ใช้ Chrome Enterprise Premium เพื่อผสานรวม DLP กับ Chrome

คุณต้องมีส่วนเสริม Chrome Enterprise Premium สำหรับฟีเจอร์นี้

คุณสามารถใช้ Chrome Enterprise Premium กับกฎการคุ้มครองข้อมูลเพื่อ ตรวจสอบการดำเนินการของผู้ใช้ในเบราว์เซอร์ Chrome และในอุปกรณ์ Windows, Mac, Linux และ ChromeOS การใช้การป้องกันข้อมูลรั่วไหล (DLP) กับ Chrome จะช่วยให้คุณสแกนเนื้อหาข้อความในไฟล์ได้สูงสุด 10 MB เพื่อให้มีการดำเนินการโดยอัตโนมัติในการตรวจหาข้อมูลที่เปิด อัปโหลด ดาวน์โหลด วาง หรือโอน ใช้กฎการคุ้มครองข้อมูล กับ Chrome Enterprise Premium เพื่อควบคุมข้อมูลที่ละเอียดอ่อน เช่น หมายเลขประกันสังคมหรือหมายเลขบัตรเครดิต

ข้อควรทราบก่อนที่จะเริ่มต้น

ตั้งค่านโยบายเครื่องมือเชื่อมต่อ Chrome Enterprise ดูขั้นตอนได้ที่หัวข้อตั้งค่านโยบายเครื่องมือเชื่อมต่อ Chrome Enterprise สำหรับ Chrome Enterprise Premium
หากต้องการจำกัดขอบเขตของกฎไว้ที่กลุ่มที่ผู้ใช้สร้าง ให้เพิ่มผู้ใช้และเบราว์เซอร์ที่เกี่ยวข้องทั้งหมดลงในกลุ่ม เช่น หากต้องการใช้กฎกับเบราว์เซอร์ Chrome ให้เพิ่มเบราว์เซอร์ลงในกลุ่มเป้าหมาย ดูรายละเอียดเพิ่มเติมได้ที่ ฉันจะเลือกกลุ่มประเภทใดเป็นขอบเขตของกฎได้บ้าง และการจัดการนโยบายตามกลุ่ม

ทำความเข้าใจทริกเกอร์

ก่อนที่จะกำหนดเนื้อหาที่กฎควรค้นหา คุณต้องระบุทริกเกอร์ที่ทำให้เกิดกระบวนการสแกน ทริกเกอร์ที่คุณเลือก จะเป็นตัวกำหนดตัวเลือกประเภทเนื้อหาที่จะสแกนที่ใช้ได้กับกฎ

โดยคุณจะเลือกทริกเกอร์แบบใดแบบหนึ่งต่อไปนี้ได้

อัปโหลดไฟล์ - ผู้ใช้อัปโหลดไฟล์จากอุปกรณ์ของตนในเบราว์เซอร์ Chrome
ดาวน์โหลดไฟล์ - ผู้ใช้ดาวน์โหลดไฟล์ไปยังอุปกรณ์
วางเนื้อหา - ผู้ใช้วางเนื้อหาลงในหน้าเว็บ
พิมพ์เนื้อหา - ผู้ใช้พิมพ์เนื้อหาของหน้าเว็บ
เข้าชม URL - ผู้ใช้ไปยัง URL

ทำความเข้าใจการดำเนินการของ DLP

เมื่อตรวจพบเนื้อหาที่ละเอียดอ่อน กฎจะบังคับใช้การดำเนินการที่ระบุไว้ในตารางต่อไปนี้ได้

