Skanowanie i ochrona plików na Dysku przy użyciu reguł DLP

Ta funkcja jest dostępna tylko w G Suite Enterprise, G Suite dla Szkół i Uczelni oraz na Dysku Google Enterprise. Porównanie wersji

Jeśli jesteś administratorem G Suite, możesz uniemożliwić użytkownikom udostępnianie poufnych treści na Dysku Google lub Dyskach zespołu osobom spoza organizacji. W tym celu możesz zastosować reguły zapobiegania utracie danych (DLP – Data Loss Prevention), aby skanować pliki pod kątem poufnych danych. Jeśli na przykład użytkownik udostępni plik zawierający dane konta bankowego lub identyfikatory podatkowe, superadministratorzy mogą otrzymać e-maila z powiadomieniem o tym fakcie. Możesz też ostrzegać użytkowników, którzy próbują udostępniać pliki z poufnymi informacjami, albo całkowicie zablokować dostęp do plików osobom spoza organizacji. Skanowane są tylko pliki udostępnione. 

Wskazówka: aby zobaczyć przykłady poufnej treści i przetestować działanie tej funkcji na swoich danych, wypróbuj wersję próbną Zapobiegania utracie danych.

Działanie reguł

Możesz użyć wstępnie zdefiniowanego szablonu lub utworzyć własny. Regułę możesz zastosować do całej domeny, wybranych jednostek organizacyjnych lub Grup dyskusyjnych Google. Aby działanie reguły obejmowało pliki na Dyskach zespołu, musisz ją zastosować do wszystkich użytkowników w organizacji. Dodatkowo możesz określić czynność wykonywaną w przypadku wykrycia poufnych informacji. Szczegóły zawiera sekcja Definiowanie reguły.

Tworzenie i edytowanie reguł

Aby wykonać tę czynność, musisz się zalogować jako superużytkownik.

Tworzenie reguł przy użyciu wstępnie zdefiniowanych szablonów
  1. Zaloguj się w Konsola administracyjna Google.

    Zaloguj się na konto administratora (adres nie kończy się na @gmail.com).

  2. Na stronie głównej w konsoli administracyjnej kliknij Reguły.

    Jeśli nie widzisz opcji Reguły, kliknij Więcej ustawień u dołu strony. 

  3. Kliknij Dodaj Dodaj lub u góry kliknij Szablony, aby otworzyć listę szablonów.
  4. W sekcji Zapobieganie utracie danych wybierz z listy jeden ze wstępnie zdefiniowanych szablonów.
  5. (Opcjonalnie) Edytuj tytuł i opis reguły.
  6. (Opcjonalnie) W sekcjach Reguły, Warunki i Czynności zmień lub dodaj ustawienia, a następnie kliknij Gotowe. Szczegółowe instrukcje znajdziesz w sekcji Definiowanie reguły.
  7. Kliknij Utwórz i aktywuj
Tworzenie reguł przy użyciu pustego szablonu
  1. Zaloguj się w Konsola administracyjna Google.

    Zaloguj się na konto administratora (adres nie kończy się na @gmail.com).

  2. Na stronie głównej w konsoli administracyjnej kliknij Reguły.

    Jeśli nie widzisz opcji Reguły, kliknij Więcej ustawień u dołu strony. 

  3. Kliknij Dodaj Dodaj lub u góry kliknij Szablony, aby otworzyć listę szablonów.
  4. W sekcji Zapobieganie utracie danych kliknij Pusty szablon.
  5. W polu tytułu wpisz nazwę reguły i dodaj opis reguły poniżej.
  6. Dodaj reguły, warunki i czynności, a następnie kliknij Gotowe. Szczegółowe instrukcje znajdziesz w sekcji Definiowanie reguły.
  7. Kliknij Utwórz i aktywuj
Edytowanie reguł
  1. Zaloguj się w Konsola administracyjna Google.

    Zaloguj się na konto administratora (adres nie kończy się na @gmail.com).

  2. Na stronie głównej w konsoli administracyjnej kliknij Reguły.

    Jeśli nie widzisz opcji Reguły, kliknij Więcej ustawień u dołu strony. 

  3. U góry strony kliknij Zarządzaj, aby wyświetlić listę reguł DLP.
  4. Kliknij regułę, którą chcesz zmodyfikować.
  5. Edytuj ustawienia w sekcjach Reguły, Warunki i Czynności, a następnie kliknij Gotowe. Szczegółowe instrukcje znajdziesz w sekcji Definiowanie reguły.
  6. Kliknij Zapisz i aktywuj.
Definiowanie reguły

Reguły

Wybierz pliki aplikacji, które mają być skanowane przez regułę – obecnie tylko na Dysku, który obejmuje Dyski zespołu. 

Warunki

Określ sposób stosowania reguły do kont użytkowników i danych. 

