U moet de Chrome Enterprise Premium-add-on hebben voor deze functie.
U kunt Chrome Enterprise Premium gebruiken met regels voor gegevensverlies voorkomen (Data Loss Prevention, DLP) om gebruikersacties te controleren in de Chrome-browser en op Windows-, Mac-, Linux- en ChromeOS-apparaten. U kunt maximaal 10 MB aan tekstcontent in een bestand scannen om automatisch gegevens te detecteren die worden geopend, geüpload, gedownload, geplakt of overgezet. Gebruik DLP-regels met Chrome Enterprise Premium om gevoelige informatie te beheren, zoals nationale identificatienummers of creditcardnummers.
- Voordat u begint
- Inzicht in gebruikersgebeurtenissen (triggers)
- Inzicht in DLP-voorwaarden
- Inzicht in DLP-acties
- Een regio kiezen voor uw gegevens
- OCR aanzetten
- Een DLP-regel maken
- Veelvoorkomende use cases
- Meldingen beoordelen, controleren en onderzoeken
Voordat u begint
Stel uw beleid voor Chrome Enterprise Connectors in. Ga naar Beleid voor Chrome Enterprise Connectors instellen voor Chrome Enterprise Premium voor de stappen.
Inzicht in gebruikersgebeurtenissen (triggers)
Voordat u definieert naar welke content of context uw regel moet zoeken, moet u de gebruikersgebeurtenis aangeven die het scanproces start. Deze gebeurtenis is de trigger voor de hele regel. De gebeurtenis die u selecteert, bepaalt de opties voor Contenttype dat moet worden gescand die beschikbaar zijn voor uw regel.
U kunt een van de volgende gebruikersgebeurtenissen selecteren:
- Bestand geüpload: Een gebruiker uploadt een bestand vanaf hun apparaat in de Chrome-browser.
- Bestand gedownload: Een gebruiker downloadt een bestand naar hun apparaat.
- Content geplakt: Een gebruiker plakt content in een webpagina.
- Content afgedrukt: Een gebruiker drukt de content van een webpagina af.
- URL bezocht: Een gebruiker navigeert naar een URL.
Inzicht in DLP-voorwaarden
Als u een DLP-regel maakt, stelt u voorwaarden in die bepalen op welke content of activiteit moet worden gescand. U kunt meerdere voorwaarden combineren om specifieke regels te maken.
De beschikbare opties voor Contenttype dat moet worden gescand variëren afhankelijk van welke gebruikersgebeurtenis is geselecteerd om de scan te starten, zoals Bestand geüpload, Bestand gedownload, Content geplakt, Content afgedrukt, URL bezocht, enzovoort.
| Contenttype dat moet worden gescand | Waarop moet worden gescand | Details en gebruik |
|---|---|---|
| Alle content | Komt overeen met vooraf ingesteld gegevenstype | Scant alle content op gevoelige informatie die overeenkomt met een vooraf gedefinieerd gegevenstype, zoals Wereldwijd - E-mailadres of Verenigde Staten - Nationaal identificatienummer. U kunt een waarschijnlijkheidsdrempelwaarde en een minimum instellen voor unieke of totale overeenkomsten. |
| Hoofdtekst |
Bevat tekenreeks Komt overeen met woorden in woordenlijst Komt overeen met reguliere expressie |
Scant de hoofdtekst (body) van een webpagina of bestand op specifieke tekst, woorden uit een aangepaste lijst of patronen die zijn gedefinieerd door een reguliere expressie. |
| Bestandsgrootte |
Is groter dan Is kleiner dan Is gelijk aan |
Stelt een drempelwaarde voor de bestandsgrootte (in bytes) in om de regel te activeren op basis van uw vergelijking. |
| Bestandstype |
Komt overeen met systeembestandscategorie Komt overeen met specifiek MIME-type |
Filtert wat moet worden gescand op basis van vooraf gedefinieerde bestandscategorieën, zoals Afbeelding of Uitvoerbaar bestand, of op basis van een specifiek MIME-type. Meer informatie over MIME-typen op basis van bestandscategorie. |
| Broncontext van Chrome | Specifieke kenmerken van de Chrome-browser | Scant op interne Chrome-kenmerken om de omgeving of status van de browser te bepalen. De regel is van toepassing als de context een van de volgende waarden is: Incognito, Klembord of Ander profiel. |
| Bron-URL |
Bevat tekenreeks Komt overeen met woorden in woordenlijst Komt overeen met reguliere expressie |
Scant de URL waar de content vandaan komt op specifieke tekst, woorden uit een aangepaste lijst of patronen. |
| Categorie van bron-URL |
Selecteer een categorie |
Werkt met de gebruikersgebeurtenis, zoals Content geplakt, om te controleren of een bron-URL tot een vooraf gedefinieerde categorie behoort, zoals Sociale netwerken of Nieuws. |
| Titel |
Bevat tekenreeks Komt overeen met woorden in woordenlijst Komt overeen met reguliere expressie |
Scant de titel van de webpagina of het document dat bij de actie is betrokken op specifieke tekst, woorden uit een aangepaste lijst of patronen. |
| URL |
Bevat tekenreeks Komt overeen met woorden in woordenlijst Komt overeen met reguliere expressie |
Scant de URL die bij de actie is betrokken op specifieke tekst, woorden uit een aangepaste lijst of patronen. Deze scan omvat ook de URL's van content die in ingesloten iframes wordt geladen. |
| URL-categorie | Selecteer een categorie | Controleert of de URL die bij de actie is betrokken tot een vooraf gedefinieerde categorie behoort, zoals Sociale netwerken, Games of Kansspelen. Deze scan omvat ook de URL's van content die in ingesloten iframes wordt geladen. |
Opmerking: De trigger URL bezocht scant geen URL's of bijbehorende categorieën in ingesloten iframes.
