Περιγράφει λεπτομερώς τον τρόπο διαμόρφωσης ενός κανόνα Πρόληψης απώλειας δεδομένων (Data Loss Prevention, DLP) για μια επιλεγμένη Πολιτική ασφάλειας.
Προτού ξεκινήσετε
Για να διαμορφωθεί μια Πολιτική ασφάλειας, οι χρήστες πρέπει πρώτα να έχουν δημιουργήσει μια Πολιτική ασφάλειας. Για συγκεκριμένες οδηγίες σχετικά με τον τρόπο δημιουργίας μιας Πολιτικής ασφάλειας, ανατρέξτε στην ενότητα Δημιουργία πολιτικής ασφάλειας.
Βήματα διαμόρφωσης
- Μεταβείτε στις επιλογές .
- Επιλέξτε μια πολιτική ασφάλειας για να διαμορφώσετε τον κανόνα DLP και, στη συνέχεια, κάντε κλικ στην καρτέλα DLP.
- Στην καρτέλα DLP στην οθόνη Πολιτικές ασφάλειας (Security Policies), κάντε κλικ στην επιλογή + ΠΡΟΣΘΗΚΗ ΚΑΝΟΝΑ (+ ADD RULE).
Εμφανίζεται η οθόνη Επιλογή προέλευσης (Select Source).
- Στην οθόνη Επιλογή προέλευσης (Select Source), επιλέξτε το πλαίσιο ελέγχου Όλες οι ομάδες χρηστών (All Users Groups), για να εφαρμοστεί ο κανόνας σε όλους τους χρήστες και τις ομάδες, ή καταργήστε την επιλογή από αυτό το πλαίσιο ελέγχου για να καθορίσετε χρήστες και ομάδες. Από προεπιλογή, έχει οριστεί η επιλογή Όλοι οι ομάδες χρηστών (All Users Groups) για την Προέλευση.
Σημείωση: Όλες οι ομάδες χρηστών (All Users Groups) είναι η μόνη επιλογή για πελάτες που δεν έχουν πάροχο ταυτότητας (IdP) όπως Workspace ONE ή Azure Active Directory (AD) διαμορφωμένο για Cloud Web Security.Σημείωση: Το Cloud Web Security πρέπει να διαμορφωθεί με πάροχο ταυτότητας (IdP) όπως Workspace ONE ή Azure Active Directory (AD) για να λειτουργήσουν συγκεκριμένοι χρήστες και ομάδες.
Κάντε κλικ στην επιλογή Επόμενο (Next), εμφανίζεται η οθόνη Επιλογή τύπου περιεχομένου (Select Content Type).
- Στην οθόνη Επιλογή τύπου περιεχομένου (Select Content Type), οι χρήστες μπορούν να διαμορφώσουν τους τύπους περιεχομένου που ενεργοποιούνται από τη δυνατότητα επιθεώρησης DLP. Υπάρχουν τρεις παράμετροι που μπορούν να διαμορφωθούν για τον τύπο περιεχομένου:
- Επιλέξτε αν ο κανόνας DLP θα πρέπει να πραγματοποιεί Επιθεώρηση εισαγωγής κειμένου (Inspect Text Input) ή όχι. Η προεπιλογή για αυτήν την επιλογή είναι Off (Απενεργοποίηση). Όταν αλλάζει σε On (Ενεργοποίηση), η Εισαγωγή κειμένου χρήστη θα διέρχεται από επιθεώρηση DLP, όταν ζητούνται υποβολές δικτύου.
Σημείωση: Η Εισαγωγή κειμένου είναι σαν μια καταχώρηση φόρμας ή ένα μήνυμα κειμένου. Η Εισαγωγή κειμένου διαφέρει από ένα Αρχείο κειμένου, το οποίο είναι ένα πραγματικό αρχείο .txt συνημμένο σε μια αποστολή.
