只有購買 BeyondCorp Enterprise 的客戶能使用 BeyondCorp Threat and Data Protection 功能。
BeyondCorp Threat and Data Protection 可以將資料遺失防護 (DLP) 功能整合至 Chrome,用來偵測使用者在 Chrome 中的操作是否涉及機密資料,包括是否上傳及下載含有機密資料的檔案,以及是否將含有機密資料的內容貼上或拖曳至 Chrome。
這項整合功能可讓您控管 Chrome 使用者分享的資料類型 (例如身分證字號或信用卡號碼),目前僅適用於 Windows、Mac、Linux 和 Chrome 作業系統上的 Chrome 瀏覽器,暫不支援其他平台。
BeyondCorp 和資料遺失防護功能
將資料遺失防護功能與 Chrome 整合既是 BeyondCorp 的其中一項功能,也是 Cloud Platform 安全防護的一環。如果想設定資料遺失防護的整合作業,就要使用 Google Workspace 功能。
BeyondCorp 的用途如下:
- 使用 Chrome 管理功能
- 設定 Chrome 連接器
- 在 Google Workspace 安全性設定中配置資料遺失防護規則 (請參閱下文)
- 在 Chrome 產生安全事件 (例如偵測到惡意軟體或機密資料、網路詐騙或社交工程,或是重複使用密碼的情形) 時接收快訊及展開調查
如需 BeyondCorp 的詳細導入資訊,請參閱透過 BeyondCorp Threat and Data Protection 保護 Chrome 使用者。
BeyondCorp 資料遺失防護的設定步驟
如要導入並使用整套 BeyondCorp 資料遺失防護措施,請務必完成以下步驟:
- 步驟 1:設定 Chrome Enterprise 連接器政策。詳情請參閱 Google Chrome Enterprise 說明中心的「為 Google BeyondCorp Enterprise 設定 Chrome Enterprise 連接器政策」。
- 步驟 2:在 Google Workspace 管理控制台中設定資料保護規則 (請參閱下文)。
- 步驟 3:設定活動快訊。如需快訊類型的相關說明,請參閱查看快訊詳細資料 (另可參閱 Google Workspace 管理員說明)。
資料遺失防護規則建立完畢後,當使用者上傳或下載資料,或是將資料複製並貼到瀏覽器中,就可能會觸發事件。對此,您可以採取以下行動:
支援 BeyondCorp 與 Chrome 整合的資料遺失防護規則範例
- 使用 Chrome 設定建立資料遺失防護規則之前,請務必更新 Chrome Enterprise 連接器政策,確保政策支援 BeyondCorp 功能及整合資料遺失防護功能。詳情請參閱為 Google BeyondCorp Enterprise 設定 Chrome Enterprise 連接器政策。
- 如需建立資料遺失防護規則的通用步驟,請參閱「建立雲端硬碟資料遺失防護規則和自訂內容偵測工具」。
資料遺失防護功能與 BeyondCorp 整合 - 資料移轉規則範例
以下舉例說明如何根據網址封鎖檔案、針對含有多個地址的下載作業發出警告、禁止特定網址類別的上傳作業,以及根據檔案大小封鎖下載作業。
範例 1:禁止從 drive.google.com 下載檔案本例示範的是該如何運用規則設定禁止下載檔案,具體情況則是禁止從 drive.google.com 執行下載作業。
在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:
- 「機構單位管理員」權限。
- 「群組管理員」權限。
- 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。因此,建議您建立具備這兩項權限的自訂角色。
- 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」
「調查工具」
「規則」
「查看中繼資料和屬性」。
-
-
在管理控制台中,依序點選「選單」圖示
「安全性」
「存取權與資料控管」
「資料保護」。
- 按一下「管理規則」,然後依序點選「新增規則」
「建立新規則」。
- 新增規則的名稱和說明。
- 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。 如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。
請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於 Chrome 瀏覽器的使用者,以及搭載 Chrome OS 的裝置。因此,在建立 BeyondCorp 的資料遺失防護規則時,請特別留意這點。
- 按一下 [繼續]。
- 在「應用程式」中,針對 Chrome 選取「已下載檔案」。
- 按一下 [繼續]。
- 在「條件」部分中,按一下「新增條件」 並選取下列值:
- 掃描內容類型:網址
- 掃描項目:包含文字字串
- 要比對的內容:googleusercontent.com
- 按一下「繼續」。在「動作」部分,選取「Chrome」下方的「封鎖」。
- (選用) 在「快訊」部分中:
- 選擇嚴重程度 (低、中或高),如果觸發規則的事件符合標準,系統就會在安全性資訊主頁中回報事件。
