Сканирование и защита файлов на Диске с помощью правил DLP

Supported editions for this feature: Enterprise; Enterprise for Education.  Сравнение версий

Как администратор, вы можете запретить предоставлять доступ к конфиденциальным данным, хранящимся на Google Диске или общем диске, пользователям за пределами домена. Чтобы сканировать файлы на наличие соответствующего контента, необходимо настроить правила защиты от потери данных (DLP). Например, можно настроить правила таким образом, что если пользователь откроет доступ к файлу с номером банковского счета или ИНН, то он увидит предупреждение об этом или суперадминистраторы получат уведомление по электронной почте. Можно также заблокировать доступ к этому файлу для любого пользователя за пределами организации.

Совет. Ознакомьтесь с примерами конфиденциальных данных или протестируйте работу функции.

Сканируемые приложения и типы файлов

Сканирование выполняется для следующих приложений G Suite:

  • Таблицы
  • Документы
  • Презентации

DLP не поддерживает и не сканирует комментарии в Документах, Таблицах, Презентациях и Рисунках, а также уведомления по электронной почте о комментариях.

Формы не поддерживаются DLP и не сканируются. Если применены правила DLP, формы не загружаются.

Типы файлов, контент которых сканируется, включают следующие:

  • Документы в форматах DOC, DOCX, HTML, ODP, ODS, ODT, PDF, PPT, RTF, WDP, XLS, XLSX и XML.
  • Изображения в форматах EPS, FIF, IMG_FOR_OCR и PS.
  • Сжатые файлы в форматах 7Z, BZIP, GZIP, RAR, TAR и ZIP.
  • Персонализированные файлы в форматах HWP, KML, KMZ, SDC, SDD, SDW, SXC, SXI, SXW, TTF, WML и XPS.

Аудио- и видеофайлы не сканируются.

Принцип работы правил

Для создания правил вы можете использовать стандартные или собственные шаблоны. Правила могут распространяться на весь домен, выбранное организационное подразделение или группу в Google Группах. Чтобы правило работало для файлов на общих дисках, необходимо применить его ко всем пользователям организации. Если конфиденциальная информация найдена, выполняется заданное вами действие. Подробнее…

Как создавать и редактировать правила

Для выполнения этого действия войдите в аккаунт суперадминистратора.

Как создать правило с помощью стандартных шаблонов
  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Правила.
  3. Откройте список шаблонов. Для этого нажмите на значок "Добавить" "" или в верхней части окна выберите Шаблоны.
  4. В разделе "Предотвращение потери данных" выберите стандартный шаблон из списка.
  5. При необходимости измените название и описание правила.
  6. Если нужно, измените или добавьте триггеры, условия и действия, а затем нажмите Готово. Подробнее…
  7. Нажмите Создать и активировать.
Как создать правило на основе пустого шаблона
  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Правила.
  3. Откройте список шаблонов. Для этого нажмите на значок "Добавить" "" или в верхней части окна выберите Шаблоны.
  4. В разделе "Предотвращение потери данных" нажмите Пустой шаблон.
  5. Введите название и добавьте описание правила.
  6. Добавьте триггеры, условия и действия, а затем нажмите Готово.Подробнее…
  7. Нажмите Создать и активировать.
Как изменить правило
  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Правила.
  3. В верхней части страницы нажмите Управление, чтобы посмотреть список существующих правил DLP.
  4. Выберите правило, которое хотите изменить.
  5. Если нужно, измените триггеры, условия и действия, а затем нажмите Готово.Подробнее…
  6. Нажмите Сохранить и активировать.
Как настроить правило

Триггеры

Это файлы приложения, которые сканируются правилом. В настоящее время триггеры доступны только для Диска и общих дисков.

Условия

Вы можете указать, как именно правило должно применяться к пользователю и содержанию.

  • Пользователи. Вы можете применить правило к организационному подразделению и/или к группе в Google Группах. Чтобы сканировать файлы на общих дисках, необходимо применить правило ко всем пользователям организации (к организации верхнего уровня).Правило будет проверять файлы, принадлежащие пользователям в выбранных организационных подразделениях и группах. Вы также можете исключать и добавлятьгруппы и организационные подразделения в любом количестве.Если конкретные группы и подразделения не указаны, правило применяется к организации верхнего уровня.
  • Содержание. Вы можете выбрать триггер для правила из доступного списка стандартных детекторов содержания или настроенного списка слов и регулярных выражений, которые можно также создавать самостоятельно. Во все эти списки можно добавить любое количество типов содержания, нежелательных слов и выражений. Подробнее о стандартных детекторах содержания и регулярных выражениях

    Правила могут сканировать следующие типы полей (которые являются различными частями документа):
    • Заголовок: название документа.
    • Содержимое: текст документа.
    • Рекомендации: содержимое, добавленное в документ в режиме рекомендаций.
    • Весь контент: всё содержимое документа, включая его заголовок, текст и рекомендации.

      Примечание. Если вы добавите несколько типов содержания, правило будет срабатывать при соответствии любому из них.

      Для триггеров соответствия нужно настроить порог достоверности. Он определяет, насколько содержимое файла соответствует выбранным вами критериям. При среднем пороге достоверности действие выполняется для большего количества файлов. При высоком пороге достоверности меньше вероятность применения действия к файлам, для которых оно не требуется, но при этом возрастает процент пропущенных файлов.

Действия

При срабатывании правила могут выполняться перечисленные ниже действия. Даже если действие не выбрано, все отвечающие условиям файлы помечаются и добавляются в отчеты.

