詳述如何為選取的安全性原則設定資料遺失防護 (DLP) 規則。
開始之前
若要設定安全性原則,使用者必須先建立安全性原則。如需如何建立安全性原則的特定指示,請參閱建立安全性原則。
組態步驟
- 導覽至 。
- 選取一個安全性原則以設定 DLP 規則,然後按一下 DLP 索引標籤。
- 在安全性原則 (Security Policies) 畫面的 DLP 索引標籤中,按一下 + 新增規則 (+ ADD RULE)。
將顯示選取來源 (Select Source) 畫面。
- 在選取來源 (Select Source ) 畫面中,選取所有使用者群組 (All Users Groups) 核取方塊,以將規則套用至所有使用者和群組,或是取消勾選該核取方塊以指定使用者和群組。依預設,對於 [來源 (Source)] 會選取所有使用者群組 (All Users Groups)。
![要設定的第一個選項是 [來源 (Source)],依預設,會設定為 [所有使用者群組 (All User Groups)]。](images/GUID-C8443C6A-4B30-4495-AD98-4F3E02530387-low.jpg)
備註: 如果客戶沒有為 Cloud Web Security 設定 Workspace ONE 或 Azure Active Directory (AD) 等之類的身分識別提供者 (IdP),則 所有使用者群組 (All Users Groups) 是唯一選項。備註: 必須為 Cloud Web Security 設定身分識別提供者 (IdP)(例如 Workspace ONE 或 Azure Active Directory (AD)),特定使用者和群組才能起作用。按下一步 (Next),這時會顯示選取內容類型 (Select Content Type) 畫面。
- 在選取內容類型 (Select Content Type) 畫面中,使用者可以設定 DLP 檢查功能要觸發的內容類型。可以為內容類型設定下列三個參數:
![[選取內容類型 (Select Content Type)] 的預設畫面,其中顯示 [檢查文字輸入 (Inspect Text Input)]、[檔案上傳檢查 (File Upload Inspection)],以及 [檔案大小上限 (Maximum File Size)] 和 [選取檔案類型 (Select File Types)]。](images/GUID-CF79E503-E601-4147-A8C7-2A1C9FEEF053-low.jpg)
- 選擇 DLP 規則是否應檢查文字輸入 (Inspect Text Input)。此選項的預設值為關閉 (Off)。如果切換到開啟 (On),當要求網路提交時,將對使用者文字輸入進行 DLP 檢查。
備註: 例如,文字輸入可以是表單張貼或文字訊息。文字輸入不同於文字檔,後者是附加到上傳內容的實際 .txt。
- 在檔案大小上限 (Maximum File Size) 中,允許使用者定義要檢查的檔案大小上限,以選擇是否檢查檔案上傳內容。此選項的預設設定為 50 兆位元組 (MB),使用者可以依數值和儲存單位來設定 [檔案大小上限 (Maximum File Size)] 值:位元組 (B)、千位元組 (KB)、兆位元組 (MB) 或十億位元組 (GB)。如果上傳的檔大小大於設定的檔案大小上限 (Maximum File Size) 值,則 DLP 不會檢查檔案,且會允許通過檢查。
備註: 可以在 Orchestrator 上將 檔案大小上限 (Maximum File Size) 數值設定為 1 到 1000 之間的數字。對這個欄位來說,數字 0 無效。重要: 雖然可以設定非常小和非常大的值,但 DLP 的檔案大小上限為 5 GB。即使使用者設定更大的值,該值若是超過 5 GB 則不會被接受。DLP 還具有支援的內容大小下限,如下所示:
表 1. 支援的內容大小下限 使用者輸入 檔案輸入 1024 位元組 5120 位元組 - 在選取檔案類型 (Select File Types) 中,使用者可以選擇要檢查的特定檔案類型。預設設定是檢查所有支援的類型 (All Supported Types),總共 36 種檔案類型。如果使用者關閉所有支援的檔案類型 (All Supported File Types),將會看到完整的功能表,其中包含依 11 種類別排序的所有 36 種檔案類型:
- 封存檔和壓縮套件 (9) (Archives and Compressed Packages (9)):7-Zip、ARJ、BZIP、CAB、GZIP、LZH、RAR、TAR、ZIP
- 行事曆 (1) (Calendar (1)):ICS 會議邀請
- 工程應用程式 (2) (Engineering Applications (2)):AutoCAD、Visio
- 多媒體 (2) (Multimedia (2)):音訊檔案、視訊檔案
- 其他文件 (1) (Miscellaneous Documents (1)):RTF
- 其他檔案和文件 (1) (Other Files and Documents (1)):其他未知類型的檔案和文件
- 簡報工具 (2) (Presentation Tools (2)):OpenOffice Presentation、PowerPoint
- 生產力 (2) (Productivity (2)):Microsoft One Note、Microsoft Project
- 指令碼和可執行檔 (6) (Scripts and Executables (6)):Android 可執行檔、JAR、Linux 可執行檔、Mac 可執行檔、文字型指令碼檔案
- 試算表 (3) (Spreadsheets (3)):CSV、Excel、OpenOffice Spreadsheet
- 文書處理器 (7) (Word Processors (7)):Hangul、Ichitaro、OpenOffice Text、PDF、Word、Word Perfect、XPS
使用者可以在一個檔案類別中,選取數種或所有的 檔案類型 (File Types)。如果選取的 檔案類型 (File Types) 數量少於該類別所有可用的 檔案類型 (File Types),則檔案類別名稱將顯示為藍色,並顯示已從可用的檔案類型總數中選取了多少種 檔案類型 (File Types)。![針對某種類別選取了其中一些 (而非全部) 的檔案類型,來設定 [檔案類型 (File Types)]。在本例中,僅選取了一些封存檔和壓縮套件。](images/GUID-EBA1F48B-E258-4B9E-88DF-6B5ACE2F6AAA-low.jpg)
如果使用者希望針對該類別選取所有檔案類型 (File Types),則可以按一下頂端的選擇方塊,這會選取所有的檔案類型 (File Types)。在完成後,類別標頭將變為綠色,並顯示已為該類別選取了所有的檔案類型 (File Types)。
![針對該類別選取了所有的檔案類型,來設定 [檔案類型 (File Types)]。在本例中,選取了所有的封存檔和壓縮套件。](images/GUID-6555ED70-EF7E-458C-B4C2-B0B6AB58C17F-low.jpg)
為規則選取 DLP 內容類型設定後,按下一步 (Next)。會顯示選取目的地 (Select Destinations) 畫面。
- 選擇 DLP 規則是否應檢查文字輸入 (Inspect Text Input)。此選項的預設值為關閉 (Off)。如果切換到開啟 (On),當要求網路提交時,將對使用者文字輸入進行 DLP 檢查。
- 在選取目的地 (Select Destinations) 畫面中,使用者可以指定應進行 DLP 檢查的網域和/或類別。預設設定是所有網域和類別 (All Domains and Categories),這表示 DLP 會檢查所有網域 (Domains) 和所有 84 種類別 (Categories)。
![[選取網域 (Select Domain)] 的預設設定。](images/GUID-53ADD69C-EC57-4D60-B753-39BF45B8D078-low.jpg)
如果使用者取消勾選所有網域和類別 (All Domains and Categories) 核取方塊,則使用者需要設定自訂的網域 (Domains) 和/或類別 (Categories)。
