สแกนและปกป้องไฟล์ในไดรฟ์โดยใช้กฎ DLP

ฟีเจอร์นี้ใช้ได้กับ G Suite Enterprise, G Suite Enterprise Essentials และ G Suite for Education เท่านั้น เปรียบเทียบรุ่นต่างๆ

ในฐานะผู้ดูแลระบบ G Suite คุณจะป้องกันไม่ให้ผู้ใช้แชร์เนื้อหาที่ละเอียดอ่อนใน Google ไดรฟ์หรือไดรฟ์ที่แชร์กับบุคคลภายนอกองค์กรได้ โดยใช้กฎการป้องกันข้อมูลรั่วไหล (DLP) สแกนไฟล์เพื่อค้นหาเนื้อหาที่ละเอียดอ่อน ตัวอย่างเช่น หากผู้ใช้แชร์ไฟล์ที่มีบัญชีธนาคารหรือหมายเลขประจำตัวผู้เสียภาษี คุณก็ส่งอีเมลแจ้งให้ผู้ดูแลระบบขั้นสูงทราบได้ นอกจากนี้คุณยังมีสิทธิ์เตือนผู้ใช้ขณะพยายามแชร์ไฟล์ หรือบล็อกทุกคนที่อยู่ภายนอกองค์กรไม่ให้เข้าถึงไฟล์ได้อีกด้วย

เคล็ดลับ: โปรดทดลองใช้การสาธิตการป้องกันข้อมูลรั่วไหลเพื่อดูตัวอย่างเนื้อหาที่ละเอียดอ่อนหรือทดสอบเนื้อหาของคุณเอง

แอปพลิเคชันและประเภทไฟล์ที่สแกน

แอปพลิเคชัน G Suite ที่สแกนมีดังนี้

  • ชีต
  • เอกสาร
  • สไลด์

DLP ไม่รองรับฟอร์ม ดังนั้นจึงไม่สแกนแบบฟอร์มต่างๆ นอกจากนี้ การใช้ DLP ยังป้องกันไม่ให้อัปโหลดแบบฟอร์มอีกด้วย

ประเภทไฟล์ที่จะสแกนเนื้อหามีดังนี้

  • ประเภทไฟล์เอกสาร: .doc, .docx, .html, .odp, .ods, .odt, .pdf, .ppt. .rtf, .wdp, .xls, .xlsx, .xml
  • ประเภทไฟล์ภาพ: .eps, .fif, .img_for_ocr, .ps
  • ประเภทไฟล์บีบอัด: .7z, .bzip, .gzip, .rar, .tar, .zip
  • ประเภทไฟล์ที่กำหนดเอง: .hwp, .kml, .kmz, .sdc, .sdd, .sdw, .sxc, .sxi, .sxw, .ttf, .wml, .xps

ระบบจะไม่สแกนไฟล์ประเภทวิดีโอและเสียง

วิธีการทำงานของกฎ

คุณจะใช้เทมเพลตสำเร็จรูปหรือสร้างเทมเพลตขึ้นมาเองก็ได้ รวมทั้งตั้งกฎกับทั้งโดเมน หน่วยขององค์กร หรือกลุ่มใน Google Groups แต่หากเป็นกฎที่จะใช้กับไฟล์ในไดรฟ์ที่แชร์ จะต้องใช้กฎนั้นกับผู้ใช้ทั้งหมดในองค์กร หากระบบตรวจพบเนื้อหาที่ละเอียดอ่อน คุณยังกำหนดได้ว่าจะให้ดำเนินการอย่างไร โปรดดูรายละเอียดในวิธีตั้งกฎ

สร้างและแก้ไขกฎ

คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้

สร้างกฎด้วยเทมเพลตสำเร็จรูป
  1. ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google

    ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)

