Sử dụng Chrome Enterprise Premium để tích hợp DLP với Chrome

Bạn phải có tiện ích bổ sung Chrome Enterprise Premium để sử dụng tính năng này.

Bạn có thể sử dụng Chrome Enterprise Premium với các quy tắc Ngăn chặn mất dữ liệu (DLP) để giám sát hành động của người dùng trên trình duyệt Chrome và trên các thiết bị Windows, Mac, Linux và ChromeOS. Bạn có thể quét tối đa 10 MB nội dung văn bản trong một tệp để tự động phát hiện dữ liệu được mở, tải lên, tải xuống, dán hoặc chuyển. Sử dụng các quy tắc DLP với Chrome Enterprise Premium để kiểm soát thông tin nhạy cảm, chẳng hạn như số an sinh xã hội hoặc số thẻ tín dụng.

Trên trang này

Trước khi bắt đầu
Tìm hiểu về sự kiện của người dùng (hành động kích hoạt)
Tìm hiểu về điều kiện DLP
Tìm hiểu về hành động DLP
Chọn một khu vực cho dữ liệu của bạn
Bật OCR
Tạo quy tắc DLP
Các trường hợp sử dụng phổ biến
Xem xét, giám sát và điều tra cảnh báo

Trước khi bắt đầu

Thiết lập chính sách về trình kết nối Chrome Enterprise. Để biết các bước, hãy chuyển đến phần Thiết lập chính sách về trình kết nối Chrome Enterprise cho Chrome Enterprise Premium.

Tìm hiểu về sự kiện của người dùng (hành động kích hoạt)

Trước khi xác định nội dung hoặc bối cảnh mà quy tắc của bạn cần tìm, bạn phải chỉ định sự kiện của người dùng để bắt đầu quy trình quét. Sự kiện này là hành động kích hoạt cho toàn bộ quy tắc. Sự kiện mà bạn chọn sẽ xác định các lựa chọn Loại nội dung cần quét có sẵn cho quy tắc của bạn.

Bạn có thể chọn một trong các sự kiện của người dùng sau:

Tệp đã tải lên – Người dùng tải một tệp lên từ thiết bị của họ trong trình duyệt Chrome.
Tệp đã tải xuống – Người dùng tải một tệp xuống thiết bị của họ.
Đã dán nội dung – Người dùng dán nội dung vào một trang web.
Nội dung đã in – Người dùng in nội dung của một trang web.
URL đã truy cập – Người dùng truy cập vào một URL.

Tìm hiểu về điều kiện DLP

Khi tạo quy tắc DLP, bạn sẽ chỉ định điều kiện xác định nội dung hoặc hoạt động cần quét. Bạn có thể kết hợp nhiều điều kiện để tạo các quy tắc cụ thể.

Các lựa chọn Loại nội dung cần quét có sẵn sẽ thay đổi dựa trên sự kiện của người dùng được chọn để bắt đầu quá trình quét, chẳng hạn như Tệp đã tải lên, Tệp đã tải xuống, Đã dán nội dung, Nội dung đã in, URL đã truy cập, v.v.