Inzicht in DLP-acties
Als aan een voorwaarde wordt voldaan, kan uw regel een van deze acties afdwingen:
| Actie (voor de Chrome-browser en ChromeOS) | Beschrijving | Optionele instellingen |
|---|---|---|
| Blokkeren | Hiermee wordt voorkomen dat de gebruiker de actie kan afronden, zoals een bestand uploaden. De gebruiker krijgt een foutmelding of een aangepast bericht. | Bericht aanpassen: Toon de gebruiker een aangepast bericht (maximaal 300 tekens, ondersteunt hyperlinks) waarin wordt uitgelegd waarom de actie is geblokkeerd. |
| Toestaan met waarschuwing | Hiermee kan de gebruiker doorgaan na een waarschuwingsbericht. Als de gebruiker ervoor kiest om door te gaan, wordt dit vastgelegd in de logboekgebeurtenissen. |
Bericht aanpassen: Toon een aangepast waarschuwingsbericht. Watermerk toevoegen aan paginacontent: Bij acties op basis van bezochte URL's wordt een doorschijnend watermerk en de tekst Vertrouwelijk of een aangepast bericht over de webpagina geplaatst. Content van screenshots en scherm delen beperken: Voor acties op basis van bezochte URL's op Mac en Windows worden screenshots en scherm delen op de bijbehorende pagina's geblokkeerd. Content wordt onleesbaar gemaakt in screenshots (Windows) of verdwijnt (Mac). |
| Alleen controle | Hiermee kan de gebruiker zonder onderbreking doorgaan en wordt de gebeurtenis opgeslagen in het logboek voor beoordeling. |
Watermerk toevoegen aan paginacontent: Bij acties op basis van bezochte URL's wordt een doorschijnend watermerk en de tekst Vertrouwelijk of een aangepast bericht over de webpagina geplaatst. Content van screenshots en scherm delen beperken: Voor acties op basis van bezochte URL's op Mac en Windows worden screenshots en scherm delen op de bijbehorende pagina's geblokkeerd. Content wordt onleesbaar gemaakt in screenshots (Windows) of verdwijnt (Mac). |
Belangrijk: Voor de gebruikersgebeurtenissen Bestand geüpload en Content geplakt hangt het blokkeergedrag af van de instellingen Bestandsupload vertragen en Tekstinvoer vertragen in uw beleid voor Chrome Enterprise Connectors. Ga voor meer informatie naar Analyse geüploade content en Contentanalyse van bulktekst.
Een regio kiezen voor uw gegevens
U kunt uw DLP- en malwarescans opslaan in een specifieke regio, bijvoorbeeld de Verenigde Staten of Europa. U kunt een regio kiezen om een gegevenslocatie te bepalen. Dit is een vereiste voor veel nalevingsovereenkomsten. Ga naar Een geografische regio kiezen voor uw gegevens voor meer informatie.
OCR aanzetten
Zet Optical Character Recognition (OCR) aan zodat Chrome kan scannen op gevoelige content in afbeeldingen in bestanden en pdf's. OCR scant geüploade, gedownloade en afgedrukte bmp-, gif-, jpeg-, png- en tif-bestanden. Als u OCR aanzet, wordt dit toegepast op alle DLP-regels. U kunt de instelling niet selectief toepassen op specifieke regels.
Zo zet u OCR aan:
-
Log in met een beheerdersaccount op de Google Beheerdersconsole.
Als je geen beheerdersaccount gebruikt, heb je geen toegang tot de Beheerdersconsole.
-
Ga naar Menu
Beveiliging > Toegangs- en gegevenscontrole > Gegevensbescherming.
Hiervoor zijn de beheerdersrechten 'DLP-regels bekijken' en 'DLP-regels beheren' vereist.
