インターネットとSaaSへのセキュアなアクセス(ZIA)
エンドポイントDLPポリシー ルールの構成
Zscaler エンドポイント情報漏洩防止(DLP)を使用して、データを検出、アクティビティーを許可またはブロック、エンド ユーザーにアクティビティーの確認を要求、リムーバブル ストレージ デバイスに保存されたファイルを保護、エンドポイントでのユーザーのアクティビティーによってエンドポイントDLPルールがトリガーされたときの組織の監査役への通知を行うことができます。組織でZscalerインシデント レシーバーを使用している場合、サービスは、セキュリティで保護されたインターネット コンテンツ適応プロトコル(ICAP)を介して、DLPポリシーをトリガーするエンド ユーザー アクティビティーに関する情報をインシデント レシーバーに転送できます。ただし、Zscalerはインシデント レシーバーからのICAPレスポンスを受け取りません。代わりに、サービスは設定したポリシーに従ってコンテンツを監視またはブロックし、組織が必要な修復ステップを実行できるようにアクティビティーに関する情報を転送します。
Zscaler DLPエンジンは最大400MBのファイルに対応し、抽出されたテキストの最初の100MBをスキャンできます。最大サイズは、アーカイブ ファイルから抽出されたファイルにも適用されます。
エンドポイントDLPポリシー ルールを構成する手順は次の通りです。
- 1. 必要に応じて、DLP辞書とエンジンを設定します。DLP辞書とエンジンをそのまま使用することも、ニーズに合わせて変更することもできます。カスタム辞書またはエンジンを作成することもできます。カスタムDLP辞書とエンジンを変更または作成しない場合は、この手順をスキップします。
- 2.ユーザーのアクティビティーがエンドポイントDLPポリシー ルールに違反したときに組織の監査役にメール通知を送信する場合は、DLP通知テンプレートを構成します。
- 3.エンドポイントDLPポリシーに違反するアクティビティーに関する情報を転送する場合は、Zscalerインシデント レシーバーを設定します。ルールをインシデント レシーバーに関連付けない場合は、この手順をスキップします。
- 4. ポリシールールを定義します。
- [ポリシー]>[エンドポイント情報漏洩防止]の順にアクセスします。
- [DLP ルールの追加]をクリックします。
- [DLPルールの追加]ウィンドウで、次のように操作します。
- 次のDLPルールの属性を入力します。
- ルール名:DLPルールの一意の名前を入力するか、デフォルトの名前を使用します。
- [チャネル]:ルールを[印刷]、[リムーバブル ストレージ]、[ネットワーク共有]または[パーソナル クラウド ストレージ]に適用するかどうかを選択します。
詳細は、DLPリソースについてを参照してください。
- [プリンター]:このフィールドは、[チャンネル]が[印刷中]の場合にのみ表示されます。ドロップダウン メニューからプリンターを1つ以上選択し、[終了]をクリックします。プリンターを検索することもできます。
- [プリンター グループ]:このフィールドは、[チャンネル]が[印刷中]の場合にのみ表示されます。ドロップダウン メニューからネットワーク プリンターを1つ以上選択し、[終了]をクリックします。また、プリンター グループを検索することもできます。
- [リムーバブル ストレージ デバイス]:このフィールドは、[チャネル]が[リムーバブル ストレージ]のときにのみ表示されます。ドロップダウン メニューから1つ以上のリムーバブル ストレージ デバイス グループを選択し、[終了]をクリックします。リムーバブル ストレージ デバイスを検索することもできます。
- [リムーバブル ストレージ デバイス]:このフィールドは、[チャネル]が[リムーバブル ストレージ]のときにのみ表示されます。ドロップダウン メニューから1つ以上のリムーバブル ストレージ デバイスを選択し、[終了]をクリックします。リムーバブル ストレージ デバイス グループを検索することもできます。
- [ネットワーク共有]:このフィールドは、[チャネル]が[ネットワーク共有]のときにのみ表示されます。ドロップダウン メニューから1つ以上のネットワーク共有を選択し、[終了]をクリックします。ネットワーク共有を検索することもできます。