- 選擇若有事件觸發規則,是否要一併將快訊傳送至快訊中心。此外,請一併選擇是否要透過電子郵件傳送快訊,通知所有超級管理員或其他收件者。
- 按一下「繼續」 查看規則詳情。
- 選擇規則的狀態:
- 有效:您的規則會立即執行。
- 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」
「存取權與資料控管」
「資料保護」
「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
- 按一下「Create」(建立)。
變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情
本例示範的是該如何運用規則設定,在符合特定條件的情況下觸發使用者警告,具體情況則是在使用者嘗試一次下載超過 30 個電子郵件地址時,對他們發出警告。
在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:
- 「機構單位管理員」權限。
- 「群組管理員」權限。
- 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。建議您建立具備這兩項權限的自訂角色。
- 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」
「調查工具」
「規則」
「查看中繼資料和屬性」。
-
-
在管理控制台中,依序點選「選單」圖示
「安全性」
「存取權與資料控管」
「資料保護」。
- 按一下「管理規則」,然後依序點選「新增規則」
「建立新規則」。
- 新增規則的名稱和說明。
- 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。
請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於搭載 Chrome 瀏覽器的裝置,以及 Chrome OS 的使用者。因此,在建立 BeyondCorp 的資料遺失防護規則時,請特別留意這點。
- 按一下 [繼續]。
- 在「應用程式」中,針對 Chrome 選取「已下載檔案」。
- 按一下 [繼續]。
- 在「條件」部分中,按一下「新增條件」 並選取下列值:
- 掃描內容類型:所有內容
- 掃描類型:與預先定義的資料類型相符
- 資料類型:全域 - 電子郵件地址
- 可能性門檻:中等
- 不重複配對數量下限 - 30
- 相符項目數下限 - 30
- 按一下「繼續」。在「動作」部分中,選取「Chrome」下方的「允許共用並顯示警告」。這會對違反規則的使用者傳送警告,但使用者可以忽視警告繼續操作,而一旦他們這麼做,這個動作便會記錄在規則稽核記錄中。
- (選用) 在「快訊」部分中:
- 選擇嚴重程度 (低、中或高),如果觸發規則的事件符合標準,系統就會在安全性資訊主頁中回報事件。
- 選擇若有事件觸發規則,是否要一併將快訊傳送至快訊中心。此外,請一併選擇是否要透過電子郵件傳送快訊,通知所有超級管理員或其他收件者。
- 按一下「繼續」 查看規則詳情。
- 選擇規則的狀態:
- 有效:您的規則會立即執行。
- 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」
「存取權與資料控管」
「資料保護」
「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
- 按一下「Create」(建立)。
變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情
本例示範的是該如何運用規則設定,禁止將上傳檔案至特定類型的網站。本例中,如果使用者嘗試將檔案上傳到 Facebook 等社群媒體網站,系統會封鎖上傳作業。
在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:
- 「機構單位管理員」權限。
- 「群組管理員」權限。
- 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。建議您建立具備這兩項權限的自訂角色。
- 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」
「調查工具」
「規則」
「查看中繼資料和屬性」。
-
-
在管理控制台中,依序點選「選單」圖示
「安全性」
「存取權與資料控管」
「資料保護」。
- 按一下「管理規則」,然後依序點選「新增規則」
「建立新規則」。
- 新增規則的名稱和說明。
- 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。 如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。
請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於搭載 Chrome 瀏覽器的裝置,以及 Chrome 作業系統的使用者。因此,在建立 BeyondCorp 的資料遺失防護規則時,請特別留意這點。
- 按一下「繼續」。
- 在「應用程式」中,針對 Chrome 選取「已上傳檔案」。
