Как сканировать и защищать файлы на Диске с помощью правил DLP

Эта функция доступна только в пакетах G Suite Enterprise, Drive Enterprise и G Suite for Education. Сравнение версий

Как администратор G Suite, вы можете запретить делиться конфиденциальными данными, хранящимися на Google Диске и общих дисках, с пользователями за пределами домена. Чтобы сканировать файлы на наличие соответствующего контента, необходимо настроить правила защиты от потери данных (DLP). Например, если пользователь откроет доступ к файлу с номером банковского счета или ИНН, об этом можно сообщить другим суперадминистраторам по электронной почте. Вы также можете предупредить пользователей о том, что они пытаются поделиться файлом с конфиденциальным контентом, или заблокировать доступ к нему для любого пользователя за пределами организации. 

Совет. Ознакомьтесь с примерами конфиденциальных данных или протестируйте работу функции.

Как это работает

Для создания правил вы можете использовать стандартные шаблоны или собственные. Правила могут распространяться на весь домен или выбранное организационное подразделение. Чтобы применить правило к файлам общего диска, необходимо применить его ко всем пользователям организации. Если конфиденциальная информация найдена, выполняется заданное вами действие. Подробнее…

Создание и редактирование правил

Для выполнения этой задачи нужно войти в аккаунт суперадминистратора.

Как создать правило с помощью стандартных шаблонов
  1. Войдите в Консоль администратора Google.

    Войдите в аккаунт администратора (не оканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Правила.

    Если значка "Правила" нет, нажмите Добавить элементы управления в нижней части страницы. 

  3. Откройте список шаблонов. Для этого нажмите на значок "Добавить" Добавить или в верхней части окна выберите Шаблоны.
  4. В разделе "Предотвращение потери данных" выберите один из стандартных шаблонов.
  5. При необходимости измените название и описание правила.
  6. Если нужно, измените или добавьте триггеры, условия и действия, а затем нажмите Готово. Подробнее…
  7. Нажмите Создать и активировать
Как создать правило на основе собственного шаблона
  1. Войдите в Консоль администратора Google.

    Войдите в аккаунт администратора (не оканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Правила.

    Если значка "Правила" нет, нажмите Добавить элементы управления в нижней части страницы. 

  3. Откройте список шаблонов. Для этого нажмите на значок "Добавить" Добавить или в верхней части окна выберите Шаблоны.
  4. В разделе "Предотвращение потери данных" нажмите Пустой шаблон.
  5. Введите название и добавьте описание правила.
  6. Добавьте триггеры, условия и действия, а затем нажмите ГотовоПодробнее…
  7. Нажмите Создать и активировать
Как изменить правило
  1. Войдите в Консоль администратора Google.

    Войдите в аккаунт администратора (не оканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Правила.

    Если значка "Правила" нет, нажмите Добавить элементы управления в нижней части страницы. 

  3. В верхней части страницы нажмите Управление, чтобы посмотреть список существующих правил DLP.
  4. Выберите правило, которое хотите изменить.
  5. Если нужно, измените триггеры, условия и действия, а затем нажмите ГотовоПодробнее…
  6. Нажмите Сохранить и активировать.
Как настроить правило

Триггеры

Это файлы приложения, которые сканирует правило. В настоящее время триггеры доступны только для Диска и общих дисков. 

Условия

Вы можете указать, как именно правило должно применяться к пользователю и контенту. 

  • К пользователям. Вы можете применить правило к организационному подразделению или группе в Google Группах (или и к тому, и к другому). Чтобы сканировать файлы общих дисков, необходимо применить правило ко всем пользователям организации верхнего уровня. Оно будет проверять файлы, принадлежащие пользователям в выбранных организационных подразделениях и группах. Вы также можете исключать и добавлять группы и организационные подразделения в любом количестве. Если конкретные группы и подразделения не указаны, правило применяется к организации верхнего уровня.
  • К контенту. Вы можете выбрать триггер для правила из доступного списка стандартных детекторов содержания или настроенного списка слов и регулярных выражений, которые можно также создавать самостоятельно. Во все эти списки можно добавить любое количество типов содержания, нежелательных слов и выражений. Подробнее о стандартных детекторах содержания и о регулярных выражениях

    Примечание. Если вы добавите несколько типов содержания, правило будет срабатывать при соответствии любому из них. 

    Для триггеров соответствия нужно настроить порог достоверности. Он определяет, насколько содержимое файла соответствует выбранным вами критериям. При среднем пороге достоверности действие выполняется для большего количества файлов. При высоком пороге достоверности меньше вероятность применения действия к файлам, для которых оно не требуется, но при этом возрастает процент пропущенных файлов.

Действия

Что произойдет, если правило сработало. Если действие не выбрано, все отвечающие условиям файлы помечаются и добавляются в отчеты. 

  • Заблокировать доступ из-за пределов организации – доступ к любому файлу с конфиденциальной информацией будет заблокирован для внешних пользователей. Они не смогут посмотреть его содержимое, даже если файл будет добавлен на общий диск.  
  • Предупреждение о распространении за пределами организации – пользователь увидит сообщение о том, что он предоставил доступ к файлу с конфиденциальной информацией.
  • Оповестить суперадминистраторов по электронной почте – суперадминистраторам будет отправлено электронное письмо о том, что пользователь создал, отредактировал или загрузил файл с конфиденциальной информацией. Оно отправляется каждый раз, когда меняется тип конфиденциальной информации в файле. Максимальное количество писем – 25 в течение 2 часов.

