為了避免企業員工在日常辦公中,通過多種渠道(例如即時通訊、郵件通道等)外發敏感檔案導致業務遭受重大損失,建議您通過SASE的辦公資料保護功能(DLP)及時對外發的檔案進行檢測和管控,使您能夠即時掌握敏感性資料外發動態,監控資料泄露風險。本文介紹如何設定檔外發檢測策略、以及外發資料的統計結果。
前提條件
已購買SASE互連網訪問安全的辦公資料保護版。更多資訊,請參見辦公安全平台計費概述。
設定檔外發檢測策略
SASE敏感檔案檢測功能通過敏感性資料元素作為敏感檔案的特徵進行自動化識別,通過資料元素、資料類型、敏感定級組成資料範本,再結合處置動作等條件形成檢測策略幫您識別企業員工外發的檔案是否為敏感檔案。
SASE內建了多種資料範本(包含常見的公司資料、客戶資料、個人資料),如果這些資料範本無法覆蓋您的業務,可以重新建立敏感性資料元素搭建資料範本。
登入辦公安全平台控制台。
在左側導覽列,選擇。
在外发管理頁簽,單擊建立策略。
在建立策略面板,配置如下資訊。然後單擊確定。
配置項
說明
策略資訊
策略名稱
策略的名稱。
策略描述
策略的補充說明。
風險等級
支援設定如下四種策略風險等級:
极高:待離職使用者組外發事件、極高危使用者組外發事件、L4檔案外發事件等。
高:高危使用者組外發事件、L3檔案外發事件等。
中:中危使用者組外發事件、L2檔案外發事件等。
低:全量外發兜底事件。
動作
支援設定如下四種策略動作:
只審計
审计并提示
拦截并提示
拦截不提示
如果您設定攔截並提示或者攔截不提示的動作,您還需要選擇阻斷類型,即全量阻斷還是智能阻斷。
全量阻断:SASE App會針對所有外發檔案行為進行即時攔截,並審計。
智能阻断:SASE App會根據資料範本定義的敏感檔案特徵進行即時攔截,為保障攔截的實效性,SASE App會提前對終端檔案進行掃描及敏感等級打標,在掃描任務完成前會預設執行全量阻斷(阻斷策略不生效),掃描及打標均在終端進行,不做上報處理。
源文件保留
設定是否保留源檔案資訊。
截圖取證文件保留
設定是否保留截圖取證檔案資訊。
狀態
配置策略的狀態。取值:
開啟:表示策略生效,SASE會根據策略檢測檔案。
關閉:表示策略不生效。
数据识别规则配置
数据识别规则
選擇您已配置的識別規則。配置識別規則的具體操作,請參見配置外發檔案分類分級檢測規則。
傳輸通道
選擇資料的傳輸通道。當您選擇某種傳輸通道時,當員工通過該通道傳輸檔案時,會觸發敏感檔案檢測行為。支援的傳輸通道類型如下,您可以全選或者選擇部分通道。
即時通訊(軟體)、郵箱(軟體)、FTP通道、網際網路共用、列印、移動儲存、網盤(軟體)、雲筆記(軟體)、遠端桌面、代碼託管(軟體)、大模型(軟體)、網盤(網頁版)、郵箱(網頁版)、代碼託管(網頁版)、雲筆記(網頁版)、雲部落格、大模型(網頁版)、社交、即時通訊(網頁版)、其他等。
生效範圍
使用者組
選擇策略生效的使用者組。
審批流配置
當存在檔案外發風險時,可以配置是否支援企業員工進行報備。
如果選擇支援員工報備審批,您需要選擇合適的審批次程序。關於如何建立審批次程序,請參見配置審批次程序。
弹窗提示配置
設定攔截檔案外發的提示資訊。支援設定中文和英文兩種提示資訊。
查看敏感檔案檢測統計結果
策略配置完成後,辦公資料保護功能會自動檢測企業員工傳輸的檔案,並根據檢測結果為您分析最近30天、7天、24小時內觸發的敏感檔案外發行為和例外狀況事件行為。
敏感檔案檢測可幫您檢測企業員工外發小於等於60 MB的敏感檔案,並對觸發Top 5的敏感檔案類型及其佔比進行統計。
