Scansionare e proteggere i file di Drive con le regole DLP

Questa funzionalità è disponibile solo con G Suite Enterprise, Drive Enterprise e G Suite for Education. Confronta le versioni

In qualità di amministratore di G Suite, puoi impedire che gli utenti condividano contenuti sensibili presenti su Google Drive o nei Drive condivisi con persone esterne all'organizzazione. Puoi utilizzare le regole per la prevenzione della perdita di dati (Data Loss Prevention, DLP) per scansionare i file e individuare in questo modo contenuti sensibili. Ad esempio, se un utente condivide un file che contiene numeri di conti bancari o codici fiscali, puoi inviare un'email ai super amministratori per informarli dell'accaduto. Inoltre, quando gli utenti tentano di condividere un file, puoi avvisarli oppure impedire del tutto alle persone esterne all'organizzazione di accedere a quel file. Vengono scansionati solo i file condivisi. 

Tra i file di Drive scansionati sono inclusi:

  • Fogli
  • Documenti
  • Presentazioni
I moduli non vengono scansionati.

Suggerimento: per alcuni esempi di contenuti sensibili o per verificare i tuoi contenuti, prova la demo per la prevenzione della perdita di dati.

Come funzionano le regole

Puoi utilizzare un modello predefinito o crearne uno tuo e assegnare una regola per tutto il dominio, per un'unità organizzativa o per un gruppo di Google Gruppi. Per far sì che le regole si applichino ai file dei Drive condivisi, devi applicarle a tutti gli utenti dell'organizzazione. Sei tu che decidi quale azione eseguire se vengono rilevati elementi sensibili. Per maggiori dettagli, vedi Come definire una regola.

Creare e modificare le regole

Per questa attività, devi aver eseguito l'accesso come super amministratore.

Creare regole utilizzando i modelli predefiniti
  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Regole.

    Per visualizzare Regole potrebbe essere necessario fare clic su Altri controlli in fondo alla pagina. 

  3. Fai clic su Aggiungi Aggiungi o, in alto, su Modelli per aprire l'elenco dei modelli.
  4. In Prevenzione della perdita di dati, seleziona dall'elenco un modello predefinito.
  5. Modifica il titolo e la descrizione della regola. (facoltativo)
  6. In Attivatori, Condizioni e Azioni cambia o modifica le impostazioni desiderate e fai clic su Fine. Per maggiori dettagli, vedi Come definire una regola. (facoltativo)
  7. Fai clic su Crea e attiva
Creare regole utilizzando un modello vuoto
  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Regole.

    Per visualizzare Regole potrebbe essere necessario fare clic su Altri controlli in fondo alla pagina. 

  3. Fai clic su Aggiungi Aggiungi o, in alto, su Modelli per aprire l'elenco dei modelli.
  4. In Prevenzione della perdita di dati, fai clic su Modello vuoto.
  5. Nel campo del titolo, inserisci il nome della regola e aggiungi sotto una descrizione della regola.
  6. Aggiungi Attivatori, Condizioni e Azioni e fai clic su Fine. Per maggiori dettagli, vedi Come definire una regola.
  7. Fai clic su Crea e attiva
Modificare le regole
  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Regole.

    Per visualizzare Regole potrebbe essere necessario fare clic su Altri controlli in fondo alla pagina. 

  3. In alto, fai clic su Gestisci per vedere un elenco delle regole DLP.
  4. Fai clic sulla regola da modificare.
  5. Nelle sezioni Attivatori, Condizioni e Azioni, modifica le impostazioni e fai clic su Completato. Per maggiori dettagli, vedi Come definire una regola.
  6. Fai clic su Salva e attiva.
Come definire una regola

Attivatori

Si tratta dei file dell'applicazione che la regola sottopone a scansione. Attualmente la funzionalità è disponibile soltanto per Drive, inclusi i Drive condivisi. 

Condizioni

Puoi personalizzare il modo in cui la regola viene applicata agli utenti e ai contenuti. 