Loại nội dung cần quét	Nội dung cần tìm khi quét	Thông tin chi tiết và cách sử dụng
Tất cả nội dung	Khớp với loại dữ liệu định sẵn	Quét tất cả nội dung để tìm thông tin nhạy cảm khớp với loại dữ liệu định sẵn, chẳng hạn như Địa chỉ email toàn cầu hoặc Số an sinh xã hội của Hoa Kỳ. Bạn có thể đặt ngưỡng và mức tối thiểu về khả năng khớp cho các kết quả khớp duy nhất hoặc tổng số kết quả khớp.
Nội dung	Chứa chuỗi văn bản Phù hợp với các từ trong danh sách từ Khớp với cụm từ thông dụng	Quét nội dung văn bản chính (nội dung) của một trang web hoặc tệp để tìm văn bản cụ thể, các từ trong danh sách tuỳ chỉnh hoặc các mẫu được xác định bằng cụm từ thông dụng.
Kích thước tệp	Nhiều hơn Nhỏ hơn Bằng	Đặt ngưỡng kích thước tệp (tính bằng byte) để kích hoạt quy tắc dựa trên so sánh của bạn.
Loại tệp	Khớp với danh mục tệp hệ thống Khớp với loại MIME cụ thể	Lọc nội dung cần quét theo các danh mục tệp định sẵn, chẳng hạn như Hình ảnh hoặc Tệp thực thi hoặc theo một loại MIME cụ thể. Tìm hiểu thêm về các loại MIME theo danh mục tệp.
Bối cảnh liên quan đến nguồn trên Chrome	Các thuộc tính cụ thể liên quan đến trình duyệt Chrome	Quét các thuộc tính nội bộ của Chrome để xác định môi trường hoặc trạng thái của trình duyệt. Quy tắc này áp dụng nếu bối cảnh là một trong các giá trị sau: Chế độ ẩn danh, Bảng nhớ tạm hoặc Hồ sơ khác.
URL Nguồn	Chứa chuỗi văn bản Phù hợp với các từ trong danh sách từ Khớp với cụm từ thông dụng	Quét URL nơi nội dung bắt nguồn để tìm văn bản cụ thể, các từ trong danh sách tuỳ chỉnh hoặc các mẫu.
Tài khoản đã đăng nhập vào ứng dụng web	Khớp với tên miền Khớp với địa chỉ email Khớp với regex địa chỉ email	Quét tài khoản người dùng đã đăng nhập vào ứng dụng web của Google (chẳng hạn như Gmail hoặc Drive) tại thời điểm xảy ra sự kiện. Điều kiện này áp dụng cho các quy tắc được kích hoạt bởi các sự kiện Dán, URL đã truy cập, Tải tệp xuống, Tải tệp lên và In. Hiện chỉ hỗ trợ cho Tài khoản Google cá nhân và tài khoản Google do tổ chức quản lý.
Tài khoản đã đăng nhập vào ứng dụng web nguồn	Khớp với tên miền Khớp với địa chỉ email Khớp với regex địa chỉ email	Quét tài khoản người dùng đã đăng nhập vào ứng dụng web của Google có chứa nguồn nội dung (ứng dụng nơi người dùng sao chép nội dung). Điều kiện này chỉ áp dụng cho các quy tắc được kích hoạt bởi sự kiện Đã dán nội dung. Hiện chỉ hỗ trợ cho Tài khoản Google cá nhân và tài khoản Google do tổ chức quản lý.
Danh mục của URL nguồn	Chọn danh mục	Hoạt động với sự kiện của người dùng, chẳng hạn như Đã dán nội dung, để kiểm tra xem URL nguồn có thuộc một danh mục định sẵn hay không, chẳng hạn như Mạng xã hội hoặc Tin tức.
Tiêu đề	Chứa chuỗi văn bản Phù hợp với các từ trong danh sách từ Khớp với cụm từ thông dụng	Quét tiêu đề của trang web hoặc tài liệu liên quan đến hành động để tìm văn bản cụ thể, các từ trong danh sách tuỳ chỉnh hoặc các mẫu.
URL	Chứa chuỗi văn bản Phù hợp với các từ trong danh sách từ Khớp với cụm từ thông dụng	Quét URL liên quan đến hành động để tìm văn bản cụ thể, các từ trong danh sách tuỳ chỉnh hoặc các mẫu. Quá trình quét này bao gồm cả URL của nội dung được tải bên trong mọi iframe được nhúng.
Danh mục URL	Chọn danh mục	Kiểm tra xem URL liên quan đến hành động có thuộc một danh mục định sẵn hay không, chẳng hạn như Mạng xã hội, Trò chơi hoặc Cờ bạc. Quá trình quét này bao gồm cả URL của nội dung được tải bên trong mọi iframe được nhúng.

Lưu ý: Hành động kích hoạt URL đã truy cập không quét URL hoặc danh mục tương ứng của URL đó trong iframe được nhúng.

