Investigar e tomar providências em relação a arquivos suspeitos

Supported editions for this feature: Chrome Enterprise PremiumComparar sua edição

O Evidence Locker, disponível com o Chrome Enterprise Premium, permite que os administradores inspecionem arquivos sinalizados como malware ou que violam as regras de proteção de dados, oferecendo maior visibilidade e controle sobre possíveis riscos. Os arquivos são salvos no bucket do Google Cloud Storage da sua organização e podem ser transferidos por download pelo administrador de segurança na ferramenta de investigação de segurança (SIT, na sigla em inglês) do Google Workspace.

Antes de começar

Os seguintes requisitos são obrigatórios:

Navegador Chrome

Veja mais informações em:

Licença do Chrome Enterprise Premium

Configurar o Evidence Locker

Etapa 1: criar um bucket do Google Cloud Storage

O Evidence Locker armazena arquivos suspeitos ou confidenciais em um bucket do Google Cloud Storage (GCS). Siga as etapas abaixo para criar um bucket. É útil ter algum conhecimento do Google Cloud Storage. 

Dica : uma regra de Prevenção contra perda de dados (DLP) do Google Cloud muito flexível pode salvar muitos arquivos no bucket, resultando em custos de armazenamento altos. Crie regras que salvem apenas arquivos altamente suspeitos.

  1. Crie um projeto do Google Cloud. Confira as instruções em Como criar e gerenciar projetos.
  2. Ative a API Cloud Resource Manager para o projeto:
    • A API Cloud Resource Manager permite gerenciar recursos de contêiner, como organizações e projetos, de forma programática no Google Cloud.
    • Acesse a API Cloud Resource Manager para o project_number.
  3. Crie um bucket com uma chave de criptografia gerenciada pelo cliente (CMEK).
    • Ativar a API do KMS. Consulte Usar chaves de criptografia gerenciadas pelo cliente.
    • (Opcional) Para criar um keyring e uma chave CMEK, acesse Segurança > Gerenciamento de chaves > Criar keyring.
    • Crie um bucket em Cloud Storage > Buckets. Consulte Criar buckets.
      • O bucket do GCS precisa ser da sua organização e estar no mesmo domínio.
      • A CMEK precisa estar na mesma região do bucket. Saiba mais
    • (Opcional, mas recomendado): defina um time to live (TTL) nos arquivos. Por exemplo, exclua automaticamente os dados após 30 dias.
Etapa 2: configurar o Evidence Locker
  1. Faça login com uma conta de admin no Google Admin Console.

    Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

  2. Acesse Menu e depois Apps > Serviços adicionais do Google.

    Exige o privilégio de administrador "Configurações do serviço".

  3. Clique em Serviços de segurança do Chrome Enterprise.
  4. Clique em Ativado para todos ou Desativado para todos e depois em Salvar.
  5. (Opcional) Para ativar ou desativar um serviço em uma unidade organizacional:
    1. Selecione a unidade organizacional à esquerda.
    2. Para mudar o status do serviço, selecione Ativado ou Desativado.
    3. Escolha uma opção:
      • Se o status do serviço estiver definido como Herdado e você quiser manter a configuração atualizada, mesmo que a configuração mãe seja alterada, clique em Substituir.
      • Caso o status do serviço esteja definido como Substituído, clique em Herdar para reverter e usar a configuração mãe ou clique em Salvar para manter a nova configuração, mesmo que a configuração mãe seja alterada.
        Saiba mais sobre estrutura organizacional.
  6. Clique em Configurações do Evidence Locker.
  7. Clique em Insira o nome do bucket do Google Cloud Storage.
  8. Se você não tiver uma conta de serviço, clique em Gerar uma conta de serviço. É necessário ter uma conta de serviço para continuar.
  9. Adicione a conta de serviço ao bucket do Google Cloud Storage (GCS).
    Importante: a conta de serviço precisa ter privilégios de administrador do Storage no projeto do GCP que contém o bucket. Consulte Criar um bucket do Google Cloud Storage.
    1. No console do Google Cloud, acesse Menue depoisIAM e administradore depoisGerenciar recursos.
    2. Acesse o projeto do GCS que contém o bucket. 
    3. Clique na guia Permissões.
    4. Selecione a conta de serviço do Evidence Locker.
    5. Clique em Conceder acesso.
    6. Em "Novo princípio", insira a conta de serviço que você acabou de gerar.
    7. Em "Papel", selecione Administrador do Storage.
    8. (Opcional): os usuários que não são superadministradores também precisam ter privilégios de Administrador do Storage no projeto do GCP que contém o bucket. Isso é necessário para selecionar um bucket do GCS no projeto.
    9. Clique em Salvar.
  10. Nas configurações do Evidence Locker no Admin Console do Google Workspace, insira o nome do bucket do Google Cloud. 
  11. (Opcional) Para manter cópias de arquivos sinalizados como malware no Evidence Locker, selecione Salvar conteúdo com malware no Evidence Locker.
  12. Clique em Salvar.
Etapa 3: ativar o Evidence Locker para verificações de malware
É possível salvar todos os uploads e downloads de arquivos sinalizados como malware no bucket de armazenamento. Essa opção também pode ser ativada durante a configuração do Evidence Locker.
  1. Faça login com uma conta de admin no Google Admin Console.

    Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

  2. Acesse Menu e depois Apps > Serviços adicionais do Google.

    Exige o privilégio de administrador "Configurações do serviço".

  3. Clique em Serviços de segurança do Chrome Enterprise.
  4. Clique em Configurações do Evidence Locker.
  5. Clique em  e aguarde a exibição da conta de serviço da sua organização.
  6. Abaixo do campo de nome do bucket, selecione Salvar conteúdo com malware no Evidence Locker.
Etapa 4: ativar o Evidence Locker para verificações de transferência de dados sensíveis

É possível copiar os arquivos para o bucket do Evidence Locker quando ocorrer uma violação da regra de proteção de dados. Somente os arquivos acionados pelas seguintes ações são copiados:

  • Upload do arquivo concluído
  • Download concluído
  • Imprimir

O conteúdo marcado com "Conteúdo colado" não é copiado para o Evidence Locker.

  1. Faça login com uma conta de admin no Google Admin Console.

    Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

  2. Acesse Menu e depois Regras.
  3. No menu suspenso, selecione Proteção de dados.
  4. Digite um nome e uma descrição para a regra.
  5. Em "Escopo", selecione as unidades organizacionais e/ou os grupos a que esta regra se aplica.
    Observação: só é possível selecionar um escopo de grupo criado por administradores no Google Admin Console.
  6. Em "Apps", selecione as opções do Chrome Arquivo enviado, Arquivo salvo e/ou Conteúdo impresso.
  7. Em "Ações", em "Evidence Locker", selecione Salvar no Evidence Locker o conteúdo enviado por upload, baixado ou impresso detectado por essa regra.

Para mais informações, consulte Criar regras de proteção de dados.

Monitorar e fazer o download de arquivos do Evidence Locker

Importante: as regras de proteção de dados do Evidence Locker são altamente configuráveis. Sua organização é responsável por garantir a conformidade com as políticas de privacidade dos funcionários e por todos os custos de armazenamento no bucket do Google Cloud Storage. O armazenamento de arquivos extensivo com as regras de proteção de dados pode gerar taxas substanciais do Google Cloud Storage.

Nos registros do Chrome
  1. Faça login com uma conta de admin no Google Admin Console.

    Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

  2. Acesse Menu e depois Segurança > Central de segurança > Ferramenta de investigação.

    Exige o privilégio de administrador Central de segurança.

    Os seguintes privilégios de administrador da Central de segurança são necessários. Consulte Privilégios de administrador da ferramenta de investigação de segurança.

    • Para fazer o download e gerenciar arquivos suspeitos:
      Gerenciar > Chrome
    • Para conferir o conteúdo de arquivos suspeitos:
      Acessar conteúdo sensível > Chrome
  3. Clique em Origem de dados e selecione Eventos de registro do Chrome.
  4. Localize as entradas da sua pesquisa e role para a direita. 
  5. Na coluna Evidence Locker Filepath, clique no link para o arquivo armazenado.
    Os detalhes do arquivo são exibidos no painel lateral. Por exemplo, o nome e o caminho originais do arquivo no bucket do Google Cloud Storage.
  6. Na parte de baixo, clique em Fazer o download do arquivo.
  7. O arquivo ZIP transferido por download é protegido por senha. A senha é protegida.
Nos registros de regras
  1. Faça login com uma conta de admin no Google Admin Console.

    Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.

  2. Acesse Menu e depois Segurança > Central de segurança > Ferramenta de investigação.

    Exige o privilégio de administrador Central de segurança.

  3. Clique em Origem de dados e selecione Eventos de registro de regras. Clique em Pesquisar.
  4. Localize a linha Ação concluída com a regra desejada e role para a direita para encontrar a coluna Caminho do arquivo do Evidence Locker.
  5. Esse é o caminho em que o arquivo está armazenado. Clique em Mais  para conferir outras ações.

Temas relacionados

Isso foi útil?

Como podemos melhorá-lo?

Precisa de mais ajuda?

Siga as próximas etapas:

Postar na Comunidade de Ajuda Receber respostas dos membros da comunidade
Fale conosco Conte mais sobre o problema para podermos ajudar você
true
Comece hoje mesmo sua avaliação gratuita de 14 dias

E-mail profissional, armazenamento on-line, agendas compartilhadas, reuniões com vídeo e muito mais. Comece hoje mesmo sua avaliação gratuita do G Suite.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal
7841652752928068986
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false
false
false