Detailně popisuje konfiguraci pravidla prevence ztráty dat (DLP) pro vybrané zásady zabezpečení.

Než začnete

Pro konfiguraci Zásad zabezpečení musí uživatelé nejdříve vytvořit zásady zabezpečení. Konkrétní instrukce o tom, jak vytvořit zásady zabezpečení, naleznete v tématu Vytváření zásad zabezpečení.

Postup konfigurace

Chcete-li nakonfigurovat pravidlo DLP, proveďte následující kroky:
  1. Přejděte na Webové zabezpečení cloudu (Cloud Web Security) > Konfigurovat (Configure) > Zásady zabezpečení (Security Policies).
  2. Vyberte zásady zabezpečení pro konfiguraci pravidla DLP a poté klikněte na kartu DLP (DLP).
  3. Na kartě DLP (DLP) na obrazovce Zásady zabezpečení (Security Policies) klikněte na možnost + PŘIDAT PRAVIDLO (+ ADD RULE).

    Přidejte do zásad zabezpečení pravidlo DLP.

    Otevře se obrazovka Vybrat zdroj (Select Source).

  4. Na obrazovce Vybrat zdroj (Select Source) vyberte zaškrtávací políčko Všechny skupiny uživatelů (All Users Groups) a použijte pravidlo na všechny uživatele a skupiny nebo zrušte zaškrtnutí políčka, abyste mohli specifikovat uživatele a skupiny. Ve výchozím nastavení je u zdroje vybrána možnost Všechny skupiny uživatelů (All Users Groups).
    První možností konfigurace je Zdroj (Source), ve výchozím nastavení je tato možnost nastavena na Všechny skupiny uživatelů (All User Groups).
    Poznámka: Všechny skupiny uživatelů (All Users Groups) je jediná možnost pro zákazníky, kteří nemají poskytovatele identity (IdP), jako je Workspace ONE nebo Azure Active Directory (AD) nakonfigurované pro službu Cloud Web Security.
    Poznámka: Služba Cloud Web Security musí být nakonfigurována s poskytovatelem identity (IdP), jako je Workspace ONE nebo Azure Active Directory (AD), aby mohli konkrétní uživatelé a skupiny fungovat.

    Klikněte na možnost Další (Next), otevře se obrazovka Vybrat druh obsahu (Select Content Type).