Tìm hiểu về hành động DLP

Khi một điều kiện được đáp ứng, quy tắc của bạn có thể thực thi một trong các hành động sau:

Hành động (cho trình duyệt Chrome và ChromeOS)	Mô tả	Các chế độ cài đặt không bắt buộc
Chặn	Ngăn người dùng hoàn tất hành động, chẳng hạn như tải tệp lên. Người dùng sẽ nhận được thông báo lỗi hoặc thông báo tuỳ chỉnh.	Tuỳ chỉnh thông báo: Hiển thị thông báo tuỳ chỉnh (tối đa 300 ký tự, hỗ trợ siêu liên kết) cho người dùng để giải thích lý do hành động bị chặn.
Cho phép kèm theo nhắc nhở	Cho phép người dùng tiếp tục sau khi nhận được thông báo cảnh báo. Lựa chọn tiếp tục của người dùng sẽ được ghi lại trong các sự kiện trong nhật ký.	Tuỳ chỉnh thông báo: Hiển thị thông báo cảnh báo tuỳ chỉnh. Thêm hình mờ lên nội dung trang: Đối với các hành động truy cập URL, hãy phủ hình mờ trong suốt và văn bản "Bảo mật" hoặc thông báo tuỳ chỉnh lên trang web. Hạn chế chụp ảnh màn hình và chia sẻ màn hình: Đối với các hành động truy cập URL trên Mac và Windows, hãy chặn ảnh chụp màn hình và tính năng chia sẻ màn hình trên các trang được liên kết. Nội dung sẽ bị bôi đen trong ảnh chụp màn hình (Windows) hoặc biến mất (Mac).
Chỉ kiểm tra	Cho phép người dùng tiếp tục mà không bị gián đoạn và ghi lại sự kiện để xem xét.	Thêm hình mờ lên nội dung trang: Đối với các hành động truy cập URL, hãy phủ hình mờ trong suốt và văn bản "Bảo mật" hoặc thông báo tuỳ chỉnh lên trang web. Hạn chế chụp ảnh màn hình và chia sẻ màn hình: Đối với các hành động truy cập URL trên Mac và Windows, hãy chặn ảnh chụp màn hình và tính năng chia sẻ màn hình trên các trang được liên kết. Nội dung sẽ bị bôi đen trong ảnh chụp màn hình (Windows) hoặc biến mất (Mac).

Hành động (cho trình duyệt Chrome và ChromeOS)

Mô tả

Các chế độ cài đặt không bắt buộc

Chặn

Ngăn người dùng hoàn tất hành động, chẳng hạn như tải tệp lên. Người dùng sẽ nhận được thông báo lỗi hoặc thông báo tuỳ chỉnh.

Tuỳ chỉnh thông báo: Hiển thị thông báo tuỳ chỉnh (tối đa 300 ký tự, hỗ trợ siêu liên kết) cho người dùng để giải thích lý do hành động bị chặn.

Cho phép kèm theo nhắc nhở

Cho phép người dùng tiếp tục sau khi nhận được thông báo cảnh báo. Lựa chọn tiếp tục của người dùng sẽ được ghi lại trong các sự kiện trong nhật ký.

Tuỳ chỉnh thông báo: Hiển thị thông báo cảnh báo tuỳ chỉnh.

Thêm hình mờ lên nội dung trang: Đối với các hành động truy cập URL, hãy phủ hình mờ trong suốt và văn bản "Bảo mật" hoặc thông báo tuỳ chỉnh lên trang web.

Hạn chế chụp ảnh màn hình và chia sẻ màn hình: Đối với các hành động truy cập URL trên Mac và Windows, hãy chặn ảnh chụp màn hình và tính năng chia sẻ màn hình trên các trang được liên kết. Nội dung sẽ bị bôi đen trong ảnh chụp màn hình (Windows) hoặc biến mất (Mac).

Chỉ kiểm tra

Cho phép người dùng tiếp tục mà không bị gián đoạn và ghi lại sự kiện để xem xét.