注意:對於「已上傳檔案」和「已貼上內容」這兩項觸發條件,系統會根據為 Google BeyondCorp Enterprise 設定 Chrome Enterprise 連接器政策中指定的「延後上傳檔案」設定決定封鎖行為。如果「延後上傳檔案」設定為「允許立即上傳」,檔案就會在掃描期間上傳。如要防止使用者上傳尚未完成掃描的檔案或內容,請將「延後上傳檔案」設定調整為「分析完成後再上傳檔案」。
- 按一下 [繼續]。
- 在「條件」部分中,按一下「新增條件」 並選取下列值:
- 掃描內容類型:網址類別
- 選取類別:「網路社群」
「社群網路」。
- 按一下「繼續」。在「動作」部分,選取「Chrome」下方的「封鎖」。
- (選用) 在「快訊」部分中:
- 選擇嚴重程度 (低、中或高),如果觸發規則的事件符合標準,系統就會在安全性資訊主頁中回報事件。
- 選擇若有事件觸發規則,是否要一併將快訊傳送至快訊中心。此外,請一併選擇是否要透過電子郵件傳送快訊,通知所有超級管理員或其他收件者。
- 按一下「繼續」 查看規則詳情。
- 選擇規則的狀態:
- 有效:您的規則會立即執行。
- 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」
「存取權與資料控管」
「資料保護」
「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
- 按一下「Create」(建立)。
變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情
本例示範的是該如何運用規則設定,依據檔案類型和大小來禁止下載檔案,在本例中,如果使用者嘗試下載超過 10 KB 的圖片檔,系統就會封鎖下載作業。
在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:
- 「機構單位管理員」權限。
- 「群組管理員」權限。
- 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。建議您建立具備這兩項權限的自訂角色。
- 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」
「調查工具」
「規則」
「查看中繼資料和屬性」。
-
-
在管理控制台中,依序點選「選單」圖示
「安全性」
「存取權與資料控管」
「資料保護」。
- 按一下「管理規則」,然後依序點選「新增規則」
「建立新規則」。
- 新增規則的名稱和說明。
- 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。 如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。
請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於搭載 Chrome 瀏覽器的裝置,以及 Chrome 作業系統的使用者。因此,在建立 BeyondCorp 的資料遺失防護規則時,請特別留意這點。
- 按一下 [繼續]。
- 在「應用程式」中,針對 Chrome 選取「已下載檔案」。
- 按一下 [繼續]。
- 在「條件」部分中,按一下「新增條件」 並選取下列值:
- 掃描內容類型:檔案大小。
- 掃描項目:大於
- 輸入檔案大小 (以位元組為單位):10,000
- 按一下「新增條件」 並選取下列值:
- 掃描內容類型:檔案類型。
- 掃描項目:符合系統檔案類別
- 系統檔案類別:圖片
如要進一步瞭解各系統檔案類別中包含的 MIME 類型,請參閱這個網頁。
- 按一下「繼續」。在「動作」部分,選取「Chrome」下方的「封鎖」。
- (選用) 在「快訊」部分中:
- 選擇嚴重程度 (低、中或高),如果觸發規則的事件符合標準,系統就會在安全性資訊主頁中回報事件。
- 選擇若有事件觸發規則,是否要一併將快訊傳送至快訊中心。此外,請一併選擇是否要透過電子郵件傳送快訊,通知所有超級管理員或其他收件者。
- 按一下「繼續」 查看規則詳情。
- 選擇規則的狀態:
- 有效:您的規則會立即執行。
- 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」
「存取權與資料控管」
「資料保護」
「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
- 按一下「Create」(建立)。
變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情
資料遺失防護功能與 BeyondCorp 整合 - 網址導覽規則範例
在這些範例中,系統會禁止使用者前往某些網站,包括特定網址類別中所列網站,以及您建立網址自訂清單中的網站。
範例 1:當使用 Chrome 造訪符合「遊戲/賭博」網址類別的網站時,顯示警告訊息本例示範如何使用規則設定,在使用者嘗試造訪含有賭博內容的網站時觸發規則,向使用者傳送警告。
在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:
- 「機構單位管理員」權限。
- 「群組管理員」權限。
- 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。因此,建議您建立具備這兩項權限的自訂角色。
- 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」