  2. จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่กฎ
  3. คลิกเพิ่ม หรือคลิกเทมเพลตที่ด้านบนเพื่อเปิดรายการเทมเพลต
  4. เลือกเทมเพลต 1 รายการจากรายการที่กำหนดไว้ล่วงหน้าในส่วนการป้องกันข้อมูลรั่วไหล
  5. (ไม่บังคับ) แก้ชื่อกฎและคำอธิบายกฎ
  6. (ไม่บังคับ) เปลี่ยนหรือเพิ่มการตั้งค่าในส่วนทริกเกอร์ เงื่อนไข และการดำเนินการ แล้วคลิกเสร็จสิ้น โปรดดูรายละเอียดเพิ่มเติมในวิธีตั้งกฎ
  7. คลิกสร้างและเปิดใช้งาน
สร้างกฎด้วยเทมเพลตเปล่า
  1. ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google

    ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)

  2. จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่กฎ
  3. คลิกเพิ่ม หรือคลิกเทมเพลตที่ด้านบนเพื่อเปิดรายการเทมเพลต
  4. คลิกเทมเพลตเปล่าในส่วนป้องกันข้อมูลรั่วไหล
  5. กรอกชื่อกฎและใส่คำอธิบายกฎด้านล่างในช่องชื่อ
  6. เพิ่มทริกเกอร์ เงื่อนไข และการดำเนินการ แล้วคลิกเสร็จสิ้น โปรดดูรายละเอียดเพิ่มเติมในวิธีตั้งกฎ
  7. คลิกสร้างและเปิดใช้งาน
แก้ไขกฎ
  1. ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google

    ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)

  2. จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่กฎ
  3. คลิกจัดการที่ด้านบนสุดเพื่อดูรายการกฎ DLP
  4. คลิกกฎที่ต้องการแก้ไข
  5. ในส่วนทริกเกอร์ เงื่อนไข และการดำเนินการ ให้แก้ไขการตั้งค่าต่างๆ แล้วคลิกเสร็จสิ้น โปรดดูรายละเอียดเพิ่มเติมในวิธีตั้งกฎ
  6. คลิกบันทึกและเปิดใช้งาน
วิธีตั้งกฎ

ทริกเกอร์

ไฟล์ของแอปพลิเคชันที่กฎสแกน - ขณะนี้มีให้ใช้สำหรับไดรฟ์เท่านั้น รวมถึงไดรฟ์ที่แชร์

เงื่อนไข

ปรับแต่งวิธีการใช้กฎกับผู้ใช้และเนื้อหา

  • ผู้ใช้ - คุณจะตั้งกฎกับหน่วยขององค์กร กลุ่มใน Google Groups หรือทั้งคู่ก็ได้ หากต้องการสแกนไฟล์ในไดรฟ์ที่แชร์ คุณจะต้องตั้งกฎกับผู้ใช้ทั้งหมดในองค์กร (องค์กรระดับบนสุด) กฎจะสแกนไฟล์ของผู้ใช้ในองค์กรหรือกลุ่มที่เลือก นอกจากนี้คุณยกเว้นกลุ่มได้อีกด้วย เพิ่มและยกเว้นกลุ่มกับองค์กรตามจำนวนที่ต้องการ หากคุณไม่ระบุอะไรเลย ระบบจะบังคับใช้กฎกับองค์กรระดับบนสุด
  • เนื้อหา - คุณจะสั่งให้กฎทำงานเมื่อพบเนื้อหาซึ่งตรงกับสิ่งที่ระบุไว้ในรายการเครื่องมือตรวจสอบเนื้อหาที่กำหนดไว้ล่วงหน้าได้ และยังสั่งให้กฎทำงานเมื่อพบเนื้อหาที่ตรงกับรายการคำศัพท์หรือนิพจน์ทั่วไปที่กำหนดเองซึ่งคุณได้เลือกไว้หรือเพิ่มเข้าไป ให้เพิ่มเนื้อหา รายการคำศัพท์ และนิพจน์ทั่วไปตามจำนวนที่ต้องการ ดูข้อมูลเพิ่มเติมเกี่ยวกับเครื่องมือเลือกเนื้อหาที่กำหนดไว้ล่วงหน้าและนิพจน์ทั่วไป

