Creare regole e rilevatori di contenuti personalizzati di DLP per Drive

Le condizioni delle regole DLP determinano il tipo di contenuti sensibili rilevati dalla regola. Consulta gli esempi di regole DLP di base riportati di seguito. Una regola potrebbe richiedere una sola condizione oppure può combinare più condizioni utilizzando gli operatori AND, OR o NOT. Per consultare esempi di condizioni nidificate, vai a Esempi di operatori con le condizioni delle regole nidificate per la versione di DLP per Drive.

• Per rilevare informazioni personali standard come il numero della patente di guida o dell'ID fiscale, la regola può utilizzare rilevatori di contenuti predefiniti. Per un elenco completo dei rilevatori, vedi Come utilizzare i rilevatori di contenuti predefiniti.
• Le condizioni delle regole possono utilizzare rilevatori di contenuti personalizzati creati da te, ad esempio un rilevatore di contenuti contenente un elenco di parole o un'espressione regolare. Per istruzioni, vedi il Passaggio 2: crea un rilevatore personalizzato.

Per suggerimenti su come migliorare la verifica delle regole, inclusa la configurazione di un ambiente di test apposito, vedi Best practice per velocizzare la verifica delle regole.

Puoi creare una regola di solo controllo per verificare le regole che crei in DLP. Questo ti permette di valutare il potenziale impatto di una regola su Google Drive. Analogamente a tutte le altre regole, anche queste vengono attivate, ma in questo caso non eseguono alcuna azione, fatta eccezione per la scrittura dei risultati nel log di controllo delle regole e nello strumento di indagine.

Per suggerimenti su come migliorare la verifica delle regole, inclusa la configurazione di un ambiente di test apposito, vedi Best practice per velocizzare la verifica delle regole.

Per creare e utilizzare una regola di solo controllo:

1. Segui i passaggi per la creazione delle regole illustrati nella sezione Passaggio 3: crea le regole.
2. Quando arrivi alla sezione Azione della creazione della regola, non selezionare alcuna azione. Le azioni sono facoltative. La regola verrà attivata senza azioni associate e tutti gli eventi verranno registrati nel log di controllo delle regole. In questo caso, nella sezione Azione, per la regola verrà indicata la dicitura Solo controllo.
3. Continua e completa la configurazione della regola. Assicurati che la regola sia Attiva.
4. Verifica direttamente che la tua regola funzioni o attendi che gli utenti del dominio condividano spontaneamente dati che potrebbero essere interessati dalla regola.
5. Visualizza il log di controllo delle regole. Per maggiori dettagli, vai a Log di controllo delle regole o a Strumento di indagine. Nel log di controllo saranno indicate le regole a cui non sono associate azioni attivate quando utilizzi una regola di solo controllo.

6. Quando hai la certezza che la regola sia configurata esattamente come vuoi, puoi cambiarla per applicare un'azione (come descritto nella sezione Passaggio 3: crea le regole).

Le regole consigliate sono regole DLP che ti vengono consigliate in base ai risultati del report Informazioni sulla protezione dei dati. Ad esempio, se nel report sono elencati numeri di passaporto come tipo di dati condivisi nella tua organizzazione, DLP consiglierà una regola per impedire che quei numeri vengano condivisi.

Puoi ricevere le regole consigliate soltanto se il report Informazioni sulla protezione dei dati è stato attivato. Per maggiori dettagli, vai a Prevenire le fughe di dati applicando le regole di protezione dei dati consigliate.

• Gruppi dinamici: gestisci automaticamente i membri quando gli utenti entrano a far parte dell'organizzazione, la lasciano o cambiano sede. I gruppi dinamici, disponibili nella Console di amministrazione o con l'API Cloud Identity, ti aiutano a ridurre il tempo da dedicare alla gestione manuale delle iscrizioni ai gruppi. Per utilizzare un gruppo dinamico per una regola DLP, assicurati che sia anche un gruppo di sicurezza, ovvero un gruppo con l'etichetta Sicurezza. Scopri di più sui gruppi dinamici.

• Gruppi di sicurezza: converti un gruppo standard o un gruppo dinamico in un gruppo di sicurezza per poterlo regolamentare, controllare e monitorare ai fini della gestione delle autorizzazioni e del controllo dell'accesso. Puoi creare gruppi di sicurezza nella Console di amministrazione o con l'API Cloud Identity Groups, aggiungendo ai gruppi desiderati l'etichetta Sicurezza. Scopri di più sui gruppi di sicurezza.

• Gruppi sottoposti a migrazione: utilizza Google Cloud Directory Sync (GCDS) per sincronizzare i gruppi che crei in Microsoft Active Directory o in altri strumenti con Google Workspace. Potrai quindi utilizzare questi gruppi sincronizzati nelle regole DLP. Scopri di più su GCDS.

Ecco le istruzioni generali per la creazione di un rilevatore personalizzato, se è necessario utilizzarne uno in virtù delle condizioni di una regola.