การดำเนินการ (สำหรับเบราว์เซอร์ Chrome และ ChromeOS)	คำอธิบาย	การตั้งค่าที่ไม่บังคับ
บล็อก	หยุดไม่ให้ผู้ใช้ดำเนินการให้เสร็จสมบูรณ์ เช่น อัปโหลดไฟล์ ผู้ใช้จะได้รับข้อความแสดงข้อผิดพลาดหรือข้อความที่กำหนดเอง	ปรับแต่งข้อความ: แสดงข้อความที่กำหนดเอง (ไม่เกิน 300 อักขระ รองรับไฮเปอร์ลิงก์) แก่ผู้ใช้เพื่ออธิบายสาเหตุที่ระบบบล็อกการดำเนินการ
อนุญาตให้แชร์พร้อมแสดงคำเตือน	อนุญาตให้ผู้ใช้ดำเนินการต่อหลังจากได้รับข้อความเตือน ระบบจะบันทึกตัวเลือกในการดำเนินการต่อของผู้ใช้ไว้ในเหตุการณ์ในบันทึก	ปรับแต่งข้อความ: แสดงข้อความเตือนที่กำหนดเอง เพิ่มลายน้ำบนเนื้อหาของหน้าเว็บ: สำหรับการดำเนินการที่มีการเข้าชม URL ระบบจะวางซ้อนลายน้ำแบบโปร่งแสงและข้อความ "เป็นความลับ" หรือข้อความที่กำหนดเองบนหน้าเว็บ จำกัดเนื้อหาในการบันทึกภาพหน้าจอและการแชร์หน้าจอ: สำหรับการดำเนินการที่มีการเข้าชม URL ใน Mac และ Windows จะบล็อกการบันทึกภาพหน้าจอและการแชร์หน้าจอในหน้าที่เกี่ยวข้อง โดยเนื้อหาจะกลายเป็นสีดำในภาพหน้าจอ (Windows) หรือจะหายไป (Mac)
สำหรับการตรวจสอบเท่านั้น	ช่วยให้ผู้ใช้ดำเนินการต่อได้โดยไม่มีการหยุดชะงัก และบันทึกเหตุการณ์ไว้เพื่อตรวจสอบ	เพิ่มลายน้ำบนเนื้อหาของหน้าเว็บ: สำหรับการดำเนินการที่มีการเข้าชม URL ระบบจะวางซ้อนลายน้ำแบบโปร่งแสงและข้อความ "เป็นความลับ" หรือข้อความที่กำหนดเองบนหน้าเว็บ จำกัดเนื้อหาในการบันทึกภาพหน้าจอและการแชร์หน้าจอ: สำหรับการดำเนินการที่มีการเข้าชม URL ใน Mac และ Windows จะบล็อกการบันทึกภาพหน้าจอและการแชร์หน้าจอในหน้าที่เกี่ยวข้อง โดยเนื้อหาจะกลายเป็นสีดำในภาพหน้าจอ (Windows) หรือจะหายไป (Mac)

การดำเนินการ (สำหรับเบราว์เซอร์ Chrome และ ChromeOS)

คำอธิบาย

การตั้งค่าที่ไม่บังคับ

บล็อก

หยุดไม่ให้ผู้ใช้ดำเนินการให้เสร็จสมบูรณ์ เช่น อัปโหลดไฟล์ ผู้ใช้จะได้รับข้อความแสดงข้อผิดพลาดหรือข้อความที่กำหนดเอง

ปรับแต่งข้อความ: แสดงข้อความที่กำหนดเอง (ไม่เกิน 300 อักขระ รองรับไฮเปอร์ลิงก์) แก่ผู้ใช้เพื่ออธิบายสาเหตุที่ระบบบล็อกการดำเนินการ

อนุญาตให้แชร์พร้อมแสดงคำเตือน

อนุญาตให้ผู้ใช้ดำเนินการต่อหลังจากได้รับข้อความเตือน ระบบจะบันทึกตัวเลือกในการดำเนินการต่อของผู้ใช้ไว้ในเหตุการณ์ในบันทึก

ปรับแต่งข้อความ: แสดงข้อความเตือนที่กำหนดเอง

เพิ่มลายน้ำบนเนื้อหาของหน้าเว็บ: สำหรับการดำเนินการที่มีการเข้าชม URL ระบบจะวางซ้อนลายน้ำแบบโปร่งแสงและข้อความ "เป็นความลับ" หรือข้อความที่กำหนดเองบนหน้าเว็บ

จำกัดเนื้อหาในการบันทึกภาพหน้าจอและการแชร์หน้าจอ: สำหรับการดำเนินการที่มีการเข้าชม URL ใน Mac และ Windows จะบล็อกการบันทึกภาพหน้าจอและการแชร์หน้าจอในหน้าที่เกี่ยวข้อง โดยเนื้อหาจะกลายเป็นสีดำในภาพหน้าจอ (Windows) หรือจะหายไป (Mac)