  5. Na obrazovce Vybrat druh obsahu (Select Content Type) mohou uživatelé konfigurovat druhy obsahu, které jsou spuštěny funkcí kontroly DLP. Existují tři parametry, které lze nakonfigurovat pro druh obsahu:
    Výchozí obrazovka pro Vyberte typ obsahu (Select Content Type), zobrazující Zkontrolujte zadaný text (Inspect Text Input), Kontrola nahrání souboru (File Upload Inspection) s Maximální velikostí souboru (Maximum File Size) a Vyberte typy souborů (Select File Types).
    1. Zvolte, zda má pravidlo DLP Zkontrolovat zadaný text (Inspect Text Input) nebo ne. Výchozí nastavení pro tuto možnost je Vyp. (Off). Pokud je přepnuto na Zap. (On), textový vstup uživatele projde kontrolou DLP, když bude vyžadováno odeslání do sítě.
      Poznámka: Textový vstup je jako příspěvek nebo textová zpráva. Textový vstup se liší od textového souboru, což je skutečný soubor .txt přiložený k nahrání.
    2. Maximální velikost souboru (Maximum File Size) umožňuje uživatelům zvolit, zda mají kontrolovat nahrané soubory, a to definováním maximální velikosti souboru, který má být kontrolován. Výchozí nastavení této možnosti je 50 megabajtů (MB). Uživatelé mohou nakonfigurovat maximální velikost souboru numericky i podle jednotek úložiště: bajt (B), kilobajt (KB), megabajt (MB) nebo gigabajt (GB). Pokud je velikost nahraného souboru větší než nakonfigurovaná hodnota Maximální velikost souboru (Maximum File Size), soubor nebude kontrolován pravidlem DLP a bude povolen.
      Poznámka: Číselnou hodnotu velikosti souboru Maximální velikost souboru (Maximum File Size) lze v systému Orchestrator nakonfigurovat jako číslo mezi 1 a 1 000. Číslo 0 je pro toto pole neplatné.
      Důležité: Ačkoliv je možné konfigurovat velmi malé a velké hodnoty, pravidlo DLP má maximální limit velikosti souboru 5 GB. Také v případě, že uživatelé nakonfigurují větší hodnotu, nebude tato hodnota dodržena nad 5 GB. DLP také obsahuje minimální podporovanou velikost obsahu:
      Tabulka 1. Minimální podporovaná velikost obsahu
      Vstup uživatele Vstup souboru
      1 024 bajtů 5120 bajtů
    3. Možnost Vybrat typy souborů (Select File Types) uživateli umožňuje vybrat konkrétní typy souborů, které chcete zkontrolovat. Výchozím nastavením je kontrola pro Všechny podporované typy (All Supported Types), tj. celkem 36 typů souborů. Pokud uživatelé vypnou možnost Všechny podporované typy souborů (All Supported File Types), zobrazí se kompletní nabídka všech 36 typů souborů řazených podle 11 kategorií:
      • Archivy a komprimované balíčky (9) (Archives and Compressed Packages (9)): 7-zip, ARJ, BZIP, CAB, GZIP, LZH, RAR, TAR, ZIP
      • Kalendář (1) (Calendar (1)): Pozvánka na schůzku ICS
      • Technické aplikace (2) (Engineering Applications (2)): AutoCAD, Visio
      • Multimédia (2) (Multimedia (2)): audio soubory, video soubory
      • Různé dokumenty (1) (Miscellaneous Documents (1)): RTF
      • Ostatní soubory a dokumenty (1) (Other Files and Documents (1)): Jiné soubory a dokumenty neznámých typů
      • Prezentační nástroje (2) (Presentation Tools (2)): OpenOffice Presentation, PowerPoint
      • Produktivita (2) (Productivity (2)): Microsoft One Note, Microsoft Project
      • Skripty a spustitelné soubory (6) (Scripts and Executables (6)): Spustitelný soubor Android, JAR, spustitelný soubor Linux, spustitelné soubory Mac, skriptové soubory založené na textu
      • Excelové tabulky (3) (Spreadsheets (3)): CSV, Excel, OpenOffice Spreadsheet
      • Procesory Word (7) (Word Processors (7)): Hangul, Ichitaro, OpenOffice Text, PDF, Word, Word Perfect, XPS
    Uživatelé mohou vybrat několik nebo všechny Typy souborů (File Types) pod kategorií souborů. Pokud je počet vybraných položek pro Typy souborů (File Types) menší než počet všech Typů souborů (File Types), které jsou pro tuto kategorii dostupné, název kategorie souboru se zobrazí jako modrý a ukáže se počet Typů souborů (File Types) vybraných z celkového počtu dostupných typů souborů.
    Typy souborů můžete nakonfigurovat tak, že vyberete některé, ale ne všechny typy souborů pro kategorii. V tomto případě jsou vybrány pouze některé archivy a komprimované balíčky.

    Pokud si uživatelé přejí vybrat všechny Typů souborů (File Types) pro tuto kategorii, mohou kliknout na horní pole výběru a vybrat všechny Typů souborů (File Types). Jakmile je toto dokončeno, záhlaví kategorie se změní na zelenou a zobrazí se všechny Typů souborů (File Types) vybrané pro tuto kategorii.

    Typy souborů můžete nakonfigurovat tak, že vyberete všechny typy souborů pro kategorii. V tomto případě jsou vybrány všechny archivy a komprimované balíčky.

    Po výběru nastavení typů obsahu DLP pro pravidlo klikněte na tlačítko Další (Next). Otevře se obrazovka Vybrat cíle (Select Destinations).

  6. Na obrazovce Vybrat cíle (Select Destinations) mohou uživatelé specifikovat domény nebo kategorie, u kterých by měla probíhat kontrola DLP. Výchozí nastavení je Všechny domény a kategorie (All Domains and Categories), což znamená, že DLP kontroluje všechny Domény (Domains) a všech 84 Kategorií (Categories).
    Výchozí nastavení funkce výběru domény.

    Pokud uživatelé zruší zaškrtnutí pole Všechny domény a kategorie (All Domains and Categories), budou muset konfigurovat vlastní Domény (Domains) a/nebo Kategorie (Categories).

    U pole Domény (Domains) mohou uživatelé zadat plně kvalifikované názvy domény (FQDN), IP adresy nebo rozsahy IP adres, které spustí výstrahu auditora. Uživatelé mohou zadat kombinaci FQDN, IP adres a IP rozsahů.
    Konfigurace domén včetně FQDNS, IP adres a rozsahů IP adres.