Creare un rilevatore DLP da utilizzare con le regole

Prima di iniziare, accedi al tuo account di super amministratore o a un account amministratore con delega a cui siano assegnati questi privilegi:

• Privilegi di amministratore Unità organizzative. 
• Privilegi di amministratore Gruppi.
• Privilegi di Visualizzazione regola DLP e Gestione regola DLP. Tieni presente che devi attivare sia le autorizzazioni di visualizzazione sia quelle di gestione per avere l'accesso completo e poter creare e modificare le regole. Ti consigliamo di creare un ruolo personalizzato che disponga di entrambi i privilegi. 
• Privilegi di visualizzazione di metadati e attributi (necessari solo per l'uso dello strumento di indagine): Centro sicurezzaStrumento di indagineRegolaVisualizzazione metadati e attributi.

Scopri di più sui privilegi di amministratore e sulla creazione di ruoli di amministratore personalizzati.

1. Accedi a Console di amministrazione Google con un account amministratore.

   Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.

2. Vai al Menu  Sicurezza > Accesso e controllo dei dati > Protezione dei dati.

   È necessario disporre dei privilegi di amministratore Visualizzazione regola DLP e Gestione regola DLP.

3. Fai clic su Gestisci rilevatori.
4. Fai clic su Aggiungi rilevatore. Aggiungi il nome e la descrizione.

   Puoi selezionare:

   • Espressione regolare: un'espressione regolare, chiamata anche regex, è un metodo per trovare corrispondenze tra pattern e stringhe di testo. Fai clic su Prova espressione per verificare l'espressione regolare. Vedi Esempi di espressioni regolari.
   • Elenco di parole: un elenco di parole personalizzato creato da te. Si tratta di un elenco di parole da rilevare, separate da virgole. La distinzione tra maiuscole e minuscole e i simboli vengono ignorati. La corrispondenza interessa soltanto le parole intere. Puoi aggiungere un messaggio popup da visualizzare quando vengono rilevati dei contenuti. Le parole nei rilevatori degli elenchi di parole devono contenere almeno 2 caratteri costituiti da lettere o cifre. 
5. Fai clic su Crea. In seguito, potrai usare il rilevatore personalizzato quando aggiungi condizioni a una regola.

Prima di iniziare, accedi al tuo account di super amministratore o a un account amministratore con delega a cui siano assegnati questi privilegi:

• Privilegi di amministratore Unità organizzative. 
• Privilegi di amministratore Gruppi.
• Privilegi di Visualizzazione regola DLP e Gestione regola DLP. Tieni presente che devi attivare sia le autorizzazioni di visualizzazione sia quelle di gestione per avere l'accesso completo e poter creare e modificare le regole. Ti consigliamo di creare un ruolo personalizzato che disponga di entrambi i privilegi. 

Per informazioni sui privilegi richiesti solo per lo strumento di indagine, vedi Privilegi amministrativi per lo strumento di indagine sulla sicurezza.

Scopri di più sui privilegi di amministratore e sulla creazione di ruoli di amministratore personalizzati.

1. Accedi a Console di amministrazione Google con un account amministratore.

   Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.

2. Vai al Menu  Sicurezza > Accesso e controllo dei dati > Protezione dei dati.

   È necessario disporre dei privilegi di amministratore Visualizzazione regola DLP e Gestione regola DLP.

3. Fai clic su Gestisci regole. Quindi, fai clic su Aggiungi regolaNuova regola oppure su Aggiungi regolaNuova regola da modello. Puoi selezionare un modello dalla pagina Modelli.
4. Aggiungi il nome e la descrizione della regola.
5. Nella sezione Ambito, scegli Tutto il dominio <domain.name> o scegli di applicare questa regola solo agli utenti delle unità organizzative o dei gruppi selezionati. In caso di conflitto tra unità organizzative e gruppi in termini di inclusione o esclusione, i gruppi hanno la precedenza.

   Nota: se vuoi applicare la regola a un gruppo dinamico, il gruppo deve avere anche l'etichetta Sicurezza. Per maggiori informazioni, consulta la pagina Quali tipi di gruppi posso selezionare per l'ambito di una regola?.

6. Fai clic su Continua.
7. Nella sezione App, scegli File di Drive.
8. Fai clic su Continua.
9. Nella sezione Condizioni, fai clic su Aggiungi condizione.
10. Scegli il tipo di contenuti da analizzare: 
    • Tutti i contenuti: tutto il documento, incluso il titolo, il corpo ed eventuali modifiche suggerite
    • Corpo: corpo del documento
    • Etichetta di Drive: qualsiasi etichetta applicata al documento. Per informazioni dettagliate, vedi Iniziare come amministratore delle etichette di Drive.
    • Modifiche suggerite: i contenuti aggiunti al documento in modalità suggerimenti
    • Titolo: titolo del documento
11. Scegli Che cosa cercare, poi compila gli attributi necessari per il tipo di analisi, elencati nella tabella seguente. 

    Tieni presente che le opzioni Che cosa cercare variano in base al Tipo di contenuti da analizzare che hai scelto nel passaggio precedente. Ad esempio, se scegli "Titolo" come tipo di contenuti da analizzare, le opzioni Che cosa cercare includeranno Termina con e Inizia con.