สำหรับการตรวจสอบเท่านั้น

ช่วยให้ผู้ใช้ดำเนินการต่อได้โดยไม่มีการหยุดชะงัก และบันทึกเหตุการณ์ไว้เพื่อตรวจสอบ

สำคัญ: สำหรับทริกเกอร์ไฟล์ที่อัปโหลดและเนื้อหาที่วาง ลักษณะการบล็อกจะขึ้นอยู่กับการตั้งค่าการเลื่อน การอัปโหลดไฟล์และการเลื่อนการป้อนข้อความของนโยบายเครื่องมือเชื่อมต่อ Chrome Enterprise ดูรายละเอียดได้ที่หัวข้อการวิเคราะห์เนื้อหาที่อัปโหลด และการวิเคราะห์เนื้อหาข้อความหลายรายการ

ทำความเข้าใจเงื่อนไข DLP

เมื่อสร้างกฎการคุ้มครองข้อมูล คุณสามารถระบุเงื่อนไขที่กำหนดเนื้อหาหรือกิจกรรมที่จะสแกนได้ โดยสามารถใช้ประเภทข้อมูลที่กำหนดไว้ล่วงหน้า หรือสร้างตัวตรวจจับเนื้อหาที่กำหนดเองได้ นอกจากนี้ ยังสามารถรวมหลายเงื่อนไขได้โดยใช้โอเปอเรเตอร์ AND, OR หรือ NOT

โปรดดูรายละเอียดที่หัวข้อวิธีใช้การตรวจจับเนื้อหาที่กำหนดไว้ล่วงหน้า สร้างการตรวจจับที่กำหนดเอง และตัวอย่างกฎที่มีโอเปอเรเตอร์เงื่อนไขที่ซ้อนกัน

ตัวเลือกประเภทเนื้อหาที่จะสแกนจะเปลี่ยนแปลงตามทริกเกอร์ที่เลือกเพื่อเริ่มการสแกน เช่น อัปโหลดไฟล์ ดาวน์โหลดไฟล์ วางเนื้อหา พิมพ์เนื้อหา เข้าชม URL และอื่นๆ