  • Użytkownicy – reguły możesz stosować do wybranych jednostek organizacyjnych i Grup dyskusyjnych Google. Aby skanować pliki na Dysku zespołu, musisz zastosować regułę do wszystkich użytkowników w organizacji (organizacji najwyższego poziomu). Reguła skanuje pliki należące do użytkowników w wybranych organizacjach i grupach. Możesz też wykluczać grupy z zakresu skanowania. Możesz dodać i wykluczyć dowolną liczbę grup i organizacji. Jeśli nie określisz zakresu działania reguły, zostanie ona zastosowana do organizacji najwyższego poziomu.
  • Zawartość – reguła może być aktywowana, gdy zostaną wykryte dane pasujące do wstępnie zdefiniowanej listy wzorców treści. Możesz też utworzyć niestandardową listę słów i wyrażeń regularnych, których wykrycie powoduje uruchomienie reguły. Do reguły możesz dodać dowolną liczbę rodzajów treści, list słów i wyrażeń regularnych. Dowiedz się więcej o wstępnie zdefiniowanych wzorcach do wykrywania treściwyrażeniach regularnych.

    Uwaga: jeśli dodasz kilka rodzajów treści do warunku, to reguła zostanie wyzwolona, gdy zostanie wykryty dowolny z nich. 

    Jeśli chcesz wykrywać poufne dane w udostępnianych plikach, musisz ustawić poziom ufności. To ustawienie wskazuje prawdopodobieństwo, że wykryta treść spełnia określone kryteria. Średni poziom ufności oznacza większą liczbę plików wyzwalających określoną czynność. Wysoki poziom ufności może zmniejszyć liczbę udostępnianych plików, które powinny wyzwolić określone działanie, ale może też zwiększyć liczbę niepotrzebnie wykrywanych treści.

Czynności

Określ czynność, która ma zostać wykonana przez regułę w przypadku wykrycia problemu. Nawet jeśli nie wybierzesz żadnej czynności, wszystkie pasujące pliki będą odpowiednio oznaczane i wymieniane w raportach. 

  • Zablokuj dostęp spoza domenyuniemożliwia osobom spoza domeny otwieranie udostępnionych plików zawierających poufne dane (nawet jeśli te osoby zostaną dodane do Dysku zespołu).  
  • Ostrzegaj przed udostępnianiem poza domenęwyświetla użytkownikowi powiadomienie, jeśli próbuje on udostępnić plik zawierający poufne dane.
  • Wyślij e-maila do superadministratorówjeśli użytkownik utworzy, zmodyfikuje lub prześle plik zawierający poufne dane, superadministratorzy zostaną o tym powiadomieni przez pocztę e-mail. Taka wiadomość jest wysyłana zawsze po zmianie typu poufnej treści w pliku. Maksymalna liczba wysyłanych e-maili to 25 w ciągu dwóch godzin.

Wskazówka: jeśli zauważysz dużą liczbę fałszywych dopasowań, utwórz parę reguł: w pierwszej regule dodaj silną czynność, na przykład „Zablokuj dostęp spoza domeny” z wysokim poziomem ufności. Następnie utwórz drugą regułę ze średnim poziomem ufności. Do tej reguły dodaj czynność „Ostrzegaj przed udostępnianiem poza domenę”.

Monitorowanie reguł i zmian

Przy użyciu skanowania DLP możesz monitorować dodawanie, edytowanie i usuwanie reguł. Po rozpoczęciu skanowania informacje na jego temat wraz z listą wszystkich wprowadzonych zmian znajdziesz w sekcji Zadania w konsoli administracyjnej. Szczegółowe informacje znajdziesz w artykule Sprawdzanie stanu dużych zadań.

  • Jeśli dodasz, edytujesz lub usuniesz regułę – wyzwolone zostanie nowe skanowanie DLP (wraz z zadaniem). 
  • Jeśli zmienisz regułę w trakcie skanowania DLP – skanowanie zostanie rozpoczęte od nowa. Zadanie powiązane ze skanowaniem zostanie zaktualizowane, aby odzwierciedlić tę zmianę.
  • Jeśli inny administrator zmieni regułę w trakcie skanowania DLP – skanowanie zostanie uruchomione od początku i nowe zadanie zostanie utworzone dla tego administratora. Pierwotne zadanie nie będzie dłużej używane do monitorowania skanowania.

Używanie szablonów i danych kontroli reguł

Aby wykonać tę czynność, musisz się zalogować jako superużytkownik.

Wyświetlanie i eksportowanie informacji o oznaczonych elementach
  1. Zaloguj się w Konsola administracyjna Google.

    Zaloguj się na konto administratora (adres nie kończy się na @gmail.com).

  2. Na stronie głównej w konsoli administracyjnej kliknij Reguły.

    Jeśli nie widzisz opcji Reguły, kliknij Więcej ustawień u dołu strony. 