- [ネットワーク共有グループ]:このフィールドは、[チャネル]が[ネットワーク共有]のときにのみ表示されます。ドロップダウン メニューから1つ以上のネットワーク共有を選択し、[終了]をクリックします。ネットワーク共有グループを検索することもできます。
- [パーソナル クラウド]:このフィールドは、[チャネル]が[パーソナル クラウド ストレージ]のときにのみ表示されます。ドロップダウン メニューから1つ以上のパーソナル クラウド アカウントを選択し、[終了]をクリックします。
iCloudはmacOSでのみサポートされています。
- [ルールステータス]:有効なルールは、アクティブに実行されます。無効なルールはアクティブに実行されませんが、ルールの順番内の位置を失うことはありません。サービスはこのルールをスキップして、次のルールに移動します。
- [重大度]:ドロップダウン メニューから違反の重大度を選択します(すなわち、[高]、[中]、[低]または[情報])。
- [ルールの順序]:すべての親ルールが評価されます。複数のルールが一致する場合は、最も制限の厳しいアクションと最も高いルールの順序を持つルールが適用されます。例外の評価は最初の一致で停止し、一致時に例外によって親ルールが置き換えられます。
- [ルールラベル]:ルールラベルを選択して、ルールと関連付けます。詳しくは、ルールラベルについてを参照してください。
- [説明]: (省略可)ルールに関する追加のメモまたは情報を入力します。説明は10,240文字を超えることはできません。
- 下の基準を定義します。
- [コンテンツ マッチング]: [DLPエンジンを選択]を選択して、最大4つのエンジンを選択します。DLPエンジンを検索することもできます。[なし]を選択した場合、ZscalerサービスはコンテンツのスキャンにDLPエンジンを使用しません。代わりに、サービスはフィルターとして機能し、指定した条件に基づいてのみコンテンツにフラグを設定します。
- [ファイル タイプ]:ドロップダウン メニューから、ルール用のファイル タイプを選択します。利用可能なファイル タイプのリストは、コンテンツ インスペクションにDLPエンジンを使用しているかどうかによって異なります。特定のファイル タイプ経由で送信されるコンテンツにのみ適用されるエンドポイントDLPポリシー ルールを作成できます。Zscaler DLPエンジンは、最大100MBのファイルをスキャンできます。アーカイブファイルの場合、解凍時の個々のファイルのサイズも最大100 MBになります。ファイル タイプを検索することもできます。
- [グループ]:エンドポイントDLPルールをグループに適用する方法を指定できます。 グループを検索することもできます。
- [ユーザー]:エージェントDLPルールをユーザーに適用する方法を指定できます。ユーザーを検索することもできます。
- [最小データ サイズ(KB)]:DLPルールが適用される前にデータが満たす必要がある最小サイズ要件を入力します。デフォルトの最小データ サイズである0KBは、最小データ サイズ要件がないことを意味します。
- [部署]: DLPルールを部署に適用する方法を指定できます。部署を検索することもできます。
DLPポリシーは、組織のトラフィックを検査するときに、[ユーザー]、[グループ]および[部署]のフィールドにORロジックを適用します。DLPルールをトリガーするには、Zscalerサービスがルールで選択されたユーザー、グループまたは部署のうち少なくとも1つを検出する必要があります。
- [デバイス]:ドロップダウン メニューから、ルールを適用する1つ以上のデバイスを選択します。すべてのデバイスを含めるには、[任意]を選択します。 デバイスを検索することもできます。
- [デバイス グループ]:ドロップダウン メニューから、ルールを適用する1つ以上のデバイス グループを選択します。すべてのデバイス グループを含めるには、[任意]を選択します。 デバイス グループを検索することもできます。
- [デバイス信頼レベル]:必要なデバイス信頼レベル([信頼性:高]、[信頼性:中]、[信頼性:低]、[不明])を選択します。デバイスに割り当てられる信頼レベルは、Zscaler Client Connector Portalのポスチャー構成に基づきます。デバイスの信頼レベルを検索することもできます。