ประเภทเนื้อหาที่จะสแกน	สิ่งที่จะสแกนหา	รายละเอียดและการใช้งาน
เนื้อหาทั้งหมด	ตรงกับประเภทข้อมูลที่กำหนดไว้ล่วงหน้า ประกอบด้วยสตริงข้อความ มีคำว่า ตรงกับนิพจน์ทั่วไป จับคู่คำจากรายการคำ	สแกนเนื้อหาทั้งหมดเพื่อหาข้อมูลที่ละเอียดอ่อนซึ่งตรงกับข้อใดข้อหนึ่งต่อไปนี้ ประเภทข้อมูลที่กำหนดไว้ล่วงหน้า เช่น ที่อยู่อีเมลทั่วโลก หรือหมายเลขประกันสังคมของสหรัฐอเมริกา สตริงข้อความที่ระบุ คำที่ระบุ รูปแบบที่กำหนดโดยนิพจน์ทั่วไป คำจากรายการที่กำหนดเอง
เนื้อความ	ตรงกับประเภทข้อมูลที่กำหนดไว้ล่วงหน้า ประกอบด้วยสตริงข้อความ มีคำว่า ตรงกับนิพจน์ทั่วไป จับคู่คำจากรายการคำ	สแกนเนื้อหาข้อความหลัก (เนื้อหา) ของหน้าเว็บหรือไฟล์
ขนาดไฟล์	เท่ากับ มีค่ามากกว่า มีค่าน้อยกว่า	กำหนดเกณฑ์ขนาดไฟล์ (เป็นไบต์) เพื่อทริกเกอร์กฎตามการเปรียบเทียบ
ประเภทไฟล์	ตรงกับประเภท MIME ทั่วไป ตรงกับประเภท MIME ที่กำหนดเอง ตรงกับหมวดหมู่ไฟล์ระบบ	กรองสิ่งที่ต้องการสแกนตามหมวดหมู่ไฟล์ที่กำหนดไว้ล่วงหน้า เช่น รูปภาพหรือไฟล์ปฏิบัติการ หรือตามประเภท MIME ที่เฉพาะเจาะจง ดูข้อมูลเพิ่มเติมเกี่ยวกับประเภท MIME ตามหมวดหมู่ไฟล์
บริบทของ Chrome ต้นทาง	แอตทริบิวต์ที่เฉพาะเจาะจงซึ่งเกี่ยวข้องกับเบราว์เซอร์ Chrome	สแกนแอตทริบิวต์ภายในของ Chrome เพื่อกำหนดสภาพแวดล้อมหรือสถานะของเบราว์เซอร์ กฎนี้จะมีผลหากบริบทเป็นค่าใดค่าหนึ่งต่อไปนี้ ไม่ระบุตัวตน คลิปบอร์ด หรือโปรไฟล์อื่น
URL ต้นทาง	ประกอบด้วยสตริงข้อความ จับคู่คำจากรายการคำ ตรงกับนิพจน์ทั่วไป	สแกน URL ที่เป็นแหล่งที่มาของเนื้อหาเพื่อหาข้อความเฉพาะ คำจากรายการที่กำหนดเอง หรือรูปแบบที่เฉพาะเจาะจง
หมวดหมู่ URL ต้นทาง	เลือกหมวดหมู่	ใช้ได้กับทริกเกอร์ เช่น เนื้อหาที่วาง เพื่อตรวจสอบว่า URL ต้นทางอยู่ในหมวดหมู่ที่กำหนดไว้ล่วงหน้าหรือไม่ เช่น โซเชียลเน็ตเวิร์กหรือข่าว
Title (ชื่อ)	ตรงกับประเภทข้อมูลที่กำหนดไว้ล่วงหน้า ประกอบด้วยสตริงข้อความ มีคำว่า ลงท้ายด้วย ตรงกับนิพจน์ทั่วไป จับคู่คำจากรายการคำ เริ่มต้นด้วย	สแกนชื่อหน้าเว็บหรือเอกสารที่เกี่ยวข้องกับการดำเนินการ
URL	ประกอบด้วยสตริงข้อความ ลงท้ายด้วย URL ที่ตรงกันจากรายการ URL ตรงกับนิพจน์ทั่วไป จับคู่คำจากรายการคำ เริ่มต้นด้วย	สแกน URL ที่เกี่ยวข้องกับการดำเนินการ การสแกนนี้รวมถึง URL ของเนื้อหาที่โหลดภายใน iframe ที่ฝังอยู่
หมวดหมู่ URL	เลือกหมวดหมู่	ตรวจสอบว่า URL ที่เกี่ยวข้องกับการดำเนินการนั้นอยู่ในหมวดหมู่ที่กำหนดไว้ล่วงหน้าหรือไม่ เช่น โซเชียลเน็ตเวิร์ก เกม หรือการพนัน การสแกนนี้รวมถึง URL ของเนื้อหาที่โหลดภายใน iframe ที่ฝังอยู่
บัญชีที่ลงชื่อเข้าใช้เว็บแอป	ชื่อโดเมนที่ตรงกัน อีเมลที่ตรงกัน นิพจน์ทั่วไปของอีเมลที่ตรงกัน	สแกนบัญชีผู้ใช้ที่ลงชื่อเข้าใช้เว็บแอปของ Google เช่น Gmail หรือไดรฟ์ ในขณะที่ทริกเกอร์ทำงาน เงื่อนไขนี้มีผลกับกฎที่ทริกเกอร์โดยเหตุการณ์วาง, เข้าชม URL, ดาวน์โหลดไฟล์, อัปโหลดไฟล์ และพิมพ์ ปัจจุบันรองรับเฉพาะบัญชี Google ส่วนตัวและบัญชี Google ที่มีการจัดการ
บัญชีที่ลงชื่อเข้าใช้เว็บแอปต้นทาง	ชื่อโดเมนที่ตรงกัน อีเมลที่ตรงกัน นิพจน์ทั่วไปของอีเมลที่ตรงกัน	สแกนบัญชีผู้ใช้ที่ลงชื่อเข้าใช้เว็บแอปของ Google ซึ่งมีแหล่งที่มาของเนื้อหา (แอปที่ผู้ใช้คัดลอกเนื้อหา) เงื่อนไขนี้มีผลกับกฎที่ทริกเกอร์โดยเหตุการณ์วางเนื้อหาเท่านั้น ปัจจุบันรองรับเฉพาะบัญชี Google ส่วนตัวและบัญชี Google ที่มีการจัดการ