    Che cosa cercare	Attributi
    Corrisponde al tipo di dati predefinito	Tipo di dati: seleziona un tipo di dati predefinito. Scopri di più sui tipi di dati predefiniti qui. Soglia di probabilità: seleziona una soglia di probabilità. Le soglie disponibili sono: Molto bassa Bassa Media Elevata Molto alta Queste soglie riflettono la fiducia del sistema DLP nel risultato della corrispondenza. In genere, la soglia Molto altacorrisponde a un numero inferiore di contenuti ed è più precisa. La soglia Molto bassa corrisponde a una policy meno restrittiva, per cui è prevedibile che abbia corrispondenze in un numero maggiore di file, ma con un grado di precisione inferiore. Numero minimo di corrispondenze univoche: il numero minimo di volte in cui un risultato con corrispondenza deve presentarsi in modo univoco in un documento per attivare l'azione.  Numero di corrispondenze minimo: il numero minimo di volte in cui i risultati con corrispondenze devono essere rilevati in un documento per poter attivare l'azione.  Numero di corrispondenze minimo e Numero minimo di corrispondenze univoche: come funzionano. Supponiamo, ad esempio, che tu abbia due elenchi di codici fiscali, il primo contenente 50 copie di uno stesso numero e il secondo 50 numeri univoci. In questo caso, se il valore di Numero di corrispondenze minimo è uguale a 10, saranno presenti risultati in entrambi gli elenchi poiché entrambi contengono almeno 10 corrispondenze. Oppure, se il valore di Numero minimo di corrispondenze univoche è uguale a 10 e quello di Numero di corrispondenze minimo è uguale a 1, i risultati attiveranno l'azione solo sul secondo elenco, dato che ci sono 10 corrispondenze e tutte per valori univoci.
    Contiene la stringa di testo	Inserisci i contenuti da utilizzare per la corrispondenza: inserisci una sottostringa, un numero o altri caratteri da cercare. Specifica se i contenuti sono sensibili alle maiuscole.  Per le sottostringhe, se la regola contiene, ad esempio, la parola chiave e il documento contiene la parola chiave, si crea una corrispondenza.
    Contiene la parola	Inserisci i contenuti da far corrispondere: inserisci la parola, il numero o gli altri caratteri da cercare.  Disponibile solo se scegli Gmail come app.
    Corrisponde all'espressione regolare	Nome espressione regolare: un rilevatore personalizzato dell'espressione regolare. Numero minimo di volte in cui il pattern è rilevato: il numero minimo di volte in cui il pattern indicato dall'espressione regolare compare in un documento per attivare l'azione.
    Corrisponde alle parole incluse nell'elenco	Elenco parole: seleziona un elenco di parole personalizzato. Modalità di corrispondenza: seleziona Corrispondenza con qualsiasi parola o Corrispondenza con un numero minimo di parole univoche. Numero minimo di rilevamenti di una parola: il numero minimo di volte in cui una parola può essere rilevata per attivare l'azione. Numero minimo di rilevamenti di parole univoche: il numero minimo di parole univoche che devono essere rilevate per attivare l'azione (disponibile solo per l'opzione Corrispondenza con un numero minimo di parole univoche).
    Termina con	Inserisci i contenuti da far corrispondere: inserisci la parola, il numero o gli altri caratteri da cercare. Specifica se i contenuti sono sensibili alle maiuscole.
    Inizia con	Inserisci i contenuti da far corrispondere: inserisci la parola, il numero o gli altri caratteri da cercare. Specifica se i contenuti sono sensibili alle maiuscole.
    È (solo tipo di contenuti Etichetta di Drive)	Etichetta di Drive: scegli un'etichetta di Drive disponibile dall'elenco a discesa. Campo etichetta: scegli un campo etichetta disponibile per l'etichetta di Drive selezionata. Opzione del campo: scegli un'opzione di campo disponibile per il campo selezionato.

    Nelle condizioni puoi utilizzare gli operatori AND, OR o NOT. Per maggiori dettagli sull'utilizzo degli operatori AND, OR o NOT nelle condizioni, vedi Esempi di operatori in condizioni delle regole nidificate per la versione di DLP per Drive.

    Nota: se crei una regola DLP senza condizioni, verrà applicata a tutti i file di Drive.

12. Fai clic su Continua.
13. Nella sezione Azioni, puoi selezionare facoltativamente l'azione che deve verificarsi se durante l'analisi vengono rilevati dati sensibili:

    Vuoi provare una regola prima di aggiungere un'azione?
    Puoi creare una regola di solo controllo per verificarne una che scrive sul log di controllo, ma senza eseguire un'azione. La selezione di un'azione è facoltativa. Per maggiori dettagli, vai a (Facoltativo, ma consigliato) Utilizzare le regole di solo controllo per verificare i risultati delle regole.

    • Blocca condivisione esterna: impedisce la condivisione del documento.
    • Avviso in caso di condivisione esterna: se un utente tenta di condividere il file, viene inviato un avviso che indica che il file include contenuti sensibili. L'utente può annullare o scegliere "Condividi comunque".

      Nota: se attivi gli avvisi per questa azione, questi vengono attivati quando vengono rilevati contenuti sensibili, indipendentemente dal fatto che il file sia stato condiviso o meno in quel momento. Il rilevamento di solito avviene dopo la creazione o l'aggiornamento di un file o dopo la modifica delle regole applicate al file, ad esempio la creazione o l'aggiornamento di una regola. Può verificarsi anche quando un upgrade di sistema migliora la capacità di rilevamento. Gli eventi di rilevamento vengono registrati nel log delle regole.

