Qui viene descritto dettagliatamente come configurare una regola di prevenzione della perdita dati (DLP) per un criterio di protezione selezionato.
Prima di iniziare
Per configurare un criterio di protezione, è innanzitutto necessario aver creato un criterio di protezione. Per istruzioni specifiche su come creare un criterio di protezione, vedere Creazione di un criterio di protezione.
Passaggi di configurazione
- Passare a .
- Selezionare un criterio di protezione per configurare la regola DLP e quindi fare clic sulla scheda DLP.
- Nella scheda DLP della schermata Criteri di protezione (Security Policies) fare clic su + AGGIUNGI REGOLA (+ ADD RULE).
Viene visualizzata la schermata Seleziona origine (Select Source).
- Nella schermata Seleziona origine (Select Source), selezionare la casella di controllo Tutti i gruppi di utenti (All Users Groups) per applicare la regola a tutti gli utenti e i gruppi oppure deselezionare tale casella di controllo per specificare utenti e gruppi. Per impostazione predefinita, per l'origine è selezionata l'opzione Tutti i gruppi di utenti (All Users Groups).
Nota: Tutti i gruppi di utenti (All Users Groups) è l'unica opzione per i clienti che non hanno un provider di identità (IdP) come Workspace ONE o Azure Active Directory (AD) configurato per Cloud Web Security.Nota: Cloud Web Security deve essere configurato con un provider di identità (IdP) come Workspace ONE o Azure Active Directory (AD) affinché utenti e gruppi specifici funzionino.
Fare clic su Avanti (Next), viene visualizzata la schermata Seleziona tipo di contenuto (Select Content Type).
- Nella schermata Seleziona tipo di contenuto (Select Content Type) gli utenti possono configurare i tipi di contenuti attivati dalla funzionalità di ispezione DLP. Esistono tre parametri che è possibile configurare per il tipo di contenuto:
- Scegliere se la regola DLP deve procedere con Ispeziona input di testo (Inspect Text Input) o meno. Il valore predefinito per questa opzione è Off. Quando viene cambiata in On, l'input di testo verrà sottoposto a ispezione DLP quando sono necessari invii dalla rete.
Nota: L'input di testo è come un modulo inviato o un messaggio di testo. L'input di testo è diverso da un file di testo, che è un file .txt effettivo allegato a un caricamento.
- Dimensioni massime file (Maximum File Size) consente agli utenti di scegliere se ispezionare i caricamenti di file definendo le dimensioni massime dei file da ispezionare. L'impostazione predefinita per questa opzione è 50 Megabyte (MB) e gli utenti possono configurare un valore della dimensione massima del file sia numericamente che in base alle unità di storage: byte (B), kilobyte (KB), megabyte (MB) o Gigabyte (GB). Se le dimensioni del file caricato sono superiori al valore Dimensioni massime file (Maximum File Size) configurato, il file non viene ispezionato da DLP e viene consentito.
Nota: Il valore numerico Dimensioni massime file (Maximum File Size) può essere configurato come un numero compreso tra 1 e 1000 in Orchestrator. Il numero 0 non è valido per questo campo.Importante: Anche se è possibile configurare valori estremamente piccoli e grandi, DLP ha un limite massimo di dimensioni per i file pari a 5 GB. Anche se gli utenti configurano un valore più grande, tale valore non verrà rispettato oltre 5 GB. DLP ha anche dimensioni minime supportate dei contenuti, come indicato di seguito:
Tabella 1. Dimensioni minime dei contenuti supportate Input utente Input file 1024 byte 5120 byte - Seleziona tipi di file (Select File Types) consente all'utente di scegliere tipi di file specifici da ispezionare. L'impostazione predefinita prevede l'ispezione di Tutti i tipi supportati (All Supported Types), 36 tipi di file in totale. Se gli utenti disattivano Tutti i tipi di file supportati (All Supported File Types), vedranno un menu completo di tutti i 36 tipi di file ordinati per 11 categorie:
- Archivi e pacchetti compressi (Archives and Compressed Packages) (9): 7-Zip, ARJ, BZIP, CAB, GZIP, LZH, RAR, TAR, ZIP
- Calendario (Calendar) (1): invito a riunione ICS
- Applicazioni di ingegneria (Engineering Applications) (2): AutoCAD, Visio
- Multimedia (2): file audio, file video
- Documenti vari (Miscellaneous Documents) (1): RTF
- Altri file e documenti (Other Files and Documents) (1): altri file e documenti di tipi sconosciuti
- Strumenti di presentazione (Presentation Tools) (2): presentazione OpenOffice, PowerPoint
- Produttività (Productivity) (2): Microsoft One Note, Microsoft Project
- Script ed eseguibili (Scripts and Executables) (6): eseguibili Android, JAR, eseguibili Linux, eseguibili Mac, file di script basati su testo
- Fogli di calcolo (Spreadsheets) (3): CSV, Excel, foglio di calcolo OpenOffice
- Elaboratori di testo (Word Processors) (7): Hangul, Ichitaro, OpenOffice Text, PDF, Word, Word Perfect, XPS
Gli utenti possono selezionare diversi o tutti i Tipi di file (File Types) in una categoria di file. Se il numero di Tipi di file (File Types) selezionato è inferiore a tutti i Tipi di file (File Types) disponibili per tale categoria, il nome della categoria del file verrà visualizzato come blu e verrà visualizzato il numero di Tipi di file (File Types) selezionati sul totale disponibile.Se gli utenti desiderano selezionare tutti i Tipi di file (File Types) per tale categoria, possono fare clic sulla casella di selezione in alto e tutti i Tipi di file (File Types) sono selezionati. Al termine di questa operazione, l'intestazione della categoria diventa verde e mostra che tutti i Tipi di file (File Types) sono stati selezionati per tale categoria.
