只有購買 BeyondCorp Enterprise 的客戶能使用 BeyondCorp Threat and Data Protection 功能。
BeyondCorp Threat and Data Protection 可以將資料遺失防護 (DLP) 功能整合至 Chrome,用來偵測使用者在 Chrome 中的操作是否涉及機密資料,包括是否上傳及下載含有機密資料的檔案,以及是否將含有機密資料的內容貼上或拖曳至 Chrome。
這項整合功能可讓您控管 Chrome 使用者分享的資料類型 (例如身分證字號或信用卡號碼),目前僅適用於 Windows、Mac、Linux 和 Chrome 作業系統上的 Chrome 瀏覽器,暫不支援其他平台。
BeyondCorp 和資料遺失防護功能
將資料遺失防護功能與 Chrome 整合既是 BeyondCorp 的其中一項功能,也是 Cloud Platform 安全防護的一環。如果想設定資料遺失防護的整合作業,就要使用 Google Workspace 功能。
BeyondCorp 的用途如下:
- 使用 Chrome 管理功能
- 設定 Chrome 連接器
- 在 Google Workspace 安全性設定中配置資料遺失防護規則 (請參閱下文)
- 在 Chrome 產生安全事件 (例如偵測到惡意軟體或機密資料、網路詐騙或社交工程,或是重複使用密碼的情形) 時接收快訊及展開調查
如需 BeyondCorp 的詳細導入資訊,請參閱透過 BeyondCorp Threat and Data Protection 保護 Chrome 使用者。
BeyondCorp 資料遺失防護的設定步驟
如要導入並使用整套 BeyondCorp 資料遺失防護措施,請務必完成以下步驟:
- 步驟 1:設定 Chrome Enterprise 連接器政策。詳情請參閱 Google Chrome Enterprise 說明中心的「為 Google BeyondCorp Enterprise 設定 Chrome Enterprise 連接器政策」。
- 步驟 2:在 Google Workspace 管理控制台中設定資料保護規則 (請參閱下文)。
- 步驟 3:設定活動快訊。如需快訊類型的相關說明,請參閱查看快訊詳細資料 (另可參閱 Google Workspace 管理員說明)。
資料遺失防護規則建立完畢後,當使用者上傳或下載資料,或是將資料複製並貼到瀏覽器中,就可能會觸發事件。對此,您可以採取以下行動:
支援 BeyondCorp 與 Chrome 整合的資料遺失防護規則範例
- 使用 Chrome 設定建立資料遺失防護規則之前,請務必更新 Chrome Enterprise 連接器政策,確保政策支援 BeyondCorp 功能及整合資料遺失防護功能。詳情請參閱為 Google BeyondCorp Enterprise 設定 Chrome Enterprise 連接器政策。
- 如需建立資料遺失防護規則的通用步驟,請參閱建立新版雲端硬碟資料遺失防護規則和自訂內容偵測工具。
資料遺失防護功能與 BeyondCorp 整合 - 規則範例
以下規則範例分別介紹了該如何禁止下載檔案、針對含有多個地址的下載作業發出警告,以及禁止在 Gmail 執行含有多個地址的上傳作業。這些範例中使用的欄位類型是「網址」。
範例 1:禁止從 drive.google.com 下載檔案本例示範的是該如何運用規則設定禁止下載檔案,具體情況則是禁止從 drive.google.com 執行下載作業。
在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:
- 「機構單位管理員」權限。
- 「群組管理員」權限。
- 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。因此,建議您建立具備這兩項權限的自訂角色。
- 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」
「調查工具」
「規則」
「查看中繼資料和屬性」。
-
-
在管理控制台首頁中,依序前往 [安全性]
[資料保護]。
- 按一下「管理規則」,然後依序點選「新增規則」
「建立新規則」。
- 新增規則的名稱和說明。
- 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。
請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於 Chrome 瀏覽器的使用者,以及搭載 Chrome OS 的裝置。因此,在建立 BeyondCorp 的資料遺失防護規則時,請特別留意這點。
- 按一下「繼續」。在「觸發條件」底下,針對 Chrome 選取「已下載檔案」。
- 在「條件」部分中,按一下「新增條件」並選取下列值:
- 欄位 - 網址
- 值 - 包含
- 比對內容 - drive.google.com
- 按一下「繼續」。在「動作」部分,選取「Chrome」下方的「封鎖內容」。
- 按一下「繼續」 查看規則詳情。
- 按一下「建立」 並選擇下列其中一個選項:
- 有效:您的規則會立即執行。
- 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」
「資料保護」
「管理規則」,按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
- 按一下「完成」。