    • Disattiva le opzioni di download, stampa e copia per commentatori e visualizzatori: impedisce il download, la stampa e la copia a meno che l'utente non disponga del privilegio editor o superiore. Questa funzionalità è un sistema di gestione dei diritti sulle informazioni (IRM) DLP e utilizza le impostazioni di condivisione di Drive come policy, così gli utenti non possono scaricare, stampare o copiare documenti, fogli o presentazioni da Google Drive su tutte le piattaforme. Per ulteriori informazioni, vedi le Domande frequenti su IRM.
    • Applica etichette di Drive: applica un'etichetta di Drive esistente ai file corrispondenti. Segui questi passaggi per eseguire la configurazione:
      1. Scegli un'etichetta disponibile dall'elenco a discesa Etichetta di Drive e seleziona le opzioni per l'etichetta in Campo e Opzione del campo. Sono supportate solo le etichette con badge e le etichette standard con tipo di campo Elenco opzioni. Per informazioni dettagliate, vedi Iniziare come amministratore delle etichette di Drive.
      2. (Facoltativo) Fai clic su Aggiungi etichetta per aggiungere altre etichette. 
      3. Scegli se consentire agli utenti di modificare le etichette e i valori dei campi applicati ai file.
14. Nella sezione Avvisi, scegli un livello di gravità (Basso, Medio, Alto). Il livello di gravità influisce sul modo in cui gli incidenti vengono tracciati nella dashboard Incidente DLP (il numero di incidenti con livello di gravità Alto, Medio o Basso) nel tempo.
15. Se vuoi, seleziona Invia al Centro avvisi per attivare le notifiche. Gli avvisi sono supportati solo per Google Drive. Per ulteriori informazioni, vai a Visualizzare i dettagli degli avvisi.

    Seleziona la casella per inviare avvisi a tutti i super amministratori o aggiungi gli indirizzi email di destinatari aggiuntivi. È possibile aggiungere solo destinatari che dispongono dell'autorizzazione a visualizzare l'utente. I destinatari esterni vengono ignorati. I destinatari possono essere utenti o gruppi. Ricorda di configurare l'accesso per i gruppi selezionati in modo che possano ricevere la tua email. Vai a Configurare le notifiche email del Centro avvisi per maggiori dettagli sull'impostazione dell'accesso del gruppo per le notifiche email.

    Gli avvisi sono riportati nel Centro avvisi. Tieni presente che trascorre un certo tempo tra il momento in cui si verifica un avviso e la sua registrazione nel log. Un intervallo di tempo separa il momento in cui un avviso viene visualizzato nel Centro avvisi e l'aggiornamento delle dashboard per la sicurezza DLP. Potresti ricevere un avviso e visualizzare il riepilogo degli avvisi; tuttavia, l'aggiornamento del conteggio degli incidenti nelle dashboard o nei log di controllo dello strumento di indagine richiede qualche tempo. Ogni giorno possono essere emessi fino a 50 avvisi per regola, che saranno inviati fino al raggiungimento di questa soglia.

16. Fai clic su Continua ed esamina i dettagli della regola.
17. In Stato della regola, scegli uno stato iniziale per la regola:
    • Attiva: la regola viene eseguita immediatamente.
    • Inattiva: la regola esiste, ma non viene eseguita immediatamente. Questa opzione ti lascia il tempo di esaminare la regola e di condividerla con i membri del team prima di implementarla. Per attivare la regola in un secondo momento, vai a SicurezzaProtezione dei datiGestisci regole. Fai clic sullo stato Inattiva della regola e seleziona Attiva. Non appena attivi la regola, inizia la sua esecuzione e DLP cerca i contenuti sensibili.
18. Fai clic su Crea. 

Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più

Definisci le aspettative degli utenti in merito al comportamento e alle conseguenze della nuova regola. Ad esempio, potresti scegliere di bloccare la condivisione all'esterno se vengono condivisi dati sensibili. In questo caso, comunica agli utenti che a volte potrebbero non essere in grado di condividere documenti, informandoli del motivo.

Questo esempio mostra come utilizzare un classificatore predefinito per impedire agli utenti di organizzazioni e gruppi specifici di condividere dati sensibili. Puoi utilizzare i classificatori predefiniti per specificare dati inseriti comunemente. In questo esempio, i dati sono codici fiscali.

Prima di iniziare, assicurati di aver eseguito l'accesso al tuo account super amministratore o a un account amministratore con delega a cui sono assegnati i privilegi elencati in Creare una regola DLP, sopra. 

1. Accedi a Console di amministrazione Google con un account amministratore.

   Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.

2. Vai al Menu  Sicurezza > Accesso e controllo dei dati > Protezione dei dati.

   È necessario disporre dei privilegi di amministratore Visualizzazione regola DLP e Gestione regola DLP.