Dopo aver selezionato le impostazioni dei tipi di contenuti DLP per la regola, fare clic su Avanti (Next). Viene visualizzata la schermata Seleziona destinazioni (Select Destinations).
- Scegliere se la regola DLP deve procedere con Ispeziona input di testo (Inspect Text Input) o meno. Il valore predefinito per questa opzione è Off. Quando viene cambiata in On, l'input di testo verrà sottoposto a ispezione DLP quando sono necessari invii dalla rete.
- Nella schermata Seleziona destinazioni (Select Destinations), gli utenti possono specificare i domini e/o le categorie per cui deve essere effettuata l'ispezione DLP. L'impostazione predefinita è Tutti i domini e le categorie (All Domains and Categories). Ciò significa che DLP ispeziona tutti i Domini (Domains) e tutte le 84 Categorie (Categories).
Se gli utenti deselezionano la casella Tutti i domini e le categorie (All Domains and Categories), gli utenti devono configurare Domini (Domains) e/o Categorie (Categories).
Per il campo Domini (Domains), gli utenti possono specificare nomi di dominio completi (FQDN), indirizzi IP o intervalli di IP per attivare un avviso revisore. È possibile specificare una combinazione di FQDN, indirizzi IP e intervalli di IP.Nel campo Categorie (Categories) gli utenti possono scegliere tra un massimo di 84 categorie distinte per cui un file può corrispondere e richiedere un'ispezione DLP. Gli utenti possono anche selezionare tutte le categorie contemporaneamente facendo clic sulla casella di controllo in alto a sinistra.
Dopo aver selezionato la destinazione DLP per la regola, fare clic su Avanti (Next). Viene visualizzata la schermata Seleziona dizionari (Select Dictionaries).
- Nella sezione Seleziona dizionari (Select Dictionaries), gli utenti devono scegliere almeno uno o più dizionari da associare alla regola. I dizionari possono essere personalizzati, predefiniti o una combinazione di personalizzati e predefiniti. Tutti i dizionari selezionati vengono valutati e l'azione viene eseguita in base ai criteri specificati nei rispettivi dizionari.
Ci sono più di 340 dizionari predefiniti da scegliere, oltre ai dizionari personalizzati che l'utente può creare; gli utenti possono restringere le loro opzioni dizionario utilizzando uno o più filtri posizionati nella parte superiore di ogni colonna. In questo esempio, l'utente filtra i dizionari che corrispondono al termine di categoria "HIPAA" per collegarsi al dizionario personalizzato già creato.
Dopo aver selezionato i Dizionari DLP da applicare alla regola, fare clic su Avanti (Next). Viene visualizzata la schermata Seleziona azione (Select Action).
- Nella schermata Seleziona azione (Select Action) l'utente può decidere quale azione eseguire quando vengono soddisfatti i criteri definiti. L'azione può essere impostata su Blocca (Block), Registra (Log) o Ignora ispezione (Skip Inspection). Le impostazioni predefinite per Seleziona azione (Select Action) sono Blocca (Block), non vengono inviate E-mail di controllo (Audit Email) e HTTP e HTTPS attivati come Protocolli da ispezionare (Protocols to Inspect).
Se gli utenti impostano Invia e-mail di controllo (Send Audit Email) su Sì (Yes), dovranno selezionare anche uno o più Profilo/i revisore (Auditor Profile(s)) che riceveranno l'e-mail di controllo. In questo caso, l'utente sceglie il profilo revisore configurato in precedenza nella sezione Revisori (Auditors).
Dopo aver configurato l'azione da eseguire per la regola, fare clic su Avanti (Next).
- Nella schermata Immettere nome/tag/descrizione (Enter Name /Tags / Description) l'utente deve configurare un Nome (Name) univoco per la regola DLP. L'utente può inoltre configurare Tag (Tags), Notifica (Notification) e Motivo (Reason) per la regola.
- Fare clic su Fine (Finish). Viene creata una regola DLP che viene elencata nella sezione delle regole DLP per il Criterio di protezione (Security Policy).
- Fare clic su Pubblica (Publish) per rendere effettiva la Regola DLP (DLP Rule) in questo Criterio di protezione (Security Policy).
Nota: L'applicazione della regola DLP richiede circa cinque minuti dal momento in cui gli utenti la pubblicano. Dopo aver pubblicato il criterio di protezione, gli utenti possono Applicare il criterio di protezione.
Dopo la pubblicazione, una regola DLP può essere modificata e ripubblicata secondo necessità nello stesso modo in cui è stata creata per la prima volta.
Per ulteriori informazioni sulle impostazioni aziendali di DLP, vedere Prevenzione della perdita dati.