หมายเหตุ: ทริกเกอร์เข้าชม URL จะไม่สแกน URL หรือหมวดหมู่ที่เกี่ยวข้องภายใน iframe ที่ฝัง

เลือกภูมิภาคสำหรับข้อมูล

คุณจัดเก็บ DLP และการสแกนมัลแวร์ในภูมิภาคที่เฉพาะเจาะจงได้ เช่น สหรัฐอเมริกาหรือยุโรป คุณเลือกภูมิภาคเพื่อให้เป็นไปตามข้อกำหนดเกี่ยวกับที่อยู่ของข้อมูล ซึ่งจำเป็นสำหรับข้อตกลงการปฏิบัติตามข้อกำหนดในหลายฉบับได้ โปรดดูรายละเอียดที่หัวข้อ เลือกภูมิภาคทางภูมิศาสตร์สำหรับ ข้อมูล

สร้างกฎ

หลังจากที่กำหนดได้แล้วว่าต้องการให้กฎดำเนินการอะไร คุณก็สร้างกฎนั้นขึ้นมา โปรดดูรายละเอียดที่หัวข้อสร้างกฎการคุ้มครองข้อมูล

กรณีการใช้งานทั่วไป

ตารางต่อไปนี้แสดงตัวอย่างวิธีรวมทริกเกอร์ (สิ่งที่ผู้ใช้ทำ), เงื่อนไข (สิ่งที่ตรวจสอบ) และการดำเนินการที่เฉพาะเจาะจง (การบังคับใช้) เพื่อกำหนดนโยบาย DLP หากต้องการใช้ตารางนี้ คุณต้องดำเนินการต่อไปนี้

เลือกทริกเกอร์
แมปค่าเงื่อนไขกับตัวเลือกที่เกี่ยวข้อง
เลือกการดำเนินการ

การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม

Use Case	เหตุการณ์ของผู้ใช้	เงื่อนไข	การดำเนินการ
บล็อกไม่ให้ดาวน์โหลดไฟล์จาก Google ไดรฟ์	ดาวน์โหลดไฟล์แล้ว	ประเภทเนื้อหา: URL* การจับคู่: มีสตริงข้อความ ค่า: drive.google.com	บล็อก
เตือนผู้ใช้หากไฟล์ที่ดาวน์โหลดมีอีเมลมากกว่า 30 รายการ	ดาวน์โหลดไฟล์แล้ว	ประเภทเนื้อหา: เนื้อหาทั้งหมด การจับคู่: จับคู่กับประเภทข้อมูลที่กำหนดไว้ล่วงหน้า การตั้งค่า: ประเภทข้อมูล: ทั่วโลก - อีเมล, ความเป็นไปได้ปานกลาง เนื้อหาที่ตรงกันโดยไม่ซ้ำกันขั้นต่ำ 30 รายการ	อนุญาตพร้อมแสดงคำเตือน
บล็อกการอัปโหลดไฟล์ไปยังเว็บไซต์โซเชียลมีเดีย	อัปโหลดไฟล์	ประเภทเนื้อหา: หมวดหมู่ URL การจับคู่: เลือกหมวดหมู่ ค่า: Social Networks	บล็อก
บล็อกการดาวน์โหลดไฟล์ภาพที่มีขนาดใหญ่กว่า 10 กิโลไบต์	ดาวน์โหลดไฟล์แล้ว	เงื่อนไขที่ 1: ขนาดไฟล์ การจับคู่: มากกว่า ค่า: 10,000 ไบต์ AND เงื่อนไขที่ 2: ประเภทไฟล์ การจับคู่: จับคู่กับหมวดหมู่ไฟล์ระบบ ค่า: Image	บล็อก
บันทึกอินสแตนซ์ที่มีการโอนหมายเลขประกันสังคมของสหรัฐอเมริกาในไฟล์ใน ChromeOS	การโอนไฟล์	ประเภทเนื้อหา: เนื้อหาทั้งหมด การจับคู่: จับคู่กับประเภทข้อมูลที่กำหนดไว้ล่วงหน้า การตั้งค่า: ประเภทข้อมูล: สหรัฐอเมริกา - หมายเลขประกันสังคม, ความเป็นไปได้ปานกลาง จำนวนการจับคู่ที่ไม่ซ้ำกันขั้นต่ำ 1 รายการ จำนวนการจับคู่ขั้นต่ำ 1 รายการ	สำหรับการตรวจสอบเท่านั้น
บล็อกไม่ให้ผู้ใช้วางเนื้อหาที่คัดลอกมาจาก Gmail (mail.google.com)	วางเนื้อหาแล้ว	ประเภทเนื้อหา: URL ต้นทาง* การจับคู่: มีสตริงข้อความ ค่า: mail.google.com	บล็อก
ใส่ลายน้ำหรือจำกัดการบันทึกภาพหน้าจอเมื่อผู้ใช้เข้าชมเว็บไซต์ที่มีความละเอียดอ่อนที่กำหนด	URL ที่เข้าชม	ประเภทเนื้อหา: URL* หรือหมวดหมู่ URL การจับคู่: เลือกการจับคู่ที่เหมาะสม ค่า: URL หรือหมวดหมู่ที่ละเอียดอ่อนที่เฉพาะเจาะจง	อนุญาตพร้อมแสดงคำเตือน/ตรวจสอบเท่านั้น (เลือกเพิ่มลายน้ำและ/หรือจำกัดการบันทึกภาพหน้าจอ)
บล็อกการอัปโหลดไฟล์ไปยังบัญชี Google ไดรฟ์ส่วนตัว	อัปโหลดไฟล์แล้ว	เงื่อนไข 1: ประเภทเนื้อหา: URL การจับคู่: มีสตริงข้อความ ค่า: drive.google.com AND เงื่อนไขที่ 2: ประเภทเนื้อหา: บัญชีที่ลงชื่อเข้าใช้เว็บแอป การจับคู่: ไม่ตรงกับชื่อโดเมน ค่า: your-organization-domain-name.com	บล็อก