    หมายเหตุ: หากคุณเพิ่มประเภทเนื้อหาหลายประเภทลงในเงื่อนไข กฎจะเริ่มทำงานหากพบเนื้อหาที่ตรงกับประเภทใดก็ตามที่เพิ่มไว้

    หากคุณเลือกตรวจหาเนื้อหาที่ละเอียดอ่อน คุณจะต้องตั้งค่าเกณฑ์ความเชื่อมั่นระบบจะใช้เกณฑ์ดังกล่าวในการกำหนดความเป็นไปได้ว่าเนื้อหาที่ตรวจพบนั้นตรงตามเกณฑ์ของคุณมากน้อยเพียงใด ความเชื่อมั่นระดับกลางจะทำให้มีไฟล์ที่ทริกเกอร์การดำเนินการมากขึ้น ส่วนความเชื่อมั่นระดับสูงอาจส่งผลให้ไฟล์ที่แชร์ซึ่งควรทริกเกอร์การดำเนินการมีจำนวนน้อยลง และไฟล์ที่ทริกเกอร์การทำงานโดยไม่จำเป็นก็อาจมีจำนวนเพิ่มขึ้น

การดำเนินการ

สิ่งที่กฎทำเมื่อตรวจพบปัญหา แม้ว่าคุณจะไม่ได้เลือกการดำเนินการไว้ ระบบก็จะแจ้งไฟล์ที่มีปัญหาและใส่ไฟล์ลงในข้อมูลรายงานเสมอ

  • บล็อกการเข้าถึงภายนอก - รับรองว่าระบบจะบล็อกไฟล์ใดๆ ก็ตามที่มีเนื้อหาที่ละเอียดอ่อนจากบุคคลภายนอกองค์กรทุกคน แม้ว่าจะเพิ่มไฟล์ลงในไดรฟ์ที่แชร์ก็ตาม
  • เตือนเมื่อมีการแชร์ออกไปภายนอก - แจ้งผู้ใช้ว่ากำลังแชร์ไฟล์ซึ่งมีเนื้อหาที่ละเอียดอ่อน
  • ส่งอีเมลถึงผู้ดูแลระบบขั้นสูง - ส่งอีเมลถึงผู้ดูแลระบบขั้นสูงเมื่อผู้ใช้สร้าง แก้ไข หรืออัปโหลดไฟล์ซึ่งมีเนื้อหาที่ละเอียดอ่อน ระบบจะส่งอีเมลเมื่อใดก็ตามที่มีการเปลี่ยนแปลงประเภทเนื้อหาที่ละเอียดอ่อนในไฟล์ โดยจำนวนอีเมลสูงสุดที่ส่งได้คือ 25 อีเมลใน 2 ชั่วโมง

เคล็ดลับ: หากพบว่าเกิดความผิดพลาดที่เป็นเท็จจำนวนมาก ให้สร้างกฎขึ้นมา 1 คู่ แล้วใส่การดำเนินการที่เข้มงวดไว้ในกฎข้อแรก เช่น "บล็อกการเข้าถึงจากภายนอก" พร้อมตั้งเกณฑ์ความเชื่อมั่นเป็นระดับ "สูง" จากนั้นสร้างกฎข้อที่สองโดยตั้งเกณฑ์ความเชื่อมั่นเป็นระดับ "ปานกลาง" และเพิ่มการดำเนินการ "เตือนเมื่อแชร์ออกไปภายนอก"

ติดตามกฎหรือการเปลี่ยนแปลง

คุณติดตามกฎที่มีคนเพิ่ม แก้ไข หรือลบผ่านการสแกน DLP ได้ เมื่อเริ่มการสแกน คุณจะพบรายละเอียดเกี่ยวกับการสแกน รวมถึงการเปลี่ยนแปลงต่างๆ ที่เกิดขึ้นกับงานในคอนโซลผู้ดูแลระบบ โปรดดูรายละเอียดที่หัวข้อตรวจสอบสถานะของงานขนาดใหญ่

