Drive-bestanden scannen en beschermen met DLP-regels

Deze functie is alleen beschikbaar in G Suite Enterprise, Drive Enterprise en G Suite for Education. Versies vergelijken.

Als hoofdgebruiker van G Suite Enterprise of G Suite for Education kunt u voorkomen dat gebruikers gevoelige content uit Google Drive of Drives van mijn team delen met mensen buiten uw organisatie. Met regels voor gegevensverlies voorkomen (Data Loss Prevention, DLP) kunt u bestanden scannen op gevoelige content. Als een gebruiker bijvoorbeeld een bestand deelt met daarin een bankrekeningnummer of btw-nummer, kunt u een e-mail laten verzenden naar de hoofdgebruikers om ze hiervan op de hoogte te stellen. U kunt ook instellen dat gebruikers worden gewaarschuwd wanneer ze het bestand proberen te delen. Daarnaast kunt u instellen dat mensen van buiten uw organisatie helemaal geen toegang hebben tot het bestand. 

Tip: Als u voorbeelden van gevoelige content wilt zien of uw eigen content wilt testen, kunt u de demo 'Gegevensverlies voorkomen' proberen.

Hoe de regels werken

U kunt een vooraf ingevulde template gebruiken of een eigen regel maken. Regels kunnen worden toegewezen aan het hele domein, een organisatie-eenheid of een groep in Google Discussiegroepen. Als u wilt dat regels worden toegepast op bestanden in Drives van mijn team, moet u de regel toepassen op alle gebruikers in uw organisatie. U bepaalt welke actie er wordt uitgevoerd als er een gevoelig item wordt gedetecteerd. Zie Een regel instellen voor meer informatie.

Regels maken en bewerken

Als u deze taak wilt uitvoeren, moet u zijn ingelogd als superbeheerder.

Regels maken met de vooraf ingevulde templates
  1. Log in bij uw Google-beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga op de homepage van de beheerdersconsole naar Regels.

    U moet wellicht onderaan op Meer functies klikken om Regels te zien. 

  3. Klik op Toevoegen Toevoegen of klik bovenaan op Templates om de lijst met templates te openen.
  4. Selecteer onder 'Gegevensverlies voorkomen' een van de templates uit de lijst met vooraf ingevulde templates.
  5. (Optioneel) Bewerk de titel en beschrijving van de regel.
  6. (Optioneel) Wijzig instellingen of voeg instellingen toe onder Triggers, Voorwaarden en Acties. Klik vervolgens op Gereed. Zie Een regel instellen voor meer informatie.
  7. Klik op Maken en activeren
Regels maken met de lege template
  1. Log in bij uw Google-beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga op de homepage van de beheerdersconsole naar Regels.

    U moet wellicht onderaan op Meer functies klikken om Regels te zien. 

  3. Klik op Toevoegen Toevoegen of klik bovenaan op Templates om de lijst met templates te openen.
  4. Klik onder 'Gegevensverlies voorkomen' op Lege template.
  5. Voer de regelnaam in het titelveld in en voeg daaronder een beschrijving toe.
  6. Voeg Triggers, Voorwaarden en Acties toe en klik op Gereed. Zie Een regel instellen voor meer informatie.
  7. Klik op Maken en activeren
Regels bewerken
  1. Log in bij uw Google-beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga op de homepage van de beheerdersconsole naar Regels.

    U moet wellicht onderaan op Meer functies klikken om Regels te zien. 

  3. Klik bovenaan op Beheren om de lijst met DLP-regels te zien.
  4. Klik op de regel die u wilt aanpassen.
  5. Wijzig instellingen onder Triggers, Voorwaarden en Acties en klik vervolgens op Gereed. Zie Een regel instellen voor meer informatie.
  6. Klik op Opslaan en activeren.
Een regel instellen

Triggers

De app-bestanden die worden gescand door de regel. Dit is momenteel alleen beschikbaar voor Drive, inclusief Drives van mijn team. 

Voorwaarden

U kunt bepalen hoe de regel wordt toegepast op gebruikers en content. 