Quan trọng: Đối với các sự kiện của người dùng Tệp đã tải lên và Đã dán nội dung, hành vi chặn sẽ phụ thuộc vào các chế độ cài đặt Trì hoãn tải tệp lên và Trì hoãn nhập văn bản của chính sách về trình kết nối Chrome Enterprise. Để biết thông tin chi tiết, hãy chuyển đến phần Phân tích nội dung tải lên và Phân tích hàng loạt nội dung văn bản.

Chọn một khu vực cho dữ liệu của bạn

Bạn có thể lưu trữ các kết quả quét DLP và phần mềm độc hại ở một khu vực cụ thể, chẳng hạn như Hoa Kỳ hoặc Châu Âu. Bạn có thể chọn một khu vực để đạt được yêu cầu về vị trí lưu trữ dữ liệu. Đây là yêu cầu đối với nhiều thoả thuận tuân thủ. Để biết thông tin chi tiết, hãy chuyển đến phần Chọn vị trí địa lý cho dữ liệu của bạn.

Bật OCR

Bạn cần bật công nghệ nhận dạng ký tự quang học (OCR) để cho phép Chrome quét nội dung nhạy cảm trong hình ảnh trong tệp và tệp PDF. OCR quét các tệp BMP, GIF, JPEG, PNG và TIF được tải lên, tải xuống và in. Việc bật OCR sẽ áp dụng cho tất cả các quy tắc DLP. Bạn không thể áp dụng OCR một cách có chọn lọc cho các quy tắc cụ thể.

Cách bật OCR:

Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Bảo mậtQuyền truy cập và kiểm soát dữ liệuBảo vệ dữ liệu.

Chuyển đến phần Bảo vệ dữ liệu

Bạn phải có các đặc quyền Xem quy tắc Ngăn chặn mất dữ liệu (DLP) và Quản lý quy tắc Ngăn chặn mất dữ liệu (DLP) của quản trị viên.
Chuyển đến phần Cài đặt bảo vệ dữ liệu rồi nhấp vào Nhận dạng ký tự quang học (OCR).
Bật Cho Google Chrome.
Nhấp vào Lưu.

Tạo quy tắc DLP

Sau khi bật OCR và xác định các điều kiện và hành động cho quy tắc, bạn sẽ tạo quy tắc DLP. Để biết thông tin chi tiết, hãy chuyển đến phần Tạo quy tắc DLP.

Các trường hợp sử dụng phổ biến

Bảng sau đây cung cấp các ví dụ về cách kết hợp sự kiện của người dùng (hành động kích hoạt), Điều kiện (nội dung được kiểm tra) và Hành động cụ thể (biện pháp thực thi) để xác định chính sách DLP. Để sử dụng bảng này, bạn phải:

Chọn một sự kiện của người dùng.
Liên kết các giá trị điều kiện với các lựa chọn tương ứng.
Chọn một hành động.