- [ユーザー リスク プロファイル]:ルールが適用されるユーザー リスク スコア レベルを選択します。値を選択しないと、ポリシー評価の条件は無視されます。ユーザーのリスク プロファイルを検索することもできます。
ユーザーには、閲覧アクティビティに基づいてリスクスコアが割り当てられます。リスク・スコアの範囲は、リスクスコアレベルとしてグループ化されます。
デフォルトでは、次のユーザー リスク スコア レベルを使用できます。
- 低:ユーザー リスク スコアが0から29の範囲のレベル
- 中: ユーザー リスク スコアが 30 から 59 の範囲のレベル
- 高:ユーザーリスクスコアが60から79の範囲のレベル
- 重大:ユーザー リスク スコアが80から100の範囲のレベル
Zscalerサポートに連絡して、組織のこれらのレベルのユーザー リスク スコア範囲をカスタマイズします。
- ルールの[アクション]を選択します。
- [許可]:サービスはアクティビティーを許可し、ログに記録します。
- [ブロック]:サービスはアクティビティーをブロックしてログに記録します。
macOSの場合、[ブロック]アクションは、[リムーバブル ストレージ]、[個人用クラウド ストレージ]、[ネットワーク共有]チャネルでサポートされます。[印刷]チャネルの場合、Zscalerはポリシー違反を監視して報告します。
- [確認]:ユーザーは、アクティビティーを続行することを正当化するか、アクティビティーを完全にキャンセルすることができます。どちらの場合も、Zscalerサービスはそれに応じてアクティビティーをログに記録します。
- [保護]:このオプションは、[チャネル]が[リムーバブル ストレージ]の場合にのみ表示されます。この設定を有効にすると、Zscalerサービスは影響を受けるファイルにのみ暗号化を適用し、リムーバブル記憶装置自体には適用しません。暗号化後、ファイルを復号化できるのは、デバイス上でエンドポイントDLPを実行している同じ組織のメンバーのみです。
- この機能は、機密データを含むファイルを組織の境界内に保持し、リムーバブル ストレージ デバイスを使用できるように設計されています。これは、短期的なファイル転送用に特別に設計されており、長期的なバックアップのためにファイルを暗号化するために使用しないでください。
- Zscalerサービスによって適用される暗号化は、暗号化キーが各組織に固有であるため、追加のキー管理は必要ありません。
- 機密データを含むファイルをリムーバブル ストレージに保存すると、Zscalerサービスはリムーバブル ストレージに別の暗号化(
.zenc
)ファイルのみを保存します。Zscalerサービスは、元のファイルまたはファイルパスを変更しません。 - リムーバブル ストレージ デバイスを介して暗号化されたファイルを受信するユーザーは、ファイルを右クリックして[復号化]を選択し、Zscalerサービスを使用してファイルを復号化する必要があります。Zscalerサービスは、復号化されたファイルが次のディレクトリーに保存され、自動的に開きます。
- [Windows]:
/ProgramData/Zscaler/ZDP/Decrypted Files/<username>/
- [macOS]:
/Library/Application Support/Zscaler/ZDP/Decrypted Files/<username>/
- [Windows]:
- 機密データを含むファイルがリムーバブル ストレージ デバイスに保存されているが、元の送信元パスがない場合(つまり、ファイルが切り取られてリムーバブル ストレージ デバイスに貼り付けられる場合)、Zscalerサービスは
.zenc
ファイルをリムーバブル ストレージ デバイスに保存し、復号化されたファイルのコピーを次のディレクトリーに保存します。- [Windows]:
/ProgramData/Zscaler/ZDP/User Files/<username>/Lost and Found/
- [macOS]:
/Library/Application Support/Zscaler/ZDP/User Files/<username>/Lost and Found/
