只有购买了 BeyondCorp Enterprise 的客户可以使用 BeyondCorp Threat and Data Protection 功能。
借助 BeyondCorp Threat and Data Protection,您可以为 Chrome 集成数据泄露防护 (DLP) 功能,以便对上传和下载的文件以及粘贴或拖放的内容实现敏感数据检测。
通过此项集成,您可以控制 Chrome 用户可以共享哪些数据,例如社会保障号或信用卡号。此项集成仅适用于 Windows、Mac、Linux 和 Chrome 操作系统中的 Chrome 浏览器,目前不支持其他平台。
BeyondCorp 和 DLP
Chrome 的 DLP 集成包含在 Cloud Platform 安全性的 BeyondCorp 功能套件中。如需配置 DLP 集成,请使用 Google Workspace 功能。
BeyondCorp 包括:
- 使用 Chrome 管理功能
- Chrome 接口的配置
- Google Workspace 安全性中的 DLP 规则配置(如本文所述)
- Chrome 生成的安全性事件(例如恶意软件或敏感数据检测、网上诱骗或社会工程学,或重复使用密码)的提醒和调查
如需详细了解如何实施 BeyondCorp,请参阅使用 BeyondCorp Threat and Data Protection 功能保护 Chrome 用户。
设置 BeyondCorp DLP 的步骤
如需实施和使用整套 BeyondCorp DLP 防护功能,您必须执行以下操作:
- 第 1 步:设置 Chrome 浏览器企业版接口政策。如需了解详情,请参阅 Google Chrome 企业版帮助中的为 Google BeyondCorp Enterprise 设置 Chrome 企业版接口政策。
- 第 2 步:在 Google Workspace 管理控制台中设置数据保护规则(如本文中所述)
- 第 3 步:设置活动提醒。请参阅查看具体提醒的详细信息(也包括在 Google Workspace 管理员帮助中),了解提醒类型的说明。
创建 DLP 规则后,当用户上传、下载数据或将数据复制粘贴到浏览器中时,这些操作可以触发事件。您可以:
- 您可以在安全信息中心内查看报告。与 BeyondCorp 相关的报告包括:
- 在收到数据共享违规事件的提醒时,使用安全调查工具展开调查。有关详情,请参阅关于安全调查工具。
- 在规则日志事件中查看审核日志详情。
- 调查违反数据泄露防护规则的行为是真实的突发事件还是误报。有关详情,请参阅查看触发数据泄露防护规则的内容(Beta 版)。
支持 BeyondCorp 与 Chrome 集成的 DLP 规则示例
- 在使用 Chrome 设置创建 DLP 规则之前,请务必更新 Chrome 企业版接口政策,确保其支持 BeyondCorp 功能和 DLP 集成。如需了解详情,请参阅为 Google BeyondCorp Enterprise 设置 Chrome 企业版接口政策。
- 如需了解创建 DLP 规则的一般步骤,请参阅创建云端硬盘 DLP 规则和自定义内容检测器。
DLP 和 BeyondCorp 集成 - 数据传输规则示例
下面列举了一些示例,比如根据网址屏蔽文件下载、针对包含多个电子邮件地址的下载发出警告、禁止向某个网址类别上传内容,以及根据文件大小禁止下载。
示例 1:禁止下载来自 drive.google.com 的文件此示例展示了如何使用规则设置来禁止文件下载。在本示例中,如果下载来自 drive.google.com,则系统会禁止下载。
在开始前,请先使用超级用户账号或者拥有以下权限的委派管理员账号登录:
- “组织部门管理员”权限。
- “群组管理员”权限。
- 查看 DLP 规则和管理 DLP 规则的权限。请注意,您必须同时启用“查看”和“管理”权限,才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
- 查看元数据和属性的权限(仅使用调查工具时需要):安全中心
调查工具
详细了解管理员权限和如何创建自定义管理员角色。
-
-
在管理控制台中,依次点击“菜单”图标
安全性
- 点击管理规则。然后,点击添加规则
- 添加规则的名称和说明。
- 在范围部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。 如果组织部门和群组在包含或排除设置上存在冲突,以群组的设置为准。
请注意,组织部门可以包含设备、用户或设备和用户的组合。这一点非常重要,因为规则仅适用于 Chrome 浏览器用户,以及搭载 Chrome 操作系统的设备。创建 BeyondCorp DLP 规则时,请记住这一点。
