שימוש ב-Chrome Enterprise Premium לשילוב DLP עם Chrome

כדי להשתמש בתכונה הזו, צריך להוסיף את Chrome Enterprise Premium.

אתם יכולים להשתמש ב-Chrome Enterprise Premium עם כללים למניעת אובדן נתונים (DLP) כדי לעקוב אחרי פעולות משתמשים בדפדפן Chrome ובמכשירי Windows,‏ Mac,‏ Linux ו-ChromeOS. אתם יכולים לסרוק עד 10MB של תוכן טקסט בקובץ כדי לזהות באופן אוטומטי נתונים שנפתחים, מועלים, מורדים, מודבקים או מועברים. אפשר להשתמש בכללי DLP עם Chrome Enterprise Premium כדי לשלוט במידע רגיש, כמו מספרי תעודות זהות או כרטיסי אשראי.

הנושאים בדף

לפני שמתחילים

מגדירים את כללי המדיניות של Chrome Enterprise Connector. הוראות מפורטות זמינות במאמר בנושא הגדרת כללי מדיניות של Chrome Enterprise Connector ל-Chrome Enterprise Premium.

הסבר על אירועים (טריגרים) של משתמשים

לפני שמגדירים את התוכן או ההקשר שהכלל צריך לחפש, צריך לציין את אירוע המשתמש שמתחיל את תהליך הסריקה. האירוע הזה הוא הטריגר לכלל כולו. האירוע שתבחרו יקבע אילו אפשרויות יהיו זמינות לכלל שלכם בקטע סוג התוכן לסריקה.

אפשר לבחור באחד מאירועי המשתמשים הבאים:

  • הקובץ הועלה – משתמש מעלה קובץ מהמכשיר שלו בדפדפן Chrome.
  • הורדת קובץ – משתמש מוריד קובץ למכשיר שלו.
  • הדבקת תוכן – משתמש מדביק תוכן בדף אינטרנט.
  • התוכן הודפס – משתמש מדפיס את התוכן של דף אינטרנט.
  • בוצעה כניסה לכתובת ה-URL – משתמש עובר לכתובת URL.

הסבר על תנאי DLP

כשיוצרים כלל DLP, מציינים תנאים שמגדירים איזה תוכן או פעילות לסרוק. אפשר לשלב כמה תנאים כדי ליצור כללים ספציפיים.

האפשרויות שזמינות בסוג התוכן לסריקה משתנות בהתאם לאירוע המשתמש שנבחר להפעלת הסריקה, כמו הקובץ הועלה, הקובץ הורד, התוכן הודבק, התוכן הודפס, בוצעה גישה לכתובת URL וכן הלאה.

סוג התוכן לסריקה מה לחפש? פרטים ושימוש
כל התוכן התאמה לסוג מוגדר מראש של נתונים סורק את כל התוכן כדי לאתר מידע רגיש שתואם לסוג נתונים מוגדר מראש, כמו 'גלובלי – כתובת אימייל' או 'ארצות הברית – מספר ביטוח לאומי'. אתם יכולים להגדיר סף הסתברות וערך מינימלי להתאמות ייחודיות או להתאמות כוללות.
גוף

מכיל מחרוזת טקסט

התאמה של מילים מרשימת המילים

התאמה של ביטוי רגיל

 סורק את תוכן הטקסט הראשי (גוף) של דף אינטרנט או קובץ כדי למצוא טקסט ספציפי, מילים מרשימה מותאמת אישית או דפוסים שמוגדרים על ידי ביטוי רגולרי.
גודל הקובץ

גדול מ:

הינו קטן מ-

שווה ל

 הגדרת סף לגודל הקובץ (בבייטים) להפעלת הכלל על סמך ההשוואה.
סוג הקובץ

תואם לקטגוריה של קובץ מערכת

תואם לסוג MIME ספציפי

 מסננים את מה שנסרק לפי קטגוריות קבצים מוגדרות מראש, כמו תמונה או קובץ הפעלה, או לפי סוג MIME ספציפי. מידע נוסף על סוגי MIME לפי קטגוריית קובץ
ההקשר שיש ב-Chrome על המקור שממנו לקוח התוכן מאפיינים ספציפיים שקשורים לדפדפן Chrome סורקת מאפיינים פנימיים של Chrome כדי להגדיר את הסביבה או המצב של הדפדפן. הכלל חל אם ההקשר הוא אחד מהערכים הבאים: Incognito,‏ Clipboard או Other Profile.
כתובת אתר מקור