  • Заблокировать доступ из-за пределов организации – доступ к любому файлу с конфиденциальной информацией будет заблокирован для внешних пользователей. Они не смогут посмотреть содержимое такого файла, даже если он будет добавлен на общий диск.
  • Показать предупреждение о распространении за пределами организации – пользователь увидит сообщение о том, что он предоставляет доступ к файлу с конфиденциальной информацией.
  • Оповестить суперадминистраторов по электронной почте – суперадминистраторам будет отправлено электронное письмо о том, что пользователь создал, отредактировал или загрузил файл с конфиденциальной информацией. Оно отправляется каждый раз, когда меняется тип конфиденциальной информации в файле. Максимальное количество писем – 25 в течение 2 часов.

Совет. При большом количестве ложных срабатываний создайте пару правил. Первое правило можно сделать строгим, например задать действие "Заблокировать доступ из-за пределов организации" и высокий порог достоверности. Для второго правила задайте средний порог достоверности и добавьте действие "Предупреждение о распространении за пределами организации".

Как управлять правилами и их изменениями

Вы можете отслеживать добавленные, измененные и удаленные правила с помощью DLP-сканирования. Когда сканирование начнется, данные о нем и все внесенные изменения можно найти в разделе "Задачи" консоли администратора. Подробнее…

  • Если вы добавите, отредактируете или удалите правило, запустится новое DLP-сканирование (и задача).
  • Если вы измените правило в процессе DLP-сканирования, соответствующая задача будет обновлена и в ней отразятся внесенные изменения.
  • Если другой администратор изменит правило в процессе DLP-сканирования, оно перезапустится, а для администратора будет создана новая задача. В предыдущей задаче отслеживание процесса сканирования будет прекращено.

Отчеты о проверке правил и шаблоны

Для выполнения этого действия войдите в аккаунт суперадминистратора.

Как посмотреть или экспортировать данные об отмеченных файлах
  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Правила.
  3. Чтобы посмотреть данные отчета о проверке правил DLP, в верхней части окна выберите Проверка.
  4. Чтобы выбрать другие столбцы, нажмите на значок "". Изменения вступят в силу при следующем входе в консоль администратора.
  5. Чтобы изменить структуру отчета, в разделе Фильтры укажите или выберите названия элементов в следующих полях:
    1. Название правила – правило, которое было нарушено найденным файлом.
    2. Название помеченного элемента – название файла, на котором сработало правило.
    3. Идентификатор помеченного элемента – название идентификатора в файле, на котором сработало правило.
    4. Владелец объекта – адрес электронной почты владельца файла, на котором сработало правило.
    5. Идентификатор общего диска – номер общего диска, содержащего файл, на котором сработало правило.
    6. Детекторы совпадающего содержания – выберите один из созданных вами или стандартных детекторов совпадающего содержания.
    7. Временной диапазон – начало и конец периода, показанного в журнале.
      Каждая запись в журнале связана с одним событием.
  6. Чтобы сохранить данные отчета в файле Google Таблиц на Диске или скачать их в виде CSV-файла, нажмите на значок "Скачать" "".Файл может содержать не более 200 000 ячеек. Максимальное количество строк зависит от числа выбранных столбцов.
Как посмотреть или отфильтровать шаблоны правил DLP
  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Правила.
  3. В верхней части нажмите Шаблоны.
  4. Чтобы выбрать другие столбцы, нажмите на значок "". Изменения вступят в силу при следующем входе в консоль администратора.
  5. Чтобы изменить структуру отчета, в разделе Фильтры можно указать или выбрать названия элементов в следующих полях:
    1. Название шаблона – название предварительно выбранного шаблона.
    2. Описание шаблона – описание предварительно выбранного шаблона.
    3. Категория – в настоящий момент доступна только категория "Предотвращение потери данных".
    4. Приложение – файлы приложения, которые сканируются правилом.В настоящий момент правила DLP поддерживают только файлы Диска.

Часто задаваемые вопросы

Какие стандартные детекторы содержания поддерживаются?

Функция DLP для Диска поддерживает множество стандартных детекторов.По мере развития платформы DLP будут добавляться и другие детекторы.

Гарантируется ли 100-процентная достоверность обнаружения?

Нет, мы не можем гарантировать, что будет обнаружена вся конфиденциальная информация.Система обнаружения DLP преобразует стандартные шаблоны в регулярные выражения и использует дополнительные параметры, чтобы оценить вероятность совпадения. Так как работа функции зависит от множества факторов, возможны ложные срабатывания и пропущенные файлы.

Узнают ли пользователи, почему они не могут поделиться файлом?

Пользователи увидят сообщение с объяснением причины. Если причин для блокировки несколько, в сообщении будет указан первый детектор, который совпал с условием, указанным в правиле.

Выполняется ли повторное сканирование уже проверенных файлов после редактирования или добавления правил?

Да. Все файлы сканируются каждый раз после добавления или изменения правила. Общее время сканирования может составлять, например, несколько часов, день или более: оно зависит от ряда факторов, включая количество файлов в домене.

Примечание. После добавления или изменения правила сканируется последняя версия загруженных ранее файлов.

Может ли файл сканироваться несколько раз?

Да. Чтобы с большей вероятностью обнаружить конфиденциальный контент, сканирование может быть выполнено дважды. Таким образом, количество файлов, которые затронет изменение правила, может оказаться разным.

Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.