支持此功能的版本:“Frontline Standard”和“Frontline Plus”;企业标准版和企业 Plus 版;教育基础版、教育标准版和教育 Plus 版;Enterprise Essentials Plus。 比较您的版本
Cloud Identity 专业版用户只要拥有 Google Workspace 许可(企业版、商务版或教育版),即可使用云端硬盘数据泄露防护和 Chat 数据泄露防护功能。
借助云端硬盘数据泄露防护功能 (DLP),您可以结合使用触发器和条件,创建复杂的规则。您还可以指定一个操作,在用户的内容被屏蔽时向其发送邮件。
创建云端硬盘数据泄露防护规则和自定义内容检测器
第 1 步:设计规则
确定规则条件数据泄露防护规则条件决定了规则将检测的敏感内容类型。如需查看基本示例,请参阅下文中的数据泄露防护规则示例。规则可能只需要一个条件,也可以使用“与”“或”或“非”运算符组合多个条件。请参阅云端硬盘数据泄露防护规则示例:使用运算符嵌套条件,查看嵌套条件的示例。
- 如需检测驾照号码或纳税人识别号码等标准个人信息,您的规则可以使用预定义的内容检测器。如需查看完整的可用检测器列表,请参阅如何使用预定义的内容检测器。
- 规则条件也可以使用您创建的自定义内容检测器,例如包含字词表或正则表达式的内容检测器。如需了解相关说明,请参阅第 2 步:创建自定义检测器。
如要了解如何改进规则测试,包括设置规则测试环境,请参阅加快规则测试的最佳做法。
您可以创建仅记入审核日志的规则来测试您在数据泄露防护功能中创建的规则,以便测试 Google 云端硬盘相关规则可能造成的影响。仅记入审核日志的规则与所有规则一样都可以被触发,但不同的是,这类规则被触发后,系统不会执行任何操作,但会将结果写入规则审核日志和调查工具。
如要了解如何改进规则测试,包括设置规则测试环境,请参阅加快规则测试的最佳做法。
如要创建和使用仅记入审核日志的规则,请执行以下操作:
- 按照第 3 步:创建规则中的步骤创建规则。
- 在创建规则时,不要在“操作”部分选择任何操作。操作选项不是必选项。相应规则被触发时,没有关联的操作,且所有事件都会记录在规则审核日志中。在这种情况下,该规则会在“操作”部分显示“仅记入审核日志”标记。
- 继续创建该规则并完成规则配置。确保该规则处于“有效”状态。
- 自行测试相应功能,或者等待您网域中的用户自然而然地共享可能受该规则影响的数据。
- 查看规则审核日志。前往规则审核日志或调查工具了解详情。当您使用仅记入审核日志的规则时,审核日志会列出没有触发操作的规则。
-
如果您确定已完全按照需求配置了规则,则可以更改规则以添加操作(如第 3 步:创建规则所述)。
推荐规则是系统根据数据保护洞察报告的结果向您推荐的数据泄露防护规则。例如,如果报告显示贵组织共享的数据类型中有护照号码,那么数据泄露防护功能就会推荐用于防止共享护照号码的规则。
必须启用数据保护洞察报告,才能收到推荐规则。有关详情,请参阅利用数据保护推荐规则防范数据泄露。
-
动态群组:当用户加入组织、在组织中调动或离开组织时,系统会自动管理用户的成员资格。动态群组可通过管理控制台或 Cloud Identity API 创建和管理,可助您减少手动管理群组成员资格所耗费的时间。如需为数据泄露防护规则使用动态群组,请确保该群组同时也是安全群组(具有安全标签)。详细了解动态群组。
-
安全群组:您可以将标准群组或动态群组转换为安全群组,以便管理、审核和监控群组权限以及控制群组的访问权限。您可以通过管理控制台或 Cloud Identity Groups API 创建安全群组,只需为相应群组添加安全标签即可。详细了解安全群组。
-
迁移的群组:使用 Google Cloud Directory Sync (GCDS) 将您在 Microsoft Active Directory 或其他工具中创建的群组与 Google Workspace 同步。然后,您就可以在数据泄露防护规则中使用这些已同步的群组。详细了解 GCDS。
第 2 步:创建自定义检测器(可选)
根据需要创建自定义检测器如果您需要在规则条件中使用自定义检测器,可以根据以下通用说明创建。
创建数据泄露防护检测器以与规则搭配使用
在开始前,请先使用超级用户账号或者拥有以下权限的委派管理员账号登录:
- “组织部门管理员”权限。
- “群组管理员”权限。
- 查看数据泄露防护规则和管理数据泄露防护规则的权限。请注意,您必须同时启用“查看”和“管理”权限,才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
- 查看元数据和属性的权限(仅使用调查工具时需要):安全中心
调查工具
详细了解管理员权限和如何创建自定义管理员角色。
第 3 步:创建规则
以下是创建规则的通用说明。
