Aby korzystać z tej funkcji, musisz mieć dodatek Chrome Enterprise Premium.
Możesz używać Chrome Enterprise Premium z regułami ochrony danych, aby sprawdzać działania użytkowników w przeglądarce Chrome oraz na urządzeniach z systemem Windows, macOS, Linux i ChromeOS. Korzystając z zapobiegania utracie danych (DLP) w Chrome, możesz skanować w danym pliku do 10 MB treści tekstowych, aby automatycznie wykrywać dane, które są otwierane, przesyłane, pobierane, wklejane lub przenoszone. Możesz używać reguł ochrony danych w Chrome Enterprise Premium, aby kontrolować informacje poufne, takie jak numery ubezpieczenia społecznego czy numery kart kredytowych.
Zanim zaczniesz
- Skonfiguruj zasady oprogramowania sprzęgającego Chrome Enterprise. Instrukcje znajdziesz w artykule Konfigurowanie zasad oprogramowania sprzęgającego Chrome Enterprise dla Chrome Enterprise Premium.
- Jeśli chcesz ograniczyć zakres reguły do grupy utworzonej przez użytkownika, dodaj do niej wszystkich odpowiednich użytkowników i przeglądarki. Jeśli na przykład chcesz zastosować regułę do przeglądarki Chrome, dodaj ją do grupy docelowej. Więcej informacji znajdziesz w artykułach Jakie typy grup mogę wybrać w przypadku zakresu reguły? i Zarządzanie zasadami opartymi na grupach.
Wyzwalacze
Zanim określisz, jakich treści ma szukać reguła, musisz wskazać wyzwalacz, który inicjuje proces skanowania. Wybrany wyzwalacz określa opcje Typ treści do przeskanowania dostępne w regule.
Możesz wybrać jeden z tych wyzwalaczy:
- Plik został przesłany – użytkownik przesyła plik z urządzenia w przeglądarce Chrome.
- Plik został pobrany – użytkownik pobiera plik na urządzenie.
- Wklejono treść – użytkownik wkleja treść na stronę internetową.
- Wydrukowane treści – użytkownik drukuje treść strony internetowej.
- Odwiedzone adres URL – użytkownik odwiedza adres URL.
Działania DLP
Gdy zostaną znalezione treści o charakterze kontrowersyjnym, reguła może wymusić działania z poniższej tabeli.| Działanie (w przypadku przeglądarki Chrome i ChromeOS) | Opis | Ustawienia opcjonalne |
|---|---|---|
| Zablokuj | Uniemożliwia użytkownikowi wykonanie działania, np. przesłanie pliku. Użytkownik zobaczy komunikat o błędzie lub komunikat niestandardowy. | Dostosuj wiadomość: wyświetl użytkownikowi komunikat niestandardowy (maksymalnie 300 znaków, obsługuje hiperlinki) z wyjaśnieniem, dlaczego działanie zostało zablokowane. |
| Zezwól, ale wyświetl ostrzeżenie | Umożliwia użytkownikowi kontynuowanie po wyświetleniu komunikatu ostrzegawczego. Decyzja użytkownika o kontynuowaniu czynności jest rejestrowana w zdarzeniach z dziennika. |
Dostosuj komunikat: wyświetl niestandardowy komunikat ostrzegawczy. Dodaj znak wodny do treści strony: w przypadku działań związanych z odwiedzeniem adresu URL nakłada na stronę internetową przezroczysty znak wodny i tekst „Poufne” lub niestandardową wiadomość. Ogranicz możliwość robienia zrzutów ekranu i udostępniania ekranu: blokuje zrzuty ekranu i udostępnianie ekranu na powiązanych stronach w przypadku działań związanych z odwiedzeniem adresu URL w systemach macOS i Windows. Treści są zamazywane na zrzutach ekranu (w systemie Windows) lub niewidoczne (w systemie macOS). |
| Tylko kontrola | Umożliwia użytkownikowi kontynuowanie działania bez zakłóceń i rejestruje zdarzenie do sprawdzenia. |
Dodaj znak wodny do treści strony: w przypadku działań związanych z odwiedzeniem adresu URL nakłada na stronę internetową przezroczysty znak wodny i tekst „Poufne” lub niestandardową wiadomość. Ogranicz możliwość robienia zrzutów ekranu i udostępniania ekranu: blokuje zrzuty ekranu i udostępnianie ekranu na powiązanych stronach w przypadku działań związanych z odwiedzeniem adresu URL w systemach macOS i Windows. Treści są zamazywane na zrzutach ekranu (w systemie Windows) lub niewidoczne (w systemie macOS). |
Ważne: w przypadku wyzwalaczy Przesłano plik i Wklejono treść blokowanie zależy od ustawień Opóźniaj przesyłanie pliku i Opóźnij możliwość wpisywania tekstu w zasadach oprogramowania sprzęgającego Chrome Enterprise. Szczegółowe informacje znajdziesz w sekcjach Analiza przesłanej treści i Zbiorcza analiza tekstu.