  • Gebruikers: U kunt de regel toepassen op een organisatie-eenheid, een groep in Google Discussiegroepen of allebei. Als u wilt dat bestanden in Drives van mijn team worden gescand, moet u de regel toepassen op alle gebruikers in uw organisatie (de organisatie op het hoogste niveau). De regel scant bestanden die eigendom zijn van gebruikers in de geselecteerde organisatie-eenheden of groepen. U kunt ook groepen uitsluiten. U kunt zo veel groepen en organisatie-eenheden toevoegen of uitsluiten als u wilt. Als u niets opgeeft, wordt de regel toegepast op de organisatie op het hoogste niveau.
  • Content: U kunt instellen dat de regel wordt getriggerd als deze overeenkomt met content uit een lijst met vooraf ingevulde inhouddetectoren. U kunt ook instellen dat de regel wordt getriggerd als deze overeenkomt met een aangepaste woordenlijst of regex (reguliere expressie) die u selecteert of toevoegt. U kunt zo veel contenttypen, woordenlijsten en reguliere expressies toevoegen als u wilt. Meer informatie over vooraf ingevulde inhouddetectoren en reguliere expressies.

    Als u wilt dat er wordt gefilterd op gevoelige content, moet u de vertrouwensdrempel instellen. De vertrouwensdrempel geeft aan hoe aannemelijk het is dat de gedetecteerde content overeenkomt met uw criteria. Met een gemiddelde vertrouwensdrempel wordt de actie uitgevoerd op meer bestanden. Met een hoge vertrouwensdrempel is er een kleinere kans dat bestanden worden gedeeld waarop de actie had moeten worden uitgevoerd, maar wordt de actie mogelijk ook uitgevoerd op meer bestanden dan waarvoor dit had moeten gebeuren.

Acties

Wat de regel doet wanneer er een probleem wordt gedetecteerd. Zelfs als u geen actie kiest, worden overeenkomende bestanden altijd gemarkeerd en weergegeven in de rapportgegevens. 

  • Externe toegang blokkeren: Bestanden met gevoelige content worden geblokkeerd voor iedereen buiten uw organisatie, zelfs als deze gebruikers zijn toegevoegd aan een Drive van mijn team.  
  • Waarschuwen bij extern delen: De gebruiker krijgt een melding te zien waarin staat dat hij een bestand met gevoelige content deelt.
  • E-mail verzenden naar hoofdgebruikers: Er wordt een e-mail verzonden naar de hoofdgebruikers wanneer een gebruiker een bestand met gevoelige content maakt, bewerkt of uploadt. Er wordt een e-mail verzonden wanneer het type gevoelige content in het bestand wordt gewijzigd.Er worden maximaal 25 e-mails per twee uur verzonden.

Tip: Als u veel valse positieven krijgt, moet u twee regels maken. Voeg aan de eerste regel een sterke actie toe, zoals 'Externe toegang blokkeren' en stel de vertrouwensdrempel in op 'Hoog'. Maak vervolgens een tweede regel en stel de vertrouwensdrempel in op Medium. Voeg voor deze regel de actie 'Waarschuwen bij extern delen' toe.

Een regel of wijziging controleren

Met de DLP-scan kunt u controleren welke regels zijn toegevoegd, bewerkt of verwijderd. Wanneer een scan is gestart, vindt u informatie over de scan en eventuele wijzigingen onder 'Taken' in de beheerdersconsole. Zie De status van grote taken controleren voor meer informatie.

  • Als u een regel toevoegt, bewerkt of verwijdert: Er wordt een nieuwe DLP-scan (en taak) getriggerd. 
  • Als u een regel aanpast terwijl een DLP-scan bezig is: De scan wordt opnieuw gestart. De taak die aan de scan is gekoppeld, wordt geüpdatet, zodat de wijziging daarin wordt weergegeven.
  • Als een andere beheerder een regel wijzigt wanneer een DLP-scan bezig is: De scan wordt opnieuw gestart en er wordt een nieuwe taak gemaakt voor de andere beheerder. De scan wordt niet meer gecontroleerd met de oorspronkelijke taak.

Controlegegevens van regels en templates gebruiken

Als u deze taak wilt uitvoeren, moet u zijn ingelogd als superbeheerder.

Gegevens van gemarkeerde items bekijken of exporteren
  1. Log in bij uw Google-beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga op de homepage van de beheerdersconsole naar Regels.

    U moet wellicht onderaan op Meer functies klikken om Regels te zien. 