- Το Μέγιστο μέγεθος αρχείου (Maximum File Size) επιτρέπει στους χρήστες να επιλέξουν αν θα επιθεωρούν τις αποστολές αρχείων, ορίζοντας ένα μέγιστο μέγεθος αρχείου που θα επιθεωρηθεί. Η προεπιλεγμένη ρύθμιση για αυτήν την επιλογή είναι 50 Megabyte (MB) και οι χρήστες μπορούν να διαμορφώσουν μια τιμή Μέγιστου μεγέθους αρχείου τόσο αριθμητικά όσο και κατά μονάδες αποθήκευσης: Byte (B), Kilobyte (KB), Megabyte (MB) ή Gigabyte (GB). Εάν το μέγεθος του απεσταλμένου αρχείου είναι μεγαλύτερο από τη διαμορφωμένη τιμή Μέγιστο μέγεθος αρχείου (Maximum File Size), το αρχείο δεν επιθεωρείται από το DLP και επιτρέπεται η διέλευσή του.
Σημείωση: Η αριθμητική τιμή Μέγιστο μέγεθος αρχείου (Maximum File Size) μπορεί να διαμορφωθεί ως αριθμός μεταξύ 1 και 1.000 στο Orchestrator. Ο αριθμός 0 δεν είναι έγκυρος για αυτό το πεδίο.Σημαντικό: Παρόλο που είναι δυνατή η διαμόρφωση εξαιρετικά μικρών και μεγάλων τιμών, το DLP έχει μέγιστο όριο μεγέθους αρχείου 5 GB. Ακόμα και αν οι χρήστες διαμορφώσουν μια μεγαλύτερη τιμή, αυτή η τιμή δεν θα τηρηθεί πέραν των 5 GB. Το DLP έχει επίσης ελάχιστα υποστηριζόμενα μεγέθη περιεχομένου ως εξής:
Πίνακας 1. Ελάχιστα υποστηριζόμενα μεγέθη περιεχομένου Εισαγωγή χρήστη Εισαγωγή αρχείου 1024 Byte 5120 Byte - Η επιλογή Επιλέξτε τύπους αρχείων (Select File Types) επιτρέπει στον χρήστη να επιλέξει συγκεκριμένους τύπους αρχείων για επιθεώρηση. Η προεπιλεγμένη ρύθμιση είναι η επιθεώρηση με βάση την επιλογή Όλοι οι υποστηριζόμενοι τύποι (All Supported Types), δηλαδή 36 τύποι αρχείων συνολικά. Εάν οι χρήστες απενεργοποιήσουν την επιλογή Όλοι οι υποστηριζόμενοι τύποι αρχείων (All Supported File Types), θα δουν ένα πλήρες μενού και των 36 τύπων αρχείων ταξινομημένων κατά 11 κατηγορίες:
- Αρχειοθήκες και συμπιεσμένα πακέτα (9) (Archives and Compressed Packages): 7-Zip, ARJ, BZIP, CAB, GZIP, LZH, RAR, TAR, ZIP
- Ημερολόγιο (1) (Calendar): Πρόσκληση σύσκεψης ICS
- Εφαρμογές μηχανικής (2) (Engineering Applications): AutoCAD, Visio
- Πολυμέσα (2) (Multimedia): Αρχεία ήχου, αρχεία βίντεο
- Διάφορα έγγραφα (1) (Miscellaneous Documents): RTF
- Άλλα αρχεία και έγγραφα (1) (Other Files and Documents): Άλλα αρχεία και έγγραφα άγνωστου τύπου
- Εργαλεία παρουσίασης (2) (Presentation Tools): Παρουσίαση OpenOffice, PowerPoint
- Παραγωγικότητα (2) (Productivity): Microsoft One Note, Microsoft Project
- Δέσμες ενεργειών και εκτελέσιμα (6) (Scripts and Executables): Εκτελέσιμο Android, JAR, Εκτελέσιμο Linux, Εκτελέσιμο Mac, αρχεία δέσμης ενεργειών που βασίζονται σε κείμενο
- Υπολογιστικά φύλλα (3) (Spreadsheets): CSV, Excel, Υπολογιστικό φύλλο OpenOffice
- Επεξεργαστές κειμένου (7) (Word Processors): Hangul, Ichitaro, OpenOffice Text, PDF, Word, Word Perfect, XPS
Οι χρήστες μπορούν να επιλέξουν διάφορους ή όλους τους Τύπος αρχείων (File Types) κάτω από μια κατηγορία αρχείων. Εάν ο αριθμός των επιλεγμένων Τύπων αρχείων (File Types) είναι μικρότερος από όλους τους Τύπος αρχείων (File Types) είναι διαθέσιμος για αυτήν την κατηγορία, το όνομα της κατηγορίας αρχείων θα εμφανίζεται ως μπλε και θα εμφανίζει πόσοι Τύποι αρχείων (File Types) είναι επιλεγμένοι από το διαθέσιμο σύνολο.Εάν οι χρήστες επιθυμούν να επιλέξουν όλους τους Τύπους αρχείων (File Types) για αυτή την κατηγορία, μπορούν να κάνουν κλικ στο επάνω πλαίσιο επιλογής και να επιλεγούν όλοι οι Τύποι αρχείων (File Types). Όταν γίνει αυτό, η κεφαλίδα κατηγορίας γίνεται πράσινη και εμφανίζει όλους τους Τύπους αρχείων που έχουν επιλεγεί για αυτήν την κατηγορία.