Warunki DLP
Podczas tworzenia reguły ochrony danych możesz określić warunki, które definiują, jakie treści lub działania mają być celem skanowania. Możesz używać wstępnie zdefiniowanych typów danych. Możesz też utworzyć własne niestandardowe wzorce do wykrywania treści. Możesz też połączyć wiele warunków za pomocą operatorów AND, OR lub NOT.
Szczegółowe informacje znajdziesz w artykułach Jak używać wstępnie zdefiniowanych wzorców do wykrywania treści, Tworzenie niestandardowego wzorca do wykrywania treści i Przykłady reguł z zagnieżdżonymi operatorami warunkowymi.
Dostępne opcje Typ treści do przeskanowania zmieniają się w zależności od tego, który wyzwalacz został wybrany do rozpoczęcia skanowania, np. Plik został przesłany, Plik został pobrany, Wklejono treść, Wydrukowane treści, Odwiedzone URL-e itp.
| Typ treści do przeskanowania | Cel skanowania | Szczegóły i użycie |
|---|---|---|
| Wszystkie treści |
Pasuje do wstępnie zdefiniowanego typu danych Zawiera ciąg tekstowy Zawiera słowo Pasuje do wyrażenia regularnego Zawiera słowa z listy słów |
Skanuje całą zawartość pod kątem informacji poufnych, które pasują do jednego z tych przypadków:
|
| Treść |
Pasuje do wstępnie zdefiniowanego typu danych Zawiera ciąg tekstowy Zawiera słowo Pasuje do wyrażenia regularnego Zawiera słowa z listy słów |
Skanuje główną treść strony internetowej lub pliku. |
| Rozmiar pliku |
Równa się Większe niż Jest mniejsze niż |
Ustawia próg rozmiaru pliku (w bajtach), który na podstawie porównania wywoła regułę. |
| Typ pliku |
Jest zgodny z najczęstszym typem MIME Jest zgodny z niestandardowym typem MIME Jest zgodny z kategorią plików systemowych |
Filtruje, co ma być skanowane, według wstępnie zdefiniowanych kategorii plików, takich jak obraz lub plik wykonywalny, albo według określonego typu MIME. Dowiedz się więcej o typach MIME według kategorii plików. |
| Źródłowy kontekst Chrome | Konkretne atrybuty związane z przeglądarką Chrome | Skanuje wewnętrzne atrybuty Chrome, aby określić środowisko lub stan przeglądarki. Reguła jest stosowana, jeśli kontekst ma jedną z tych wartości: Incognito, Schowek lub Inny profil. |
| Źródłowy adres URL |
Zawiera ciąg tekstowy Zawiera słowa z listy słów Pasuje do wyrażenia regularnego |
Skanuje adres URL, z którego pochodzą treści, pod kątem określonego tekstu, słów z listy niestandardowej lub wzorców. |
| Źródłowa kategoria adresu URL |
Wybierz kategorię |
Współpracuje z wyzwalaczami, np. Wklejono treść, aby sprawdzić, czy adres URL źródła należy do wstępnie zdefiniowanej kategorii, np. Sieci społecznościowe lub Wiadomości. |
| Tytuł |
Pasuje do wstępnie zdefiniowanego typu danych Zawiera ciąg tekstowy Zawiera słowo Kończy się wyrażeniem Pasuje do wyrażenia regularnego Zawiera słowa z listy słów Rozpoczyna się od wyrażenia |