3. Fai clic su Gestisci regole. Quindi, fai clic su Aggiungi regolaNuova regola. 
4. Aggiungi il nome e la descrizione della regola.
5. Nella sezione Ambito, scegli Applica a tutto il dominio <domain.name> o scegli di cercare e includere o escludere le unità organizzative o i gruppi a cui si applica la regola. In caso di conflitto tra unità organizzative e gruppi in termini di inclusione o esclusione, i gruppi hanno la precedenza.
6. Fai clic su Continua. 
7. Nella sezione Condizioni, fai clic su Aggiungi condizione e seleziona i valori seguenti:
   • Campo: tutti i contenuti.
   • Valore: corrisponde al rilevatore predefinito.
   • Rilevatore predefinito: United States - Social Security Number (Stati Uniti - Numero di previdenza sociale).
   • Soglia di probabilità: molto probabile. Una misura aggiuntiva utilizzata per determinare se i messaggi debbano o meno attivare l'azione.
   • Numero minimo di corrispondenze univoche: 1. Numero minimo di volte in cui una corrispondenza univoca deve verificarsi in un documento per attivare l'azione.
   • Numero di corrispondenze minimo: 1. Il numero di volte in cui i contenuti devono apparire in un messaggio per attivare l'azione. Ad esempio, se selezioni 2, i contenuti devono apparire almeno 2 volte in un messaggio per attivare l'azione. 
8. Fai clic su Continua. In Google Drive, seleziona Blocca condivisione esterna.
9. In Gravità e avvisi, scegli il livello di gravità Alto. Attiva un avviso e inserisci i destinatari.

   Un intervallo di tempo separa il momento in cui si verifica un avviso e la sua registrazione nel log. Gli amministratori possono ricevere fino a 50 avvisi al giorno per regola e continuano a riceverne fino al raggiungimento di questa soglia.

10. Fai clic su Continua per esaminare i dettagli della regola.
11. Fai clic su Crea e scegli:
    • Attiva: la regola viene eseguita immediatamente
    • Inattiva: la regola esiste, ma non viene eseguita immediatamente. Questa opzione ti lascia il tempo di esaminare la regola e di condividerla con i membri del team prima di implementarla. Per attivare la regola in un secondo momento, vai a SicurezzaProtezione dei datiGestisci regole. Fai clic sullo stato Inattiva della regola e seleziona Attiva. Non appena attivi la regola, inizia la sua esecuzione e DLP cerca i contenuti sensibili.
12. Fai clic su Completa.

Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più

Questo esempio mostra come configurare un rilevatore personalizzato. Puoi elencare le parole che devono essere rilevate dal rilevatore personalizzato. Utilizza le impostazioni di attivazione nelle regole per impedire agli utenti di condividere con destinatari esterni documenti in cui sono citati dati sensibili, ad esempio nomi riservati dei progetti.

Prima di iniziare, assicurati di aver eseguito l'accesso al tuo account super amministratore o a un account amministratore con delega a cui sono assegnati i privilegi elencati in Creare una regola DLP, sopra. 

1. Accedi a Console di amministrazione Google con un account amministratore.

   Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.

2. Vai al Menu  Sicurezza > Accesso e controllo dei dati > Protezione dei dati.

   È necessario disporre dei privilegi di amministratore Visualizzazione regola DLP e Gestione regola DLP.

3. Fai clic su Gestisci rilevatori. Quindi, fai clic su Aggiungi rilevatoreElenco parole.
4. Fornisci un nome e una descrizione per il rilevatore.
5. Inserisci le parole da rilevare, separate da virgola. Negli elenchi di parole personalizzati:
   • La differenza tra maiuscole e minuscole non viene rilevata. Ad esempio, ARCO crea una corrispondenza con arco, Arco e ARCO.
   • La corrispondenza interessa soltanto le parole intere. Ad esempio, se aggiungi "arco" all'elenco di parole personalizzato, non viene creata una corrispondenza con "arcobaleno".
6. Fai clic su Crea.
7. Fai clic su Gestisci regole. Quindi, fai clic su Aggiungi regolaNuova regola.
8. Nella sezione Nome regola, inserisci il nome e, facoltativamente, la descrizione della regola.
9. Nella sezione Ambito, cerca e seleziona le unità organizzative o i gruppi a cui si applica la regola.
10. Fai clic su Continua.
11. Nella sezione Condizioni, fai clic su Aggiungi condizione e seleziona i valori seguenti:
    • Campo: tutti i contenuti
    • Valore: corrisponde al rilevatore dell'elenco di parole
    • Elenco parole: scorri per trovare il rilevatore che hai creato in precedenza.
    • Modalità corrispondenza: seleziona una modalità di corrispondenza.
    • Corrispondenza con qualsiasi parola: conta il numero di corrispondenze di qualsiasi parola nell'elenco predefinito
    • Corrispondenza con un numero minimo di parole univoche: specifica il numero minimo di parole distinte rilevate e il numero minimo di rilevamenti totali di una parola (tra quelle contenute nell'elenco predefinito)
    • Numero minimo di rilevamenti di una parola: 1
12. Fai clic su Continua. In Google Drive, seleziona l'azione Blocca condivisione esterna .
13. In Gravità e avvisi, scegli il livello di gravità Alto. Attiva un avviso e specifica i destinatari. Tieni presente che trascorre un certo tempo tra il momento in cui si verifica un avviso e la sua registrazione nel log. Gli amministratori possono ricevere fino a 50 avvisi al giorno per regola e continuano a riceverne fino al raggiungimento di questa soglia.
14. Fai clic su Continua per esaminare i dettagli della regola.
15. Fai clic su Crea e scegli:
    • Attiva: la regola viene eseguita immediatamente
    • Inattiva: la regola esiste, ma non viene eseguita immediatamente. Questa opzione ti lascia il tempo di esaminare la regola e di condividerla con i membri del team prima di implementarla. Per attivare la regola in un secondo momento, vai a SicurezzaProtezione dei datiGestisci regole. Fai clic sullo stato Inattiva della regola e seleziona Attiva. Non appena attivi la regola, inizia la sua esecuzione e DLP cerca i contenuti sensibili.
16. Fai clic su Completa.

Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più

Un modello di regola fornisce un insieme di condizioni che coprono molti scenari tipici di protezione dei dati. Utilizza un modello di regola per configurare criteri per le più comuni situazioni di protezione dei dati.

In questo esempio viene utilizzato un modello di regola per bloccare l'invio o la condivisione di un documento di Drive o di un'email contenente informazioni che consentono l'identificazione personale (PII) negli Stati Uniti.

Prima di iniziare, assicurati di aver eseguito l'accesso al tuo account super amministratore o a un account amministratore con delega a cui sono assegnati i privilegi elencati in Creare una regola DLP, sopra. 

1. Accedi a Console di amministrazione Google con un account amministratore.

   Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.

2. Vai al Menu  Sicurezza > Accesso e controllo dei dati > Protezione dei dati.

   È necessario disporre dei privilegi di amministratore Visualizzazione regola DLP e Gestione regola DLP.

3. Fai clic su Gestisci regole. 
4. Fai clic su Aggiungi regola Nuova regola da modello.
5. Nella pagina Modelli, fai clic su Impedisci la condivisione di informazioni PII (AREA GEOGRAFICA).
6. Accetta il nome e la descrizione predefiniti della regola o inserisci nuovi valori.
7. Nella sezione Ambito, cerca e seleziona le unità organizzative e i gruppi a cui si applica la regola.
8. Fai clic su Continua. Le condizioni sono preselezionate per il modello di regola. Esaminale se vuoi visualizzare le condizioni specifiche applicabili alla regola. La sicurezza è impostata su Bassa e gli avvisi sono disattivati.
9. Per Google Drive è selezionata l'opzione Blocca condivisione esterna. Il blocco della condivisione impedisce agli utenti di condividere con utenti all'esterno dell'organizzazione file che soddisfano le condizioni impostate.
10. Fai clic su Continua per esaminare i dettagli della regola.
11. Fai clic su Crea e scegli:
    • Attiva: la regola viene eseguita immediatamente
    • Inattiva: la regola esiste, ma non viene eseguita immediatamente. Questa opzione ti lascia il tempo di esaminare la regola e di condividerla con i membri del team prima di implementarla. Per attivare la regola in un secondo momento, vai a SicurezzaProtezione dei datiGestisci regole. Fai clic sullo stato Inattiva della regola e seleziona Attiva. Non appena attivi la regola, inizia la sua esecuzione e DLP cerca i contenuti sensibili.
12. Fai clic su Completa.

Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più

Questo esempio combina una regola DLP con una condizione di accesso sensibile al contesto. Quando combini una regola DLP con una condizione di contesto, la regola viene applicata solo quando la condizione è soddisfatta.

In questo esempio, la regola DLP impedisce agli utenti di Documenti Google con accesso in visualizzazione o per l'aggiunta di commenti di scaricare, stampare o copiare contenuti sensibili. La condizione di contesto è che gli utenti accedono ai contenuti da dispositivi iOS o Android.

Importante: per applicare condizioni di contesto basate sul dispositivo o sul sistema operativo del dispositivo ai dispositivi mobili, è necessario attivare la gestione dei dispositivi di base o avanzata. 

Prima di iniziare, assicurati di aver eseguito l'accesso al tuo account super amministratore o a un account amministratore con delega a cui sono assegnati i privilegi elencati in Creare una regola DLP, sopra.

1. Accedi a Console di amministrazione Google con un account amministratore.

   Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.

2. Vai al Menu  Sicurezza > Accesso e controllo dei dati > Protezione dei dati.

   È necessario disporre dei privilegi di amministratore Visualizzazione regola DLP e Gestione regola DLP.

