必須擁有 Chrome Enterprise 進階版加購方案,才能使用這項功能。
您可以搭配使用 Chrome Enterprise 進階版和資料保護規則,監控使用者在 Chrome 瀏覽器、Windows、Mac、Linux 和 ChromeOS 裝置上的操作。搭配 Chrome 使用資料遺失防護 (DLP) 功能時,系統會掃描檔案中最多 10 MB 的文字內容,並自動偵測使用者開啟、上傳、下載、貼上或轉移的資料。將資料保護規則與 Chrome Enterprise 進階版搭配使用,還能控管身分證字號或信用卡號碼等機密資訊。
事前準備
- 請設定 Chrome Enterprise 連接器政策。如需相關步驟,請參閱「為 Chrome Enterprise 進階版設定 Chrome Enterprise 連接器政策」。
- 如要將規則的適用範圍限制在使用者建立的群組,請將所有相關使用者和瀏覽器加入該群組。舉例來說,如要將規則套用至 Chrome 瀏覽器,請將瀏覽器新增至目標群組。詳情請參閱「我可以為規則範圍選擇哪些類型的群組?」 和「管理依群組設定的政策」。
瞭解觸發條件
在設定規則要檢查哪些內容之前,您需要先指定觸發條件,也就是啟動掃描程序的事件。並決定規則可用的「掃描內容類型」選項。
您可以選取下列任一觸發條件:
- 已上傳檔案:使用者透過 Chrome 瀏覽器從裝置上傳檔案。
- 已下載檔案:使用者將檔案下載到裝置。
- 已貼上的內容:使用者在網頁中貼上內容。
- 已列印的內容:使用者列印網頁內容。
- 造訪過的網址:使用者前往某個網址。
瞭解資料遺失防護動作
當系統偵測到敏感內容,規則可依下表強制執行相應的動作。| 動作 (適用於 Chrome 瀏覽器和 ChromeOS) | 說明 | 選用設定 |
|---|---|---|
| 封鎖 | 阻止使用者完成動作,例如上傳檔案。使用者會收到錯誤或自訂訊息。 | 自訂訊息:向使用者顯示自訂訊息 (最多 300 個半形字元,支援超連結),說明為什麼封鎖動作。 |
| 允許共用並顯示警告 | 允許使用者在收到警告訊息後繼續操作。如果使用者選擇繼續操作,系統會將此動作記錄在記錄事件中。 |
自訂訊息:顯示自訂警告訊息。 在網頁內容中加上浮水印:如果是網址造訪動作,系統會在網頁上疊加半透明浮水印,以及「機密」文字或自訂訊息。 限制擷取螢幕截圖和分享螢幕畫面:針對 Mac 和 Windows 裝置上的網址造訪動作,禁止在相關網頁上擷取螢幕截圖和分享螢幕畫面。如果使用者仍擷取螢幕截圖,內容會顯示為全黑 (Windows) 或消失 (Mac)。 |
| 僅限稽核 | 允許使用者繼續操作不間斷,並記錄事件以供審查。 |
在網頁內容中加上浮水印:如果是網址造訪動作,系統會在網頁上疊加半透明浮水印,以及「機密」文字或自訂訊息。 限制擷取螢幕截圖和分享螢幕畫面:針對 Mac 和 Windows 裝置上的網址造訪動作,禁止在相關網頁上擷取螢幕截圖和分享螢幕畫面。如果使用者仍擷取螢幕截圖,內容會顯示為全黑 (Windows) 或消失 (Mac)。 |
重要事項:對於「已上傳檔案」和「已貼上的內容」觸發條件,系統是否執行封鎖行為,取決於 Chrome Enterprise 連接器政策的「延後上傳檔案」和「延後輸入文字」設定。詳情請參閱「上傳內容分析」和「大量文字內容分析」。
瞭解資料遺失防護條件
建立資料保護規則時,您可以指定「條件」,讓系統只掃描符合條件的內容或活動。您可以使用預先定義的資料類型,也可以自行建立自訂內容偵測工具,還能使用 AND、OR 或 NOT 運算子結合多個條件。