系統會在 24 小時內將規則套用到指定機構單位和群組中的使用者帳戶。
本例示範的是該如何運用規則設定,在符合特定條件的情況下觸發使用者警告,具體情況則是在使用者嘗試一次下載超過 30 個電子郵件地址時,對他們發出警告。
在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:
- 「機構單位管理員」權限。
- 「群組管理員」權限。
- 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。建議您建立具備這兩項權限的自訂角色。
- 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」
「調查工具」
「規則」
「查看中繼資料和屬性」。
-
-
在管理控制台首頁中,依序前往 [安全性]
[資料保護]。
- 按一下「管理規則」,然後依序點選「新增規則」
「建立新規則」。
- 新增規則的名稱和說明。
- 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。
請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於搭載 Chrome 瀏覽器的裝置,以及 Chrome OS 的使用者。因此,在建立 BeyondCorp 的資料遺失防護規則時,請特別留意這點。
- 按一下「繼續」。在「觸發條件」底下,針對 Chrome 選取「已下載檔案」。
- 在「條件」部分中,按一下「新增條件」 並選取下列值:
- 欄位 - 所有內容
- 值 - 與預設偵測工具相符
- 預設偵測工具:全球 - 電子郵件地址
- 可能性門檻 - 或許可能
- 不重複配對數量下限 - 30
- 相符項目數下限 - 30
- 按一下「繼續」。在「動作」部分,選取「Chrome」下方的「警告使用者」。這會對違反規則的使用者傳送警告,但使用者可以忽視警告繼續操作,而一旦他們這麼做,這個動作便會記錄在規則稽核記錄中。
- 按一下「繼續」 查看規則詳情。
- 按一下「建立」 並選擇下列其中一個選項:
- 有效:您的規則會立即執行。
- 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」
「資料保護」
「管理規則」,按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
- 按一下「完成」。
系統會在 24 小時內將規則套用到指定機構單位和群組中的使用者帳戶。
本例示範的是該如何運用規則設定禁止上傳檔案,具體情況則是禁止使用者一次上傳超過 30 個電子郵件地址。
在開始之前,請登入您的超級管理員帳戶,或具有下列權限的委派管理員帳戶:
- 「機構單位管理員」權限。
- 「群組管理員」權限。
- 「查看及管理資料遺失防護規則」的權限。請注意,您必須同時啟用「查看」和「管理」權限,才能取得建立及編輯規則的完整權限。建議您建立具備這兩項權限的自訂角色。
- 「查看中繼資料和屬性」的權限 (僅在使用調查工具時才需要):如要啟用這項權限,請依序前往「安全中心」
「調查工具」
「規則」
「查看中繼資料和屬性」。
-
-
在管理控制台首頁中,依序前往 [安全性]
[資料保護]。
- 按一下「管理規則」,然後依序點選「新增規則」
「建立新規則」。
- 新增規則的名稱和說明。
- 在「範圍」部分中選擇「套用至 <網域名稱> 全網域」,或搜尋並納入/排除要套用規則的機構單位或群組。如果機構單位和群組的納入/排除設定相牴觸,系統會優先採用群組的設定。
請注意,機構單位中可以只有裝置或使用者,也可以同時包含這兩者。我們之所以要強調這點,是因為規則只適用於搭載 Chrome 瀏覽器的裝置,以及 Chrome 作業系統的使用者。因此,在建立 BeyondCorp 的資料遺失防護規則時,請特別留意這點。
- 按一下「繼續」。在「觸發條件」底下,針對 Chrome 選取「已上傳檔案」和「已上傳內容」。
對於「已上傳檔案」和「已上傳內容」這兩項觸發條件,系統會根據為 Google BeyondCorp Enterprise 設定 Chrome Enterprise 連接器政策中指定的「延後上傳檔案」設定決定封鎖行為。如果「延後上傳檔案」設定為「允許立即上傳」,檔案就會在掃描期間上傳。如要防止使用者上傳尚未完成掃描的檔案或內容,請將「延後上傳檔案」設定調整為「分析完成後再上傳檔案」。
- 在「條件」部分中,按一下「新增條件」 並選取下列值:
- 欄位 - 所有內容
- 值 - 與預設偵測工具相符
- 預設偵測工具:全球 - 電子郵件地址
- 可能性門檻 - 或許可能
- 不重複配對數量下限 - 30
- 相符項目數下限 - 30
- 按一下「新增條件」。
- 欄位 - 網址
- 值 - 包含
- 要比對的內容:mail.google.com
- 按一下「繼續」。在「動作」部分,選取「Chrome」下方的「封鎖內容」。
- 按一下「繼續」 查看規則詳情。
- 按一下「建立」 並選擇下列其中一個選項:
- 有效:您的規則會立即執行。
- 無效:您的規則已建立完成,但不會立即執行。也就是說,您可以先檢查規則並與團隊成員分享,之後再啟用規則。啟用方法是依序前往「安全性」
「資料保護」
「管理規則」,按一下規則的「無效」狀態,然後選取「有效」。規則會在您啟用後立即執行,資料遺失防護功能也會開始掃描機密內容。
- 按一下「完成」。
系統會在 24 小時內將規則套用到指定機構單位和群組中的使用者帳戶。