3. Fai clic su Gestisci regole. Quindi, fai clic su Aggiungi regolaNuova regola.
4. Digita un nome e una descrizione per la regola.
5. Nella sezione Ambito, cerca e seleziona le unità organizzative e i gruppi a cui si applica la regola.
6. Fai clic su Continua.
7. Nella sezione App, seleziona File di Drive in Google Drive. 
8. Fai clic su Continua.
9. Nella sezione Condizioni, fai clic su Aggiungi condizione.
10. Per Tipo di contenuti da analizzare, scegli Tutti i contenuti.
11. In Che cosa cercare, scegli un tipo di scansione DLP e seleziona gli attributi. Per scoprire di più sugli attributi disponibili, consulta Creare una regola DLP.
12. Nella sezione Condizioni di contesto, fai clic su Seleziona un livello di accesso per visualizzare i livelli di accesso esistenti.
13. Fai clic su Crea nuovo livello di accesso.
14. Inserisci un nome e una descrizione per il nuovo livello di accesso.
15. Nella sezione Condizioni di contesto, fai clic su Aggiungi condizione.
16. Seleziona Soddisfa tutti gli attributi.
17. Fai clic su Seleziona attributo Sistema operativo del dispositivo, quindi fai clic su Seleziona sistema operativo e seleziona iOS dall'elenco a discesa.
18. In Versione minima, lascia la scelta predefinita Qualsiasi versione o seleziona una versione specifica.
19. Fai clic su Aggiungi condizione e poi ripeti i passaggi 17-18 selezionando Android come sistema operativo del dispositivo.
20. Imposta il pulsante di attivazione/disattivazione Unisci più condizioni con (sopra Condizioni) su OR. Ciò significa che la regola DLP verrà applicata se gli utenti accedono a contenuti sensibili con dispositivi iOS o Android.
21. Fai clic su Crea. Torni alla pagina Crea regola. Il nuovo livello di accesso viene aggiunto all'elenco e i relativi attributi vengono visualizzati a destra.
22. Fai clic su Continua.
23. Nella pagina Azioni, per l'azione di Google Drive, scegli Disattiva le opzioni di download, stampa e copia per commentatori e visualizzatori.

    Nota: l'azione viene applicata solo quando sono soddisfatte sia le condizioni dei contenuti sia le condizioni di contesto.

24. (Facoltativo) Scegli un livello di gravità dell'avviso (Basso, Medio o Alto) e se inviare un avviso e notifiche di avviso email.
25. Fai clic su Continua per esaminare i dettagli della regola.
26. Scegli uno stato per la regola:
    • Attiva: la regola viene eseguita immediatamente.
    • Non attiva: la regola esiste, ma non è applicata. Questa opzione ti lascia il tempo di esaminare la regola e di condividerla con i membri del team prima di implementarla. Per attivare la regola in un secondo momento, vai a Sicurezza, Accesso e controllo dei dati, poi Protezione dei dati e poi Gestisci regole. Fai clic sullo stato Inattiva della regola e seleziona Attiva. Non appena attivi la regola, inizia la sua esecuzione e la funzionalità DLP cerca i contenuti sensibili.
27. Fai clic su Crea.

Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più.

Per altri esempi, vedi Combinare le regole DLP con le condizioni di accesso sensibile al contesto (CAA).

Prima di iniziare, accedi al tuo account di super amministratore o a un account amministratore con delega a cui siano assegnati questi privilegi:

• Privilegi di amministratore Unità organizzative. 
• Privilegi di amministratore Gruppi.
• Privilegi di Visualizzazione regola DLP e Gestione regola DLP. Tieni presente che devi attivare sia le autorizzazioni di visualizzazione sia quelle di gestione per avere l'accesso completo e poter creare e modificare le regole. Ti consigliamo di creare un ruolo personalizzato che disponga di entrambi i privilegi. 
• Privilegi di visualizzazione di metadati e attributi (necessari solo per l'uso dello strumento di indagine): Centro sicurezzaStrumento di indagineRegolaVisualizzazione metadati e attributi.

Scopri di più sui privilegi di amministratore e sulla creazione di ruoli di amministratore personalizzati.

1. Accedi a Console di amministrazione Google con un account amministratore.

   Se non utilizzi un account amministratore, non puoi accedere alla Console di amministrazione.

2. Vai al Menu  Sicurezza > Accesso e controllo dei dati > Protezione dei dati.

   È necessario disporre dei privilegi di amministratore Visualizzazione regola DLP e Gestione regola DLP.

3. Fai clic su Gestisci regole o su Gestisci rilevatori. La pagina delle regole si trova in Sicurezza > Protezione dei dati > Regole. La pagina dei rilevatori si trova in Sicurezza > Protezione dei dati > Rivelatori.

Ordinare le regole

Puoi ordinare le regole in base alle colonne Nome o Ultima modifica, in ordine ascendente o discendente. 

1. Nella pagina delle regole, fai clic sull'intestazione di colonna Nome o Ultima modifica.
2. Fai clic sulla Freccia su o sulla Freccia giù per ordinare la colonna.

Attivare o disattivare le regole

Se attivi una regola, DLP analizza i documenti che la utilizzano.

1. Nella pagina delle regole, nella colonna Stato di una regola, seleziona Attiva o Inattiva. 
2. Conferma che vuoi attivare o disattivare la regola. 

Eliminare una regola

L'eliminazione delle regole è irreversibile.

1. Nella pagina delle regole, posiziona il cursore del mouse su una riga per visualizzare il cestino alla fine della riga. 
2. Fai clic sull'icona del cestino .
3. Conferma di voler eliminare la regola. 

Esportare le regole

Puoi esportare le regole in un file .txt.

1. Nella pagina delle regole, fai clic su Esporta regole. 
2. L'elenco delle regole viene scaricato in un file di testo. Fai clic sul file .txt nell'angolo inferiore sinistro per visualizzare le regole scaricate.