Trường hợp sử dụng	Sự kiện của người dùng	Điều kiện	Hành động
Chặn tải tệp xuống từ Google Drive	Đã tải tệp xuống	Loại nội dung: URL&ast; Kết quả phù hợp: Chứa chuỗi văn bản Giá trị: drive.google.com	Chặn
Cảnh báo người dùng nếu một tệp đã tải xuống chứa hơn 30 địa chỉ email	Đã tải tệp xuống	Loại nội dung: Tất cả nội dung Kết quả phù hợp: Khớp với loại dữ liệu định sẵn Cài đặt: Loại dữ liệu: Địa chỉ email toàn cầu, Khả năng khớp trung bình, Số kết quả khớp duy nhất tối thiểu là 30	Cho phép kèm theo nhắc nhở
Chặn tải tệp lên các trang web mạng xã hội	Tải tệp lên	Loại nội dung: Danh mục URL Kết quả phù hợp: Chọn danh mục Giá trị: Mạng xã hội	Chặn
Chặn tải tệp hình ảnh có kích thước lớn hơn 10 kilobyte xuống	Đã tải tệp xuống	Điều kiện 1: Kích thước tệp Kết quả phù hợp: Nhiều hơn Giá trị: 10.000 byte VÀ Điều kiện 2: Loại tệp Kết quả phù hợp: Khớp với danh mục tệp hệ thống Giá trị: Hình ảnh	Chặn
Ghi nhật ký các trường hợp số an sinh xã hội của Hoa Kỳ được chuyển trong các tệp ở ChromeOS	Chuyển tệp	Loại nội dung: Tất cả nội dung Kết quả phù hợp: Khớp với loại dữ liệu định sẵn Cài đặt: Loại dữ liệu: Số an sinh xã hội của Hoa Kỳ, Khả năng khớp trung bình, Số kết quả khớp duy nhất tối thiểu là 1, Số kết quả khớp tối thiểu là 1	Chỉ kiểm tra
Chặn người dùng dán nội dung được sao chép từ Gmail (mail.google.com)	Đã dán nội dung	Loại nội dung: URL nguồn&ast; Kết quả phù hợp: Chứa chuỗi văn bản Giá trị: mail.google.com	Chặn
Áp dụng hình mờ hoặc hạn chế ảnh chụp màn hình khi người dùng truy cập vào các trang web nhạy cảm được chỉ định	URL đã truy cập	Loại nội dung: URL&ast; hoặc Danh mục URL Kết quả phù hợp: Chọn kết quả phù hợp thích hợp Giá trị: URL hoặc danh mục nhạy cảm cụ thể	Cho phép kèm theo nhắc nhở / Chỉ kiểm tra (đã chọn Thêm hình mờ và/hoặc Hạn chế ảnh chụp màn hình)
Chặn tải tệp lên tài khoản Google Drive cá nhân	Tệp đã tải lên	Điều kiện 1: Loại nội dung: URL Kết quả phù hợp: Chứa chuỗi văn bản Giá trị: drive.google.com VÀ Điều kiện 2: Loại nội dung: Tài khoản đã đăng nhập vào ứng dụng web Kết quả phù hợp: Không khớp với tên miền Giá trị: your-organization-domain-name.com	Chặn

&ast;Nếu một URL mà bạn đang lọc đã được truy cập gần đây, thì URL đó sẽ được lưu vào bộ nhớ đệm trong vài phút và có thể không được lọc thành công theo một quy tắc mới (hoặc đã sửa đổi) cho đến khi bộ nhớ đệm được xoá. Vui lòng đợi khoảng 5 phút trước khi kiểm thử một quy tắc mới hoặc đã sửa đổi.

Xem xét, giám sát và điều tra cảnh báo

Sau khi tạo quy tắc DLP, bạn có thể xem xét các hành động của người dùng, chẳng hạn như tải lên và tải xuống hoặc sao chép và dán dữ liệu trong trình duyệt Chrome. Sau đó, bạn có thể:

Xem báo cáo trong trang tổng quan về bảo mật. Các báo cáo liên quan đến Chrome Enterprise Premium bao gồm:
- Báo cáo tóm tắt về biện pháp bảo vệ trước các mối đe doạ trên Chrome
- Báo cáo tóm tắt về việc bảo vệ dữ liệu trên Chrome
- Báo cáo về người dùng có rủi ro cao trên Chrome
- Báo cáo về miền có rủi ro cao trên Chrome
- Để biết thông tin chi tiết, hãy chuyển đến phần Sử dụng trang tổng quan về bảo mật.
Điều tra cảnh báo về các sự cố chia sẻ dữ liệu bằng công cụ điều tra bảo mật. Để biết thông tin chi tiết, hãy chuyển đến phần Giới thiệu về công cụ điều tra bảo mật.
Xem thông tin chi tiết về các sự cố trong phần Sự kiện trong nhật ký quy tắc.
Điều tra các trường hợp vi phạm quy tắc DLP để xác định xem đó là sự cố thực hay kết quả dương tính giả. Để biết thông tin chi tiết, hãy chuyển đến phần Xem nội dung kích hoạt quy tắc DLP.

Sử dụng Chrome Enterprise Premium để tích hợp DLP với Chrome Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.