*หากเมื่อเร็วๆ นี้มีการเข้าชม URL ที่คุณกรองอยู่ ระบบจะแคช URL ดังกล่าวเป็นเวลาหลายนาที และอาจไม่สามารถกรองตามกฎใหม่ (หรือแก้ไข) ได้สำเร็จจนกว่าแคชจะถูกล้าง โปรดรอประมาณ 5 นาทีก่อนทดสอบกฎใหม่หรือกฎที่แก้ไข

ตรวจสอบ เฝ้าระวัง และตรวจสอบการแจ้งเตือน

หลังจากสร้างกฎการคุ้มครองข้อมูลแล้ว คุณจะตรวจสอบการดำเนินการของผู้ใช้ได้ เช่น การอัปโหลดและ ดาวน์โหลดหรือการคัดลอกและวางข้อมูลในเบราว์เซอร์ Chrome จากนั้นคุณจะดำเนินการดังต่อไปนี้ได้

ดูรายงานในหน้าแดชบอร์ดความปลอดภัย รายงานที่เกี่ยวข้องกับ Chrome Enterprise Premium มีดังนี้
- รายงานข้อมูลสรุปเกี่ยวกับการป้องกันภัยคุกคามของ Chrome
- รายงานข้อมูลสรุปเกี่ยวกับการคุ้มครองข้อมูลของ Chrome
- รายงานผู้ใช้ Chrome ที่มีความเสี่ยงสูง
- รายงานโดเมน Chrome ที่มีความเสี่ยงสูง
- โปรดดูรายละเอียดที่หัวข้อใช้แดชบอร์ดด้านความปลอดภัย
ตรวจสอบการแจ้งเตือนที่แสดงเหตุการณ์การแชร์ข้อมูลโดยใช้เครื่องมือตรวจสอบความปลอดภัย โปรดดูรายละเอียดที่หัวข้อเกี่ยวกับเครื่องมือตรวจสอบความปลอดภัย
ดูรายละเอียดของเหตุการณ์ในเหตุการณ์ในบันทึกของกฎ
ตรวจสอบการละเมิดกฎเพื่อพิจารณาว่าเป็นการละเมิดเหตุการณ์จริง หรือข้อสันนิษฐานที่ผิดพลาด โปรดดูรายละเอียดที่หัวข้อดูเนื้อหาที่ทริกเกอร์กฎ DLP