- 点击继续。
- 在应用中,为 Chrome 选择文件已下载。
- 点击继续。
- 在条件部分,点击添加条件并选择以下值:
- 要扫描的内容类型 - 网址
- 要扫描的内容 - 包含文本字符串
- 要匹配的内容 - googleusercontent.com
- 点击继续。在操作部分的“Chrome”下,选择屏蔽。
- (可选)在提醒部分:
- 请选择严重程度级别(“低”、“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
- 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
- 点击继续以查看规则详情。
- 为规则选择状态:
- 活跃 - 您的规则会立即生效。
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性
- 点击创建。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
下例介绍了如何使用规则设置在特定条件下触发用户警告。在此示例中,如果用户尝试一次下载超过 30 个电子邮件地址,系统会发出警告。
在开始前,请先使用超级用户账号或者拥有以下权限的委派管理员账号登录:
- “组织部门管理员”权限。
- “群组管理员”权限。
- 查看 DLP 规则和管理 DLP 规则的权限。请注意,您必须同时启用“查看”和“管理”权限,才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
- 查看元数据和属性的权限(仅使用调查工具时需要):安全中心
详细了解管理员权限和如何创建自定义管理员角色。
-
-
在管理控制台中,依次点击“菜单”图标
- 点击管理规则。然后,点击添加规则
- 添加规则的名称和说明。
- 在“范围”部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。如果组织部门和群组在包含或排除设置上存在冲突,以群组的设置为准。
请注意,组织部门可以包含设备、用户或设备和用户的组合。这一点非常重要,因为规则仅适用于安装了 Chrome 浏览器的设备,以及使用 Chrome 操作系统的用户。创建 BeyondCorp DLP 规则时,请记住这一点。
- 点击继续。
- 在应用中,为 Chrome 选择文件已下载。
- 点击继续。
- 在条件部分,点击添加条件并选择以下值:
- 要扫描的内容类型 - 所有内容
- 要扫描的内容 - 与预定义的数据类型匹配
- 数据类型 - 全局 - 电子邮件地址
- 可能性阈值 - 中
- 不重复匹配数量下限 - 30
- 最低匹配计数 - 30
- 点击继续。在操作部分的“Chrome”下,选择允许共享且显示警告。。用户会收到警告,但可以选择无视规则,继续操作。如果用户在收到警告后选择继续操作,规则审核日志会记录此操作。
- (可选)在提醒部分:
- 请选择严重程度级别(“低”、“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
- 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
- 点击继续以查看规则详情。
- 为规则选择状态:
- 活跃 - 您的规则会立即生效。
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性
- 点击创建。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
此示例展示了如何使用规则设置来禁止将文件上传到特定类型的网站。在此示例中,如果用户尝试将文件上传到 Facebook 等社交媒体网站,上传操作便会被阻止。
在开始前,请先使用超级用户账号或者拥有以下权限的委派管理员账号登录:
- “组织部门管理员”权限。
- “群组管理员”权限。
- 查看 DLP 规则和管理 DLP 规则的权限。请注意,您必须同时启用“查看”和“管理”权限,才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
- 查看元数据和属性的权限(仅使用调查工具时需要):安全中心
详细了解管理员权限和如何创建自定义管理员角色。
-
-
在管理控制台中,依次点击“菜单”图标
- 点击管理规则。然后,点击添加规则
- 添加规则的名称和说明。
- 在范围部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。 如果组织部门和群组在包含或排除设置上存在冲突,以群组的设置为准。