詳情請參閱「如何使用預先定義的內容偵測工具」、「建立自訂偵測工具」和「使用巢狀條件運算子的規則範例」。
可用的「掃描內容類型」選項會根據要啟動掃描的觸發條件而有所不同,例如「已上傳檔案」、「已下載檔案」、「已貼上的內容」、「已列印的內容」、「造訪過的網址」等。
| 掃描內容類型 | 掃描用途 | 詳細資訊與用途 |
|---|---|---|
| 所有內容 |
與預先定義的資料類型相符 包含文字字串 包含字詞 符合規則運算式 與字詞清單中的字詞相符 |
掃描所有內容,找出符合下列任一項目的機密資訊:
|
| 內文 |
比對預先定義的資料類型 包含文字字串 包含字詞 符合規則運算式 與字詞清單中的字詞相符 |
掃描網頁或檔案的主要文字內容 (內文)。 |
| 檔案大小 |
等於 大於 小於 |
設定檔案大小閾值 (位元組),系統會依照比對結果決定是否執行規則。 |
| 檔案類型 |
符合常見的 MIME 類型 符合自訂 MIME 類型 符合系統檔案類別 |
依預先定義的檔案類別 (例如圖片或執行檔) 或特定 MIME 類型,篩選要掃描的內容。進一步瞭解依檔案類別區分的 MIME 類型。 |
| 來源 Chrome 情境 | Chrome 瀏覽器相關屬性 | 掃描 Chrome 內部屬性,用以判斷瀏覽器的環境或狀態。如果內容為下列任一值,則適用這項規則:「無痕模式」、「剪貼簿」或「其他設定檔」。 |
| 來源網址 |
包含文字字串 與字詞清單中的字詞相符 符合規則運算式 |
掃描內容來源網址,尋找特定文本、自訂清單中的字詞或模式。 |
| 來源網址類別 |
選取類別 |
可搭配觸發條件 (例如「貼上內容」),檢查來源網址是否屬於預先定義的類別,例如社群網路或新聞。 |
| 標題 |
比對預先定義的資料類型 包含文字字串 包含字詞 結尾為 符合規則運算式 與字詞清單中的字詞相符 開頭是 |
掃描與動作相關的網頁或文件名稱。 |
| 網址 |
包含文字字串 結尾為 符合網址清單中的網址 符合規則運算式 與字詞清單中的字詞相符 開頭是 |
掃描動作所涉及的網址。掃描範圍包含任何內嵌 iframe 載入的內容網址。 |
| 網址類別 | 選取類別 | 檢查動作所涉及的網址是否屬於預先定義的類別,例如社群網路、遊戲或賭博。掃描範圍包含任何內嵌 iframe 載入的內容網址。 |
| 網頁應用程式登入帳戶 |
與網域名稱相符 與電子郵件地址相符 與電子郵件地址規則運算式相符 |
掃描觸發事件發生當下,使用者在 Google 網頁應用程式 (例如 Gmail 或雲端硬碟) 登入的帳戶。這項條件可用於「貼上」、「造訪網址」、「下載檔案」、「上傳檔案」和「列印」事件所觸發的規則。目前僅支援個人和受管理的 Google 帳戶。 |
| 來源網頁應用程式登入帳戶 |
與網域名稱相符 與電子郵件地址相符 與電子郵件地址規則運算式相符 |
掃描使用者在 Google 網頁應用程式中複製內容時所登入的帳戶。這項條件只能用於「貼上內容」事件所觸發的規則。目前僅支援個人和受管理的 Google 帳戶。 |
注意:「造訪過的網址」觸發條件不會掃描內嵌 iframe 中的網址或對應類別。
選擇資料存放地區
您可以選擇將資料遺失防護和惡意軟體掃描資料存放在特定地區,例如美國或歐洲。您可以選擇一個區域來達成資料落地,這有助於滿足許多法規遵循協議的要求。詳情請參閱「選擇資料存放的地理區域」。
建立規則
