Используйте пользовательские списки URL-адресов для защиты от утечки данных в Chrome.

Списки URL-адресов доступны для клиентов, купивших Chrome Enterprise Premium. Подробную информацию об интеграции DLP с Chrome Enterprise Premium см. в разделе «Использование Chrome Enterprise Premium для интеграции DLP с Chrome» .

Чтобы усилить правила предотвращения потери данных (DLP) в браузере Chrome, создайте пользовательский список URL-адресов. С помощью пользовательских списков URL-адресов вы можете использовать настройки правил для блокировки доступа пользователей к определенным ссылкам, предупреждения пользователей о рискованных ссылках перед разрешением перехода по ним или записи журнала посещений определенных ссылок.

Что такое список URL-адресов?

Список URL-адресов — это набор URL-адресов, которые можно использовать в правилах DLP Chrome. Их можно использовать вместе с другими сопоставителями и пользовательскими правилами DLP.

Поддерживаемые форматы списков URL-адресов

Основной формат записи в списке URL-адресов — <хост>/<путь> . Поддерживаются номера портов, литералы IPv4 и литералы IPv6. Примеры допустимых URL-адресов в списках URL-адресов включают следующее:

  • example.com
  • example.com:3000
  • subdomain.example.com
  • example.com/a/long/path
  • 192.168.0.1
  • [2001:db8:85a3:0:0:8a2e:370:7334]/Path

Хотя регистр символов в имени хоста не имеет значения, в пути он имеет значение. Поэтому запись в списке URL-адресов, заканчивающаяся на /path, отличается от записи в списке URL-адресов, заканчивающейся на /Path .

Неподдерживаемые форматы и параметры списков URL-адресов

Следующие форматы и параметры URL-адресов не поддерживаются в пользовательских списках URL-адресов. Если они используются, то игнорируются и не сохраняются в составе записи:

  • Схема URL (https://example.com сохранен в списке URL как example.com)
  • Параметры запроса (example.com?user=1 сохраняется в списке URL-адресов как example.com)
  • Якоря (например, example.com#section1 сохранен в списке URL как example.com)
  • В конце URL-адреса ставится косая черта (например, example.com/ сохраняется в списке URL-адресов как example.com).

Пример пользовательского списка URL-адресов

Допустим, у вас есть пользовательский список URL-адресов, включающий следующие 6 записей:

  1. example.com/path/1
  2. example.com/Path
  3. subdomain.example3.com
  4. 192.168.0.1
  5. [1:2:3:4:5:6:7:8]:3000
  6. 192.168.0.2/path

При создании правила, которое установлено в режим «Активно» и использует этот список в качестве условия, каждый URL-адрес, введенный пользователем в адресную строку, проверяется на соответствие этому списку, и любое совпадение запускает действие правила.

Примечание : Имейте в виду, что IP-адрес и его DNS-сопоставленное доменное имя представляют собой два разных URL-адреса, которые можно проверить по списку URL-адресов.

В таблице ниже приведены примеры URL-адресов, которые может посетить пользователь, и объясняется, почему тот или иной URL-адрес может или не может активировать правило.

URL-адрес, введенный в адресную строку Приводит ли это к срабатыванию правила?
http://example.com/path/1?param1=1#heading Да. Поскольку схема, параметр запроса и якорь игнорируются, формат этого URL-адреса соответствует первому URL-адресу в вашем списке.
https://subdomain.examPLE.com/path/1/2/3 Да. Поскольку схема игнорируется, а имя хоста не чувствительно к регистру в списках URL-адресов, формат этого URL-адреса соответствует первому URL-адресу в вашем списке.
http://example.com/path Нет. Поскольку путь в списках URL-адресов чувствителен к регистру, и ни один путь из вашего списка не является подстрокой этого пути, форматирование этого URL-адреса не соответствует ни одному URL-адресу в вашем списке.
https://example3.com/Path Нет. Поскольку в вашем списке URL-адресов для example3.com присутствует поддомен, которого нет в этом URL, совпадение не найдено.
http://192.168.0.1:8080/1/2/3 Да. Четвертый URL в вашем списке является подстрокой этого URL, поэтому совпадение найдено.
https://[01:02:03:04:05:06:07:08]:3000 Да. Адрес этого URL-адреса представляет собой IPv6-литерал, поэтому он сравнивается с вашим списком URL-адресов в сокращенной форме и совпадает с пятым URL-адресом в вашем списке.
http://192.168.0.2/path1234/2#heading Да. Шестой URL в вашем списке является подстрокой этого URL, поэтому совпадение найдено.
https://[1.2.3.4.5.6.7.8]/Path Нет. Хотя этот URL-адрес имеет тот же хост, что и пятый URL-адрес в вашем списке, он не содержит порт этого URL-адреса. Поэтому совпадения нет.