  3. Klik bovenaan op Controle om de gegevens in het DLP-controlerapport te bekijken.
  4. (Optioneel) Klik op Kolommen selecteren Kolommen selecteren om de criteria te wijzigen die worden weergegeven. Eventuele wijzigingen worden opgeslagen en zijn weer beschikbaar als u de volgende keer inlogt.
  5. Als u de tabel wilt configureren zodat alleen bepaalde elementen worden weergegeven, voert u in het gedeelte Filters de namen van de elementen in of selecteert u het element in de volgende velden:
    1. Regelnaam: De regel die is overtreden door het gemarkeerde item.
    2. Naam gemarkeerd item: De naam van het bestand dat door de regel is gemarkeerd.
    3. ID gemarkeerde items: De naam van de ID in het bestand dat door de regel is gemarkeerd.
    4. Eigenaar item: Het e-mailadres van de eigenaar van het bestand dat door de regel is gemarkeerd.
    5. ID Drive van mijn team: Het nummer van de Drive van mijn team waarin het bestand staat dat door de regel is gemarkeerd.
    6. Overeenkomende inhouddetectoren: Selecteer een van de aangepaste of vooraf ingevulde inhouddetectoren die overeenkomen.
    7. Datum- en tijdbereik: De start- en einddatum en -tijd van evenementen.
      Elke invoer in het logboek geldt als één gebeurtenis.
  6. Klik op Downloaden om de rapportgegevens te exporteren naar een Google-spreadsheet in Drive of om een CSV-bestand met de rapportgegevens te downloaden. Het bestand mag maximaal 200.000 cellen bevatten. Het maximum aantal rijen hangt af van het aantal geselecteerde kolommen.
DLP-templates bekijken of filteren
  1. Log in bij uw Google-beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga op de homepage van de beheerdersconsole naar Regels.

    U moet wellicht onderaan op Meer functies klikken om Regels te zien. 

  3. Klik bovenaan op Templates.
  4. (Optioneel) Klik op Kolommen selecteren Kolommen selecteren om de criteria te wijzigen die worden weergegeven. Eventuele wijzigingen worden opgeslagen en zijn weer beschikbaar als u de volgende keer inlogt.
  5. Als u de tabel wilt configureren zodat alleen bepaalde elementen worden weergegeven, voert u in de sectie Filters de namen van de elementen in, of selecteert u het element in de volgende velden:
    1. Naam template: De naam van de vooraf ingevulde template.
    2. Omschrijving template: De beschrijving van de vooraf ingevulde template.
    3. Categorie: Momenteel is 'Gegevensverlies voorkomen' de enige ondersteunde categorie.
    4. App: Welke app-bestanden worden gescand door de regel. Momenteel zijn DLP-regels alleen beschikbaar voor Drive-bestanden.

Veelgestelde vragen

Welke vooraf ingevulde inhouddetectoren worden ondersteund?

Een groot aantal vooraf ingevulde detectoren wordt ondersteund door DLP in Drive. Er worden er steeds meer toegevoegd, omdat het DLP-platform groeit.

Wordt 100% detectie gegarandeerd?

Nee. We kunnen niet garanderen dat alle gevoelige gegevens worden gevonden en gemarkeerd. Het DLP-detectiesysteem vertaalt vooraf ingevulde templates naar regexes (reguliere expressies) en gebruikt aanvullende contentparameters om de waarschijnlijkheid van een overeenkomst te bepalen. Er kunnen valse positieven en negatieven voorkomen. Deze worden in gang gezet door meerdere factoren.

Krijgen gebruikers te zien waarom ze een bestand niet kunnen delen?

Gebruikers krijgen een DLP-specifiek bericht om ze te laten weten waarom het delen van een bestand niet mogelijk is. Als de gebruiker meerdere regels heeft overtreden, staat in het bericht de eerste detector die overeenkomt.

Wanneer regels worden aangepast of toegevoegd, worden eerder gemaakte bestanden dan ook doorzocht door het systeem?

Ja. Alle bestanden worden doorzocht wanneer een regel wordt toegevoegd of aangepast. Het kan enkele uren, een dag of langer duren om alle bestanden te scannen. Dit is afhankelijk van verschillende factoren, zoals het aantal bestanden in het domein.

Kan een bestand meerdere keren worden gescand?

Ja. Soms worden documenten twee keer gescand, om er zeker van te zijn dat gevoelige content wordt gedetecteerd. Het aantal bestanden waarop een wijziging in de regel invloed heeft, kan dus anders zijn in verschillende scans.

Was dit artikel nuttig?
Hoe kunnen we dit verbeteren?