创建数据泄露防护规则在开始前,请先使用超级用户账号或者拥有以下权限的委派管理员账号登录:
- “组织部门管理员”权限。
- “群组管理员”权限。
- 查看数据泄露防护规则和管理数据泄露防护规则的权限。请注意,您必须同时启用“查看”和“管理”权限,才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
如需了解仅在使用调查工具时需要的权限,请参阅使用安全调查工具所需的管理员权限。
详细了解管理员权限和如何创建自定义管理员角色。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 点击管理规则。然后,点击添加规则
- 为规则添加名称和说明。
- 在范围部分,选择 <域名>domain.name 中的所有用户,或选择将此规则仅应用于所选组织部门或群组中的用户。如果组织部门和群组在包含或排除设置上存在冲突,以群组的设置为准。
注意:如果您想将规则应用于动态群组,该群组还必须具有安全标签。如需了解详情,请参阅我可以为规则范围选择哪些类型的群组?。
- 点击继续。
- 在应用部分,选择云端硬盘文件。
- 点击继续。
- 在条件部分,点击添加条件。
- 选择要扫描的内容类型:
- 所有内容:文档的所有内容,包括文档标题、正文和任何修改建议
- 正文:文档正文
- 云端硬盘标签:应用于文档的任何标签。如需了解详情,请参阅云端硬盘标签管理员使用入门。
- 修改建议:在“建议”模式下添加到文档的内容
- 标题:文档标题
- 选择要扫描的内容,然后填写下表中所列的扫描类型所需的属性。
请注意,要扫描的内容选项因您在上一步中选择的要扫描的内容类型而异。例如,如果您选择“标题”作为要扫描的内容类型,那么要扫描的内容选项将包含结尾为和开头为。
要扫描的内容 属性 与预定义的数据类型匹配 数据类型 - 选择一个预定义的数据类型。如需详细了解预定义的数据类型,请点击此处。 可能性阈值 - 选择可能性阈值。可用的阈值如下:
- 非常低
- 低
- 中
- 高
- 很高
这些阈值反映了数据泄露防护系统对匹配结果的置信度。一般来说,阈值设为“很高”时会匹配较少的内容,并且会更精确。阈值设为“非常低”时涵盖的范围更广,应该会匹配更多文件,但精确度较低。
不重复匹配数量下限 - 要触发相应操作,非重复匹配结果必须在文档中出现的最少次数。
最低相符项目数 - 要触发相应操作,匹配结果必须在文档中出现的最少次数。
最低相符项目数和不重复匹配数量下限的工作原理是什么?例如,假设存在两个社会保障号列表:第一个列表包含 50 个完全相同的数字副本,而第二个列表包含 50 个不同的号码。
在这种情况下,如果最低相符项目数的值等于 10,则两个列表的匹配结果都会触发操作,因为两个列表中都至少有 10 个匹配项。
或者,如果不重复匹配数量下限的值等于 10,并且最低相符项目数的值等于 1,则只有第二个列表中的结果会触发操作,因为其中包含了 10 个互不相同的匹配项。
包含文本字符串 输入要匹配的内容 - 输入子字符串、数字或要搜索的其他字符。请指定内容是否区分大小写。以子字符串为例,我们假设规则中包含有单词“key”,那么当文档中也包含单词“key”时,即视为匹配项。 包含字词 输入要匹配的内容 - 输入要搜索的字词、数字或其他字符。
仅当您选择 Gmail 作为应用时才可用。
与正则表达式匹配 正则表达式名称 - 正则表达式自定义检测器。 正则表达式被检测到的最少次数 - 要触发操作,正则表达式表示的模式在文档中出现的最少次数。
与字词表中的字词匹配 字词表名称 - 选择一个自定义的字词表。 匹配模式 - 选择匹配任意字词或匹配所要求最低数量的不重复字词。
任意字词被检测到的最少总次数 - 要触发操作,某个字词要被检测到的最少次数。
检测到的不重复字词的最少数目 - 要触发操作,必须检测到的不重复字词的最少数目(仅适用于匹配所要求最低数量的不重复字词选项)。
结尾为 输入要匹配的内容 - 输入要搜索的字词、数字或其他字符。请指定内容是否区分大小写。 开头为 输入要匹配的内容 - 输入要搜索的字词、数字或其他字符。请指定内容是否区分大小写。 为(仅限云端硬盘标签内容类型) 云端硬盘标签 - 从下拉列表中选择可用的云端硬盘标签。
标签字段 - 为所选云端硬盘标签选择一个可用的标签字段。
字段选项 - 为所选字段选择一个可用的字段选项。您可以搭配使用“与”“或”或“非”运算符和多个条件。请参阅云端硬盘数据泄露防护规则示例 - 使用运算符嵌套条件,详细了解如何搭配使用“与”“或”或“非”运算符和多个条件。
注意:如果您创建的数据泄露防护规则没有条件,则该规则将会对所有云端硬盘文件执行指定的操作。
- 点击继续。
- 在操作部分,您可以视情况选择在扫描过程中检测到敏感数据时执行的操作:
要先测试规则,然后再向其添加操作?