- [Windows]:
- (省略可) [DLPインシデント レシーバー]で、該当するZscalerインシデント レシーバーをドロップダウン メニューから選択します。この手順を完了するには、Zscalerインシデント レシーバーを設定する必要があります。
- 次の[通知]設定を定義します。
- (オプション)ルールのEmail通知を設定します。監査役と通知テンプレートを選択しない場合、このルールの通知は送信されません。
- [メール監査役タイプ]:監査役が[ホスト型]データベースからのものか、組織の[外部]からのものかを選択します。
- 以下の手順で監査役を選択します。
- [監査役をメールで送信]:監査役がホスト型データベースから取得する場合は、監査役を選択または検索します。
- [監査役のメール アドレス]:監査役が外部の場合は、監査役のメール アドレスを入力します。
- 以下の手順で監査役を選択します。
- [メール通知テンプレート]:ドロップダウン メニューから通知テンプレートを選択します。
- [メール監査役タイプ]:監査役が[ホスト型]データベースからのものか、組織の[外部]からのものかを選択します。
- ルールのエンド ユーザー通知(EUN)を設定します。エンドポイントに表示されるEUNメッセージのタイプは、ルールに設定された[アクション]によって異なります。
- [エンド ユーザー通知]:ユーザーのアクティビティによって エージェントDLPポリシー ルールがトリガーされたときにエージェントにEUNメッセージを表示するには、[表示]を選択します。EUNメッセージを表示しない場合は、[非表示]を選択します。
- [カスタム メッセージ]: [デフォルト]を選択して、チャネル用に設定されたデフォルトのEUNメッセージを使用するか、ドロップダウン メニューからカスタムEUNメッセージを選択します。また、カスタム メッセージを検索したり、[追加]アイコンをクリックして新しいカスタム メッセージを追加したりすることもできます。
[許可]、[ブロック]、[保護]アクションのカスタム メッセージの設定については、「エンドポイントDLPのEUNの設定」を参照してください。[確認]アクションのカスタム メッセージの設定については、「ユーザー確認通知テンプレートの設定」を参照してください。
- 保存 と 変更を有効にする をクリックします。
たとえば、事前定義されたZscaler DLPエンジンを使用するエンドポイント ポリシー ルールが次の図のように設定されている場合、Zscalerサービスは次のすべてのPDFファイルを暗号化します。
- 医療情報
- 任意のサイズのもの
- 任意のユーザーによってリムーバブル ストレージ デバイスに保存されています
Zscalerサービスは、指定された監査役にポリシー違反に関するメール通知を送信しますが、インシデント受信者には情報を転送しません。エンド ユーザーは、リムーバブル ストレージ チャネル用に構成されたデフォルトの通知を受け取ります。
閉じる - (オプション)5.例外ルールを定義します。
例外ルールを使用すると、エンドポイント ルールに違反する可能性のあるタスクを必要なワークフローの一部として実行する必要がある組織内の特定のユーザーまたはグループを除外できます。最大32個の例外ルールを任意のエンドポイントDLPルールに追加でき、例外ルールは親ルールのチャネルとルール構造を自動的に継承します。例外ルールに別のチャネルを割り当てることはできませんが、他のほとんどのルール設定はカスタマイズできます。
詳細は、DLPリソースの追加を参照してください。
例外ルールを定義する手順は次の通りです。
- [ポリシー]>[エンドポイント情報漏洩防止]の順にアクセスします。
- リストで既存の例外ルールを検索し、[例外ルールを追加]のアイコンをクリックします。[DLP例外ルールを追加]のウィンドウが表示されます。
- [DLP例外ルールを追加]のウィンドウで、次の操作を行います。
- 次のDLPルールの属性を入力します。
- [ルール名]:このフィールドは親ルールから継承され、変更できません。
- [例外ルール名]:例外ルールに名前を入力します。
[チャネル]:このフィールドは親ルールから継承され、変更できません。親ルールのチャネルに応じて、次の設定を更新できます。