Совет. При большом количестве ложных срабатываний создайте пару правил. Первое правило можно сделать строгим, например задать действие "Заблокировать доступ из-за пределов организации" и высокий порог достоверности. Для второго правила задайте средний порог достоверности и добавьте действие "Предупреждение о распространении за пределами организации".

Как управлять правилами и их изменениями

Вы можете отслеживать добавленные, измененные и удаленные правила с помощью DLP-сканирования. Когда сканирование начнется, данные о нем и все внесенные изменения можно найти в разделе "Задачи" консоли администратора. Подробнее…

  • Если вы добавите, отредактируете или удалите правило, запустится новое DLP-сканирование (и задача). 
  • Если вы измените правило в процессе DLP-сканирования, соответствующая задача будет обновлена и в ней отразятся внесенные изменения.
  • Если другой администратор изменит правило в процессе DLP-сканирования, оно перезапустится, а для администратора будет создана новая задача. В предыдущей задаче отслеживание процесса сканирования будет прекращено.

Отчеты о проверке правил и шаблоны

Для выполнения этой задачи нужно войти в аккаунт суперадминистратора.

Как посмотреть или экспортировать данные об отмеченных файлах
  1. Войдите в Консоль администратора Google.

    Войдите в аккаунт администратора (не оканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Правила.

    Если значка "Правила" нет, нажмите Добавить элементы управления в нижней части страницы. 

  3. Чтобы посмотреть данные отчета о проверке правил DLP, в верхней части окна выберите Проверка.
  4. Чтобы выбрать другие столбцы, нажмите на значок "Выбрать столбцы" Выбор столбцов. Изменения вступят в силу при следующем входе в консоль администратора.
  5. Чтобы изменить структуру отчета, в разделе Фильтры укажите или выберите названия элементов в следующих полях:
    1. Название правила – правило, которое было нарушено найденным файлом.
    2. Название помеченного элемента – название файла, на котором сработало правило.
    3. Идентификатор помеченного элемента – название идентификатора в файле, на котором сработало правило.
    4. Владелец объекта – адрес электронной почты владельца файла, на котором сработало правило.
    5. Идентификатор общего диска – номер общего диска, содержащего файл, на котором сработало правило.
    6. Детекторы совпадающего содержания – выберите один из созданных вами или стандартных детекторов совпадающего содержания.
    7. Временной диапазон – начало и конец периода, показанного в журнале.
      Каждая запись в журнале связана с одним событием.
  6. Чтобы сохранить данные отчета в файле Google Таблиц на Диске или скачать их в виде CSV-файла, нажмите на значок "Загрузить" Скачать. Файл может содержать не более 200 000 ячеек. Максимальное количество строк зависит от числа выбранных столбцов.
Как посмотреть или отфильтровать шаблоны правил DLP
  1. Войдите в Консоль администратора Google.

    Войдите в аккаунт администратора (не оканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Правила.

    Если значка "Правила" нет, нажмите Добавить элементы управления в нижней части страницы. 

  3. В верхней части нажмите Шаблоны.
  4. Чтобы выбрать другие столбцы, нажмите на значок "Выбрать столбцы" Выбор столбцов. Изменения вступят в силу при следующем входе в консоль администратора.
  5. Чтобы изменить структуру отчета, в разделе Фильтры можно указать или выбрать названия элементов в следующих полях:
    1. Название шаблона – название предварительно выбранного шаблона.
    2. Описание шаблона – описание предварительно выбранного шаблона.
    3. Категория – в настоящий момент доступна только категория "Предотвращение потери данных".
    4. Приложение – файлы приложения, которые сканирует правило. В настоящий момент правила DLP поддерживают только файлы Диска.

Часто задаваемые вопросы

Какие стандартные детекторы содержания поддерживаются?

Функция DLP для Диска поддерживает множество стандартных детекторов. По мере развития платформы DLP будут добавляться и другие детекторы.

Гарантируется ли 100-процентная достоверность обнаружения?

Нет, мы не можем гарантировать, что будет обнаружена вся конфиденциальная информация. Система обнаружения DLP преобразует стандартные шаблоны в регулярные выражения и использует дополнительные параметры, чтобы оценить вероятность совпадения. Так как работа функции зависит от множества факторов, возможны ложные срабатывания и пропущенные файлы.

Узнают ли пользователи, почему они не могут поделиться файлом?

Пользователи увидят сообщение с объяснением причины. Если причин для блокировки несколько, в сообщении будет указан первый детектор, который совпал с условием, указанным в правиле.

Выполняется ли повторное сканирование уже проверенных файлов после редактирования или добавления правил?

Да. Все файлы сканируются каждый раз после добавления или изменения правила. Общее время сканирования зависит от нескольких факторов, включая количество файлов в домене.

Может ли файл сканироваться несколько раз?

Да. Чтобы с большей вероятностью обнаружить конфиденциальный контент, сканирование может быть выполнено дважды. Таким образом, количество файлов, которые затронет изменение правила, может оказаться разным.

Была ли эта статья полезна?
Как можно улучшить эту статью?