Modificare i dettagli della regola

Le modifiche che apporti alle regole attivano una nuova analisi dei documenti interessati.

1. Nell'elenco delle regole, fai clic su quella che vuoi modificare.
2. Fai clic su Modifica regola.
3. Modifica la regola in base alle esigenze. Il flusso è uguale a quello della creazione della regola. 
4. Al termine, fai clic su Aggiorna e scegli:
5. Attiva: la regola viene eseguita immediatamente
6. Inattiva: la regola esiste, ma non viene eseguita immediatamente. Questa opzione ti lascia il tempo di esaminare la regola e di condividerla con i membri del team prima di implementarla. Per attivare la regola in un secondo momento, vai a SicurezzaProtezione dei datiGestisci regole. Fai clic sullo stato Inattiva della regola e seleziona Attiva. Non appena attivi la regola, inizia la sua esecuzione e DLP cerca i contenuti sensibili.
7. Fai clic su Completa.

Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più

Esaminare una regola con lo strumento di indagine sulla sicurezza

DLP utilizza lo strumento di indagine sulla sicurezza per mostrare la frequenza di attivazione di una regola. Lo strumento elenca i risultati di una ricerca sulla regola e mostra le azioni attivate per ogni incidente.

Per utilizzare lo strumento di indagine, devi avere i privilegi Visualizzazione metadati e attributi, che si trovano in SicurezzaStrumento di indagineRegolaVisualizzazione metadati e attributi.

Per esaminare una regola:

1. Nell'elenco delle regole, fai clic su quella che vuoi esaminare.
2. Fai clic su Esamina regola.
3. Vengono visualizzati i risultati di ricerca per la regola. Tieni presente che c'è un intervallo di tempo tra l'attivazione di una regola e l'aggiornamento del log di controllo. Per maggiori dettagli, vai allo strumento di indagine. 

Suggerimento: puoi attivare o disattivare una regola dallo strumento di indagine. Nella tabella dei risultati, posiziona il puntatore del mouse sull'intestazione della colonna ID regola. Fai clic e seleziona AzioniAttiva regola o su AzioniDisattiva regola. 

Suggerimento: per vedere i risultati per tutte le regole DLP, fai clic sulla X per eliminare i criteri di ricerca specifici per la regola e seleziona Cerca.

Filtrare i rilevatori personalizzati

Puoi filtrare l'elenco di rilevatori personalizzati in base al nome e al tipo di rilevatore.

1. Nella pagina del rilevatore personalizzato, fai clic su Aggiungi un filtro.
2. Filtra in base al nome o al tipo di rilevatore:
   • Nome rilevatore: inserisci una stringa su cui eseguire la ricerca
   • Tipo di rilevatore: seleziona un tipo di rivelatore
3. Fai clic su Applica. Il filtro resta in funzione finché non lo ignori.

Esportare i rilevatori

Puoi esportare i rilevatori in un file .txt.

1. Nella pagina dei rilevatori, fai clic su Esporta rilevatori. 
2. L'elenco dei rilevatori viene scaricato in un file di testo. Fai clic sul file .txt nell'angolo in basso a sinistra per visualizzare i rilevatori scaricati.

Modificare il rilevatore personalizzato di un elenco di parole 

Quando modifichi i rilevatori personalizzati utilizzati nelle regole, viene attivata una nuova analisi dei documenti interessati dalle regole e contenenti i rilevatori modificati.

Per modificare il nome e la descrizione di un rilevatore personalizzato:

1. Nell'elenco, fai clic su un rilevatore personalizzato dell'elenco di parole.
2. Fai clic su Modifica informazioni.
3. Modifica il titolo e la descrizione.
4. Fai clic su Salva.

Per aggiungere parole all'elenco:

1. Nell'elenco, fai clic su un rilevatore personalizzato dell'elenco di parole.
2. Fai clic su Aggiungi parole.
3. Aggiungi parole all'elenco apposito. 
4. Fai clic su Salva.

Per modificare le parole nell'elenco:

1. Fai clic su un rilevatore di parole nell'elenco.
2. Fai clic su Modifica parole.
3. Modifica le parole nell'elenco.
4. Fai clic su Salva.

Modificare il rilevatore personalizzato dell'espressione regolare

Quando modifichi i rilevatori personalizzati utilizzati nelle regole, viene attivata una nuova analisi dei documenti interessati dalle regole e contenenti i rilevatori modificati.

Per modificare il nome o la descrizione o la stessa espressione regolare del rilevatore personalizzato dell'espressione regolare:

1. Nella pagina del rilevatore personalizzato, fai clic su un rilevatore personalizzato dell'espressione regolare.
2. Nel popup, modifica il titolo, la descrizione o l'espressione regolare.
3. Se hai modificato l'espressione regolare, fai clic su Prova espressione. Inserisci i dati di test da verificare.
4. Fai clic su Salva.

Eliminare un rilevatore personalizzato

L'eliminazione dei rilevatori è irreversibile.

1. Nella pagina del rilevatore personalizzato, posiziona il cursore del mouse su una riga per visualizzare il cestino alla fine della riga.
2. Seleziona il cestino .
3. Conferma di voler eliminare il rilevatore.