מכיל מחרוזת טקסט

התאמה של מילים מרשימת המילים

התאמה של ביטוי רגיל

 סורק את כתובת ה-URL שבה התוכן נוצר כדי למצוא טקסט ספציפי, מילים מרשימה מותאמת אישית או תבניות.
החשבון שאיתו נכנסים לאפליקציית האינטרנט

תואם לשם הדומיין

תואם כתובת אימייל

תואם לביטוי רגולרי של כתובת אימייל

 סריקה של חשבון המשתמש שמחובר באופן פעיל לאפליקציית האינטרנט של Google, כמו Gmail או Drive, בזמן האירוע. התנאי הזה חל על כללים שמופעלים על ידי האירועים 'הדבקה', 'ביקור בכתובת URL', 'הורדת קובץ', 'העלאת קובץ' ו'הדפסה'. כרגע יש תמיכה רק בחשבונות Google אישיים ובחשבונות Google מנוהלים.
חשבון המקור של אפליקציית האינטרנט שנכנסה לחשבון

תואם לשם הדומיין

תואם כתובת אימייל

תואם לביטוי רגולרי של כתובת אימייל

 סריקה של חשבון המשתמש שמחובר לאפליקציית האינטרנט של Google שמכילה את מקור התוכן (האפליקציה שממנה המשתמש העתיק את התוכן). התנאי הזה חל רק על כללים שמופעלים על ידי האירוע 'הדבקת תוכן'. כרגע יש תמיכה רק בחשבונות Google אישיים ובחשבונות Google מנוהלים.
הקטגוריה של כתובת ה-URL שממנה לקוחים הנתונים

בחירת קטגוריה

 הוא פועל עם אירוע המשתמש, כמו 'הדבקת תוכן', כדי לבדוק אם כתובת URL של מקור שייכת לקטגוריה מוגדרת מראש, כמו רשתות חברתיות או חדשות.
כותרת

מכיל מחרוזת טקסט

התאמה של מילים מרשימת המילים

התאמה של ביטוי רגיל

 סורק את הכותרת של דף האינטרנט או המסמך שקשורים לפעולה כדי למצוא טקסט, מילים מרשימת לקוחות או דפוסים ספציפיים.
כתובת URL

מכיל מחרוזת טקסט

התאמה של מילים מרשימת המילים

התאמה של ביטוי רגיל

 סורק את כתובת ה-URL שקשורה לפעולה כדי למצוא טקסט ספציפי, מילים מרשימת לקוחות מותאמת אישית או דפוסים. הסריקה הזו כוללת את כתובות ה-URL של תוכן שנטען בתוך מסגרות iframe מוטמעות.
קטגוריה של כתובת URL בחירת קטגוריה הבדיקה היא אם כתובת ה-URL שקשורה לפעולה שייכת לקטגוריה מוגדרת מראש, כמו רשתות חברתיות, משחקים או הימורים. הסריקה הזו כוללת את כתובות ה-URL של תוכן שנטען בתוך מסגרות iframe מוטמעות.

הערה: הטריגר כתובת ה-URL שביקרו בה לא סורק כתובות URL או את הקטגוריות התואמות שלהן ב-iframe מוטמע.

הסבר על פעולות DLP

כשמתקיים תנאי מסוים, הכלל יכול לאכוף אחת מהפעולות הבאות:

פעולה (בדפדפן Chrome וב-ChromeOS) תיאור הגדרות אופציונליות
חסימה מונעת מהמשתמש להשלים את הפעולה, כמו העלאת קובץ. המשתמש מקבל שגיאה או הודעה בהתאמה אישית. הודעה בהתאמה אישית: הצגת הודעה בהתאמה אישית (עד 300 תווים, תמיכה בהיפר-קישורים) למשתמש עם הסבר למה הפעולה נחסמה.
אישור עם אזהרה מאפשר למשתמש להמשיך אחרי הודעת אזהרה. הבחירה של המשתמש להמשיך נרשמת ביומן האירועים.