- [プリンター]:このフィールドは、[チャンネル]が[印刷中]の場合にのみ表示されます。ドロップダウン メニューからプリンターを1つ以上選択し、[終了]をクリックします。プリンターを検索することもできます。
- [プリンター グループ]:このフィールドは、[チャンネル]が[印刷中]の場合にのみ表示されます。ドロップダウン メニューからネットワーク プリンターを1つ以上選択し、[終了]をクリックします。また、プリンター グループを検索することもできます。
- [リムーバブル ストレージ]:このフィールドは、[チャネル]が[リムーバブル ストレージ]のときにのみ表示されます。ドロップダウン メニューから1つ以上のリムーバブル ストレージ デバイスを選択し、[終了]をクリックします。
- [リムーバブル ストレージ デバイス]:このフィールドは、[チャネル]が[リムーバブル ストレージ]のときにのみ表示されます。ドロップダウン メニューから1つ以上のリムーバブル ストレージ デバイスを選択し、[終了]をクリックします。リムーバブル ストレージ デバイス グループを検索することもできます。
- [ネットワーク共有]:このフィールドは、[チャネル]が[ネットワーク共有]のときにのみ表示されます。ドロップダウン メニューから1つ以上のネットワーク共有を選択し、[終了]をクリックします。
- [ネットワーク共有グループ]:このフィールドは、[チャネル]が[ネットワーク共有]のときにのみ表示されます。ドロップダウン メニューから1つ以上のネットワーク共有を選択し、[終了]をクリックします。ネットワーク共有グループを検索することもできます。
- [パーソナル クラウド]:このフィールドは、[チャネル]が[パーソナル クラウド ストレージ]のときにのみ表示されます。ドロップダウン メニューから1つ以上のパーソナル クラウド アカウントを選択し、[終了]をクリックします。
iCloudはmacOSでのみサポートされています。
- [ルールのステータス]:有効な例外ルールがアクティブに適用されます。無効化された例外ルールはアクティブに適用されませんが、ルールの順序内でその場所を失うことはなく、サービスはそれをスキップして次の例外ルールに移動します。
- [重大度]:ドロップダウン メニューから違反の重大度を選択します(すなわち、[高]、[中]、[低]または[情報])。
- [ルールの順序]:すべての親ルールが評価されます。複数のルールが一致する場合は、最も制限の厳しいアクションと最も高いルールの順序を持つルールが適用されます。例外の評価は最初の一致で停止し、一致時に例外によって親ルールが置き換えられます。
- [ルール ラベル]:このフィールドは親ルールから継承され、変更できません。
- [説明]: (省略可)例外ルールに関する追加のメモまたは情報を入力します。説明は10,240文字を超えることはできません。
- 下の基準を定義します。
- [コンテンツ マッチング]: [DLPエンジンを選択]を選択して、最大4つのエンジンを選択します。DLPエンジンを検索することもできます。[なし]を選択した場合、ZscalerサービスはコンテンツのスキャンにDLPエンジンを使用しません。代わりに、サービスはフィルターとして機能し、指定した条件に基づいてのみコンテンツにフラグを設定します。
- [ファイル タイプ]:ドロップダウン メニューから、例外ルールのファイル タイプを選択します。利用可能なファイル タイプのリストは、コンテンツ インスペクションにDLPエンジンを使用しているかどうかによって異なります。特定のファイル タイプ経由で送信されるコンテンツにのみ適用されるエンドポイントDLPポリシー ルールを作成できます。Zscaler DLPエンジンは、最大100MBのファイルをスキャンできます。アーカイブファイルの場合、解凍時の個々のファイルのサイズも最大100 MBになります。ファイル タイプを検索することもできます。
- [グループ]:エンドポイントDLP例外ルールをグループに適用する方法を指定できます。 グループを検索することもできます。
- [ユーザー]:エージェントDLPルールをユーザーに適用する方法を指定できます。ユーザーを検索することもできます。
