Saat karyawan mengirim file ke luar organisasi Anda, SASE memeriksa setiap transfer berdasarkan aturan deteksi klasifikasi dan kategorisasi yang telah Anda tetapkan. File yang sesuai dengan suatu aturan akan memicu aksi penegakan yang ditentukan dalam kebijakan outbound Anda. Topik ini menjelaskan cara menentukan aturan tersebut.
Prasyarat
Sebelum memulai, pastikan Anda telah:
Membeli Edisi Office Data Protection dari SASE untuk keamanan akses Internet. Untuk informasi lebih lanjut, lihat Ikhtisar penagihan dan Memulai.
Menginstal aplikasi SASE versi 4.3.1 atau yang lebih baru di endpoint perusahaan Anda.
Metode konfigurasi
SASE menyediakan tiga cara untuk mengonfigurasi aturan deteksi file outbound. Pilih metode yang sesuai dengan situasi Anda:
| Metode | Kapan digunakan |
|---|---|
| Built-in rules | Mulai dari sini. SASE menyertakan aturan deteksi untuk jenis file umum. Pilih aturan tersebut saat membuat kebijakan outbound—tidak diperlukan pengaturan tambahan. |
| Custom rules | Gunakan jika built-in rules tidak mencakup kebutuhan Anda. Tentukan kondisi pada beberapa dimensi: konten file, nama file, ekstensi file, dan sumber data. |
| AI Recommendation library | Gunakan setelah Anda menyelesaikan pemetaan aset. Model besar belajar dari file Anda dan menghasilkan aturan deteksi secara otomatis. |
Untuk menggunakan aturan deteksi dari AI Recommendation library, selesaikan terlebih dahulu pemetaan aset. Model besar kemudian belajar dari file Anda untuk menghasilkan aturan deteksi yang sesuai secara cerdas. Untuk informasi lebih lanjut, lihat Buat tugas pemetaan aset.
Konfigurasikan custom rules
Custom rules dibuat dalam dua tahap:
Buat elemen data — Tentukan komponen dasar deteksi: pustaka kata sensitif (kamus dan ekspresi reguler), ekstensi file, dan sumber data.
Buat aturan deteksi — Gabungkan elemen-elemen tersebut menjadi satu aturan dengan kondisi dan tingkat sensitivitas. SASE mengevaluasi aturan ini terhadap setiap file outbound.
Langkah 1: Buat elemen data
Elemen data merupakan blok penyusun aturan deteksi kustom. SASE mengelompokkannya dalam empat tab di bawah Data Protection > Data Classification > Data Elements.
Login ke Secure Access Service Edge console.
Di panel navigasi kiri, pilih Data Protection > Data Classification.
Di halaman Data Classification, klik tab Data Elements.
Konfigurasikan setiap tab sesuai kebutuhan:
Dictionaries and regular expressions
Buat pustaka kata sensitif yang dicocokkan SASE terhadap nama file dan konten file.
Untuk membuat pustaka kata sensitif:
Klik Create Sensitive Word Library.
Di panel Create Sensitive Word Library, atur parameter berikut lalu klik OK.
Dictionary: Masukkan kata atau frasa yang ingin dideteksi. Tambahkan beberapa entri sekaligus dengan memisahkannya menggunakan koma (,) lalu tekan Enter.
Regular Expression: Masukkan ekspresi reguler kustom. Misalnya,
([A-Za-z0-9]+)mencocokkan satu atau lebih huruf kapital/kecil atau angka. Setelah memasukkan ekspresi, klik Test Regular Expression dan masukkan string uji untuk memvalidasinya.
Parameter Deskripsi Name Nama untuk pustaka kata sensitif Type Pilih Dictionary atau Regular Expression
Operasi lainnya:
Filter pustaka berdasarkan tipe atau sumber data.
Untuk menghapus pustaka, klik Delete di kolom Actions.
Pustaka yang terkait dengan aturan deteksi tidak dapat dihapus. Hapus terlebih dahulu asosiasinya dari aturan tersebut.
Data types
SASE menyediakan klasifikasi algoritma bawaan. Saat mengonfigurasi aturan deteksi, pilih klasifikasi algoritma yang sesuai. SASE menggunakannya bersama tipe file untuk mendeteksi konten file.
Untuk melihat aturan deteksi mana saja yang menggunakan klasifikasi algoritma tertentu, periksa kolom Associated Rules.
Data levels
SASE menyediakan kategorisasi algoritma bawaan. Saat mengonfigurasi aturan deteksi, pilih kategorisasi algoritma yang sesuai. SASE menggunakannya bersama definisi umum sensitivitas data dan jumlah data sensitif untuk mendeteksi konten file.
Untuk melihat aturan deteksi mana saja yang menggunakan kategorisasi algoritma tertentu, periksa kolom Associated Rules.