הודעה בהתאמה אישית: הצגת הודעת אזהרה בהתאמה אישית.

הוספת סימן מים מעל לתוכן הדף: לפעולות שקשורות לביקורים בכתובות URL, מוסיף שכבת-על של סימן מים שקוף וטקסט 'סודי' או הודעה בהתאמה אישית בדף האינטרנט.

הגבלת צילום מסך ושיתוף מסך של תוכן: עבור פעולות שבוצעו בכתובות URL ב-Mac וב-Windows, חסימת צילומי מסך ושיתוף מסך בדפים המשויכים. התוכן מושחר בצילומי מסך (Windows) או נעלם (Mac).
ביקורת בלבד המשתמש יכול להמשיך בלי הפרעה, והאירוע נרשם לצורך בדיקה.

הוספת סימן מים מעל לתוכן הדף: לפעולות שקשורות לביקורים בכתובות URL, מוסיף שכבת-על של סימן מים שקוף וטקסט 'סודי' או הודעה בהתאמה אישית בדף האינטרנט.

הגבלת צילום מסך ושיתוף מסך של תוכן: עבור פעולות שבוצעו בכתובות URL ב-Mac וב-Windows, חסימת צילומי מסך ושיתוף מסך בדפים המשויכים. התוכן מושחר בצילומי מסך (Windows) או נעלם (Mac).

חשוב: לגבי אירועי המשתמש העלאת קובץ והדבקת תוכן, התנהגות החסימה תלויה בהגדרות השהיית העלאת קובץ והשהיית הזנת טקסט במדיניות של Chrome Enterprise Connector. פרטים נוספים זמינים במאמרים בנושא העלאת ניתוח תוכן וניתוח תוכן של טקסט בכמות גדולה.

בחירת אזור לנתונים

אתם יכולים לאחסן את הסריקות של DLP ותוכנות זדוניות באזור ספציפי, למשל בארצות הברית או באירופה. אתם יכולים לבחור אזור כדי להשיג את דרישת המיקום של הנתונים, שהיא דרישה בהסכמי תאימות רבים. פרטים נוספים מופיעים במאמר בנושא בחירת מיקום גיאוגרפי לנתונים.

הפעלת OCR

כדי לאפשר ל-Chrome לסרוק תוכן רגיש בתמונות בקבצים ובקובצי PDF, צריך להפעיל זיהוי תווים אופטי (OCR). ‫OCR סורק קבצים מסוג BMP,‏ GIF,‏ JPEG,‏ PNG ו-TIF שהועלו, הורדו והודפסו. הפעלת ה-OCR חלה על כל כללי ה-DLP. אי אפשר להחיל OCR באופן סלקטיבי על כללים ספציפיים.

כדי להפעיל את ה-OCR:

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז הגנה על נתונים.

    כדי לעשות את זה צריך הרשאות אדמין לצפייה בכללי DLP וניהול כללי DLP.

  2. עוברים אל הגדרות להגנה על נתונים ולוחצים על זיהוי תווים אופטי (OCR).
  3. מפעילים את האפשרות בשביל Google Chrome.
  4. לוחצים על שמירה.

יצירת כלל DLP

אחרי שמפעילים את ה-OCR ומגדירים את התנאים והפעולות של הכלל, יוצרים את כלל ה-DLP. פרטים נוספים מופיעים במאמר בנושא יצירת כלל DLP.

תרחישים נפוצים לדוגמה

בטבלה הבאה מופיעות דוגמאות לשילוב של אירוע משתמש (הטריגר), תנאים (מה נבדק) ופעולה ספציפית (האכיפה) כדי להגדיר את מדיניות ה-DLP. כדי להשתמש בטבלה הזו, אתם צריכים:

  1. בוחרים אירוע של משתמש.
  2. ממפים את ערכי התנאים לאפשרויות המתאימות.
  3. בוחרים פעולה.
תרחיש לדוגמה אירוע שקשור למשתמש תנאים פעולה
חסימת הורדה של קבצים מ-Google Drive הקובץ הורד

סוג התוכן: כתובת URL*

התאמה: מכיל מחרוזת טקסט

ערך: drive.google.com 		חסימה
להציג אזהרה למשתמש אם קובץ שהורד מכיל יותר מ-30 כתובות אימייל הקובץ הורד