- [最小データ サイズ(KB)]:DLP例外ルールが適用される前にデータが満たす必要がある最小サイズ要件を入力します。デフォルトの最小データ サイズである0KBは、最小データ サイズ要件がないことを意味します。
- [部署]: DLP例外ルールを部署に適用する方法を指定できます。部署を検索することもできます。
DLPポリシーは、組織のトラフィックを検査するときに、[ユーザー]、[グループ]および[部署]のフィールドにORロジックを適用します。DLP例外ルールをトリガーするには、Zscalerサービスがルールで選択されたユーザー、グループまたは部署のうち少なくとも1つを検出する必要があります。
- [デバイス]:ドロップダウン メニューから、例外ルールを適用するデバイスを1つ以上選択します。すべてのデバイスを含めるには、[任意]を選択します。 デバイスを検索することもできます。
- [デバイス グループ]:ドロップダウン メニューから、例外ルールを適用する1つ以上のデバイス グループを選択します。すべてのデバイス グループを含めるには、[任意]を選択します。 デバイス グループを検索することもできます。
- [デバイス信頼レベル]:必要なデバイス信頼レベル([信頼性:高]、[信頼性:中]、[信頼性:低]、[不明])を選択します。デバイスに割り当てられる信頼レベルは、Zscaler Client Connector Portalのポスチャー構成に基づきます。デバイスの信頼レベルを検索することもできます。
- [ユーザー リスク プロファイル]:例外ルールを適用する対象となるユーザー リスク スコア レベルを選択します。値を選択しないと、ポリシー評価の条件は無視されます。ユーザーのリスク プロファイルを検索することもできます。
ユーザーには、閲覧アクティビティに基づいてリスクスコアが割り当てられます。リスク・スコアの範囲は、リスクスコアレベルとしてグループ化されます。
デフォルトでは、次のユーザー リスク スコア レベルを使用できます。
- 低:ユーザー リスク スコアが0から29の範囲のレベル
- 中: ユーザー リスク スコアが 30 から 59 の範囲のレベル
- 高:ユーザーリスクスコアが60から79の範囲のレベル
- 重大:ユーザー リスク スコアが80から100の範囲のレベル
Zscalerサポートに連絡して、組織のこれらのレベルのユーザー リスク スコア範囲をカスタマイズします。
- 例外ルールの[アクション]を選択します。
- [許可]:サービスはアクティビティーを許可し、ログに記録します。
- [ブロック]:サービスはアクティビティーをブロックしてログに記録します。
macOSの場合、[ブロック]アクションは、[リムーバブル ストレージ]、[個人用クラウド ストレージ]、[ネットワーク共有]チャネルでサポートされます。[印刷]チャネルの場合、Zscalerはポリシー違反を監視して報告します。
- [確認]:ユーザーは、アクティビティーを続行することを正当化するか、アクティビティーを完全にキャンセルすることができます。どちらの場合も、Zscalerサービスはそれに応じてアクティビティーをログに記録します。
- [保護]:このオプションは、[チャネル]が[リムーバブル ストレージ]の場合にのみ表示されます。この設定を有効にすると、Zscalerサービスは影響を受けるファイルにのみ暗号化を適用し、リムーバブル記憶装置自体には適用しません。暗号化後、ファイルを復号化できるのは、デバイス上でエンドポイントDLPを実行している同じ組織のメンバーのみです。
- この機能は、機密データを含むファイルを組織の境界内に保持し、リムーバブル ストレージ デバイスを使用できるように設計されています。これは、短期的なファイル転送用に特別に設計されており、長期的なバックアップのためにファイルを暗号化するために使用しないでください。
- Zscalerサービスによって適用される暗号化は、暗号化キーが各組織に固有であるため、追加のキー管理は必要ありません。
- 機密データを含むファイルをリムーバブル ストレージに保存すると、Zscalerサービスはリムーバブル ストレージに別の暗号化(
.zenc
)ファイルのみを保存します。Zscalerサービスは、元のファイルまたはファイルパスを変更しません。 - リムーバブル ストレージ デバイスを介して暗号化されたファイルを受信するユーザーは、ファイルを右クリックして[復号化]を選択し、Zscalerサービスを使用してファイルを復号化する必要があります。Zscalerサービスは、復号化されたファイルが次のディレクトリーに保存され、自動的に開きます。
