Você precisa ter o complemento do Chrome Enterprise Premium para usar esse recurso.
Você pode usar o Chrome Enterprise Premium com regras de prevenção contra perda de dados (DLP) para monitorar as ações dos usuários no navegador Chrome e em dispositivos Windows, Mac, Linux e ChromeOS. É possível verificar até 10 MB de conteúdo de texto em um arquivo para detectar automaticamente dados abertos, enviados, baixados, colados ou transferidos. Use regras de DLP com o Chrome Enterprise Premium para controlar informações sensíveis, como números de CPF ou CNPJ ou de cartão de crédito.
Nesta página
- Antes de começar
- Entender os eventos do usuário (acionadores)
- Sobre as condições da DLP
- Sobre as ações da DLP
- Escolher uma região para seus dados
- Ativar o OCR
- Criar uma regra de DLP
- Casos de uso comuns
- Analisar, monitorar e investigar alertas
Antes de começar
Configure as políticas do Chrome Enterprise Connectors. Para conferir as etapas, acesse Definir políticas do Chrome Enterprise Connectors para o Chrome Enterprise Premium.
Entender os eventos do usuário (acionadores)
Antes de definir o conteúdo ou o contexto que sua regra deve procurar, especifique o evento do usuário que inicia o processo de verificação. Esse evento é o acionador da regra inteira. O evento selecionado determina as opções de Tipo de conteúdo a ser verificado disponíveis para sua regra.
Selecione um dos eventos do usuário a seguir:
- Arquivo enviado: um usuário envia um arquivo do dispositivo no navegador Chrome.
- Arquivo baixado: um usuário baixa um arquivo para o dispositivo.
- Conteúdo colado: um usuário cola o conteúdo em uma página da Web.
- Conteúdo impresso: um usuário imprime o conteúdo de uma página da Web.
- URL acessado: um usuário abre um URL.
Sobre as condições da DLP
Ao criar uma regra da DLP, você especifica condições que definem o conteúdo ou a atividade a ser verificada. Você pode combinar várias condições para criar regras específicas.
As opções de Tipo de conteúdo a ser verificado disponíveis mudam de acordo com o evento do usuário selecionado para iniciar a verificação, como Upload do arquivo concluído, Download concluído, Conteúdo colado, Conteúdo impresso, URL visitado e assim por diante.
| Tipo de conteúdo para verificação | O que verificar | Detalhes e uso |
|---|---|---|
| Todo o conteúdo | Corresponde a um tipo de dados predefinido | Verifica todo o conteúdo em busca de informações sensíveis que correspondam a um tipo de dados predefinido, como "Global - endereço de e-mail" ou "Estados Unidos - SSN". É possível definir um limite de probabilidade e um mínimo para correspondências únicas ou totais. |
| Corpo |
Contém string de texto Corresponde às palavras da lista de palavras Corresponde à expressão regular |
Analisa o conteúdo de texto principal (corpo) de uma página da web ou um arquivo em busca de texto específico, palavras de uma lista personalizada ou padrões definidos por uma expressão regular. |
| Tamanho do arquivo |
É maior que É menor que é igual a |
Define um limite de tamanho de arquivo (em bytes) para acionar a regra com base na sua comparação. |
| Tipo de arquivo |
Corresponde à categoria de arquivo do sistema Corresponde a um tipo MIME específico. |
Filtra o que será verificado por categorias de arquivos predefinidas, como "Imagem" ou "Executável", ou por um tipo MIME específico. Saiba mais sobre os tipos MIME por categoria de arquivo. |
| Contexto de origem do Chrome | Atributos específicos relacionados ao navegador Chrome | Verifica atributos internos do Chrome para definir o ambiente ou estado do navegador. A regra se aplica se o contexto for um dos seguintes valores: Navegação anônima, Copiar e colar ou Outro perfil. |
| URL de origem |
Contém string de texto Corresponde às palavras da lista de palavras Corresponde à expressão regular |
Analisa o URL de origem do conteúdo em busca de texto, palavras de uma lista personalizada ou padrões específicos. |
| Conta conectada ao app da web |
Corresponde ao nome de domínio Corresponde ao endereço de e-mail Corresponde ao regex de endereço de e-mail |
Verifica a conta de usuário conectada ativamente ao web app do Google, como Gmail ou Drive, no momento do evento. Essa condição se aplica a regras acionadas por eventos de colar, URL visitado, download de arquivo, upload de arquivo e impressão. No momento, esse recurso está disponível apenas para Contas do Google pessoais e gerenciadas. |
| Conta de origem conectada ao app da web |
Corresponde ao nome de domínio Corresponde ao endereço de e-mail Corresponde ao regex de endereço de e-mail |
Verifica a conta de usuário conectada ao web app do Google que contém a origem do conteúdo (o app em que o usuário copiou o conteúdo). Essa condição só se aplica a regras acionadas pelo evento "Conteúdo colado". No momento, esse recurso está disponível apenas para Contas do Google pessoais e gerenciadas. |
| Categoria do URL de origem |
Selecionar categoria |
Funciona com o evento do usuário, como "Conteúdo colado", para verificar se um URL de origem pertence a uma categoria predefinida, como "Redes sociais" ou "Notícias". |
| Título |
Contém string de texto Corresponde às palavras da lista de palavras Corresponde à expressão regular |
Analisa o título da página da web ou do documento envolvido na ação em busca de texto específico, palavras de uma lista personalizada ou padrões. |
| URL |
Contém string de texto Corresponde às palavras da lista de palavras Corresponde à expressão regular |
Analisa o URL envolvido na ação em busca de texto específico, palavras de uma lista personalizada ou padrões. Essa verificação inclui os URLs do conteúdo carregado em iframes incorporados. |
| Categoria do URL | Selecionar categoria | Verifica se o URL envolvido na ação pertence a uma categoria predefinida, como redes sociais, jogos ou jogos de azar. Essa verificação inclui os URLs do conteúdo carregado em iframes incorporados. |
Observação:o gatilho URL visitado não verifica URLs nem as categorias correspondentes em iframes incorporados.