סוג התוכן: כל התוכן

התאמה: התאמה לסוג מוגדר מראש של נתונים

הגדרות: סוג נתונים: גלובלי – כתובת אימייל, סבירות בינונית, מינימום התאמות ייחודיות 30 		אישור עם אזהרה
חסימה של העלאת קבצים לאתרים של מדיה חברתית העלאת קבצים

סוג התוכן: קטגוריית כתובת URL

התאמה: בחירת קטגוריה

ערך: רשתות חברתיות 		חסימה
חסימה של הורדת קובצי תמונה שגדולים מ-10KB הקובץ הורד

תנאי 1: גודל הקובץ

התאמה: גדול מ-

ערך: 10,000 בייט

AND

תנאי 2: סוג קובץ

התאמה: תואם לקטגוריה של קובץ מערכת

ערך: תמונה

 חסימה
רישום מקרים שבהם מספרי ביטוח לאומי בארה"ב מועברים בקבצים ב-ChromeOS העברת קבצים

סוג התוכן: כל התוכן

התאמה: התאמה לסוג מוגדר מראש של נתונים

הגדרות: סוג הנתונים: ארה"ב – מספר תעודת זהות, סבירות בינונית, מספר מינימלי של התאמות ייחודיות 1, מספר מינימלי של התאמות 1 		ביקורת בלבד
חסימה של הדבקת תוכן שהועתק מ-Gmail‏ (mail.google.com) התוכן הודבק

סוג התוכן: כתובת URL של המקור*

התאמה: מכיל מחרוזת טקסט

ערך: mail.google.com 		חסימה
הוספת סימן מים או הגבלת צילומי מסך כשמשתמשים מבקרים באתרים רגישים ייעודיים בוצעה כניסה לכתובת ה-URL

סוג התוכן: כתובת URL* או קטגוריית כתובת URL

התאמה: בוחרים את ההתאמה המתאימה

ערך: כתובת ה-URL או הקטגוריה הרגישה הספציפית 		אישור עם אזהרה / ביקורת בלבד (עם האפשרויות 'הוספת סימן מים' ו/או 'הגבלת צילומי מסך' שנבחרו)
חסימת העלאות של קבצים לחשבון Google Drive לשימוש אישי הקובץ הועלה

תנאי 1:
סוג התוכן: כתובת URL

התאמה: מכיל מחרוזת טקסט

ערך: drive.google.com

AND

תנאי 2:
סוג התוכן: אפליקציית האינטרנט שנכנסה לחשבון

התאמה: לא תואם לשם הדומיין

ערך: your-organization-domain-name.com 		חסימה

‫* אם כתובת URL שאתם מסננים נפתחה לאחרונה, היא נשמרת במטמון למשך כמה דקות, ויכול להיות שהיא לא תסונן בהצלחה על ידי כלל חדש (או שונה) עד שהמטמון ינוקה. מחכים כ-5 דקות לפני שבודקים כלל חדש או כלל ששונה.

בדיקה, מעקב וחקירה של התראות

אחרי שיוצרים כללי DLP, אפשר לבדוק פעולות של משתמשים, כמו העלאה והורדה או העתקה והדבקה של נתונים בדפדפן Chrome. לאחר מכן תוכלו:

  • צפייה בדוחות במרכז הבקרה לאבטחה. דוחות שקשורים ל-Chrome Enterprise Premium כוללים:
    • דוח סיכום הגנה מפני איומים ב-Chrome
    • דוח סיכום הגנה על נתונים ב-Chrome
    • דוח משתמשי Chrome בסיכון גבוה
    • דוח דומיינים ב-Chrome בסיכון גבוה
    • פרטים נוספים מופיעים במאמר שימוש בלוח הבקרה לאבטחה.
  • חקירת התראות על אירועים של שיתוף נתונים באמצעות הכלי לחקירת אבטחה. פרטים נוספים מופיעים במאמר מידע על הכלי לחקירת אבטחה.
  • פרטים על אירועים מופיעים ביומן הכללים.
  • חקירת הפרות של כללי DLP כדי לקבוע אם מדובר באירועים אמיתיים או בתוצאות חיוביות שגויות. תוכלו לקרוא פרטים נוספים במאמר איך מציגים תוכן שמפעיל כללי DLP.