您可以创建仅记入审核日志的规则,来测试仅记入审核日志但不包含操作的规则。并非必须选择操作。如需了解详情,请参阅使用仅记入审核日志的规则来测试执行相关规则的后果(可选操作,但建议执行)了解详情。- 禁止与外部共享 - 禁止共享相应文档。
- 与外部共享时发出警告 - 如果用户尝试共享该文件,系统会向其发出警告,告知其文件包含敏感内容。他们可以取消共享或选择“仍然共享”。
注意:如果您为此操作启用提醒,则系统会在检测到敏感内容时触发提醒,无论当时是否在共享文件。检测通常在文件创建或更新后,或应用于文件的规则发生变化(例如创建或更新了规则)后进行。当系统升级提高检测能力时,也会进行检测。检测事件会记录在规则日志中。
- 禁止评论者和查看者下载、打印和复制 - 除非用户拥有“编辑者”权限或更高的权限,否则禁止其下载、打印和复制。此功能属于数据泄露防护信息权限管理 (IRM),且将云端硬盘共享设置用作政策,因此用户无法在所有平台下载、打印或复制 Google 云端硬盘文档、表格或幻灯片。如需了解详情,请参阅 IRM 常见问题解答。
- 应用云端硬盘标签 - 将现有的云端硬盘标签应用到匹配的文件。请按以下步骤进行配置:
- 从云端硬盘标签下拉列表中选择一个可用的标签,然后为该标签选择一个可用的字段和字段选项。仅支持字段类型为选项列表的带标记标签和标准标签。如需了解详情,请参阅云端硬盘标签管理员使用入门。
- (可选)点击添加标签可添加其他标签。
- 选择是否允许用户更改其文件所应用的标签和字段值。
- 在提醒部分,选择一个严重程度(低、中、高)。严重程度级别会影响一段时间内,事件在数据泄露防护事件信息中心(严重程度为“高”“中等”或“低”的事件数量)的绘制方式。
- (可选)勾选发送至提醒中心以触发通知。仅 Google 云端硬盘支持提醒功能。有关详情,请参阅查看具体提醒的详细信息。
勾选相应复选框以提醒所有超级用户,或添加其他收件人的电子邮件地址。您只能添加归相应用户所有的收件人地址。外部收件人会被忽略。收件人可以是用户或群组。注意,您必须设置所选群组的访问权限,以便这些群组接收发送给他们的电子邮件。请转到设置提醒中心电子邮件通知,详细了解如何为群组设置电子邮件通知的访问权限。
提醒会显示在提醒中心。请注意,触发提醒和记录提醒之间存在时间延迟。提醒中心显示提醒之后,规则审核日志和数据泄露防护安全信息中心可能需要一段时间才会更新。您可能会收到提醒并可查看提醒摘要,但信息中心内的事件数量或调查工具中的审核日志需要一段时间才会更新。每条规则每天最多可以生成 50 条提醒。到达此上限后不会再发送提醒。
- 点击继续并查看规则详情。
- 在“规则状态”中,为规则选择初始状态:
- 活跃 - 您的规则会立即生效。
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以转到安全性
- 点击创建。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
第 4 步:向用户介绍新规则
让用户建立对新规则的正确期望用户需要预先了解新规则的运作模式和影响。例如,您可能选择禁止与外部共享包含敏感数据的内容。在这种情况下,请告诉用户他们有时可能无法共享文档,以及无法共享的原因。
DLP 规则示例
使用预定义敏感类别、自定义检测器和规则模板的示例。
示例 1:使用预定义敏感类别来保护社会保障号此示例展示了如何使用预定义的敏感类别来禁止特定单位和群组的用户共享敏感数据。您可以使用预定义的敏感类别来指定经常输入的数据。在此示例中,该数据为社会保障号。
在开始之前,请确保您已登录超级用户账号或拥有上文创建数据泄露防护规则中所列权限的委派管理员的账号。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 点击管理规则。然后,点击添加规则
- 添加规则的名称和说明。
- 在“范围”部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。domain.name如果组织部门和群组在包含或排除设置上存在冲突,以群组的设置为准。
- 点击继续。
- 在“条件”部分,点击添加条件并选择以下值:
- 字段 - 所有内容。
- 值 - 与默认检测器匹配。