Entender as ações da DLP
Quando uma condição é atendida, a regra pode aplicar uma destas ações:
| Ação (para o navegador Chrome e o ChromeOS) | Descrição | Configurações opcionais |
|---|---|---|
| Bloquear | Impede que o usuário conclua a ação, como fazer upload de um arquivo. O usuário recebe um erro ou uma mensagem personalizada. | Personalizar mensagem: mostre uma mensagem personalizada (até 300 caracteres, com suporte a hiperlinks) ao usuário explicando por que a ação foi bloqueada. |
| Permitir com alerta | Permite que o usuário continue depois de uma mensagem de aviso. A escolha do usuário de continuar é anotada nos eventos de registro. |
Personalizar mensagem: mostra uma mensagem de aviso personalizada. Adicionar marca-d'água sobre o conteúdo da página: para ações de URL visitado, sobrepõe uma marca-d'água translúcida e o texto "Confidencial" ou uma mensagem personalizada na página da web. Restringir conteúdo de captura e compartilhamento de tela: para ações de URL visitado no Mac e no Windows, bloqueia capturas e compartilhamento de tela nas páginas associadas. O conteúdo é ocultado em capturas de tela (Windows) ou desaparece (Mac). |
| Somente auditoria | Permite que o usuário continue sem interrupção e registra o evento para análise. |
Adicionar marca-d'água sobre o conteúdo da página: para ações de URL visitado, sobrepõe uma marca-d'água translúcida e o texto "Confidencial" ou uma mensagem personalizada na página da web. Restringir conteúdo de captura e compartilhamento de tela: para ações de URL visitado no Mac e no Windows, bloqueia capturas e compartilhamento de tela nas páginas associadas. O conteúdo é ocultado em capturas de tela (Windows) ou desaparece (Mac). |
Importante:nos eventos de usuário Arquivo enviado e Conteúdo colado, o comportamento de bloqueio depende das configurações Atrasar o upload de arquivos e Atrasar a entrada de texto das políticas do Chrome Enterprise Connectors. Para mais detalhes, acesse Análise de conteúdo de upload e Análise de conteúdo de texto em massa.
Escolher uma região para seus dados
É possível armazenar suas verificações de DLP e malware em uma região específica, por exemplo, nos Estados Unidos ou na Europa. Escolha uma região para conseguir a residência de dados, que é um requisito para muitos contratos de compliance. Saiba mais em Escolher uma região geográfica para seus dados.
Ativar o OCR
É necessário ativar o reconhecimento óptico de caracteres (OCR) para permitir que o Chrome verifique se há conteúdo sensível em imagens em arquivos e PDFs. O OCR lê arquivos BMP, GIF, JPEG, PNG e TIF enviados, baixados e impressos. A ativação do OCR se aplica a todas as regras da DLP. Não é possível aplicar o OCR seletivamente a regras específicas.
Para ativar o OCR:
-
No Google Admin Console, acesse Menu
SegurançaControle de acesso e dadosProteção de dados.É necessário ter os privilégios de administrador Ver regra da DLP e Gerenciar regra da DLP.
- Acesse Configurações de proteção de dados e clique em Reconhecimento óptico de caracteres (OCR).
- Ative a opção Para Google Chrome.
- Clique em Salvar.