- Ga naar Instellingen voor gegevensbescherming en klik op Optical Character Recognition (OCR).
- Zet Voor Google Chrome aan.
- Klik op Opslaan.
Een DLP-regel maken
Nadat u OCR heeft aangezet en de voorwaarden en acties voor uw regel heeft bepaald, maakt u de DLP-regel. Ga naar Een DLP-regel maken voor meer informatie.
Veelvoorkomende use cases
De volgende tabel bevat voorbeelden van hoe u een gebruikersgebeurtenis (de trigger), voorwaarden (wat wordt gecontroleerd) en een specifieke actie (de afdwinging) combineert om uw DLP-beleid te definiëren. Als u deze tabel wilt gebruiken, moet u het volgende doen:
- Selecteer een gebruikersgebeurtenis.
- Wijs voorwaarden toe aan de bijbehorende opties.
- Selecteer een actie.
| Use case | Gebruikersgebeurtenis | Voorwaarden | Actie |
| Voorkomen dat bestanden worden gedownload uit Google Drive | Bestand gedownload |
Contenttype: URL* Overeenkomst: Bevat tekenreeks Waarde: drive.google.com |
Blokkeren |
| De gebruiker waarschuwen als een gedownload bestand meer dan 30 e-mailadressen bevat | Bestand gedownload |
Contenttype: Alle content Overeenkomst: Komt overeen met vooraf ingesteld gegevenstype Instellingen: Gegevenstype: Wereldwijd - E-mailadres, Waarschijnlijkheid: Gemiddeld, Minimumaantal unieke overeenkomsten: 30 |
Toestaan met waarschuwing |
| Bestandsuploads naar socialmedia-sites blokkeren | Bestand uploaden |
Contenttype: URL-categorie Overeenkomst: Selecteer een categorie Waarde: Sociale netwerken |
Blokkeren |
| Voorkomen dat afbeeldingsbestanden van meer dan 10 kilobytes worden gedownload | Bestand gedownload |
Voorwaarde 1: Bestandsgrootte Overeenkomst: Is groter dan Waarde: 10.000 bytes EN Voorwaarde 2: Bestandstype Overeenkomst: Komt overeen met systeembestandscategorie Waarde: Afbeelding |
Blokkeren |
| Instanties in het logboek registreren waarbij Amerikaanse Social Security Numbers worden overgedragen in bestanden in ChromeOS | Bestandsoverdracht |
Contenttype: Alle content Overeenkomst: Komt overeen met vooraf ingesteld gegevenstype Instellingen: Gegevenstype: Verenigde Staten - Social Security Number, Waarschijnlijkheid: Gemiddeld, Minimale unieke overeenkomsten: 1, Minimaal aantal overeenkomsten: 1 |
Alleen controle |
| Voorkomen dat gebruikers content plakken die is gekopieerd uit Gmail (mail.google.com) | Content geplakt |
Contenttype: Bron-URL* Overeenkomst: Bevat tekenreeks Waarde: mail.google.com |
Blokkeren |
| Een watermerk toepassen of screenshots beperken als gebruikers bepaalde gevoelige websites bezoeken | URL bezocht |
Contenttype: URL* of URL-categorie Overeenkomst: Selecteer de juiste overeenkomst Waarde: De specifieke gevoelige URL of categorie |
Toestaan met waarschuwing / Alleen controle (met Watermerk toevoegen en/of Screenshot beperken geselecteerd) |
Meldingen beoordelen, controleren en onderzoeken
Nadat u DLP-regels heeft gemaakt, kunt u gebruikersacties controleren, zoals gegevens uploaden en downloaden of kopiëren en plakken in de Chrome-browser. U kunt dan het volgende doen:
- Rapporten bekijken op het beveiligingsdashboard. Aan Chrome Enterprise Premium gerelateerde rapporten zijn onder andere:
- Rapport Overzicht van bescherming tegen bedreigingen in Chrome
- Rapport Overzicht van gegevensbeveiliging in Chrome
- Rapport Chrome-gebruikers die veel risico lopen
- Rapport Chrome-domeinen die veel risico lopen
- Ga naar Het beveiligingsdashboard gebruiken voor meer informatie.
- Gebruik de tool voor beveiligingsonderzoek om meldingen te onderzoeken waarin wordt aangegeven dat er incidenten zijn geweest met het delen van gegevens. Ga naar Over de tool voor beveiligingsonderzoek voor meer informatie.
- Bekijk de details van incidenten bij Gebeurtenissen in het logboek Regels.
- Onderzoek schendingen van DLP-regels om te bepalen of het echte incidenten of valse positieven zijn. Ga naar Content bekijken waardoor DLP-regels worden getriggerd voor meer informatie.