- 默认检测器 -“United States - Social Security Number”(美国 - 社会保障号)。
- 可能性阈值 - 极有可能。这个额外措施可用于决定邮件是否触发操作。
- 不重复匹配数量下限 - 1。要触发相应操作,非重复匹配结果必须在文档中出现的最少次数。
- 最低相符项目数 - 1。要触发相应操作,指定内容必须在邮件中出现的最少次数。例如,如果您选择 2,那么邮件中必须出现至少 2 次社会保障号才会触发相应操作。
- 点击继续。在“Google 云端硬盘”下方,选择禁止与外部共享。
- 在“严重性和提醒”下方,选择严重程度高。启用提醒并输入收件人。
触发提醒和记录提醒之间可能存在时间延迟。针对每条规则,管理员每天最多可以接收 50 条提醒。到达此上限后不会再收到。
- 点击继续以查看规则详情。
- 点击创建,然后选择:
- 活跃 - 您的规则会立即生效
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以转到安全性
- 点击完成。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
此示例展示了如何设置自定义检测器。您可以在自定义检测器中列出要检测的字词。在规则中使用触发器设置,禁止用户与外部收件人共享包含敏感数据的文档,例如内部项目名称。
在开始之前,请确保您已登录超级用户账号或拥有上文创建数据泄露防护规则中所列权限的委派管理员的账号。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 点击管理检测器。然后,点击添加检测器
- 为检测器输入名称和说明。
- 输入要检测的字词(使用英文逗号分隔)。在自定义字词表中:
- 不区分大小写。例如,BAD 与 bad、Bad 以及 BAD 都匹配。
- 只有完整的字词才会匹配。例如,如果您向自定义字词表中添加了“bad”,则系统不会匹配“badminton”。
- 点击创建。
- 点击管理规则。然后,点击添加规则
- 在“规则名称”部分,输入规则的名称。您也可以添加规则的说明。
- 在“范围”部分,搜索并选择要应用规则的组织部门或群组。
- 点击继续。
- 在“条件”部分,点击添加条件并选择以下值:
- 字段 - 所有内容
- 值 - 与字词表检测器匹配
- 字词表 - 滚动查找您在上文创建的检测器。
- 匹配模式 - 选择匹配模式:
- 匹配任何字词 - 与预定义字词表中的任意字词匹配
- 匹配所要求最低数量的不重复字词 - 指定检测到的不同字词的最低数目,以及自定义字词表中任意字词被检测到的最少总次数。
- 任意字词被检测到的最少总次数 - 1。
- 点击继续。在“Google 云端硬盘”下,选择禁止与外部共享操作。
- 在“严重性和提醒”下方,选择严重程度高。启用提醒并指定收件人。请注意,触发提醒和记录提醒之间存在时间延迟。针对每条规则,管理员每天最多可以接收 50 条提醒。到达此上限后不会再收到。
- 点击继续以查看规则详情。
- 点击创建,然后选择:
- 活跃 - 您的规则会立即生效
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以转到安全性
- 点击完成。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
规则模板会提供一组条件,可覆盖大量常见的数据保护情况。请使用规则模板为常见的数据保护情况设置政策。
此示例使用规则模板禁止发送或共享包含美国个人身份信息 (PII) 的云端硬盘文档或电子邮件。
在开始之前,请确保您已登录超级用户账号或拥有上文创建数据泄露防护规则中所列权限的委派管理员的账号。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 点击管理规则。
- 点击添加规则
- 在“模板”页面中,点击 禁止分享 PII 信息(美国)。
- 接受规则的默认名称和说明,或输入新值。
- 在“范围”部分,搜索并选择要应用规则的组织部门和群组。
- 点击继续。规则模板中已预先选择了条件。如果您想了解应用于该规则的具体条件,请查看相应条件。安全性设置为“低”,并且提醒已停用。
- 对于 Google 云端硬盘,系统已选择禁止与外部共享。禁止共享操作可禁止用户与单位以外的用户共享符合条件的文件。