Αφού επιλέξετε τις ρυθμίσεις τύπων περιεχομένου DLP για τον κανόνα, κάντε κλικ στην επιλογή Επόμενο (Next). Εμφανίζεται η οθόνη Επιλέξτε προορισμούς (Select Destinations).
- Επιλέξτε αν ο κανόνας DLP θα πρέπει να πραγματοποιεί Επιθεώρηση εισαγωγής κειμένου (Inspect Text Input) ή όχι. Η προεπιλογή για αυτήν την επιλογή είναι Off (Απενεργοποίηση). Όταν αλλάζει σε On (Ενεργοποίηση), η Εισαγωγή κειμένου χρήστη θα διέρχεται από επιθεώρηση DLP, όταν ζητούνται υποβολές δικτύου.
- Στην οθόνη Επιλέξτε προορισμούς (Select Destinations), οι χρήστες μπορούν να καθορίσουν τους τομείς ή/και τις κατηγορίες για τις οποίες θα πρέπει να πραγματοποιηθεί επιθεώρηση DLP. Η προεπιλεγμένη ρύθμιση είναι Όλοι οι τομείς και κατηγορίες (All Domains and Categories), πράγμα που σημαίνει ότι το DLP επιθεωρεί όλους τους Τομείς (Domains) και τις 84 Κατηγορίες (Categories).
Εάν οι χρήστες καταργήσουν την επιλογή του πλαισίου για Όλοι οι τομείς και κατηγορίες (All Domains and Categories), οι χρήστες πρέπει να διαμορφώσουν προσαρμοσμένους Τομείς (Domains) ή/και Κατηγορίες (Categories).
Για το πεδίο Τομείς (Domains), οι χρήστες μπορούν να καθορίσουν πλήρως προσδιορισμένα ονόματα τομέα (FQDN), διευθύνσεις IP ή εύρη διευθύνσεων IP που θα ενεργοποιούσαν μια ειδοποίηση ελεγκτή. Οι χρήστες μπορούν να καταχωρήσουν έναν συνδυασμό FQDN, διευθύνσεων IP και ευρών διευθύνσεων IP.Στο πεδίο Κατηγορίες (Categories), οι χρήστες μπορούν να επιλέξουν από έως και 84 ξεχωριστές κατηγορίες, για τις οποίες ένα αρχείο μπορεί να αντιστοιχίσει και να απαιτήσουν επιθεώρηση DLP. Οι χρήστες μπορούν επίσης να επιλέξουν όλες τις κατηγορίες ταυτόχρονα, κάνοντας κλικ στο επάνω αριστερό πλαίσιο ελέγχου.
Αφού επιλέξετε τον προορισμό DLP για τον κανόνα, κάντε κλικ στην επιλογή Επόμενο (Next). Εμφανίζεται η οθόνη Επιλέξτε λεξικά (Select Dictionaries).
- Στην ενότητα Επιλέξτε λεξικά (Select Dictionaries), οι χρήστες πρέπει να επιλέξουν τουλάχιστον ένα ή περισσότερα λεξικά για να τα συσχετίσουν με τον κανόνα. Τα λεξικά μπορεί να είναι Προσαρμοσμένα, Προκαθορισμένα ή συνδυασμός Προσαρμοσμένων και Προκαθορισμένων. Αξιολογούνται όλα τα επιλεγμένα λεξικά και η ενέργεια εκτελείται με βάση τα κριτήρια που καθορίζονται στα αντίστοιχα λεξικά.
