Qui viene descritto dettagliatamente come configurare una regola di prevenzione della perdita dati (DLP) per un criterio di protezione selezionato.

Prima di iniziare

Per configurare un criterio di protezione, è innanzitutto necessario aver creato un criterio di protezione. Per istruzioni specifiche su come creare un criterio di protezione, vedere Creazione di un criterio di protezione.

Passaggi di configurazione

Per configurare una regola di prevenzione della perdita dati (DLP), procedere come segue:
  1. Passare a Cloud Web Security > Configurazione (Configure) > Criteri di protezione (Security Policies).
  2. Selezionare un criterio di protezione per configurare la regola DLP e quindi fare clic sulla scheda DLP.
  3. Nella scheda DLP della schermata Criteri di protezione (Security Policies) fare clic su + AGGIUNGI REGOLA (+ ADD RULE).

    Aggiunta di una regola DLP al criterio di protezione.

    Viene visualizzata la schermata Seleziona origine (Select Source).

  4. Nella schermata Seleziona origine (Select Source), selezionare la casella di controllo Tutti i gruppi di utenti (All Users Groups) per applicare la regola a tutti gli utenti e i gruppi oppure deselezionare tale casella di controllo per specificare utenti e gruppi. Per impostazione predefinita, per l'origine è selezionata l'opzione Tutti i gruppi di utenti (All Users Groups).
    La prima opzione da configurare è Origine (Source), per impostazione predefinita è impostata su All User Groups (Tutti i gruppi di utenti).
    Nota: Tutti i gruppi di utenti (All Users Groups) è l'unica opzione per i clienti che non hanno un provider di identità (IdP) come Workspace ONE o Azure Active Directory (AD) configurato per Cloud Web Security.
    Nota: Cloud Web Security deve essere configurato con un provider di identità (IdP) come Workspace ONE o Azure Active Directory (AD) affinché utenti e gruppi specifici funzionino.

    Fare clic su Avanti (Next), viene visualizzata la schermata Seleziona tipo di contenuto (Select Content Type).