- 点击继续以查看规则详情。
- 点击创建,然后选择:
- 活跃 - 您的规则会立即生效
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以转到安全性
- 点击完成。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
此示例结合使用数据泄露防护规则与情境感知访问权限条件。将数据泄露防护规则与情境条件结合使用时,只有在满足该条件时,系统才会应用该规则。
在此示例中,数据泄露防护规则会阻止具有评论权限或查看权限的 Google 文档用户下载、打印或复制敏感内容。情境条件是指用户通过 iOS 或 Android 设备访问内容。
重要提示:如需将基于设备或设备操作系统的情境条件应用于移动设备,您必须启用基本或高级设备管理功能。
在开始之前,请确保您已登录超级用户账号或拥有上文创建数据泄露防护规则中所列权限的委派管理员的账号。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 点击管理规则。然后,点击添加规则
- 为规则添加名称和说明。
- 在范围部分,搜索并选择要应用规则的组织部门和群组。
- 点击继续。
- 在应用的 Google 云端硬盘下,勾选云端硬盘文件。
- 点击继续。
- 在条件部分,点击添加条件。
- 在要扫描的内容类型部分,选择所有内容。
- 在要扫描的内容部分,选择数据泄露防护扫描类型,然后选择属性。如需详细了解可用属性,请参阅创建数据泄露防护规则。
- 在情境条件部分,点击选择一个访问权限级别,以显示您现有的访问权限级别。
- 点击创建新的访问权限级别。
- 为新的访问权限级别输入名称和说明。
- 在情境条件中,点击添加条件。
- 选择符合所有属性。
- 点击选择属性
- 对于最低版本,请保留默认选项“任何版本”,或选择特定版本。
- 点击添加条件,然后重复第 17-18 步,选择 Android 作为设备操作系统。
- 将使用以下运算符将多个条件组合起来切换开关(位于条件上方)设置为“OR”。这意味着,如果用户使用 iOS 或 Android 设备访问敏感内容,系统将会应用数据泄露防护规则。
- 点击创建。您会返回到创建规则页面。您的新访问权限级别会添加到列表中,并且其属性会显示在右侧。
- 点击继续。
- 在操作页面上,针对 Google 云端硬盘操作,选择禁止评论者和查看者下载、打印和复制。
注意:仅当同时满足内容条件和情境条件时,系统才会应用该操作。
- (可选)选择提醒严重程度级别(低、中或高),以及是否发送提醒和电子邮件提醒通知。
- 点击继续以查看规则详情。
- 为规则选择状态:
- 活跃 - 您的规则会立即生效。
- 未启用 - 您的规则会保存,但尚未生效。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,依次前往“安全性”“访问权限和数据控制”“数据保护”“管理规则”来激活该规则。点击该规则的“未启用”状态,然后选择“活跃”。启用后,系统会立即执行该规则,数据泄露防护功能会扫描敏感内容。
- 点击创建。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情。
如需查看更多示例,请参阅将数据泄露防护规则与情境感知访问权限条件结合使用。
维护数据泄露防护规则和自定义内容检测器
创建数据泄露防护规则或自定义检测器后,您可以查看、修改、启用、停用以及维护它们。
查看现有规则和自定义检测器在开始前,请先使用超级用户账号或者拥有以下权限的委派管理员账号登录:
- “组织部门管理员”权限。
- “群组管理员”权限。
- 查看数据泄露防护规则和管理数据泄露防护规则的权限。请注意,您必须同时启用“查看”和“管理”权限,才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
- 查看元数据和属性的权限(仅使用调查工具时需要):安全中心
详细了解管理员权限和如何创建自定义管理员角色。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 点击管理规则或管理检测器。“规则”页面位于安全性 > 数据保护 > 规则下。“检测器”页面位于安全性 > 数据保护 > 检测器下。