Υπάρχουν περισσότερα από 340 προκαθορισμένα λεξικά για να διαλέξετε, εκτός από τα προσαρμοσμένα λεξικά που μπορεί να δημιουργήσει ο χρήστης. Οι χρήστες θα πρέπει να περιορίσουν τις επιλογές λεξικών τους χρησιμοποιώντας ένα ή περισσότερα φίλτρα που βρίσκονται στο επάνω μέρος κάθε στήλης. Σε αυτό το παράδειγμα, ο χρήστης φιλτράρει για λεξικά που ταιριάζουν με τον όρο κατηγορίας «HIPAA», για να συνδεθούν με το προσαρμοσμένο λεξικό που έχουν ήδη δημιουργήσει.
Αφού επιλέξετε τα λεξικά DLP που θα εφαρμοστούν στον κανόνα, κάντε κλικ στην επιλογή Επόμενο (Next). Εμφανίζεται η οθόνη Επιλογή δράσης (Select Action).
- Στην οθόνη Επιλογή δράσης (Select Action), ο χρήστης μπορεί να αποφασίσει ποια ενέργεια λαμβάνεται, όταν πληρούνται τα καθορισμένα κριτήρια. Η ενέργεια μπορεί να οριστεί σε Αποκλεισμός (Block), Log (Αρχείο καταγραφής) ή Παράλειψη επιθεώρησης (Skip Inspection). Οι προεπιλεγμένες ρυθμίσεις για το στοιχείο Επιλογή δράσης (Select Action) είναι Αποκλεισμός (Block), χωρίς αποστολή Εmail ελέγχου (Audit Email) και ενεργοποιείται τόσο το HTTP όσο και το HTTPS ως Πρωτόκολλα για έλεγχο (Protocols to Inspect).
Εάν οι χρήστες εναλλάσσουν την επιλογή Αποστολή email ελέγχου (Send Audit Email) σε Ναι (Yes), οι χρήστες θα πρέπει επίσης να επιλέξουν έναν Προφίλ ελεγκτή (Auditor Profile(s)) που θα λάβει το email ελέγχου. Σε αυτήν την περίπτωση, ο χρήστης επιλέγει το Προφίλ ελεγκτή που έχει διαμορφωθεί νωρίτερα στην ενότητα Ελεγκτές (Auditors).
Αφού διαμορφώσετε την Ενέργεια που θα εκτελείται για τον κανόνα, κάντε κλικ στην επιλογή Επόμενο (Next).
- Στην οθόνη Εισαγάγετε όνομα/ετικέτες/περιγραφή (Enter Name/Tags/Description), ο χρήστης πρέπει να διαμορφώσει ένα μοναδικό Όνομα (Name) για τον κανόνα DLP. Ο χρήστης μπορεί επίσης να διαμορφώσει Ετικέτες (Tags), Ειδοποίηση (Notification) και Αιτία (Reason) για τον κανόνα.
- Κάντε κλικ στην επιλογή Τέλος (Finish). Δημιουργείται ένας κανόνας DLP και παρατίθεται στην ενότητα κανόνων DLP για την Πολιτική ασφάλειας.
- Κάντε κλικ στην επιλογή Δημοσίευση (Publish), για να τεθεί σε ισχύ ο κανόνας DLP σε αυτήν την Πολιτική ασφάλειας.
Σημείωση: Χρειάζονται περίπου πέντε λεπτά για να τεθεί σε ισχύ ο κανόνας DLP από τη στιγμή που τον δημοσιεύουν οι χρήστες. Μετά τη δημοσίευση της Πολιτικής ασφάλειας, οι χρήστες μπορούν να κάνουν Εφαρμογή της πολιτικής ασφάλειας.
Μετά τη δημοσίευση, μπορεί να γίνει επεξεργασία και αναδημοσίευση ενός DLP κανόνα, όπως απαιτείται, με τον ίδιο τρόπο που δημιουργήθηκε για πρώτη φορά.
Για περισσότερες πληροφορίες σχετικά με τις ρυθμίσεις της Επιχείρησης DLP, δείτε Πρόληψη απώλειας δεδομένων.