt u gebruikersacties bekijken, zoals het uploaden en downloaden of kopiëren en plakken van gegevens in de Chrome-browser. U kunt dan:
- Bekijk rapporten in het beveiligingsdashboard. Rapporten met betrekking tot Chrome Enterprise Premium zijn onder andere:
- Samenvattend rapport over de bescherming tegen bedreigingen in Chrome
- Samenvattend rapport over gegevensbescherming in Chrome
- Rapport van Chrome-gebruikers met een hoog risico
- Rapport over Chrome-domeinen met een hoog risico
- Voor meer informatie, ga naar Het beveiligingsdashboard gebruiken .
- Onderzoek meldingen van incidenten met betrekking tot het delen van gegevens met behulp van de tool voor beveiligingsonderzoek. Ga voor meer informatie naar 'Over de tool voor beveiligingsonderzoek' .
- Bekijk details van incidenten in de gebeurtenislogboeken van de regels .
- Onderzoek overtredingen van de regels om te bepalen of het om echte incidenten of valse positieven gaat. Ga voor meer informatie naar Inhoud bekijken die DLP-regels activeert .
Gerelateerde onderwerpen
- Stel time-outtermijnen in voor DLP- en malware-scans.
- Gebruik aangepaste URL-lijsten voor DLP in Chrome.
- Gebruik data masking om DLP in Chrome te versterken.
- Combineer DLP-regels met contextbewuste toegangsvoorwaarden.
- Bescherm Chrome-gebruikers met Chrome Enterprise Premium.
- Chrome-loggebeurtenissen