  5. Nella schermata Seleziona tipo di contenuto (Select Content Type) gli utenti possono configurare i tipi di contenuti attivati dalla funzionalità di ispezione DLP. Esistono tre parametri che è possibile configurare per il tipo di contenuto:
    Schermata predefinita per Seleziona tipo di contenuto (Select Content Type), che mostra Ispeziona input di testo (Inspect Text Input), Ispezione caricamento file (File Upload Inspection) con Dimensioni massime file (Maximum File Size) e Seleziona tipi di file (Select File Types).
    1. Scegliere se la regola DLP deve procedere con Ispeziona input di testo (Inspect Text Input) o meno. Il valore predefinito per questa opzione è Off. Quando viene cambiata in On, l'input di testo verrà sottoposto a ispezione DLP quando sono necessari invii dalla rete.
      Nota: L'input di testo è come un modulo inviato o un messaggio di testo. L'input di testo è diverso da un file di testo, che è un file .txt effettivo allegato a un caricamento.
    2. Dimensioni massime file (Maximum File Size) consente agli utenti di scegliere se ispezionare i caricamenti di file definendo le dimensioni massime dei file da ispezionare. L'impostazione predefinita per questa opzione è 50 Megabyte (MB) e gli utenti possono configurare un valore della dimensione massima del file sia numericamente che in base alle unità di storage: byte (B), kilobyte (KB), megabyte (MB) o Gigabyte (GB). Se le dimensioni del file caricato sono superiori al valore Dimensioni massime file (Maximum File Size) configurato, il file non viene ispezionato da DLP e viene consentito.
      Nota: Il valore numerico Dimensioni massime file (Maximum File Size) può essere configurato come un numero compreso tra 1 e 1000 in Orchestrator. Il numero 0 non è valido per questo campo.
      Importante: Anche se è possibile configurare valori estremamente piccoli e grandi, DLP ha un limite massimo di dimensioni per i file pari a 5 GB. Anche se gli utenti configurano un valore più grande, tale valore non verrà rispettato oltre 5 GB. DLP ha anche dimensioni minime supportate dei contenuti, come indicato di seguito:
      Tabella 1. Dimensioni minime dei contenuti supportate
      Input utente Input file
      1024 byte 5120 byte
    3. Seleziona tipi di file (Select File Types) consente all'utente di scegliere tipi di file specifici da ispezionare. L'impostazione predefinita prevede l'ispezione di Tutti i tipi supportati (All Supported Types), 36 tipi di file in totale. Se gli utenti disattivano Tutti i tipi di file supportati (All Supported File Types), vedranno un menu completo di tutti i 36 tipi di file ordinati per 11 categorie:
      • Archivi e pacchetti compressi (Archives and Compressed Packages) (9): 7-Zip, ARJ, BZIP, CAB, GZIP, LZH, RAR, TAR, ZIP
      • Calendario (Calendar) (1): invito a riunione ICS
      • Applicazioni di ingegneria (Engineering Applications) (2): AutoCAD, Visio
      • Multimedia (2): file audio, file video
      • Documenti vari (Miscellaneous Documents) (1): RTF
      • Altri file e documenti (Other Files and Documents) (1): altri file e documenti di tipi sconosciuti
      • Strumenti di presentazione (Presentation Tools) (2): presentazione OpenOffice, PowerPoint
      • Produttività (Productivity) (2): Microsoft One Note, Microsoft Project
      • Script ed eseguibili (Scripts and Executables) (6): eseguibili Android, JAR, eseguibili Linux, eseguibili Mac, file di script basati su testo
      • Fogli di calcolo (Spreadsheets) (3): CSV, Excel, foglio di calcolo OpenOffice
      • Elaboratori di testo (Word Processors) (7): Hangul, Ichitaro, OpenOffice Text, PDF, Word, Word Perfect, XPS
    Gli utenti possono selezionare diversi o tutti i Tipi di file (File Types) in una categoria di file. Se il numero di Tipi di file (File Types) selezionato è inferiore a tutti i Tipi di file (File Types) disponibili per tale categoria, il nome della categoria del file verrà visualizzato come blu e verrà visualizzato il numero di Tipi di file (File Types) selezionati sul totale disponibile.
    Configurazione dei tipi di file selezionando alcuni ma non tutti i tipi di file per una categoria. In questo caso vengono selezionati solo alcuni archivi e pacchetti compressi.

    Se gli utenti desiderano selezionare tutti i Tipi di file (File Types) per tale categoria, possono fare clic sulla casella di selezione in alto e tutti i Tipi di file (File Types) sono selezionati. Al termine di questa operazione, l'intestazione della categoria diventa verde e mostra che tutti i Tipi di file (File Types) sono stati selezionati per tale categoria.

    Configurare i tipi di file selezionando tutti i tipi di file per quella categoria. In questo caso vengono selezionati tutti gli archivi e pacchetti compressi.

    Dopo aver selezionato le impostazioni dei tipi di contenuti DLP per la regola, fare clic su Avanti (Next). Viene visualizzata la schermata Seleziona destinazioni (Select Destinations).

  6. Nella schermata Seleziona destinazioni (Select Destinations), gli utenti possono specificare i domini e/o le categorie per cui deve essere effettuata l'ispezione DLP. L'impostazione predefinita è Tutti i domini e le categorie (All Domains and Categories). Ciò significa che DLP ispeziona tutti i Domini (Domains) e tutte le 84 Categorie (Categories).
    Impostazioni predefinite per Seleziona dominio (Select Domain).

    Se gli utenti deselezionano la casella Tutti i domini e le categorie (All Domains and Categories), gli utenti devono configurare Domini (Domains) e/o Categorie (Categories).

    Per il campo Domini (Domains), gli utenti possono specificare nomi di dominio completi (FQDN), indirizzi IP o intervalli di IP per attivare un avviso revisore. È possibile specificare una combinazione di FQDN, indirizzi IP e intervalli di IP.
    Configurazione dei domini, inclusi FQDN, indirizzi IP e intervalli di indirizzi IP.

    Nel campo Categorie (Categories) gli utenti possono scegliere tra un massimo di 84 categorie distinte per cui un file può corrispondere e richiedere un'ispezione DLP. Gli utenti possono anche selezionare tutte le categorie contemporaneamente facendo clic sulla casella di controllo in alto a sinistra.