  • Utenti: puoi applicare la regola a un'unità organizzativa, a un gruppo di Google Gruppi o a entrambi. Per scansionare i file dei Drive condivisi, devi applicare la regola a tutti gli utenti dell'organizzazione (organizzazione di primo livello). La regola scansiona i file di proprietà degli utenti presenti nelle organizzazioni o nei gruppi selezionati. Puoi anche aggiungere ed escludere tutti i gruppi e le organizzazioni che ritieni necessari. Se non specifichi alcuna impostazione, la regola verrà applicata all'organizzazione di primo livello.
  • Contenuti: puoi fare in modo che la regola si attivi se viene trovata una corrispondenza con contenuti presenti in un elenco predefinito di rilevatori di contenuti. Puoi anche decidere di attivare la regola venga se vengono trovate corrispondenze con un elenco personalizzato di parole o con un'espressione regolare (regex) selezionata o aggiunta da te. Puoi aggiungere tutti i tipi di contenuti, gli elenchi di parole e le espressioni regolari che ritieni opportuni. Ulteriori informazioni sui rilevatori di contenuti predefiniti e sulle espressioni regolari.

    Nota: se aggiungi a una condizione più tipi di contenuti, la regola si attiva in caso di corrispondenza con qualsiasi tipo di contenuto. 

    Se scegli di trovare corrispondenze con contenuti sensibili, devi impostare la soglia di confidenza. Questa soglia indica la probabilità che i contenuti individuati corrispondano ai criteri. Una soglia media indica che più file attivano l'azione. Una soglia alta può avere come risultato un numero minore di file condivisi che avrebbero dovuto attivare l'azione, ma probabilmente anche un numero maggiore di file che attivano l'azione di quanti la richiedano.

Azioni

Si tratta dell'azione che viene eseguita quando viene rilevato un problema. Anche se non scegli un'azione, i file corrispondenti vengono comunque segnalati ed elencati nei dati nel rapporto. 

  • Blocca accesso esterno: assicura che tutti i file con contenuti sensibili siano bloccati per chiunque non appartenga all'organizzazione, anche se aggiunto a un Drive condiviso.  
  • Avviso in caso di condivisione esterna: consente di informare l'utente del fatto che sta condividendo un file con contenuti sensibili.
  • Invia email a super amministratore: consente di inviare un'email ai super amministratori quando un utente crea, modifica o carica un file con contenuti sensibili. Viene inviata un'email ogni volta che il tipo di contenuti sensibili nel file cambia.Il numero massimo di email inviate è 25 ogni due ore.

Suggerimento: se noti un numero elevato di falsi positivi, crea una coppia di regole. Nella prima aggiungi un'azione forte come "Blocca accesso esterno", impostando la soglia di confidenza su Alta. Crea quindi una seconda regola con una soglia di confidenza media e aggiungi l'azione "Avviso in caso di condivisione esterna".

Monitorare le regole e le relative modifiche

Puoi monitorare le regole aggiunte, modificate o eliminate mediante la scansione DLP. Quando una scansione viene avviata, puoi trovare i relativi dettagli e tutte le modifiche apportate in Attività, nella Console di amministrazione. Per informazioni dettagliate, vedi Controllare lo stato di attività di grandi dimensioni.

  • Se aggiungi, modifichi o elimini una regola: viene attivata una nuova scansione DLP e avviata una nuova attività. 
  • Se modifichi una regola mentre è in corso una scansione DLP: la scansione viene riavviata. L'attività associata alla scansione viene aggiornata per mostrare che quest'ultima è stata modificata.
  • Se un altro amministrazione modifica una regola mentre è in corso una scansione DLP: la scansione viene riavviata e viene creata una nuova attività per l'altro amministratore. La scansione non viene più monitorata mediante l'attività originaria.

Utilizzare dati e modelli per il controllo delle regole

Per questa attività, devi aver eseguito l'accesso come super amministratore.

Visualizzare o esportare i dati relativi a elementi segnalati
  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Regole.

    Per visualizzare Regole potrebbe essere necessario fare clic su Altri controlli in fondo alla pagina. 

