为了避免企业员工在日常办公中,通过多种渠道(例如即时通讯、邮件通道等)外发敏感文件导致业务遭受重大损失,建议您通过SASE的办公数据保护功能(DLP)及时对外发的文件进行检测和管控,使您能够实时掌握敏感数据外发动态,监控数据泄露风险。本文介绍如何配置文件外发检测策略、以及外发数据的统计结果。
前提条件
已购买SASE互联网访问安全的办公数据保护版。更多信息,请参见办公安全平台计费概述。
配置文件外发检测策略
SASE敏感文件检测功能通过敏感数据元素作为敏感文件的特征进行自动化识别,通过数据元素、数据类型、敏感定级组成数据模板,再结合处置动作等条件形成检测策略帮您识别企业员工外发的文件是否为敏感文件。
SASE内置了多种数据模板(包含常见的公司数据、客户数据、个人数据),如果这些数据模板无法覆盖您的业务,可以重新创建敏感数据元素搭建数据模板。
(可选)第一步:创建敏感数据元素
登录办公安全平台控制台。
在左侧导航栏,选择
。选择
页签,单击添加数据元素。在新增数据元素面板,配置如下信息。然后单击确定。
配置项
说明
元素名称
支持长度为2~32个字符,包含汉字、字母、数字、短划线(-)和下划线(_)。
元素类型
文件名或者文件内容
选择文件名或者文件内容时,需要设置元素组成,取值:
选择关键词时,需要自定义关键词。自定义关键词可以是满足自定义的所有条件,也可以满足任意一个条件即可。
配置多个条件,最多可添加100个条件。
选择正则表达式时,需要输入有效的正则表达式。
例如,正则表达式([A-Za-z0-9]+)表示识别所有包含数字和字母的字符串。
除了设置元素组成,还需要设置生效文件类型,取值:
全部类型
SASE为您内置的所有文件都是生效文件。
指定类型
SASE为您内置了多种文件类型(例如办公类PDF文件、图像类BPG图像文件、邮件类EML文件等),您可以指定其中一种或者多种作为生效文件。
数据后缀
SASE为您内置了多种类型的文件后缀(例如.tsv、.wpd、.xps等),您可以指定其中一种或者多种作为生效文件。
如果内置的文件类型无法满足当前业务需要,您可以单击添加自定义后缀添加新的文件类型。
文件属性
选择文件属性时,需要设置元素组成,取值:
文件类型
可选的文件类型包含全部类型、指定类型、数据后缀。具体范围同上述文件名和文件内容。
文件加密
选择文件加密时,需要设置是否保留加密文件。
文件加密作为文档应用的自带功能,可被利用于规避企业的敏感数据检测,SASE可以留存加密的文件供企业审计。
除了设置元素组成,还需要设置文件大小。可选范围:0 KB~30 MB。
(可选)第二步:根据敏感数据元素搭建数据模板
在
页签,单击添加模板。在添加模板面板,配置如下信息。然后单击确定。
配置项
说明
模板名称
策略的名称。支持长度为2~32个字符,包含汉字、字母、数字、短划线(-)和下划线(_)。
敏感等级
配置文件的等级。取值:
数据类型
配置检测的数据类型。取值:
公司数据
业务数据
个人数据
数据元素
配置敏感数据元素检测规则。
例如,配置的规则为“手机号码大于5”,表示检测文件中,如果电话号码出现5次以上,则会触发敏感文件检测。
建议您配置多条规则,以便检测策略能够按照您的业务需求,准确、全面地匹配文件内容。您可以设置多条规则之间的条件关系为“AND”、“OR”。
第三步:创建检测策略关联合适的数据模板
在检测策略页签,单击创建策略。
在创建策略面板,配置如下信息。然后单击确定。
配置项
说明
策略信息
策略名称
策略的名称。
策略描述
策略的补充说明。
风险等级
支持设置如下四种策略风险等级:
极高:待离职用户组外发事件、极高危用户组外发事件、L4文件外发事件等。
高:高危用户组外发事件、L3文件外发事件等。
中:中危用户组外发事件、L2文件外发事件等。
低:全量外发兜底事件。
动作
支持设置如下三种策略动作:
只审计
拦截并提示
拦截不提示
如果您设置拦截并提示或者拦截不提示的动作,您还需要选择阻断类型,即全量阻断还是智能阻断。
全量阻断:SASE App会针对所有外发文件行为进行实时拦截,并审计。
智能阻断:SASE App会根据数据模板定义的敏感文件特征进行实时拦截,为保障拦截的实效性,SASE App会提前对终端文件进行扫描及敏感等级打标,在扫描任务完成前会默认执行全量阻断(阻断策略不生效),扫描及打标均在终端进行,不做上报处理。
源文件保留
设置是否保留源文件信息。
状态
配置策略的状态。取值:
开启:表示策略生效,SASE会根据策略检测文件。
关闭:表示策略不生效。
数据模板配置
数据模板
选择您已配置的数据模板。
传输通道
选择数据的传输通道。当您选择某种传输通道时,当员工通过该通道传输文件时,会触发敏感文件检测行为。支持的传输通道如下,您可以全选或者选择部分通道。
即时通讯
邮件通道
HTTP通道
FTP通道
共享通道
打印通道
刻录通道
移动存储
其他通道
生效范围
用户组
选择策略生效的用户组。
审批流配置
当存在文件外发风险时,可以配置是否支持企业员工进行报备。
如果选择支持员工报备审批,您需要选择合适的审批流程。关于如何创建审批流程,请参见配置审批流程。
弹窗提示配置
设置拦截文件外发的提示信息。支持设置中文和英文两种提示信息。
查看敏感文件检测统计结果
策略配置完成后,办公数据保护功能会自动检测企业员工传输的文件,并根据检测结果为您分析最近30天、7天、24小时触发的敏感文件外发行为和异常事件行为。
敏感文件检测可帮您检测企业员工外发小于等于30 MB的敏感文件,并对触发Top 5的敏感文件类型及其占比进行统计。
异常事件可帮您记录企业员工外发文件大于30 MB、通过外接设备拷贝的文件、同一用户外发文件综合超过1 GB的行为,但是文件不会被检测,需要重点关注异常事件,手动检测文件是否涉及敏感信息。异常事件类型的具体说明如下:
异常事件类型
说明
外发大文件
外发大文件分为在线和离线,主要是网络连接正常和断开时,企业员工发送大于30 MB及以上文件的行为。
如果存在离线外发大文件,您应该重点关注该员工的行为,避免业务遭受重大损失。
外设拷贝文件
外设拷贝文件分为在线和离线,主要是网络连接正常和断开时,企业员工通过外设拷贝30 MB以下文件的行为。
如果存在离线外设拷贝文件,您应该重点关注该员工的行为,避免业务遭受重大损失。
外发超出阈值
同一个用户在网络断开情况下外发多次文件,文件总和超过1 GB。
如果存在外发超出阈值的情况,您应该重点关注该员工的行为,避免业务遭受重大损失。
在左侧导航栏,选择
。在敏感行为发现区域,查看指定时间段统计到企业员工的敏感行为。
查看敏感文件外发记录
SASE可对企业员工外发小于等于30 MB的文件检测是否涉及敏感信息,并为您记录外发的敏感文件信息。您可以根据敏感文件外发记录,再次确认外发的敏感文件内容。
在敏感行为检测页面,查看企业员工外发敏感文件列表。
单击操作列详情,在敏感文件外发记录页签,查看指定员工外发敏感文件的数据统计以及文件列表。
功能名称
说明
时间周期(图示①)
支持自定义查询时间。
数据统计(图示②)
展示指定时间段内统计的外发敏感文件的数量、通道、大小等信息。
敏感文件列表(图示③)
展示外发敏感文件列表,以及外发的敏感文件等级、数据类型、命中数据模板、命中次数等信息。您也可以通过条件筛选框选择您需要的数据。
单击下载,将敏感文件下载到本地查看。
单击详情,在详情面板查看当前敏感文件包含的关键信息、敏感文件(包含文件预览等)、取证截图、命中的策略以及外发该文件的终端信息、外发途径等。
查看异常事件记录
SASE可以帮您记录企业员工外发文件大于30 MB、通过外接设备拷贝的文件、同一用户外发文件综合超过1 GB的行为,需要您重点关注存在异常事件的企业员工,避免业务遭受重大损失。对于外发文件大于30 MB时,需要您自行检测该文件内容是否涉及敏感信息。
在敏感行为检测页面,查看企业员工触发的异常事件。
单击异常事件列的值,在异常事件记录页签,查看指定用户的异常事件记录。
您也可以单击操作列详情,在异常事件记录页签,查看相关记录。
配置检测结果保存时长
SASE默认将您的检测结果保存7天,如果您开通了日志存储服务,可以将您的检测结果保存30天。具体信息,请参见办公安全平台计费概述。
配置敏感文件存储空间
SASE默认为您开启空间为1 GB的免费存储功能。
如果您需要更多的存储空间,单击右上角扩容,购买文件存储容量。具体价格,请参见办公安全平台计费概述。
如果您不需要对敏感文件存储,在右上角关闭存储开关即可。关闭后已存储的敏感文件不会被删除,但是不再存储新的敏感文件。
如果您需要清空已存储的敏感文件,单击右上角清空,对检测结果按时间段清空或者清空全部日志。
相关文档
查看并追溯外发敏感文件的日志详情,请参见敏感文件检测日志。
通过管控企业员工外接设备来保障数据安全,请参见通过管理外接设备保障数据安全。
通过管控企业员工屏幕水印和打印水印来保障数据安全,请参见通过管理水印保障数据安全。