- [Windows]:
/ProgramData/Zscaler/ZDP/Decrypted Files/<username>/
- [macOS]:
/Library/Application Support/Zscaler/ZDP/Decrypted Files/<username>/
- [Windows]:
- 機密データを含むファイルがリムーバブル ストレージ デバイスに保存されているが、元の送信元パスがない場合(つまり、ファイルが切り取られてリムーバブル ストレージ デバイスに貼り付けられる場合)、Zscalerサービスは
.zenc
ファイルをリムーバブル ストレージ デバイスに保存し、復号化されたファイルのコピーを次のディレクトリーに保存します。- [Windows]:
/ProgramData/Zscaler/ZDP/User Files/<username>/Lost and Found/
- [macOS]:
/Library/Application Support/Zscaler/ZDP/User Files/<username>/Lost and Found/
- [Windows]:
- (省略可) [DLPインシデント レシーバー]で、該当するZscalerインシデント レシーバーをドロップダウン メニューから選択します。この手順を完了するには、Zscalerインシデント レシーバーを設定する必要があります。
- 次の[通知]設定を定義します。
- (オプション)例外ルールについてメール通知を構成します。監査役と通知テンプレートを選択しない場合、この例外ルールの通知は送信されません。
- [メール監査役タイプ]:監査役が[ホスト型]データベースからのものか、組織の[外部]からのものかを選択します。
- 以下の手順で監査役を選択します。
- [監査役をメールで送信]:監査役がホスト型データベースから取得する場合は、監査役を選択または検索します。
- [監査役のメール アドレス]:監査役が外部の場合は、監査役のメール アドレスを入力します。
- 以下の手順で監査役を選択します。
- [メール通知テンプレート]:ドロップダウン メニューから通知テンプレートを選択します。
- [メール監査役タイプ]:監査役が[ホスト型]データベースからのものか、組織の[外部]からのものかを選択します。
- 例外ルールのエンド ユーザー通知(EUN)を設定します。エンドポイントに表示されるEUNメッセージのタイプは、例外ルールに設定された[アクション]によって異なります。
- [エンド ユーザー通知]:ユーザーのアクティビティーによって例外ルールがトリガーされたときに アラートにEUNメッセージを表示するには[表示]を選択し、EUNメッセージを表示しない場合は[非表示]を選択します。
- [カスタム メッセージ]: [デフォルト]を選択して、チャネル用に設定されたデフォルトのEUNメッセージを使用するか、ドロップダウン メニューからカスタムEUNメッセージを選択します。また、カスタム メッセージを検索したり、[追加]アイコンをクリックして新しいカスタム メッセージを追加したりすることもできます。
[許可]、[ブロック]、[保護]アクションのカスタム メッセージの設定については、「エンドポイントDLPのEUNの設定」を参照してください。[確認]アクションのカスタム メッセージの設定については、「ユーザー確認通知テンプレートの設定」を参照してください。
- 保存 と 変更を有効にする をクリックします。
たとえば、次の図に示すように構成された定義済みのZscaler DLPエンジンを使用する例外ルールの場合、Zscalerサービスでは、次のすべてのPDFファイルが許可されます。
- 医療情報
- 任意のサイズのもの
- サービス管理部署のメンバーによってリムーバブル ストレージ デバイスに保存されているもの
Zscalerサービスは、指定された監査役に例外に関するメール通知を送信しますが、インシデント受信者には情報を転送しません。エンド ユーザーは、リムーバブル ストレージ チャネル用に構成されたデフォルトの通知を受け取ります。
閉じる