  • หากคุณเพิ่ม แก้ไข หรือลบกฎ - การสแกน DLP ครั้งใหม่ (และงาน) จะเริ่มทำงาน
  • หากคุณแก้ไขกฎขณะที่การสแกน DLP กำลังดำเนินอยู่ - การสแกนจะเริ่มต้นใหม่ งานที่เกี่ยวข้องกับสแกนจะได้รับการอัปเดตเพื่อแสดงว่ามีการแก้ไขแล้ว
  • หากผู้ดูแลระบบคนอื่นเปลี่ยนกฎขณะที่การสแกน DLP กำลังดำเนินอยู่ การสแกนจะเริ่มต้นใหม่ และจะมีการสร้างงานใหม่สำหรับผู้ดูแลระบบคนอื่น และงานเริ่มแรกจะไม่ติดตามการสแกนอีกต่อไป

ใช้ข้อมูลและเทมเพลตการตรวจสอบกฎ

คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้

ดูหรือส่งออกข้อมูลเกี่ยวกับรายการที่มีการเตือน
  1. ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google

    ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)

  2. จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่กฎ
  3. คลิกการตรวจสอบที่ด้านบนสุดเพื่อดูข้อมูลรายงานการตรวจสอบกฎ DLP
  4. (ไม่บังคับ) คลิกเลือกคอลัมน์ เพื่อเปลี่ยนเกณฑ์ที่แสดง ระบบจะบันทึกการเปลี่ยนแปลงซึ่งจะใช้งานได้เมื่อลงชื่อเข้าใช้ครั้งต่อไป
  5. หากต้องการกำหนดค่าให้ตารางแสดงเฉพาะองค์ประกอบบางอย่าง ให้กรอกชื่อหรือเลือกองค์ประกอบในส่วนตัวกรองลงในช่องต่อไปนี้
    1. ชื่อกฎ - ระบุว่ารายการที่แจ้งเตือนนั้นละเมิดกฎใด
    2. ชื่อรายการที่เตือน — ชื่อไฟล์ที่กฎแจ้งเตือน
    3. ตัวระบุรายการที่เตือน — ชื่อของตัวระบุในไฟล์ที่กฎแจ้งเตือน
    4. เจ้าของรายการ — อีเมลของเจ้าของไฟล์ที่กฎแจ้งเตือน
    5. รหัสไดรฟ์ที่แชร์ - หมายเลขของไดรฟ์ที่แชร์ที่เก็บไฟล์ที่กฎแจ้งเตือนอยู่
    6. เครื่องมือตรวจสอบเนื้อหาที่ตรงกัน - เลือกเครื่องมือตรวจสอบเนื้อหาตรงกันที่กำหนดเองหรือเครื่องมือตรวจสอบเนื้อหาที่ตรงกันที่กำหนดไว้ล่วงหน้า
    7. ช่วงวันที่และเวลา - วันที่และเวลาเริ่มต้นและสิ้นสุดของเหตุการณ์ในรายการ
      แต่ละรายการในบันทึกจะเชื่อมโยงกับเหตุการณ์เดียว
  6. หากต้องการส่งออกข้อมูลรายงานเป็นไฟล์ Google ชีตหรือดาวน์โหลดไฟล์ CSV พร้อมข้อมูลรายงาน ให้คลิกดาวน์โหลด ไฟล์จะมีจำนวนเซลล์ได้สูงสุด 200,000 เซลล์ ทั้งนี้ จำนวนแถวสูงสุดจะขึ้นอยู่กับจำนวนคอลัมน์ที่เลือก
ดูหรือกรองเทมเพลต DLP
  1. ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google

    ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)