    V poli Kategorie (Categories) si uživatelé mohou vybrat z až 84 odlišných kategorií, které mohou odpovídat souboru a vyžadovat kontrolu DLP. Uživatelé mohou také vybrat všechny kategorie najednou kliknutím na levé horní políčko.

    Výběr specifických kategorií v sekci Kategorie (Categories).

    Po výběru cíle DLP pro pravidlo klikněte na tlačítko Další (Next). Otevře se obrazovka Vyberte slovníky (Select Dictionaries).

  7. V části Vyberte slovníky (Select Dictionaries) musí uživatelé vybrat alespoň jeden nebo více slovníků pro přidružení k pravidlu. Slovníky mohou být vlastní, předdefinované nebo kombinací vlastních a předdefinovaných. Všechny vybrané slovníky jsou vyhodnoceny a akce jsou prováděny na základě kritérií specifikovaných v příslušných slovnících.
    Vyberte slovníky s vysvětlením několika možností konfigurace zobrazení.

    K dispozici je více než 340 předdefinovaných slovníků, ze kterých si můžete vybrat; kromě vlastních slovníků může uživatel vytvářet vlastní. Uživatelé by měli zúžit své možnosti slovníků pomocí jednoho nebo více filtrů umístěných v horní části každého sloupce. V tomto příkladu uživatel filtruje slovníky, které odpovídají termínu kategorie „HIPAA“ s odkazem na vlastní slovník, který již uživatel vytvořil.

    Filtrování pro slovníky pomocí vyhledávacího termínu kategorie HIPAA.

    Po výběru slovníků DLP, na které chcete pravidlo použít, klikněte na tlačítko Další (Next). Otevře se obrazovka Vyberte akci (Select Action).

  8. Na obrazovce Vyberte akci (Select Action) může uživatel určit, jaká akce bude provedena, když budou splněna definovaná kritéria. Akci lze nastavit na Blokovat (Block), Protokolovat (Log) nebo Přeskočit kontrolu (Skip Inspection). Výchozí nastavení pro možnost Vyberte akci (Select Action) jsou Blokovat (Block) bez odeslání Auditový e-mail (Audit Email) s oběma možnostmi HTTP (HTTP)HTTPS (HTTPS) nastavenými jako Protokoly ke kontrole (Protocols to Inspect).
    Výchozí obrazovka pro Výběr akce (Select Action), když jsou splněna kritéria pravidla. Obrazovka ukazuje, že možnosti akce jsou Blokovat (Block), Protokolovat (Log) nebo Přeskočit kontrolu (Skip Inspection).

    Pokud uživatelé přepnou možnost Poslat auditový e-mail (Send Audit Email) na Ano (Yes), uživatelé pak musejí vybrat Profil/y auditorů (Auditor Profile(s)), kteří obdrží tento auditový e-mail. V tomto případě uživatel vybere profil auditora nakonfigurovaný dříve v části Auditoři (Auditors).

    Obrazovka zobrazuje uživatele, který přepíná možnost Poslat auditový e-mail (Send Audit Email) a provádí konfiguraci profilu auditora.

    Po výběru akce k provedení klikněte na tlačítko Další (Next).

  9. Na obrazovce Zadejte název/značky/popis (Enter Name/Tags/Description) musí uživatel nakonfigurovat unikátní Název (Name) pro pravidlo DLP. Uživatel může také nakonfigurovat Značky(Tags), Oznámení (Notification), a Důvod (Reason) pro dané pravidlo.
    Konfigurace názvu a popisu pro pravidlo DLP.
  10. Klepněte na možnost Dokončit (Finish). Pravidlo DLP je vytvořeno a uvedeno v části pravidla DLP pro zásady zabezpečení.
  11. Kliknutím na možnost Publikovat (Publish) se pravidlo DLP projeví v těchto zásadách zabezpečení.
    Poznámka: Pravidlo DLP se projeví přibližně za pět minut od okamžiku, kdy ho uživatelé publikují. Po publikování zásad zabezpečení mohou uživatelé Použít zásady zabezpečení (Apply the Security Policy).
    Potvrďte pravidlo DLP (DLP Rule) pro vyplnění hlavní obrazovky pravidla DLP a poté klikněte na možnost Publikovat (Publish), aby se pravidlo projevilo.

    Po publikování může být pravidlo DLP upraveno a znovu publikováno podle potřeby stejným způsobem, jakým bylo původně vytvořeno.

Další informace o nastavení DLP v podniku naleznete v tématu Prevence ztráty dat.