「調查工具」
「規則」
「查看中繼資料和屬性」。
-
-
在管理控制台中,依序點選「選單」圖示
「安全性」
「存取權與資料控管」
「資料保護」。
- 按一下「管理規則」,然後依序點選「新增規則」
「建立新規則」。
- 新增規則的名稱和說明。
- 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。 如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。
請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於 Chrome 瀏覽器的使用者,以及搭載 Chrome OS 的裝置。因此,在建立 BeyondCorp 的資料遺失防護規則時,請特別留意這點。
- 按一下「繼續」。
- 在「應用程式」中,針對 Chrome,選取「造訪過的網址」。
- 按一下「繼續」。
- 在「條件」部分中,按一下「新增條件」 並選取下列值:
- 掃描內容類型:網址類別
- 選取類別:遊戲/賭博
- 按一下「繼續」。在「動作」部分中,選取「Chrome」下方的「允許共用並顯示警告」。這會對觸發規則的使用者傳送警告,但使用者可以忽視警告並繼續操作,而一旦他們這麼做,這個動作便會記錄在 Chrome 記錄中。
- (選用) 在「快訊」部分中:
- 選擇嚴重程度 (低、中或高),如果觸發規則的事件符合標準,系統就會在安全性資訊主頁中回報事件。
- 選擇若有事件觸發規則,是否要一併將快訊傳送至快訊中心。此外,請一併選擇是否要透過電子郵件傳送快訊,通知所有超級管理員或其他收件者。
- 按一下「繼續」 查看規則詳情。
- 選擇規則的狀態:
- 有效:您的規則會立即執行。
- 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」
「存取權與資料控管」
「資料保護」
「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
- 按一下「建立」。
注意:如果您最近才造訪過要篩選的網址,那麼系統會將其進行快取作業數分鐘,而在清除該網址的快取之前,新的 (或修改過的) 規則可能無法成功篩選該網址。測試新規則或修改規則前,請等待大約 5 分鐘。
本例示範的是如何使用規則設定,防止使用者前往自訂清單中所列的網址。
在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:
- 「機構單位管理員」權限。
- 「群組管理員」權限。
- 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。因此,建議您建立具備這兩項權限的自訂角色。
- 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」
「調查工具」
「規則」
「查看中繼資料和屬性」。
-
-
在管理控制台中,依序點選「選單」圖示
「安全性」
「存取權與資料控管」
「資料保護」。
- 建立字詞清單自訂偵測工具,並加入要封鎖的網址清單 (以半形逗號分隔)。例如「example.com,example2.com」。如需具體操作說明,請參閱「建立自訂偵測工具」一文。
- 按一下「管理規則」,然後依序點選「新增規則」
「建立新規則」。
- 新增規則的名稱和說明。
- 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。 如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。
請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於 Chrome 瀏覽器的使用者,以及搭載 Chrome OS 的裝置。因此,在建立 BeyondCorp 的資料遺失防護規則時,請特別留意這點。
- 按一下「繼續」。
- 在「應用程式」中,針對 Chrome,選取「造訪過的網址」。
- 按一下「繼續」。
- 在「條件」部分中,按一下「新增條件」 並選取下列值:
- 掃描內容類型:網址
- 掃描項目:符合字詞清單中的字詞
- 字詞清單名稱:您在步驟 3 中建立的字詞清單名稱。
- 比對模式:比對任何字詞
- 偵測到任何字詞的最低總次數:[1]
- 按一下「繼續」。在「動作」部分,選取「Chrome」下方的「封鎖」。
- (選用) 在「快訊」部分中:
- 選擇嚴重程度 (低、中或高),如果觸發規則的事件符合標準,系統就會在安全性資訊主頁中回報事件。
- 選擇若有事件觸發規則,是否要一併將快訊傳送至快訊中心。此外,請一併選擇是否要透過電子郵件傳送快訊,通知所有超級管理員或其他收件者。
- 按一下「繼續」 查看規則詳情。
- 選擇規則的狀態:
- 有效:您的規則會立即執行。
- 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」
「存取權與資料控管」
「資料保護」
「管理規則」。按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
- 按一下「建立」。
注意:如果您最近才造訪過要篩選的網址,那麼系統會將其進行快取作業數分鐘,而在清除該網址的快取之前,新的 (或修改過的) 規則可能無法成功篩選該網址。測試新規則或修改規則前,請等待大約 5 分鐘。