  2. จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่กฎ
  3. คลิกเทมเพลตที่ด้านบน
  4. (ไม่บังคับ) คลิกเลือกคอลัมน์ เพื่อเปลี่ยนเกณฑ์ที่แสดง ระบบจะบันทึกการเปลี่ยนแปลงซึ่งจะใช้งานได้เมื่อลงชื่อเข้าใช้ครั้งต่อไป
  5. (ไม่บังคับ) หากต้องการกำหนดค่าให้ตารางแสดงเฉพาะองค์ประกอบบางอย่าง ให้กรอกชื่อหรือเลือกองค์ประกอบในส่วนตัวกรองลงในช่องต่อไปนี้
    1. ชื่อเทมเพลต - ชื่อเทมเพลตสำเร็จรูป
    2. คำอธิบายเทมเพลต — คำอธิบายเทมเพลตสำเร็จรูป
    3. หมวดหมู่ — ระบบรองรับการป้องกันข้อมูลสูญหายเพียงหมวดหมู่เดียวในตอนนี้
    4. แอป - ไฟล์ของแอปพลิเคชันที่กฎสแกนปัจจุบันกฎ DLP จะใช้ได้กับไฟล์ในไดรฟ์เท่านั้น

คำถามที่พบบ่อย

ระบบรองรับเครื่องมือตรวจสอบเนื้อหาที่กำหนดไว้ล่วงหน้าใดบ้าง

DLP ของไดรฟ์รองรับเครื่องมือตรวจสอบที่กำหนดไว้ล่วงหน้าหลายรายการ และจะเพิ่มเข้ามาอีกเรื่อยๆ ขณะแพลตฟอร์ม DLP พัฒนาขึ้น

รับประกันการตรวจพบ 100% ไหม

ไม่ เรารับประกันไม่ได้ว่าจะตรวจพบและเตือนข้อมูลละเอียดอ่อนได้ทุกอย่าง ระบบตรวจจับ DLP จะแปลเทมเพลตสำเร็จรูปเป็นนิพจน์ทั่วไปและใช้พารามิเตอร์เนื้อหาเพิ่มเติมกำหนดความเป็นไปได้ที่จะเจอเนื้อหาที่ตรงกัน ผลลัพธ์ที่ได้อาจเป็นทั้งความผิดพลาดเท็จและความผิดพลาดจริงซึ่งเกิดขึ้นได้จากหลายปัจจัย

ผู้ใช้จะทราบสาเหตุที่แชร์ไฟล์ไม่ได้ไหม

ผู้ใช้จะได้รับข้อความ DLP แบบเจาะจงเพื่อแจ้งสาเหตุที่การแชร์ถูกบล็อก หากมีการละเมิดหลายข้อ ข้อความจะระบุเครื่องมือตรวจสอบแรกที่ตรวจพบ

เมื่อมีการแก้ไขหรือเพิ่มกฎ ระบบจะสแกนไฟล์ที่สร้างไว้ก่อนหน้าไหม

ใช่ ระบบจะสแกนไฟล์ทั้งหมดเมื่อมีการเพิ่มหรือแก้ไขกฎ การสแกนไฟล์อาจใช้เวลาเป็นชั่วโมง ทั้งวัน หรือนานกว่านั้นได้ โดยขึ้นอยู่กับหลายปัจจัย รวมถึงจำนวนไฟล์ในโดเมนด้วย

เคล็ดลับ: หากเพิ่มหรือแก้ไขกฎ DLP จะสแกนการแก้ไขครั้งล่าสุดของไฟล์ที่อัปโหลดก่อนหน้านี้

ระบบจะสแกนไฟล์มากกว่า 1 ครั้งไหม

ได้ บางครั้งอาจมีการสแกนเอกสาร 2 ครั้งเพื่อรับรองว่าพบเนื้อหาที่ละเอียดอ่อนจริงๆ ดังนั้น จำนวนไฟล์ที่ได้รับผลกระทบจากการเปลี่ยนแปลงกฎจึงอาจแตกต่างกันไปในการสแกนแต่ละครั้ง

ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร