为了避免企业员工在日常办公中,通过多种渠道(例如即时通讯、邮件通道等)外发敏感文件导致业务遭受重大损失,建议您通过SASE的办公数据保护功能(DLP)及时对外发的文件进行检测和管控,使您能够实时掌握敏感数据外发动态,监控数据泄露风险。本文介绍如何配置文件外发检测策略、以及外发数据的统计结果。
前提条件
已购买SASE互联网访问安全的办公数据保护版。更多信息,请参见办公安全平台计费概述、新手指引。
配置文件外发检测策略
SASE敏感文件检测功能通过敏感数据元素作为敏感文件的特征进行自动化识别,通过数据元素、数据类型、敏感定级组成数据模板,再结合处置动作等条件形成检测策略帮您识别企业员工外发的文件是否为敏感文件。
SASE内置了多种数据模板(包含常见的公司数据、客户数据、个人数据),如果这些数据模板无法覆盖您的业务,可以重新创建敏感数据元素搭建数据模板。
登录办公安全平台控制台。
在左侧导航栏,选择。
在外发管理页签,单击创建策略。
在创建策略面板,配置如下信息。然后单击确定。
配置项
说明
策略信息
策略名称
策略的名称。
策略描述
策略的补充说明。
风险等级
支持设置如下四种策略风险等级:
极高:待离职用户组外发事件、极高危用户组外发事件、L4文件外发事件等。
高:高危用户组外发事件、L3文件外发事件等。
中:中危用户组外发事件、L2文件外发事件等。
低:全量外发兜底事件。
动作
支持设置如下三种策略动作:
只审计
拦截并提示
拦截不提示
如果您设置拦截并提示或者拦截不提示的动作,您还需要选择阻断类型,即全量阻断还是智能阻断。
全量阻断:SASE App会针对所有外发文件行为进行实时拦截,并审计。
智能阻断:SASE App会根据数据模板定义的敏感文件特征进行实时拦截,为保障拦截的实效性,SASE App会提前对终端文件进行扫描及敏感等级打标,在扫描任务完成前会默认执行全量阻断(阻断策略不生效),扫描及打标均在终端进行,不做上报处理。
源文件保留
设置是否保留源文件信息。
截图取证文件保留
设置是否保留截图取证文件信息。
状态
配置策略的状态。取值:
开启:表示策略生效,SASE会根据策略检测文件。
关闭:表示策略不生效。
数据识别规则配置
数据识别规则
选择您已配置的识别规则。配置识别规则的具体操作,请参见配置外发文件分类分级检测规则。
传输通道
选择数据的传输通道。当您选择某种传输通道时,当员工通过该通道传输文件时,会触发敏感文件检测行为。支持的传输通道类型如下,您可以全选或者选择部分通道。
即时通讯(软件)、邮箱(软件)、FTP通道、网络共享、打印、移动存储、网盘(软件)、云笔记(软件)、远程桌面、代码托管(软件)、大模型(软件)、网盘(网页版)、邮箱(网页版)、代码托管(网页版)、云笔记(网页版)、云博客、大模型(网页版)、社交、即时通讯(网页版)、其他等。
生效范围
用户组
选择策略生效的用户组。
审批流配置
当存在文件外发风险时,可以配置是否支持企业员工进行报备。
如果选择支持员工报备审批,您需要选择合适的审批流程。关于如何创建审批流程,请参见配置审批流程。
弹窗提示配置
设置拦截文件外发的提示信息。支持设置中文和英文两种提示信息。
查看敏感文件检测统计结果
策略配置完成后,办公数据保护功能会自动检测企业员工传输的文件,并根据检测结果为您分析最近30天、7天、24小时内触发的敏感文件外发行为和异常事件行为。
敏感文件检测可帮您检测企业员工外发小于等于60 MB的敏感文件,并对触发Top 5的敏感文件类型及其占比进行统计。