File name extensions
SASE menyertakan ekstensi file bawaan. Tambahkan ekstensi kustom untuk mendeteksi file berdasarkan ekstensinya.
Untuk menambahkan ekstensi file:
Klik Add File Extension.
Di panel Add File Extension, masukkan ekstensi file lalu klik OK.
Operasi lainnya:
Filter ekstensi berdasarkan sumber data.
Untuk menghapus ekstensi kustom, klik Delete di kolom Actions.
Data source
Daftarkan Web Applications dan Code Repository sebagai sumber data. Saat file yang diunduh dari sumber terdaftar dikirim keluar, SASE secara otomatis memicu deteksi.
Untuk menambahkan sumber data:
Klik Create Application.
Di panel Add Data Source, konfigurasikan bidang sesuai tipe sumber Anda:
Web Applications:
Parameter Deskripsi Contoh Application Name Nama aplikasi — Application Address URL dan path file. Klik Add untuk mendaftarkan beberapa alamat. URL: www.aliyun.com/api/file; Path:/api/fileCode Repository:
Parameter Deskripsi Repository Name Nama repositori Git Repository URL Alamat repositori Git Klik OK.
Langkah 2: Buat aturan deteksi
Aturan deteksi menggabungkan elemen data menjadi kondisi yang dievaluasi SASE terhadap setiap file outbound. Setiap aturan termasuk dalam kategori data dan memiliki tingkat sensitivitas.
Buat aturan deteksi
Login ke Secure Access Service Edge console.
Di panel navigasi kiri, pilih Data Protection > Data Classification.
Di halaman Data Classification, klik tab Identification Rules.
Di area Data Category di sebelah kiri, klik Create, lalu klik Create Category.
Di kotak dialog Create Category, masukkan nama klasifikasi lalu klik OK.
Di sebelah kanan data classification yang Anda buat, klik Create Rule Group.
Di panel Create Group, konfigurasikan hal berikut lalu klik OK.
Parameter Deskripsi Rule name 2–32 karakter. Mendukung karakter Tionghoa, huruf, angka, tanda hubung (-), dan garis bawah (_). Data category Klasifikasi data tempat aturan ini termasuk. Sensitivity level Tingkat sensitivitas file yang ditargetkan aturan ini. Lihat Tingkat sensitivitas di bawah. Rule configuration Kondisi deteksi. Misalnya, aturan "Filename contains salary" menandai file apa pun yang namanya mengandung "salary". 
Konfigurasikan beberapa kondisi dan atur hubungan logika menjadi AND atau OR sesuai kebutuhan bisnis Anda.
Tingkat sensitivitas
| Tingkat | Lingkup |
|---|---|
| L4: Confidential data | Informasi pribadi sensitif pelanggan; data fitur tingkat makro, data prediktif, dan data kredit yang diagregasi lintas departemen. Pengungkapan tanpa izin menyebabkan dampak negatif parah, ancaman sistemik, atau tanggung jawab hukum besar. Mencakup catatan komunikasi personel yang terlibat dalam keputusan besar, investasi, dan pendanaan. |
| L3: Secret/private data | Informasi pelanggan dan data bisnis yang diagregasi di tingkat departemen. Pengungkapan tanpa izin dapat secara langsung atau tidak langsung merugikan perusahaan, pelanggan, atau karyawan—menyebabkan kerugian finansial, komersial, atau reputasi serta potensi tanggung jawab hukum. |
| L2: Internal data | Data perusahaan dan informasi pelanggan yang hanya dapat diakses oleh karyawan atau pihak ketiga yang telah menandatangani perjanjian kerahasiaan. Pengungkapan tanpa izin menyebabkan dampak negatif ringan. |
| L1: Public data | Data yang dapat diakses publik atau telah disetujui untuk dirilis ke publik. Tidak ada risiko keamanan atau hukum dari penyebaran publik. |
Parameter aturan deteksi
Kelola aturan deteksi
Anda dapat mengedit, mengaktifkan, menonaktifkan, atau memperluas aturan deteksi kustom dan aturan yang dihasilkan oleh model besar.
Edit: Klik Edit Group Information untuk melihat dan mengubah aturan deteksi.
Aktifkan/Nonaktifkan: Klik sakelar Rule status untuk mengaktifkan/menonaktifkan aturan deteksi.
Sub-rules: Buat sub-aturan di bawah aturan deteksi yang sudah ada untuk kontrol lebih granular.
Langkah selanjutnya
Untuk menghasilkan aturan deteksi secara otomatis dari aset file Anda, lihat Intelligent rule generation.
Untuk menerapkan aturan klasifikasi dan kategorisasi dalam kebijakan deteksi file outbound, lihat Configuration file exfiltration detection policy.
Untuk menyiapkan pemetaan aset, lihat Buat tugas pemetaan aset.