配置检测策略
您需要提前配置数据安全检测策略,SASE敏感文件检测功能才能根据您配置的策略监控终端用户的敏感文件外发行为。本文为您介绍如何创建数据安全检测策略。
前提条件
已导入组织和角色。具体操作,请参见通过钉钉导入组织或通过企业微信导入组织。
已创建桌面集,具体操作,请参见创建桌面集。
功能介绍
数据字典的关键字作为敏感内容的识别特征,可结合等式关系和命中次数形成模板引擎,然后将处置动作、模板引擎、传输通道、数据类型以及生效的桌面集等条件组成一条数据检测策略。SASE敏感文件检测功能则通过该检测策略帮您识别目标终端用户外发的文件是否为敏感文件。
配置数据字典
敏感数据字典,即为敏感内容的识别特征,检测策略关联后会根据该特征识别传输的文件。
办公数据保护功能为您内置了常见的敏感数据字典类型(例如代码敏感信息、密钥敏感信息、企业敏感信息等),如果这些字典类型未覆盖您的业务,您可以自定义创建新的字典类型。以下为具体的操作步骤。
登录无影安全办公控制台。
在左侧导航栏,选择。
在检测策略页面,单击字典管理。
在字典管理页签,单击创建字典。
在创建字典面板,配置字典名称、字典条件关系、自定义关键词等信息。
配置项
说明
示例值
字典名称
支持长度为2~32个字符,包含汉字、字母、数字、短划线(-)和下划线(_)。
公司数据字典
字典条件关系
配置多个条件之间为“或”、“与”的逻辑关系。
与
自定义关键词
配置多个条件,包含或者不包含自定义关键词。最多可添加100个条件。
包含客户名称
包含产品名称
包含日期
单击确定。
可在创建字典页面的操作列单击编辑、复制或删除对自定义的数据字典进行管理。系统内置的数据字典不支持修改、复制或删除。
配置引擎
引擎是您根据业务要求将敏感数据字典、等式关系和数量搭建的数据检测规则,以便能准确、全面的识别文件内容。
登录无影安全办公控制台。
在左侧导航栏,选择。
在检测策略页面单击引擎管理。
在引擎管理页面单击创建引擎。
根据提示信息配置以下内容。
配置项
说明
示例值
引擎名称
支持长度为2~32个字符,包含汉字、字母、数字、短划线(-)和下划线(_)。
公司数据字典
表达式关系
配置多个条件之间为“或”、“与”的逻辑关系。
与
表达式
最多可配置16个子条件(仅支持包含),设置表达式的字典、条件和个数。
例如设置的表达式为手机号大于等于5,表示检测文件中,如果电话号码出现5次及以上,那么该文件即为敏感文件。
手机号
大于等于
5
单击确定。
可在引擎管理页面的操作列单击编辑、复制或删除对自定义的引擎进行管理。系统内置的引擎不支持修改、复制或删除。
配置检测策略
登录无影安全办公控制台。
在左侧导航栏,选择。
在检测策略页面单击创建策略。
在创建策略页签根据提示信息配置以下内容。
配置项
说明
示例值
策略信息
策略名称
策略的名称。
公司数据检测策略
策略描述
策略的补充说明。
对客户名称、产品名称、日期进行检测。
动作
默认为只审计,暂时不支持修改。
只审计
源文件保留
设置是否保留源文件信息。
是
保留加密文件
文件加密作为文档应用的自带功能,可被利用规避企业的敏感数据检测,SASE可以留存加密的文件供企业审计。
不选中
状态
配置策略的状态。取值:
开启:根据该策略检测文件。
关闭:策略关闭状态,不生效。
开启
引擎配置
引擎配置
通过引擎配置,来定义触发敏感外发事件的条件,精准的引擎配置可以有效地筛除无效事件上报。
代码检测引擎
传输通道
选择数据的传输通道。
当终端用户通过您选中的传输通道传输文件时,会触发敏感文件检测行为。
即时通讯
邮件通道
HTTP通道
FTP通道
共享通道
打印通道
刻录通道
移动存储
其他通道
数据类型
选择检测文件的文档分类及对应的具体类型。
选择SASE支持的所有文档分类和所有类型。
生效范围
用户组
选择策略生效桌面集。
桌面集001。
单击确定。
后续操作
检测策略管理:可在检测策略页面待管理的策略名称后的操作列单击详情或删除对检测策略进行修改和删除。