Как использовать BeyondCorp Threat and Data Protection для защиты от потери данных в Chrome

Интеграция защиты от потери данных в Chrome с помощью BeyondCorp

Функции BeyondCorp Threat and Data Protection доступны только пользователям с лицензией BeyondCorp Enterprise.

С помощью инструмента BeyondCorp Threat and Data Protection можно интегрировать функцию "Защита от потери данных" (DLP) в Chrome для возможности обнаруживать конфиденциальные данные в файлах, передаваемых или получаемых пользователями браузера, а также конфиденциальный контент, который пользователи вставляют или перетаскивают в браузере.

Это позволит вам контролировать, какими данными могут делиться пользователи Chrome, например номерами социального страхования или данными кредитных карт. Такая возможность доступна только в браузере Chrome на устройствах под управлением Windows, macOS, Linux и Chrome OS. Другие платформы в настоящее время не поддерживаются.

BeyondCorp и функция DLP

Интеграция DLP в Chrome доступна в подписке на набор функций BeyondCorp, который является частью системы безопасности Google Cloud Platform. Настройка интеграции DLP выполняется с помощью функций Google Workspace.

Возможности, предоставляемые BeyondCorp:

  • доступ к функциям управления Chrome;
  • настройка коннекторов Chrome;
  • настройка правил DLP в разделе "Безопасность" в Google Workspace (описана далее в этой статье);
  • оповещения о событиях безопасности, отправляемые Chrome (например, об обнаружении вредоносного ПО, конфиденциальных данных, фишинга, социальной инженерии или повторного использования пароля), и возможность их анализа.

Подробнее о том, как включить BeyondCorp Threat and Data Protection для пользователей Chrome

Как включить функции DLP для BeyondCorp

Чтобы обеспечить защиту от потери данных с помощью BeyondCorp, вам нужно выполнить перечисленные ниже шаги.

  • Шаг 1. Настройте правила Chrome Enterprise Connectors. Подробнее…
  • Шаг 2. Настройте правила защиты данных в консоли администратора Google Workspace (описано далее в этой статье).
  • Шаг 3. Настройте оповещения о событиях. Описание типов оповещений приводится в статье Как просматривать сведения об оповещениях Справочного центра для администраторов Google Workspace.

После настройки правил DLP такие действия пользователя, как загрузка, скачивание или копирование и вставка данных в браузере, смогут активировать события. Вы можете:

Примеры правил DLP, поддерживающих интеграцию BeyondCorp в Chrome

Примеры правил DLP для работы с BeyondCorp

Ниже приведены примеры трех правил: блокирующего скачивание файла, предупреждающего о скачивании файла с несколькими адресами электронной почты и блокирующего отправку файла в Gmail с несколькими почтовыми адресами. В этих примерах в качестве типа поля используется URL.

Пример 1. Блокирование скачивания файла на странице drive.google.com

В этом примере показано, как с помощью правила заблокировать скачивание файла на странице drive.google.com.

Сначала войдите в аккаунт суперадминистратора или в аккаунт уполномоченного администратора со следующими правами:

  • Права администратора организационного подразделения.
  • Права администратора групп.
  • Права на просмотр правил DLP и управление ими. Учтите, что у вас должны быть разрешения на просмотр и управление, чтобы вы могли создавать и изменять правила. Мы рекомендуем создать специальную роль с обоими правами.
  • Права на просмотр метаданных и атрибутов (обязательно только при использовании инструмента "Анализ безопасности"): Центр безопасностиа затемИнструмент "Анализ безопасности"а затемПравилоа затемПросмотр метаданных и атрибутов.

Подробнее о правах администратора и о создании персонализированных ролей администратора

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Безопасность а затем Защита данных.

    Если на главной странице нет значка "Безопасность", нажмите Добавить элементы управления внизу экрана.

  3. Нажмите Управление правилами. Затем нажмите Добавить правилоа затемСоздать правило.
  4. Введите название и описание правила.
  5. В разделе "Область действия" выберите Применить ко всем <доменное.имя> либо укажите отдельные организационные подразделения или группы, к которым нужно применять правило. Если при включении организационных подразделений и групп в область действия или их исключении из нее возникает конфликт, группы имеют приоритет.