    Scelta di categorie specifiche nella sezione Categorie (Categories).

    Dopo aver selezionato la destinazione DLP per la regola, fare clic su Avanti (Next). Viene visualizzata la schermata Seleziona dizionari (Select Dictionaries).

  7. Nella sezione Seleziona dizionari (Select Dictionaries), gli utenti devono scegliere almeno uno o più dizionari da associare alla regola. I dizionari possono essere personalizzati, predefiniti o una combinazione di personalizzati e predefiniti. Tutti i dizionari selezionati vengono valutati e l'azione viene eseguita in base ai criteri specificati nei rispettivi dizionari.
    Schermata Seleziona dizionari (Select Dictionaries) con spiegazioni per diverse opzioni di configurazione della visualizzazione.

    Ci sono più di 340 dizionari predefiniti da scegliere, oltre ai dizionari personalizzati che l'utente può creare; gli utenti possono restringere le loro opzioni dizionario utilizzando uno o più filtri posizionati nella parte superiore di ogni colonna. In questo esempio, l'utente filtra i dizionari che corrispondono al termine di categoria "HIPAA" per collegarsi al dizionario personalizzato già creato.

    Filtro dei dizionari utilizzando il termine di ricerca categoria HIPAA.

    Dopo aver selezionato i Dizionari DLP da applicare alla regola, fare clic su Avanti (Next). Viene visualizzata la schermata Seleziona azione (Select Action).

  8. Nella schermata Seleziona azione (Select Action) l'utente può decidere quale azione eseguire quando vengono soddisfatti i criteri definiti. L'azione può essere impostata su Blocca (Block), Registra (Log) o Ignora ispezione (Skip Inspection). Le impostazioni predefinite per Seleziona azione (Select Action) sono Blocca (Block), non vengono inviate E-mail di controllo (Audit Email) e HTTP e HTTPS attivati come Protocolli da ispezionare (Protocols to Inspect).
    Schermata predefinita per Select action (Seleziona azione) quando vengono soddisfatti i criteri della regola. La schermata mostra le opzioni dell'azione: Blocca (Block), Registra (Log) o Ignora ispezione (Skip Inspection).

    Se gli utenti impostano Invia e-mail di controllo (Send Audit Email) su Sì (Yes), dovranno selezionare anche uno o più Profilo/i revisore (Auditor Profile(s)) che riceveranno l'e-mail di controllo. In questo caso, l'utente sceglie il profilo revisore configurato in precedenza nella sezione Revisori (Auditors).

    Schermata che mostra l'utente che attiva o disattiva l'opzione Invia e-mail di controllo (Send Audit Email) e configura un Profilo revisore (Auditor Profile).

    Dopo aver configurato l'azione da eseguire per la regola, fare clic su Avanti (Next).

  9. Nella schermata Immettere nome/tag/descrizione (Enter Name /Tags / Description) l'utente deve configurare un Nome (Name) univoco per la regola DLP. L'utente può inoltre configurare Tag (Tags), Notifica (Notification) e Motivo (Reason) per la regola.
    Configurazione di un nome e una descrizione per la regola DLP.
  10. Fare clic su Fine (Finish). Viene creata una regola DLP che viene elencata nella sezione delle regole DLP per il Criterio di protezione (Security Policy).
  11. Fare clic su Pubblica (Publish) per rendere effettiva la Regola DLP (DLP Rule) in questo Criterio di protezione (Security Policy).
    Nota: L'applicazione della regola DLP richiede circa cinque minuti dal momento in cui gli utenti la pubblicano. Dopo aver pubblicato il criterio di protezione, gli utenti possono Applicare il criterio di protezione.
    Confermare che la regola DLP viene compilata nella schermata della regola DLP principale e quindi fare clic su Pubblica (Publish) per rendere effettiva la regola.

    Dopo la pubblicazione, una regola DLP può essere modificata e ripubblicata secondo necessità nello stesso modo in cui è stata creata per la prima volta.

Per ulteriori informazioni sulle impostazioni aziendali di DLP, vedere Prevenzione della perdita dati.