Ограничения по размеру для списков URL-адресов

  • Максимальная длина каждой записи в списке URL-адресов составляет 150 символов.
  • Максимальное количество записей в списке URL-адресов составляет 20 000 или общий размер 1 МБ, в зависимости от того, что будет достигнуто раньше.
  • Максимальное количество URL-адресов, разрешенных для одного домена, составляет 800 или 60 КБ, в зависимости от того, какое значение будет достигнуто раньше. Например, домен example.com не может содержать более 800 URL-адресов в одном списке.

Используйте список URL-адресов для DLP в Chrome.

Для использования списка URL-адресов в целях защиты от утечки данных (DLP) в Chrome необходимо создать детектор списка URL-адресов и правило, которое включает этот список URL-адресов в качестве одного из своих условий.

Шаг 1: Создайте детектор списков URL-адресов.

Перед началом работы : Если вам необходимо создать отдел или команду для этих настроек, перейдите в раздел «Добавить организационное подразделение» .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Защита данных .

    Для этого требуются права администратора «Просмотр правил DLP» и «Управление правилами DLP» .

  2. В разделе «Правила защиты данных и детекторы» нажмите «Управление детекторами» .
  3. Нажмите « Добавить детектор» а потом Список URL-адресов .
  4. В разделе «Имя» введите имя и, при желании, описание.
  5. Выберите один из следующих вариантов:
    • Если ваш список URL-адресов короткий или вы хотите добавить несколько адресов к существующему списку, выберите «Добавить URL» . Введите ваши URL-адреса в текстовое поле, разделяя каждый адрес запятой.
    • Чтобы загрузить CSV-файл с URL-адресами или отредактировать существующий список, выберите «Массовое обновление URL-адресов» .
      • Чтобы экспортировать детекторы, содержащие списки URL-адресов, нажмите «Экспорт детекторов» .
  6. Нажмите «Создать» .

Шаг 2: Создайте правило DLP с условием «список URL-адресов».

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Защита данных .

    Для этого требуются права администратора «Просмотр правил DLP» и «Управление правилами DLP» .

  2. В разделе «Правила и средства обнаружения защиты данных» нажмите «Управление правилами». а потом Добавить правило а потом Новое правило .
  3. Введите название и, при желании, описание правила.
  4. В разделе «Приложения» выберите Google Chrome , а затем выберите параметр, который запускает правило (например, «Посещенный URL »).
  5. Нажмите «Продолжить» .
  6. В разделе «Действия» для Chrome выберите действие (например, «Блокировать »).
  7. Нажмите «Продолжить» .
  8. В разделе «Область применения» нажмите «Все в вашей организации» .
    • (Необязательно) Чтобы включить или исключить организационные подразделения или группы, к которым применяется правило, выберите соответствующий вариант. Примечание : Организационные подразделения могут содержать любое сочетание устройств и пользователей. В случае конфликта между организационными подразделениями и группами приоритет отдается группе.
  9. В разделе «Условия содержимого» нажмите «Добавить условие» , а затем настройте условие следующим образом:
    • Для выбора типа контента для сканирования выберите URL .
    • Для параметра «Что сканировать» выберите «Соответствует URL-адресу» из списка URL-адресов .
    • Для поля «Список URL-адресов» выберите название списка URL-адресов, созданного вами на шаге 1.
  10. Нажмите «Продолжить» .
  11. На странице с подробными сведениями о правиле выберите статус:
    • Активно — Ваше правило вступает в силу немедленно.
    • Неактивное правило — ваше правило не срабатывает немедленно, что дает вам время протестировать его и поделиться им с заинтересованными сторонами. Если вы хотите активировать неактивное правило, выполните действия, описанные в разделе «Активация неактивного правила» на этой странице.
  12. Нажмите «Создать» .

Активировать неактивное правило

Если у вас есть неактивное правило, вы можете активировать его следующим образом:

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Защита данных .

    Для этого требуются права администратора «Просмотр правил DLP» и «Управление правилами DLP» .

  2. В разделе «Правила и средства защиты данных » нажмите «Управление правилами» .
  3. В столбце «Статус» для правила, которое вы хотите активировать, щелкните «Неактивное» , а затем выберите «Активное» .
  4. В поле «Деактивировать правило» нажмите «Подтвердить» .