Skanuje tytuł strony internetowej lub dokumentu, którego dotyczy działanie. |
| URL |
Zawiera ciąg tekstowy Kończy się wyrażeniem Pasuje do adresu URL z listy adresów URL Pasuje do wyrażenia regularnego Zawiera słowa z listy słów Rozpoczyna się od wyrażenia |
Skanuje adres URL powiązany z działaniem. Skanowanie obejmuje adresy URL treści wczytywanych w umieszczonych elementach iframe. |
| Kategoria URL-a | Wybierz kategorię | Sprawdza, czy adres URL powiązany z działaniem należy do wstępnie zdefiniowanej kategorii, np. Sieci społecznościowe, Gry lub Hazard. Skanowanie obejmuje adresy URL treści wczytywanych w umieszczonych elementach iframe. |
| Konto zalogowane w aplikacji internetowej |
Zgodna z nazwą domeny Pasuje do adresu e-mail Pasuje do wyrażenia regularnego adresu e-mail |
Skanuje konto użytkownika aktywnie zalogowanego w aplikacji internetowej Google, takiej jak Gmail czy Dysk, w momencie wywołania. Ten warunek dotyczy reguł uruchamianych przez zdarzenia Wklejanie, Odwiedzone URL-e, Pobrano plik, Przesłano plik i Drukowanie. Obecnie jest obsługiwane tylko w przypadku osobistych i zarządzanych kont Google. |
| Konto, na które zalogowano się w źródłowej aplikacji internetowej |
Zgodna z nazwą domeny Pasuje do adresu e-mail Pasuje do wyrażenia regularnego adresu e-mail |
Skanuje konto użytkownika zalogowanego w aplikacji internetowej Google, która zawiera źródło treści (aplikacji, z której użytkownik skopiował treść). Ten warunek dotyczy tylko reguł uruchamianych przez zdarzenie Wklejono treść. Obecnie jest obsługiwane tylko w przypadku osobistych i zarządzanych kont Google. |
Uwaga: wyzwalacz Odwiedzone URL-e nie skanuje adresów URL ani odpowiadających im kategorii w umieszczonych elementach iframe.
Wybieranie regionu dla danych
Wyniki skanowania DLP i skanowania pod kątem złośliwego oprogramowania możesz przechowywać w określonym regionie, np. w Stanach Zjednoczonych lub Europie. Możesz wybrać region, aby przechowywać dane w określonym miejscu, co jest wymagane w przypadku wielu umów dotyczących zgodności z przepisami. Szczegółowe informacje znajdziesz w artykule Wybieranie regionu geograficznego na potrzeby przechowywania danych .
Utwórz regułę
Po określeniu, co ma robić reguła, możesz ją utworzyć. Szczegółowe informacje znajdziesz w artykule Tworzenie reguł ochrony danych.Częste przypadki użycia
W tabeli poniżej znajdziesz przykłady łączenia wyzwalacza (działania użytkownika), warunków (sprawdzanych elementów) i konkretnego działania (wymuszania) w celu zdefiniowania zasady DLP. Aby korzystać z tej tabeli, musisz wykonać te czynności:
- Wybierz wyzwalacz.
- Zmapuj wartości warunków na odpowiednie opcje.
- Wybierz działanie.