请注意,组织部门可以包含设备、用户或设备和用户的组合。这一点非常重要,因为规则仅适用于安装了 Chrome 浏览器的设备,以及使用 Chrome 操作系统的用户。创建 BeyondCorp DLP 规则时,请记住这一点。
- 点击继续。
- 在应用中,为 Chrome 选择文件已上传。
注意:对于文件已上传和内容已粘贴触发器,禁止行为取决于为 Google BeyondCorp Enterprise 设置 Chrome 企业版接口政策中指定的延后文件上传设置。如果延后文件上传设置设为允许直接上传,系统会在扫描过程中上传文件。如需阻止用户在扫描期间上传文件或内容,请将延后文件上传设置设为分析结束后再上传文件。
- 点击继续。
- 在条件部分,点击添加条件并选择以下值:
- 要扫描的内容类型 - 网址类别
- 选择类别 - 在线社区
- 点击继续。在“操作”部分的“Chrome”下,选择屏蔽。
- (可选)在提醒部分:
- 请选择严重程度级别(“低”、“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
- 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
- 点击继续以查看规则详情。
- 为规则选择状态:
- 活跃 - 您的规则会立即生效。
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性
- 点击创建。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
此示例展示了如何使用规则设置根据文件类型和大小禁止下载文件。在此示例中,如果用户尝试下载大于 10 KB 的图片文件,则系统会禁止下载。
在开始前,请先使用超级用户账号或者拥有以下权限的委派管理员账号登录:
- “组织部门管理员”权限。
- “群组管理员”权限。
- 查看 DLP 规则和管理 DLP 规则的权限。请注意,您必须同时启用“查看”和“管理”权限,才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
- 查看元数据和属性的权限(仅使用调查工具时需要):安全中心
详细了解管理员权限和如何创建自定义管理员角色。
-
-
在管理控制台中,依次点击“菜单”图标
- 点击管理规则。然后,点击添加规则
- 添加规则的名称和说明。
- 在范围部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。 如果组织部门和群组在包含或排除设置上存在冲突,以群组的设置为准。
请注意,组织部门可以包含设备、用户或设备和用户的组合。这一点非常重要,因为规则仅适用于安装了 Chrome 浏览器的设备,以及使用 Chrome 操作系统的用户。创建 BeyondCorp DLP 规则时,请记住这一点。
- 点击继续。
- 在应用中,为 Chrome 选择文件已下载。
- 点击继续。
- 在条件部分,点击添加条件并选择以下值:
- 要扫描的内容类型 - 文件大小。
- 要扫描的内容 - 大于
- 输入文件大小(字节) - 10000
- 点击添加条件,然后选择以下值:
- 要扫描的内容类型 - 文件类型。
- 要扫描的内容 - 与系统文件类别匹配
- 系统文件类别 - 图片
如需了解每个系统文件类别中包含的 MIME 类型,请点击此处。
- 点击继续。在“操作”部分的“Chrome”下,选择屏蔽。
- (可选)在提醒部分:
- 请选择严重程度级别(“低”、“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
- 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
- 点击继续以查看规则详情。
- 为规则选择状态:
- 活跃 - 您的规则会立即生效。
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性
- 点击创建。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
DLP 和 BeyondCorp 集成 - 网址导航规则示例
在这些示例中,系统将禁止转到特定网址类别的网站,以及您创建的一系列自定义网址。
示例 1:在 Chrome 转到与“游戏/赌博”网址类别匹配的网站时发出警告此示例展示了如何使用规则设置在用户尝试转到包含赌博内容的网站时触发用户警告。
在开始前,请先使用超级用户账号或者拥有以下权限的委派管理员账号登录:
- “组织部门管理员”权限。
- “群组管理员”权限。