    Обратите внимание, что в организационных подразделениях могут числиться устройства, пользователи или их комбинация. Это важный момент, поскольку правила применяются только к устройствам с браузером Chrome и только к пользователям Chrome OS. Помните об этом, создавая правила DLP для BeyondCorp.

  6. Нажмите "Продолжить". В разделе "Триггеры" для Chrome выберите Файл скачан.
  7. В разделе "Условия" нажмите "Добавить условие" и выберите следующие значения:
    1. Поле – URL.
    2. Значение – "Содержит".
    3. Соответствие по содержанию – drive.google.com.
  8. Нажмите Продолжить. В разделе "Действия" для Chrome выберите Заблокировать контент.
  9. Нажмите Продолжить, чтобы посмотреть сведения о правиле.
  10. Нажмите Создать и выберите:
    1. Активно – правило выполняется немедленно.
    2. Неактивно – правило создается, но не выполняется немедленно, благодаря чему вы можете проверить его и поделиться им с другими участниками команды перед применением. Чтобы активировать правило впоследствии, выберите Безопасность а затем Защита данных а затем Управление правилами. Нажмите на статус правила "Неактивно" и выберите Активно. После активации правило будет запущено, и функция DLP выполнит сканирование на наличие конфиденциальных данных.
  11. Нажмите Завершить.
    Правило будет применено ко всем аккаунтам пользователей в выбранных организационных подразделениях и группах в течение 24 часов.
Пример 2. Предупреждение о скачивании в Chrome файла, содержащего более 30 адресов электронной почты

В этом примере показано, как с помощью правила предупредить пользователя о том, что файл, который он пытается скачать, содержит более 30 почтовых адресов.

Сначала войдите в аккаунт суперадминистратора или в аккаунт уполномоченного администратора со следующими правами:

  • Права администратора организационного подразделения.
  • Права администратора групп.
  • Права на просмотр правил DLP и управление ими. Учтите, что у вас должны быть разрешения на просмотр и управление, чтобы вы могли создавать и изменять правила. Мы рекомендуем создать специальную роль со всеми необходимыми правами.
  • Права на просмотр метаданных и атрибутов (обязательно только при использовании инструмента "Анализ безопасности"): Центр безопасностиа затемИнструмент "Анализ безопасности"а затемПравилоа затемПросмотр метаданных и атрибутов.

Подробнее о правах администратора и о создании персонализированных ролей администратора

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Безопасность а затем Защита данных.

    Если на главной странице нет значка "Безопасность", нажмите Добавить элементы управления внизу экрана.

  3. Нажмите Управление правилами. Затем нажмите Добавить правилоа затемСоздать правило.
  4. Введите название и описание правила.
  5. В разделе "Область действия" выберите Применить ко всем <доменное.имя> либо укажите отдельные организационные подразделения или группы, к которым нужно применять правило. Если при включении организационных подразделений и групп в область действия или их исключении из нее возникает конфликт, группы имеют приоритет.

    Обратите внимание, что в организационных подразделениях могут числиться устройства, пользователи или их комбинация. Это важный момент, поскольку правила применяются только к устройствам с браузером Chrome и только к пользователям Chrome OS. Помните об этом, создавая правила DLP для BeyondCorp.

  6. Нажмите "Продолжить". В разделе "Триггеры" для Chrome выберите Файл скачан.
  7. В разделе "Условия" нажмите Добавить условие и выберите следующие значения:
    1. Поле – "Весь контент".
    2. Значение – соответствует значению стандартного детектора.
    3. Стандартный детектор – "Универсальный – адрес электронной почты".
    4. Порог вероятности – "Возможно".
    5. Мин. количество уникальных совпадений – 30.
    6. Наименьшее количество совпадений – 30.
  8. Нажмите Продолжить. В разделе "Действия" для Chrome выберите Предупредить пользователя. Пользователь получит предупреждение, но сможет выполнить действие, даже если правило нарушается. В этом случае такое действие регистрируется в журнале аудита правил.
  9. Нажмите Продолжить, чтобы посмотреть сведения о правиле.
  10. Нажмите Создать и выберите:
    1. Активно – правило выполняется немедленно.
    2. Неактивно – правило создается, но не выполняется немедленно, благодаря чему вы можете проверить его и поделиться им с другими участниками команды перед применением. Чтобы активировать правило впоследствии, выберите Безопасность а затем Защита данных а затем Управление правилами. Нажмите на статус правила "Неактивно" и выберите Активно. После активации правило будет запущено, и функция DLP выполнит сканирование на наличие конфиденциальных данных.
  11. Нажмите Завершить.
    Правило будет применено ко всем аккаунтам пользователей в выбранных организационных подразделениях и группах в течение 24 часов.
Пример 3. Блокирование в Chrome отправки файла, содержащего более 30 адресов электронной почты