  3. U góry strony kliknij Kontrola, aby wyświetlić dane raportu kontroli reguły DLP.
  4. (Opcjonalnie) Aby zmienić wyświetlane kryteria, kliknij Wybierz kolumny Wybierz kolumny. Wszystkie zmiany zostaną zapisane. Będą one dostępne po następnym zalogowaniu się.
  5. Aby skonfigurować wyświetlanie w tabeli tylko niektórych elementów, w sekcji Filtry wpisz nazwy lub wybierz element w tych polach:
    1. Nazwa reguły – reguła, którą narusza oznaczona treść.
    2. Nazwa oznaczonego elementu – nazwa pliku oznaczonego przez regułę.
    3. Identyfikator oznaczonego elementu – nazwa identyfikatora w pliku oznaczonym przez regułę.
    4. Właściciel elementu – adres e-mail właściciela pliku oznaczonego przez regułę.
    5. Identyfikator Dysku zespołu – numer Dysku zespołu, na którym znajduje się plik oznaczony przez regułę.
    6. Detektory zgodnej treści – wybierz jeden z niestandardowych lub wstępnie zdefiniowanych wzorców do wykrywania zgodnej treści.
    7. Zakres daty i godziny – data i godzina rozpoczęcia oraz zakończenia zdarzenia.
      Każdy wpis w dzienniku odpowiada jednemu zdarzeniu.
  6. Aby wyeksportować dane raportu do pliku Arkuszy Google na Dysku lub pobrać plik CSV z tymi danymi, kliknij Pobierz Pobierz. Taki plik może zawierać maksymalnie 200 000 komórek. Maksymalna liczba wierszy zależy od liczby wybranych kolumn.
Wyświetlanie i filtrowanie szablonów DLP
  1. Zaloguj się w Konsola administracyjna Google.

    Zaloguj się na konto administratora (adres nie kończy się na @gmail.com).

  2. Na stronie głównej w konsoli administracyjnej kliknij Reguły.

    Jeśli nie widzisz opcji Reguły, kliknij Więcej ustawień u dołu strony. 

  3. U góry strony kliknij Szablony.
  4. (Opcjonalnie) Aby zmienić wyświetlane kryteria, kliknij Wybierz kolumny Wybierz kolumny. Wszystkie zmiany zostaną zapisane. Będą one dostępne po następnym zalogowaniu się.
  5. (Opcjonalnie) Aby skonfigurować wyświetlanie w tabeli tylko niektórych elementów, w sekcji Filtry wpisz nazwy lub wybierz element w tych polach:
    1. Nazwa szablonu – nazwa wcześniej zdefiniowanego szablonu.
    2. Opis szablonu – opis wcześniej zdefiniowanego szablonu.
    3. Kategoria – obecnie jedynym obsługiwanym typem kategorii jest Zapobieganie utracie danych.
    4. Aplikacja – pliki aplikacji skanowane przez reguły. Obecnie reguły DLP są dostępne tylko dla plików na Dysku.

Najczęstsze pytania

Które wstępnie zdefiniowane wzorce do wykrywania treści są obsługiwane?

Funkcja DLP dla Dysku obsługuje dużą liczbę wstępnie zdefiniowanych wzorców wykrywania treści. Więcej wzorców będzie dodawanych wraz z rozwojem platformy DLP.

Czy wykrycie jest gwarantowane w 100%?

Nie. Nie możemy zagwarantować, że wszystkie poufne dane zostaną wykryte i oznaczone. System wykrywania DLP tłumaczy wstępnie zdefiniowane szablony na wyrażenia regularne oraz używa dodatkowych parametrów treści do określania prawdopodobieństwa dopasowania. Może występować wiele fałszywych dopasowań i fałszywych niepowodzeń dopasowania, które są wyzwalane przez wiele czynników.

Czy użytkownicy otrzymują informację, dlaczego nie mogą udostępnić pliku?

Użytkownikowi wyświetlany jest komunikat związany z regułą DLP zawierający opis przyczyny zablokowania udostępniania. Jeśli próba udostępnienia pliku narusza więcej niż jedną regułę, w komunikacie jest wymieniony tylko pierwszy dopasowany wzorzec wykrywania.

Czy po zmodyfikowaniu lub dodaniu reguł system skanuje wcześniej utworzone pliki?

Tak. Wszystkie pliki są skanowane zawsze po dodaniu lub zmodyfikowaniu reguły. Skanowanie plików może potrwać kilka godzin, dzień lub dłużej w zależności od różnych czynników, w tym liczby plików w domenie. 

Wskazówka: jeśli dodasz lub zmodyfikujesz regułę, DLP przeskanuje ostatnią wersję wcześniej przesłanych plików.

Czy plik może zostać przeskanowany więcej niż jeden raz?

Tak. Aby zwiększyć skuteczność wykrywania poufnych danych, dokumenty są czasami skanowane dwukrotnie. W związku z tym liczba plików przetworzonych w ramach działania reguły może się różnić w kolejnych skanowaniach.

Czy to było pomocne?
Jak możemy ją poprawić?