Criar uma regra de DLP
Depois de ativar o OCR e determinar as condições e ações da regra, crie a regra da DLP. Para mais detalhes, acesse Criar uma regra de DLP.
Casos de uso comuns
A tabela a seguir mostra exemplos de como combinar um evento do usuário (o acionador), condições (o que é verificado) e uma ação específica (a aplicação) para definir sua política de DLP. Para usar a tabela:
- Selecione um evento do usuário.
- Mapeie os valores das condições com as opções correspondentes.
- Selecione uma ação.
| Caso de uso | Evento do usuário | Condições | Ação |
| Bloquear o download de arquivos do Google Drive | Download concluído |
Tipo de conteúdo:URL* Correspondência:contém string de texto Valor:drive.google.com |
Bloquear |
| Avisar o usuário se um arquivo baixado tiver mais de 30 endereços de e-mail | Download concluído |
Tipo de conteúdo:todo o conteúdo Correspondência:corresponde ao tipo de dado predefinido Configurações:tipo de dado: Global - Endereço de e-mail, probabilidade média, mínimo de correspondências exclusivas 30 |
Permitir com alerta |
| Bloquear uploads de arquivos para sites de redes sociais | Upload de arquivo |
Tipo de conteúdo:categoria do URL Correspondência:selecione a categoria Valor:redes sociais |
Bloquear |
| Bloquear o download de arquivos de imagem maiores do que 10 kilobytes | Download concluído |
Condição 1:tamanho do arquivo Correspondência: é maior que Valor: 10.000 bytes AND Condição 2:tipo de arquivo Correspondência: corresponde à categoria de arquivo do sistema Valor: imagem |
Bloquear |
| Registrar instâncias em que números de CPF ou CNPJ são transferidos em arquivos no ChromeOS | Transferência de arquivo |
Tipo de conteúdo:todo o conteúdo Correspondência:corresponde ao tipo de dado predefinido Configurações:tipo de dado: Estados Unidos - SSN, probabilidade média, mínimo de correspondências exclusivas 1, número mínimo de correspondências 1 |
Somente auditoria |
| Impedir que os usuários colem conteúdo copiado do Gmail (mail.google.com) | Conteúdo colado |
Tipo de conteúdo:URL de origem* Correspondência:contém string de texto Valor:mail.google.com |
Bloquear |
| Aplicar uma marca d'água ou restringir capturas de tela quando os usuários acessam sites sensíveis designados | URL acessado |
Tipo de conteúdo:URL* ou categoria de URL Correspondência:selecione a correspondência adequada Valor:o URL ou a categoria sensível específica |
Permitir com aviso / Somente auditoria (com as opções "Adicionar marca-d'água" e/ou "Restringir captura de tela" selecionadas) |
| Bloquear uploads de arquivos para uma conta pessoal do Google Drive | Arquivo enviado |
Condição 1: Correspondência:contém string de texto Valor:drive.google.com AND Condição 2: Correspondência:não corresponde ao nome de domínio Valor:your-organization-domain-name.com |
Bloquear |
*Se um URL que você está filtrando foi acessado recentemente, ele será armazenado em cache por alguns minutos e talvez não seja filtrado por uma nova regra (ou modificado) até que o cache seja limpo. Aguarde aproximadamente 5 minutos antes de testar uma regra nova ou modificada.
Analisar, monitorar e investigar alertas
Depois de criar as regras da DLP, você pode analisar as ações dos usuários, como fazer upload e download ou copiar e colar dados no navegador Chrome. Em seguida, você pode:
- Ver os relatórios no painel de segurança. Os relatórios relacionados ao Chrome Enterprise Premium incluem:
- Relatório "Resumo da proteção de dados do Chrome"
- Relatório "Resumo da proteção de dados do Chrome"
- Relatório "Usuários de alto risco do Chrome"
- Relatório "Domínios de alto risco do Chrome"
- Para mais detalhes, acesse Usar o painel de segurança.
- Investigue alertas de incidentes de compartilhamento de dados usando a ferramenta de investigação de segurança. Saiba mais em Sobre a ferramenta de investigação de segurança.
- Confira os detalhes dos incidentes em Eventos de registro da regra.
- Investigue violações de regras da DLP para determinar se são incidentes reais ou falsos positivos. Para mais detalhes, acesse Acessar o conteúdo que aciona as regras de DLP.
Temas relacionados
- Definir prazos de tempo limite para verificações de DLP e contra malware
- Usar listas de URLs personalizadas para DLP no Chrome
- Usar o mascaramento de dados para reforçar a DLP no Chrome
- Combinar regras de DLP com condições de acesso baseado no contexto
- Proteger os usuários do Chrome com o Chrome Enterprise Premium
- Eventos de registro do Chrome