В этом примере показано, как с помощью правила заблокировать отправку файла, содержащего более 30 адресов электронной почты.

Сначала войдите в аккаунт суперадминистратора или в аккаунт уполномоченного администратора со следующими правами:

  • Права администратора организационного подразделения.
  • Права администратора групп.
  • Права на просмотр правил DLP и управление ими. Учтите, что у вас должны быть разрешения на просмотр и управление, чтобы вы могли создавать и изменять правила. Мы рекомендуем создать специальную роль со всеми необходимыми правами.
  • Права на просмотр метаданных и атрибутов (обязательно только при использовании инструмента "Анализ безопасности"): Центр безопасностиа затемИнструмент "Анализ безопасности"а затемПравилоа затемПросмотр метаданных и атрибутов.

Подробнее о правах администратора и о создании персонализированных ролей администратора

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Безопасность а затем Защита данных.

    Если на главной странице нет значка "Безопасность", нажмите Добавить элементы управления внизу экрана.

  3. Нажмите Управление правилами. Затем нажмите Добавить правилоа затемСоздать правило.
  4. Введите название и описание правила.
  5. В разделе "Область действия" выберите Применить ко всем <доменное.имя> либо укажите отдельные организационные подразделения или группы, к которым нужно применять правило. Если при включении организационных подразделений и групп в область действия или их исключении из нее возникает конфликт, группы имеют приоритет.

    Обратите внимание, что в организационных подразделениях могут числиться устройства, пользователи или их комбинация. Это важный момент, поскольку правила применяются только к устройствам с браузером Chrome и только к пользователям Chrome OS. Помните об этом, создавая правила DLP для BeyondCorp.

  6. Нажмите "Продолжить". В разделе "Триггеры" для Chrome выберите Файл загружен и Контент загружен.

    Работа триггеров Файл загружен и Контент загружен зависит от настройки Отложить загрузку файла. Подробнее… Если для параметра Отложить загрузку файла задано значение Разрешить немедленную загрузку, файл будет отправлен во время сканирования. Чтобы этого не произошло, выберите значение Отложить загрузку до завершения проверки.

  7. В разделе "Условия" нажмите Добавить условие и выберите следующие значения:
    1. Поле – "Весь контент".
    2. Значение – соответствует значению стандартного детектора.
    3. Стандартный детектор – "Универсальный – адрес электронной почты".
    4. Порог вероятности – "Возможно".
    5. Мин. количество уникальных совпадений – 30.
    6. Наименьшее количество совпадений – 30.
    7. Нажмите Добавить условие.
    8. Поле – URL.
    9. Значение – "Содержит".
    10. Соответствие по содержанию – mail.google.com.
  8. Нажмите Продолжить. В разделе "Действия" для Chrome выберите Заблокировать контент.
  9. Нажмите Продолжить, чтобы посмотреть сведения о правиле.
  10. Нажмите Создать и выберите:
    1. Активно – правило выполняется немедленно.
    2. Неактивно – правило создается, но не выполняется немедленно, благодаря чему вы можете проверить его и поделиться им с другими участниками команды перед применением. Чтобы активировать правило впоследствии, выберите Безопасность а затем Защита данных а затем Управление правилами. Нажмите на статус правила "Неактивно" и выберите Активно. После активации правило будет запущено, и функция DLP выполнит сканирование на наличие конфиденциальных данных.
  11. Нажмите Завершить.
    Правило будет применено ко всем аккаунтам пользователей в выбранных организационных подразделениях и группах в течение 24 часов.

Статьи по теме

Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.

Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
true
73010
false