异常事件可帮您记录企业员工外发文件大于60 MB、通过外接设备拷贝的文件、同一用户外发文件综合超过1 GB的行为,但是文件不会被检测,需要重点关注异常事件,手动检测文件是否涉及敏感信息。异常事件类型的具体说明如下:
异常事件类型
说明
外发大文件
外发大文件分为在线和离线,主要是网络连接正常和断开时,企业员工发送大于30 MB及以上文件的行为。
如果存在离线外发大文件,您应该重点关注该员工的行为,避免业务遭受重大损失。
外设拷贝文件
外设拷贝文件分为在线和离线,主要是网络连接正常和断开时,企业员工通过外设拷贝30 MB以下文件的行为。
如果存在离线外设拷贝文件,您应该重点关注该员工的行为,避免业务遭受重大损失。
外发超出阈值
同一个用户在网络断开情况下外发多次文件,文件总和超过1 GB。
如果存在外发超出阈值的情况,您应该重点关注该员工的行为,避免业务遭受重大损失。
在左侧导航栏,选择。
在敏感行为发现区域,查看指定时间段统计到企业员工的敏感行为。
查看敏感文件外发记录
SASE可对企业员工外发小于等于30 MB的文件检测是否涉及敏感信息,并为您记录外发的敏感文件信息。您可以根据敏感文件外发记录,再次确认外发的敏感文件内容。
在敏感行为检测页面,查看企业员工外发敏感文件列表。
单击操作列详情,在敏感文件外发记录页签,查看指定员工外发敏感文件的数据统计以及文件列表。
功能名称
说明
时间周期(图示①)
支持自定义查询时间。
数据统计(图示②)
展示指定时间段内统计的外发敏感文件的数量、通道、大小等信息。
敏感文件列表(图示③)
展示外发敏感文件列表,以及外发的敏感文件等级、数据类型、命中数据模板、命中次数等信息。您也可以通过条件筛选框选择您需要的数据。
单击下载,将敏感文件下载到本地查看。
单击详情,在详情面板查看当前敏感文件包含的关键信息、敏感文件(包含文件预览等)、取证截图、命中的策略以及外发该文件的终端信息、外发途径等。
查看异常事件记录
SASE可以帮您记录企业员工外发文件大于30 MB、通过外接设备拷贝的文件、同一用户外发文件综合超过1 GB的行为,需要您重点关注存在异常事件的企业员工,避免业务遭受重大损失。对于外发文件大于30 MB时,需要您自行检测该文件内容是否涉及敏感信息。
在敏感行为检测页面,查看企业员工触发的异常事件。
单击异常事件列的值,在异常事件记录页签,查看指定用户的异常事件记录。
您也可以单击操作列详情,在异常事件记录页签,查看相关记录。
配置检测结果保存时长
SASE默认将您的检测结果保存7天,如果您开通了日志存储服务,可以将您的检测结果保存30天。具体信息,请参见办公安全平台计费概述。
配置敏感文件存储空间
SASE默认为您开启空间为1 GB的免费存储功能。
如果您需要更多的存储空间,单击右上角扩容,购买文件存储容量。具体价格,请参见办公安全平台计费概述。
如果您不需要对敏感文件存储,在右上角关闭存储开关即可。关闭后已存储的敏感文件不会被删除,但是不再存储新的敏感文件。
如果您需要清空已存储的敏感文件,单击右上角清空,对检测结果按时间段清空或者清空全部日志。
自定义敏感文件存储空间
针对SASE互联网访问安全的办公数据保护版,支持自定义敏感文件存储空间。具体操作,请参见配置自定义存储。
相关文档
查看并追溯外发敏感文件的日志详情,请参见敏感文件检测日志。
通过管控企业员工外接设备来保障数据安全,请参见通过管理外接设备保障数据安全。
通过管控企业员工屏幕水印和打印水印来保障数据安全,请参见通过管理水印保障数据安全。