- 查看 DLP 规则和管理 DLP 规则的权限。请注意,您必须同时启用“查看”和“管理”权限,才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
- 查看元数据和属性的权限(仅使用调查工具时需要):安全中心
详细了解管理员权限和如何创建自定义管理员角色。
-
-
在管理控制台中,依次点击“菜单”图标
- 点击管理规则。然后,点击添加规则
- 添加规则的名称和说明。
- 在范围部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。 如果组织部门和群组在包含或排除设置上存在冲突,以群组的设置为准。
请注意,组织部门可以包含设备、用户或设备和用户的组合。这一点非常重要,因为规则仅适用于 Chrome 浏览器用户,以及搭载 Chrome 操作系统的设备。创建 BeyondCorp DLP 规则时,请记住这一点。
- 点击继续。
- 在应用中,为 Chrome 选择访问过的网址。
- 点击继续。
- 在条件部分,点击添加条件并选择以下值:
- 要扫描的内容类型 - 网址类别
- 选择类别 - 游戏/赌博
- 点击继续。在操作部分的“Chrome”下,选择允许共享且显示警告。用户会看到警告,但可以选择继续执行触发规则的操作。如果用户选择继续,操作就会记录在 Chrome 日志中。
- (可选)在提醒部分:
- 请选择严重程度级别(“低”、“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
- 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
- 点击继续以查看规则详情。
- 为规则选择状态:
- 活跃 - 您的规则会立即生效。
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性
- 点击创建。
注意:如果您最近访问过要过滤的网址,则系统会将其缓存几分钟,并且在清除该网址的缓存之前,新的(或修改后的)规则可能无法成功过滤该网址。请等待大约 5 分钟,然后再测试新的或修改后的规则。
此示例展示了如何使用规则设置在用户尝试转到自定义列表中的某个网址时阻止用户。
在开始前,请先使用超级用户账号或者拥有以下权限的委派管理员账号登录:
- “组织部门管理员”权限。
- “群组管理员”权限。
- 查看 DLP 规则和管理 DLP 规则的权限。请注意,您必须同时启用“查看”和“管理”权限,才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
- 查看元数据和属性的权限(仅使用调查工具时需要):安全中心
详细了解管理员权限和如何创建自定义管理员角色。
-
-
在管理控制台中,依次点击“菜单”图标
- 创建一个自定义字词表检测器,其中包含要屏蔽的网址的逗号分隔列表。例如:“example.com,example2.com”。有关具体说明,请参阅创建自定义检测器。
- 点击管理规则。然后,点击添加规则
- 添加规则的名称和说明。
- 在范围部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。 如果组织部门和群组在包含或排除设置上存在冲突,以群组的设置为准。
请注意,组织部门可以包含设备、用户或设备和用户的组合。这一点非常重要,因为规则仅适用于 Chrome 浏览器用户,以及搭载 Chrome 操作系统的设备。创建 BeyondCorp DLP 规则时,请记住这一点。
- 点击继续。
- 在应用中,为 Chrome 选择访问过的网址。
- 点击继续。
- 在条件部分,点击添加条件并选择以下值:
- 要扫描的内容类型 - 网址
- 要扫描的内容 - 与字词表中的字词匹配
- 字词表名称 - 您在第 3 步中创建的字词表的名称。
- 匹配模式 - 匹配任意字词
- 任意字词被检测到的最少总次数 - 1。
- 点击继续。在操作部分的“Chrome”下,选择屏蔽。
- (可选)在提醒部分:
- 请选择严重程度级别(“低”、“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
- 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
- 点击继续以查看规则详情。
- 为规则选择状态:
- 活跃 - 您的规则会立即生效。
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性
- 点击创建。
注意:如果您最近访问过要过滤的网址,则系统会将其缓存几分钟,并且在清除该网址的缓存之前,新的(或修改后的)规则可能无法成功过滤该网址。请等待大约 5 分钟,然后再测试新的或修改后的规则。
