Benutzerdefinierte URL-Listen für DLP in Chrome verwenden

URL-Listen sind für die Kunden verfügbar, die Chrome Enterprise Premium erworben haben. Weitere Informationen zur DLP-Integration in Chrome Enterprise Premium finden Sie unter Mit Chrome Enterprise Premium Schutz vor Datenverlust in Chrome einbinden.

Um Ihre Regeln zum Schutz vor Datenverlust (Data Loss Prevention, DLP) im Chrome-Browser zu optimieren, können Sie eine benutzerdefinierte URL-Liste erstellen. Mit benutzerdefinierten URL-Listen können Sie mithilfe von Regeleinstellungen den Nutzerzugriff auf bestimmte Links blockieren, Nutzer vor riskanten Links warnen, bevor sie fortfahren, oder einen Prüfpfad für Besuche bestimmter Links aufzeichnen.

Was ist eine URL-Liste?

Eine URL-Liste ist eine Sammlung von URLs, die Sie in Chrome-DLP-Regeln verwenden können. Sie können sie zusammen mit anderen Abgleichsfunktionen und benutzerdefinierten DLP-Regeln verwenden.

Unterstützte Formate für URL-Listen

Das grundlegende Format eines URL-Listeneintrags ist <host>/<path>. Portnummern, IPv4-Literale und IPv6-Literale werden unterstützt. Nachstehend einige Beispiele für gültige URLs für URL-Listen:

  • example.com
  • example.com:3000
  • subdomain.example.com
  • example.com/a/long/path
  • 192.168.0.1
  • [2001:db8:85a3:0:0:8a2e:370:7334]/Path

Beim Host wird nicht die Groß-/Kleinschreibung beachtet, beim Pfad jedoch schon. Ein URL-Listeneintrag, der mit /path endet, unterscheidet sich also von einem URL-Listeneintrag, der mit /Path endet.

Nicht unterstützte Formate und Parameter für URL-Listen

Die folgenden URL-Formate und Parameter werden in benutzerdefinierten URL-Listen nicht unterstützt. Bei Verwendung werden sie ignoriert und nicht als Teil des Eintrags gespeichert:

  • Ein URL-Schema (https://beispiel.de wird in der URL-Liste als beispiel.de gespeichert)
  • Suchparameter (example.com?user=1 wird in der URL-Liste als example.com gespeichert)
  • Anker (example.com#section1 wird in der URL-Liste als example.com gespeichert)
  • Ein nachgestellter Schrägstrich am Ende einer URL (beispiel.de/ wird in der URL-Liste als beispiel.de gespeichert)

Beispiel für eine Liste benutzerdefinierter URLs

Angenommen, Sie haben eine benutzerdefinierte URL-Liste mit den folgenden sechs Einträgen:

  1. beispiel.de/pfad/1
  2. beispiel.de/Pfad
  3. subdomain.example3.com
  4. 192.168.0.1
  5. [1:2:3:4:5:6:7:8]:3000
  6. 192.168.0.2/path

Wenn Sie eine Regel erstellen, die auf Aktiv festgelegt ist und die diese Liste als Bedingung verwendet, wird jede URL, die ein Nutzer in die Adressleiste eingibt, mit der Liste abgeglichen. Bei Übereinstimmungen wird die Regel ausgelöst.

Hinweis: Eine IP-Adresse und der zugehörige Domainname mit DNS-Zuordnung stellen zwei unterschiedliche URLs dar, die mit einer URL-Liste abgeglichen werden können.

Die folgende Tabelle enthält Beispiele für URLs, die ein Nutzer möglicherweise aufruft, und erläutert, warum die URL die Regel auslösen würde oder nicht.

In die Adressleiste eingegebene URL Wird die Regel ausgelöst?
http://example.com/path/1?param1=1#heading Ja. Da das Schema, der Suchparameter und der Anker ignoriert werden, stimmt die Formatierung dieser URL mit der ersten URL in Ihrer Liste überein.
https://subdomain.examPLE.com/path/1/2/3 Ja. Da das Schema ignoriert wird und beim Hostnamen in URL-Listen die Groß-/Kleinschreibung nicht beachtet wird, stimmt die Formatierung dieser URL mit der ersten URL in Ihrer Liste überein.
http://example.com/path Nein. Da beim Pfad in URL-Listen die Groß-/Kleinschreibung beachtet wird und kein Pfad aus Ihrer Liste ein Teilstring dieses Pfads ist, stimmt die Formatierung dieser URL mit keiner URL in Ihrer Liste überein.
https://example3.com/Path Nein. Da Ihr URL-Listeneintrag für example3.com eine Subdomain enthält, die in dieser URL nicht enthalten ist, liegt keine Übereinstimmung vor.
http://192.168.0.1:8080/1/2/3 Ja. Die vierte URL in Ihrer Liste ist ein Teilstring dieser URL. Daher gibt es eine Übereinstimmung.
https://[01:02:03:04:05:06:07:08]:3000 Ja. Die Adresse dieser URL ist ein IPv6-Literal. Sie wird daher in der Kurzform mit Ihrer URL-Liste verglichen und stimmt mit der fünften URL in Ihrer Liste überein.
http://192.168.0.2/path1234/2#heading Ja. Die sechste URL in Ihrer Liste ist ein Teilstring dieser URL. Daher gibt es eine Übereinstimmung.
https://[1.2.3.4.5.6.7.8]/Path Nein. Diese URL hat zwar denselben Host wie die fünfte URL in Ihrer Liste, aber nicht den Port dieser URL. Es gibt also keine Übereinstimmung.