對於 網域 (Domains) 欄位,使用者可以指定將觸發稽核員警示的完整網域名稱 (FQDN)、IP 位址或 IP 範圍。使用者可以輸入 FQDN、IP 位址和 IP 範圍的組合。
在類別 (Categories) 欄位中,使用者可以從最多 84 個不同的類別中選擇,檔案可以與這些類別相符,並且需要進行 DLP 檢查。使用者也可以按一下左上角的核取方塊,一次選取所有類別。
![在 [類別 (Categories)] 區段中選擇特定的類別。](images/GUID-3A1DFE0D-7514-4840-B581-213BC1A31D6C-low.jpg)
為規則選取 DLP 目的地後,按下一步 (Next)。會顯示選取字典 (Select Dictionaries) 畫面。
- 在選取字典 (Select Dictionaries) 區段中,使用者必須至少選取一或多個字典,以與規則相關聯。字典可以是自訂字典、預先定義字典,或是自訂和預先定義字典的組合。會評估所有選取的字典,並根據個別字典中指定的準則來採取動作。
![[選取字典 (Select Dictionaries)] 畫面,其中提供數個顯示組態選項的說明。](images/GUID-A2462BAA-D4F0-444D-950C-A9B08880D517-low.jpg)
由於除了使用者可能建立的自訂字典以外,還有超過 340 個預先定義的字典可供選擇,使用者應使用位於每個資料行頂端的一或多個篩選器,以縮小其字典選項範圍。在此範例中,使用者篩選符合類別詞彙「HIPAA」的字典,以連結到他們已建立的自訂字典。
在選取要套用至規則的 DLP 字典後,按下一步 (Next)。會顯示選取動作 (Select Action) 畫面。
- 在選取動作 (Select Action) 畫面中,使用者可以決定一旦符合所定義的準則時,所要採取的動作。可以將動作設定為封鎖 (Block)、記錄 (Log) 或略過檢查 (Skip Inspection)。選取動作 (Select Action) 的預設設定是封鎖 (Block),不傳送任何稽核電子郵件 (Audit Email),並開啟 HTTP 和 HTTPS,以作為要檢查的通訊協定 (Protocols to Inspect)。
![符合規則準則時的 [選取動作 (Select Action)] 預設畫面。此畫面顯示 [動作 (Action)] 的選項有 [封鎖 (Block)]、[記錄 (Log)] 或 [略過檢查 (Skip Inspection)]。](images/GUID-55AA0CE6-9456-4746-B715-C3C7BF500076-low.jpg)
如果使用者將傳送稽核電子郵件 (Send Audit Email) 切換到是 (Yes),使用者還需要選取將收到稽核電子郵件的稽核員設定檔 (Auditor Profile(s))。在本例中,使用者選擇先前在稽核員 (Auditors) 區段中所設定的稽核員設定檔。
![畫面顯示使用者切換 [傳送稽核電子郵件 (Send Audit Email)] 選項,並設定稽核員設定檔。](images/GUID-F7B0CA84-0B57-48AD-B2B6-5725AE9BA839-low.jpg)
為規則設定了要採取的動作後,按下一步 (Next)。
- 在輸入名稱/標籤/說明 (Enter Name/Tags/Description) 畫面中,使用者必須為 DLP 規則設定唯一的名稱 (Name)。使用者還可以為規則設定標籤 (Tags)、通知 (Notification) 和原因 (Reason)。
- 按一下完成 (Finish)。此時會建立 DLP 規則,並在安全性原則的 DLP 規則區段中列出。
- 按一下發佈 (Publish),使 DLP 規則在該安全性原則中生效。
備註: 從使用者發佈時算起,DLP 規則大約需要 5 分鐘才能生效。在發佈安全性原則後,使用者可以 套用安全性原則。
![確認主要 DLP 規則畫面上已填入 DLP 規則,然後按一下 [發佈 (Publish)],使該規則生效。](images/GUID-EF9AFBAB-F8FC-4AB3-954C-69EAEDDCB9AC-low.jpg)
在發佈後,可以視需要採用與第一次建立 DLP 規則時的相同方式,來編輯規則並重新發佈。
如需 DLP 企業設定的詳細資訊,請參閱資料遺失防護。