为规则排序
您可以根据名称或上次修改时间列对规则进行升序或降序排列。
- 在“规则”页面上,点击名称或最后修改时间的列名称。
- 点击向上或向下箭头即可对列进行排序。
启用或停用规则
如果您启用规则,DLP 就会扫描使用该规则的文档。
- 在“规则”页面的“状态”列下,选择活跃或未启用。
- 确认您要启用或停用该规则。
删除规则
规则一旦删除,就无法恢复。
- 在规则页面上,将光标指向某一行,系统会在行末显示垃圾桶图标
。
- 点击垃圾桶图标
- 确认您要删除该规则。
导出规则
您可以将规则导出为 .txt 文件。
- 在“规则”页面上,点击导出规则。
- 规则列表会下载到文本文件中。点击左下角的 .txt 文件,查看已下载的规则。
修改规则详细信息
当您修改规则时,会触发系统重新扫描受该规则影响的文档。
- 在规则列表中,点击要修改的规则。
- 点击修改规则。
- 根据需要修改规则。此流程与创建规则相同。
- 修改完成后,点击更新并选择:
- 活跃 - 您的规则会立即生效
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以转到安全性
- 点击完成。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
使用安全调查工具调查规则
支持此功能的版本:“Frontline Standard”和“Frontline Plus”;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;Enterprise Essentials Plus。 比较您的版本
数据泄露防护功能会使用安全调查工具来显示触发规则的频率。该工具会列出相应规则对应的搜索结果,并显示每个事件的触发操作。
要使用调查工具,您必须拥有“查看元数据和属性”权限(位于安全中心 调查工具
规则
查看元数据和属性)。
要调查某条规则,请执行以下操作:
- 在规则列表中,点击要调查的规则。
- 点击调查规则。
- 您会看到该规则的搜索结果。请注意,触发规则和更新审核日志之间存在时间延迟。有关详情,请转至调查工具。
提示:您可以通过调查工具启用或停用规则。在结果表格中,将光标指向列标题“规则 ID”。点击并选择操作 启用规则或操作
停用规则。
提示:要查看所有数据泄露防护规则的结果,请点击 X 以删除特定的规则搜索条件,然后点击搜索。
过滤自定义检测器
您可以按检测器名称和类型过滤自定义检测器列表。
- 在自定义检测器页面上,点击添加过滤条件。
- 按检测器名称或类型过滤:
- 检测器名称 - 输入要搜索的字符串
- 检测器类型 - 选择检测器类型
- 点击应用。过滤器会一直应用,直到您将其关闭。
导出检测器
您可以将检测器导出为 .txt 文件。
- 在检测器页面上,点击导出检测器。
- 检测器列表会下载到文本文件中。点击左下角的 .txt 文件,查看已下载的检测器。
修改自定义字词表检测器
当您修改规则使用的自定义检测器时,会触发系统重新扫描受包含所修改的检测器的规则影响的文档。
要修改自定义检测器名称和说明,请执行以下操作:
- 点击列表中的自定义字词表检测器。
- 点击修改信息。
- 修改标题和说明。
- 点击保存。
要将字词添加到列表中,请执行以下操作:
- 点击列表中的自定义字词表检测器。
- 点击添加字词。
- 向字词表中添加字词。
- 点击保存。
要修改列表中的字词,请执行以下操作:
- 点击列表中的自定义字词表检测器。
- 点击修改字词。
- 修改列表中的字词。
- 点击保存。
修改自定义正则表达式检测器
当您修改规则使用的自定义检测器时,会触发系统重新扫描受包含所修改的检测器的规则影响的文档。
要修改自定义正则表达式的名称、说明或正则表达式,请执行以下操作:
- 在自定义检测器页面上,点击相应自定义正则表达式检测器。
- 在弹出式窗口中,修改标题、说明或正则表达式。
- 如果您修改了正则表达式,请点击测试表达式。输入要验证的测试数据。
- 点击保存。
删除自定义检测器
检测器一旦删除,就无法恢复。
- 在自定义检测器页面上,将光标指向某一行,系统会在行末显示垃圾桶图标
- 点击垃圾桶图标
- 确认您要删除该检测器。