決定規則的用途後,即可開始建立規則。詳情請參閱「建立資料保護規則」。常見用途
請參考下表範例,瞭解如何將觸發條件 (使用者的操作)、檢查條件 (系統判定的標準) 和執行動作 (規則的處理方式) 結合,設定您的資料遺失防護政策。這張表格的使用步驟如下:
- 選取觸發條件。
- 將條件值對應至相應選項。
- 選取動作。
變更最多需要 24 小時才會生效,但通常不會這麼久。瞭解詳情
| 用途 | 使用者事件 | 條件 | 動作 |
| 禁止從 Google 雲端硬碟下載檔案 | 已下載檔案 |
內容類型:網址* 比對項目:包含文字字串 值:drive.google.com |
封鎖 |
| 如果下載的檔案包含超過 30 個電子郵件地址,就向使用者發出警告 | 已下載檔案 |
內容類型:所有內容 比對項目:預先定義的資料類型 設定:資料類型:全球 - 電子郵件地址、中等可能性、不重複相符項目數下限為 30 |
允許共用並顯示警告 |
| 禁止上傳檔案至社群媒體網站 | 上傳檔案 |
內容類型:網址類別 比對項目:選取類別 值:Social Networks |
封鎖 |
| 禁止下載大於 10 KB 的圖片檔 | 已下載檔案 |
條件 1:檔案大小 比對項目:大於 值:10,000 個位元組 AND 條件 2:檔案類型 比對項目:系統檔案類別 值:圖片 |
封鎖 |
| 當 ChromeOS 中轉移的檔案含有美國社會安全號碼時,留下相應記錄 | 檔案傳輸 |
內容類型:所有內容 比對項目:預先定義的資料類型 設定:資料類型:美國 - 社會安全號碼、中等可能性、不重複相符項目數下限為 1、相符項目數下限為 1 |
僅限稽核 |
| 禁止使用者貼上從 Gmail (mail.google.com) 複製的內容 | 已貼上的內容 |
內容類型:來源網址* 比對項目:包含文字字串 值:mail.google.com |
封鎖 |
| 在使用者造訪指定的敏感網站時,套用浮水印或限制擷取螢幕截圖 | 造訪過的網址 |
內容類型:網址* 或網址類別 比對項目:選取適當的比對項目 值:特定敏感網址或類別 |
允許共用並顯示警告/僅限稽核 (已選取「新增浮水印」和/或「限制擷取螢幕截圖」) |
| 禁止上傳檔案至個人 Google 雲端硬碟帳戶 | 檔案上傳完成 |
條件 1: 比對項目:包含文字字串 值:drive.google.com AND 條件 2: 比對項目:與網域名稱不符 值:<貴機構網域名稱>.com |
封鎖 |
*如果您最近才造訪過要篩選的網址,系統會對該網址進行數分鐘快取作業。在該網址的快取清除之前,新的 (或修改過的) 規則可能無法成功篩選該網址。請先等待約 5 分鐘,再測試新規則或修改過的規則。
查看、監控及調查快訊
建立資料保護規則後,您可以查看使用者在 Chrome 瀏覽器中的動作,例如上傳和下載資料,或是複製及貼上資料。然後,您可以執行以下操作:
- 在安全性資訊主頁查看報表。與 Chrome Enterprise 進階版相關的報表包括:
- Chrome 威脅防護摘要報表
- Chrome 資料保護摘要報表
- Chrome 高風險使用者報表
- Chrome 高風險網域報表
- 詳情請參閱「使用安全性資訊主頁」。
- 使用安全調查工具,調查資料共用事件快訊。詳情請參閱「關於安全調查工具」。
- 在「規則記錄事件」中查看事件詳細資料。
- 調查違反規則的情形,判斷是實際事件還是誤判。詳情請參閱「查看觸發資料遺失防護規則的內容」。