Zastosowanie zmian może potrwać do 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji
| Przypadek użycia | Zdarzenie użytkownika | Warunki | Czynność |
| Blokowanie pobierania plików z Dysku Google | Plik został pobrany |
Typ treści: adres URL* Dopasowanie: zawiera ciąg tekstowy Wartość: drive.google.com |
Zablokuj |
| Ostrzeganie użytkownika, jeśli pobrany plik zawiera więcej niż 30 adresów e-mail | Plik został pobrany |
Typ treści: wszystkie treści Dopasowanie: pasuje do wstępnie zdefiniowanego typu danych Ustawienia: typ danych: globalnie – adres e-mail, średnie prawdopodobieństwo, minimalna liczba unikalnych dopasowań – 30 |
Zezwól, ale wyświetl ostrzeżenie |
| Blokowanie przesyłania plików do mediów społecznościowych | Prześlij plik |
Typ treści: kategoria adresu URL Dopasowanie: wybierz kategorię Wartość: sieci społecznościowe |
Zablokuj |
| Blokowanie pobierania plików graficznych większych niż 10 kilobajtów | Plik został pobrany |
Warunek 1: rozmiar pliku Dopasowanie: większe niż Wartość: 10 tys. bajtów ORAZ Warunek 2: typ pliku Dopasowanie: jest zgodny z kategorią plików systemowych Wartość: obraz |
Zablokuj |
| Rejestrowanie przypadków przesyłania w ChromeOS plików zawierających amerykańskie numery ubezpieczenia społecznego | Przesyłanie plików |
Typ treści: wszystkie treści Dopasowanie: pasuje do wstępnie zdefiniowanego typu danych Ustawienia: typ danych: Stany Zjednoczone – numer ubezpieczenia społecznego, prawdopodobieństwo: średnie, minimalna liczba unikalnych dopasowań – 1, minimalna liczba dopasowań – 1 |
Tylko kontrola |
| Uniemożliwianie użytkownikom wklejania treści skopiowanych z Gmaila (mail.google.com) | Wklejono treść |
Typ treści: źródłowy adres URL* Dopasowanie: zawiera ciąg tekstowy Wartość: mail.google.com |
Zablokuj |
| Stosowanie znaku wodnego lub ograniczanie możliwości robienia zrzutów ekranu, gdy użytkownicy odwiedzają wyznaczone witryny zawierające informacje poufne | Odwiedzone adresy URL |
Typ treści: adres URL* lub kategoria adresu URL Dopasowanie: wybierz odpowiednie dopasowanie Wartość: konkretny adres URL lub kategoria o charakterze poufnym |
Zezwól, ale wyświetl ostrzeżenie / Tylko kontrola (z zaznaczonymi opcjami Dodaj znak wodny lub Ogranicz możliwość robienia zrzutów ekranu) |
| Blokowanie przesyłania plików na osobiste konto Dysku Google | Plik został przesłany |
Warunek 1: Dopasowanie: zawiera ciąg tekstowy Wartość: drive.google.com ORAZ Warunek 2: Dopasowanie: nie pasuje do nazwy domeny Wartość: your-organization-domain-name.com |
Zablokuj |
*Jeśli filtrowany adres URL był ostatnio odwiedzany, jest on przechowywany w pamięci podręcznej przez kilka minut i może nie zostać przefiltrowany według nowej (lub zmodyfikowanej) reguły do czasu usunięcia z pamięci podręcznej tego adresu. Zanim przetestujesz nową lub zmodyfikowaną regułę, odczekaj około 5 minut.
Sprawdzanie, monitorowanie i analizowanie alertów
Po utworzeniu reguł ochrony danych możesz sprawdzać działania użytkowników, takie jak przesyłanie i pobieranie danych czy kopiowanie i wklejanie danych w przeglądarce Chrome. Następnie możesz:
- Wyświetlać raporty w panelu bezpieczeństwa. Raporty związane z Chrome Enterprise Premium to:
- Raport Podsumowanie ochrony przed zagrożeniami w Chrome
- Raport Podsumowanie ochrony danych w Chrome
- Raport Najbardziej zagrożeni użytkownicy Chrome
- Raport Domeny Chrome o największym ryzyku
- Więcej informacji znajdziesz w artykule Używanie panelu bezpieczeństwa.
- Sprawdzaj alerty, które wskazują na wystąpienie incydentów udostępniania danych, za pomocą narzędzia do analizy zagrożeń. Więcej informacji znajdziesz w artykule Informacje o narzędziu do analizy zagrożeń.
- Wyświetlaj szczegóły incydentów w Zdarzeniach z dziennika reguł.
- Analizować naruszenia reguł, aby określić, czy są to faktyczne, czy nieprawdziwe incydenty. Szczegółowe informacje znajdziesz w artykule poświęconym wyświetlaniu treści, które wyzwalają reguły DLP.
Powiązane artykuły
- Ustawianie terminów oczekiwania dla skanowania DLP i skanowania pod kątem złośliwego oprogramowania
- Używanie list niestandardowych adresów URL na potrzeby zapobiegania utracie danych (DLP) w Chrome
- Używanie maskowania danych do wzmocnienia DLP w Chrome
- Łączenie reguł DLP z warunkami dostępu zależnego od kontekstu
- Ochrona użytkowników Chrome przy użyciu Chrome Enterprise Premium
- Zdarzenia z dziennika Chrome