例外狀況事件可幫您記錄企業員工外發檔案大於60 MB、通過外接裝置拷貝的檔案、同一使用者外發檔案綜合超過1 GB的行為,但是檔案不會被檢測,需要重點關注例外狀況事件,手動檢測檔案是否涉及敏感資訊。例外狀況事件類型的具體說明如下:
例外狀況事件類型
說明
外發大檔案
外發大檔案分為線上和離線,主要是網路連接正常和斷開時,企業員工發送大於30 MB及以上檔案的行為。
如果存在離線外發大檔案,您應該重點關注該員工的行為,避免業務遭受重大損失。
外設拷貝檔案
外設拷貝檔案分為線上和離線,主要是網路連接正常和斷開時,企業員工通過外設拷貝30 MB以下檔案的行為。
如果存在離線外設拷貝檔案,您應該重點關注該員工的行為,避免業務遭受重大損失。
外發超出閾值
同一個使用者在網路斷開情況下外發多次檔案,檔案總和超過1 GB。
如果存在外發超出閾值的情況,您應該重點關注該員工的行為,避免業務遭受重大損失。
在左側導覽列,選擇。
在敏感行為發現地區,查看指定時間段統計到企業員工的敏感行為。
查看敏感檔案外發記錄
SASE可對企業員工外發小於等於30 MB的檔案檢測是否涉及敏感資訊,並為您記錄外發的敏感檔案資訊。您可以根據敏感檔案外發記錄,再次確認外發的敏感檔案內容。
在敏感行為檢測頁面,查看企業員工外發敏感檔案清單。
單擊操作列詳情,在敏感檔案外發記錄頁簽,查看指定員工外發敏感檔案的資料統計以及檔案清單。
功能名稱
說明
時間周期(圖示①)
支援自訂查詢時間。
資料統計(圖示②)
展示指定時間段內統計的外發敏感檔案的數量、通道、大小等資訊。
敏感檔案清單(圖示③)
展示外發敏感檔案清單,以及外發的敏感檔案等級、資料類型、命中資料範本、叫用次數等資訊。您也可以通過條件式篩選框選擇您需要的資料。
單擊下載,將敏感檔案下載到本地查看。
單擊詳情,在詳情面板查看當前敏感檔案包含的数据流转、關鍵資訊、敏感檔案資訊(包含檔案下載等)、截图取证、命中策略以及外發該檔案的辦公終端、外發途徑、帳號資訊等。
查看例外狀況事件記錄
SASE可以幫您記錄企業員工外發檔案大於30 MB、通過外接裝置拷貝的檔案、同一使用者外發檔案綜合超過1 GB的行為,需要您重點關注存在例外狀況事件的企業員工,避免業務遭受重大損失。對於外發檔案大於30 MB時,需要您自行檢測該檔案內容是否涉及敏感資訊。
在敏感行為檢測頁面,查看企業員工觸發的例外狀況事件。
單擊例外狀況事件列的值,在例外狀況事件記錄頁簽,查看指定使用者的例外狀況事件記錄。
您也可以單擊操作列詳情,在例外狀況事件記錄頁簽,查看相關記錄。
配置檢測結果儲存時間長度
SASE預設將您的檢測結果儲存7天,如果您開通了日誌儲存服務,可以將您的檢測結果儲存30天。具體資訊,請參見辦公安全平台計費概述。
配置敏感檔案儲存體空間
SASE預設為您開啟空間為1 GB的免費儲存功能。
如果您需要更多的儲存空間,單擊右上方擴容,購買檔案儲存體容量。具體價格,請參見辦公安全平台計費概述。
如果您不需要對敏感檔案儲存體,在右上方關閉儲存開關即可。關閉後已儲存的敏感檔案不會被刪除,但是不再儲存新的敏感檔案。
如果您需要清空已儲存的敏感檔案,單擊右上方清空,對檢測結果按時間段清空或者清空全部。
自訂敏感檔案儲存體空間
針對SASE互連網訪問安全的辦公資料保護版,支援自訂敏感檔案儲存體空間。具體操作,請參見配置自訂儲存。
相關文檔
查看並追溯外發敏感檔案的日誌詳情,請參見敏感檔案檢測日誌。
通過管控企業員工外接裝置來保障資料安全,請參見通過管理外接裝置保障資料安全。
通過管控企業員工螢幕浮水印和列印浮水印來保障資料安全,請參見通過管理浮水印保障資料安全。