  3. In alto, fai clic su Controlli per vedere i dati del rapporto di controllo sulle regole DLP.
  4. Per modificare i criteri visualizzati, fai clic su Seleziona colonne Seleziona colonne. Tutte le modifiche vengono salvate e saranno disponibili all'accesso successivo. (facoltativo)
  5. Per configurare la tabella in modo che mostri solo determinati elementi, nella sezione Filtri, inserisci i nomi o seleziona l'elemento nei campi seguenti:
    1. Nome regola. La regola violata dall'elemento segnalato.
    2. Nome elemento segnalato. Il nome del file segnalato dalla regola.
    3. Identificatore elemento segnalato. Il nome dell'identificatore presente nel file segnalato dalla regola.
    4. Proprietario dell'elemento. L'indirizzo email del proprietario del file segnalato dalla regola.
    5. ID Drive condiviso. Il numero del Drive condiviso in cui risiede il file segnalato dalla regola.
    6. Rilevatori di contenuti corrispondenti. Seleziona uno dei rilevatori di contenuti predefiniti o personalizzati.
    7. Intervallo di data e ora. La data di inizio e di fine e l'ora per gli eventi in elenco.
      Ogni voce del log è associata a un singolo evento.
  6. Fai clic su Scarica Scarica per esportare i dati del rapporto in un file di Fogli Google su Drive o per scaricare un file CSV contenente tali dati. Il file può contenere un massimo di 200.000 celle. Il numero massimo di righe dipende dal numero di colonne selezionate.
Visualizzare o filtrare i modelli DLP
  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Regole.

    Per visualizzare Regole potrebbe essere necessario fare clic su Altri controlli in fondo alla pagina. 

  3. In alto fai clic su Modelli.
  4. Per modificare i criteri visualizzati, fai clic su Seleziona colonne Seleziona colonne. Tutte le modifiche vengono salvate e saranno disponibili all'accesso successivo. (facoltativo)
  5. Per configurare la tabella in modo che mostri solo determinati elementi, inseriscine i nomi nella sezione Filtri oppure seleziona l'elemento nei campi seguenti: (facoltativo)
    1. Nome modello. Il nome del modello definito in precedenza.
    2. Descrizione modello. La descrizione del modello definito in precedenza.
    3. Categoria. Al momento Prevenzione della perdita dei dati è l'unico tipo di categoria supportato.
    4. Applicazione. I file dell'applicazione che la regola sottopone a scansione. Attualmente, le regole DLP sono disponibili solo per i file di Drive.

Domande frequenti

Quali rilevatori di contenuti predefiniti sono supportati?

La funzionalità DLP per Drive supporta numerosi rilevatori predefiniti. Ne saranno aggiunti altri via via che la piattaforma DLP si evolve.

La rilevazione è garantita al 100%?

No. Non possiamo garantire che tutti i dati sensibili saranno rilevati e segnalati. Il sistema di rilevazione DLP traduce i modelli predefiniti in espressioni regolari (regex) e utilizza parametri di contenuto aggiuntivi per determinare la probabilità di una corrispondenza. Potrebbero verificarsi falsi positivi e falsi negativi, che possono essere causati da molti fattori.

Gli utenti vengono informati del perché non possono condividere un file?

Gli utenti ricevono un messaggio specifico della piattaforma DLP che li informa del perché la condivisione è stata bloccata. Se sono presenti più violazioni, il messaggio indicherà il primo rilevatore che ha individuato una corrispondenza.

Quando le regole vengono modificate o ne vengono aggiunte altre, il sistema esegue la scansione dei file creati in precedenza?

Sì. Ogni volta che viene aggiunta o modificata una regola, tutti i file vengono sottoposti a scansione. La scansione dei file può richiedere alcune ore, un giorno o anche più tempo, a seconda di una serie di fattori, tra cui il numero di file presenti nel dominio. 

Suggerimento: se aggiungi o modifichi una regola, DLP eseguirà la scansione dell'ultima revisione dei file caricati in precedenza.

È possibile che la scansione di un file sia eseguita più di una volta?

Sì. Per assicurare il rilevamento dei contenuti sensibili, talvolta il processo di scansione viene eseguito due volte. Pertanto, il numero di file interessati da una modifica apportata a una regola può variare da una scansione all'altra.

È stato utile?
Come possiamo migliorare l'articolo?