Größenbeschränkungen für URL-Listen

  • Die maximale Länge jedes URL-Listeneintrags beträgt 150 Zeichen.
  • Die maximale Anzahl von Einträgen in der URL-Liste beträgt 20.000 oder die Gesamtgröße 1 MB, je nachdem, was zuerst erreicht wird.
  • Die maximal zulässige Anzahl von URLs für eine einzelne Domain beträgt 800 oder 60 KB, je nachdem, was zuerst erreicht wird. Die Domain example.com darf beispielsweise nicht mehr als 800 URLs in einer einzelnen URL-Liste enthalten.

URL-Liste für DLP in Chrome verwenden

Wenn Sie eine URL-Liste für DLP in Chrome verwenden möchten, müssen Sie einen URL-Listendetektor und eine Regel erstellen, die die URL-Liste als eine ihrer Bedingungen enthält.

Schritt 1: URL-Listendetektor erstellen

Hinweis: Wenn Sie für diese Einstellung eine Abteilung oder ein Team einrichten möchten, lesen Sie den Hilfeartikel Organisationseinheit hinzufügen.

  1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannDatenschutz.

    Hierfür benötigen Sie die Administratorberechtigungen DLP-Regel ansehen und DLP-Regel verwalten.

  2. Klicken Sie im Bereich Datenschutzregeln und Detektoren auf Detektoren verwalten.
  3. Klicken Sie auf Detektor hinzufügenund dannURL-Liste.
  4. Geben Sie im Abschnitt Name einen Namen und optional eine Beschreibung ein.
  5. Wählen Sie eine der folgenden Optionen aus:
    • Wenn Ihre URL-Liste kurz ist oder Sie einer vorhandenen Liste einige URLs hinzufügen möchten, wählen Sie URL hinzufügen aus. Geben Sie die URLs in das Textfeld ein und trennen Sie sie durch Kommas.
    • Wenn Sie eine CSV-Datei mit URLs hochladen oder eine vorhandene Liste bearbeiten möchten, wählen Sie URLs per Bulk-Update aktualisieren aus.
      • Wenn Sie Detektoren mit URL-Listen exportieren möchten, klicken Sie auf Detektoren exportieren.
  6. Klicken Sie auf Erstellen.

Schritt 2: DLP-Regel mit einer URL-Listenbedingung erstellen

  1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannDatenschutz.

    Hierfür benötigen Sie die Administratorberechtigungen DLP-Regel ansehen und DLP-Regel verwalten.

  2. Klicken Sie im Bereich Datenschutzregeln und Detektoren auf Regeln verwaltenund dannRegel hinzufügenund dannNeue Regel.
  3. Geben Sie einen Namen und, wenn Sie möchten, eine Beschreibung für die Regel ein.
  4. Wählen Sie im Bereich Apps die Option Google Chrome und dann die Option aus, die die Regel auslöst (z. B. Aufgerufene URL).
  5. Klicken Sie auf Weiter.
  6. Wählen Sie im Abschnitt Aktionen unter „Chrome“ eine Aktion aus, z. B. Blockieren.
  7. Klicken Sie auf Weiter.
  8. Klicken Sie im Bereich Geltungsbereich auf Alle in Ihrer Organisation.
    • Optional: Wenn Sie Organisationseinheiten oder Gruppen, auf die die Regel angewendet wird, ein- oder ausschließen möchten, klicken Sie auf die entsprechende Option. Hinweis: Organisationseinheiten können eine beliebige Kombination aus Geräten und Nutzern enthalten. Gibt es einen Konflikt zwischen Organisationseinheiten und Gruppen, hat die Gruppe Vorrang.
  9. Klicken Sie im Abschnitt Inhaltsbedingungen auf Bedingung hinzufügen und konfigurieren Sie die Bedingung so:
    • Wählen Sie unter Zu scannender Inhaltstyp die Option URL aus.
    • Wählen Sie unter Wonach soll gesucht werden? die Option Stimmt mit einer URL aus einer URL-Liste überein aus.
    • Wählen Sie unter URL-Liste den Namen der URL-Liste aus, die Sie in Schritt 1 erstellt haben.
  10. Klicken Sie auf Weiter.
  11. Wählen Sie auf der Seite Regeldetails einen Status aus:
    • Aktiv: Ihre Regel wird sofort ausgeführt.
    • Inaktiv: Ihre Regel wird nicht sofort ausgeführt. So haben Sie Zeit, sie zu testen und mit Stakeholdern zu teilen. Wenn Sie eine inaktive Regel aktivieren möchten, folgen Sie der Anleitung unter Inaktive Regel aktivieren auf dieser Seite.
  12. Klicken Sie auf Erstellen.

Inaktive Regel aktivieren

So aktivieren Sie eine inaktive Regel:

  1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannDatenschutz.

    Hierfür benötigen Sie die Administratorberechtigungen DLP-Regel ansehen und DLP-Regel verwalten.

  2. Klicken Sie im Bereich Datenschutzregeln und Detektoren auf Regeln verwalten.
  3. Klicken Sie in der Spalte Status für die Regel, die Sie aktivieren möchten, auf Inaktiv und wählen Sie dann Aktiv aus.
  4. Klicken Sie im Feld Regel deaktivieren auf Bestätigen.