如何建立 Netskope 設定檔

Netskope 使用設定檔與原則。本文涵蓋如何為 Netskope 建立設定檔。

受影響的產品：

• Netskope 系統管理員平台

1. 在網頁瀏覽器中，前往 Netskope Web 主控台：
   • 美國資料中心：https://[TENANT].goskope.com/
   • 歐盟資料中心：https://[TENANT].eu.goskope.com/
   • 法蘭克福資料中心: https://[TENANT].de.goskope.com/
   注意：[TENANT] = 環境中的租戶名稱
2. 登入 Netskope Web 主控台。
   
3. 按一下原則。
   
4. 在 「原則 」列中，按一下 設定檔 以建立。選項可針對下列項目建立設定檔：
   • 防止資料遺失 (DLP)
   • 威脅保護
   • Web
   • 入侵保護系統 (IPS)
   • 連線的應用程式/附掛程式
   • 網域
   • User
   • 限制
   • 隔離
   • Legal Hold
   • 鑑識
   • 網路位置
   
5. 按一下左上角的新設定檔。
   

如需更多關於建立設定檔選項的資訊，請按一下適當的選項。

DLP

6. 在 建立設定檔 功能表中：
   1. 或者，按一下所有區域，然後選取一個區域。
   2. 或者，搜尋關鍵字。
   3. 選取規則。
   4. 重複步驟 A、B 和 C，直到選取所有需要的規則為止。
   5. 按一下下一步。
   
7. 或者，選取任何已建立的指紋。完成後，按一下下一步。
   
8. 填入設定檔名稱，然後按一下 建立設定檔。
   

威脅保護

預設的惡意軟體掃描可透過建立自訂惡意軟體偵測設定檔來擴充。惡意軟體偵測設定檔可讓使用者新增自訂雜湊清單作為封鎖清單和允許清單。從其他情報來源取得的已知惡意雜湊可包含在封鎖清單中。已知良好的檔案 (通常是企業專用的專屬內容) 可以新增至允許清單，這樣 Netskope 就不會將它們標示為可疑。可在即時保護原則建立工作流程中使用自訂惡意軟體偵測設定檔。

6. 或者，選取不同的掃描，然後按一下 下一步。
   
7. 在 允許清單 功能表中：
   1. 可選擇，按一下 + 建立新 項目以建立新的檔案雜湊，然後前往步驟 8。
   2. 選取檔案雜湊至允許清單。
   3. 重複步驟 A 和 B，直到選取所有需要的檔案雜湊為止。
   4. 按一下下一步，然後前往步驟 10。
   
8. 在 「新增檔案雜湊清單 」功能表中：
   1. 選取 SHA256 或 MD5。
   2. 填入檔案雜湊。
   3. 按一下下一步。
   
9. 填入 檔案雜湊清單名稱 ，然後按一下 儲存檔案雜湊清單。
   
10. 在 封鎖清單 功能表中：
    1. 可選擇，按一下 + 建立新項目以建立新的檔案雜湊，然後前往步驟 11。
    2. 選取檔案雜湊至封鎖清單。
    3. 重複步驟 A 和 B，直到選取所有需要的檔案雜湊為止。
    4. 按一下下一步，然後前往步驟 13。
    
11. 在 「新增檔案雜湊清單 」功能表中：
    1. 選取 SHA256 或 MD5。
    2. 填入檔案雜湊。
    3. 按一下下一步。
    
12. 填入 檔案雜湊清單名稱 ，然後按一下 儲存檔案雜湊清單。
    
13. 填入 惡意軟體偵測設定檔名稱 ，然後按一下 儲存惡意軟體偵測設定檔。
    

Web

自訂類別功能可提供彈性，以取代指定 URL 預先定義的 Netskope 統一資源定位器 （URL） 類別對應，或透過定義自訂 URL 類別來將其擴充。對於 Netskope 預先定義的 URL 類別沒有 URL (未分類) 對應的情況，這非常實用。

6. 在 類別 功能表中：
   1. 選取要封鎖的類別。
   2. 按一下下一步。
   
7. 在 例外 功能表中：
   1. 可選擇，按一下 + 建立新項目以新增自訂 URL，然後前往步驟 8。
   2. 選取要包含或排除的 URL。
   3. 按一下下一步，然後前往步驟 9。
   
8. 填入任何 URL 以新增至 「包含 」或 「排除 」清單 ，然後按一下下一步。
   
9. 填入 URL 清單名稱 ，然後按一下 儲存 URL 清單。
   
10. 填入 自訂類別名稱，然後按一下 儲存自訂類別。
    

IPS

6. 在 「新 IPS 設定檔 」功能表中：
   1. 填入 IPS 設定檔名稱。
   2. 選取安全性層級。
   3. 或者，選取僅警示模式。
   4. 按一下儲存。
   

連線的應用程式/附掛程式

連線的應用程式/附掛程式設定檔可讓您建立包含 Google 應用程式和附掛程式自訂清單的設定檔。使用此設定檔偵測並防止使用者安裝任何在 Google 中新增的第三方應用程式。

6. 按一下新增連線的應用程式/附掛程式設定檔。
   
7. 按一下選取檔案以上傳包含連線的應用程式/附掛程式和 ID 清單的 .csv 檔案，然後按一下下一步。
   
   注意：

   • .csv 檔案的格式應為：
     • connectedApp1,ID
     • connectedApp2,ID
     • connectedApp3,ID
   • 使用 Google 帳戶的使用者名稱和密碼登入 Google App Engine 網站。檢視我的應用程式頁面上的 App Engine 應用程式清單。每個應用程式的應用程式 ID 會顯示在應用程式欄底下。
8. 填入 設定檔名稱 ，然後按一下 儲存連線的應用程式/附掛程式設定檔。
   

網域

網域設定檔可用於定義電子郵件的外部網域帳戶。網域設定檔可搭配支援應用程式發展介面 （API） 的保護應用程式使用，例如 Gmail 和 Microsoft 365 Outlook.com。在原則定義精靈中，您可以掃描傳送至外部網域的電子郵件訊息，例如 xyz.com 或 abc.com。

6. 填入 網域，然後按一下 下一步。
   
7. 填入 網域設定檔名稱，然後按一下 建立網域設定檔。
   

User

使用者設定檔可用於選取使用者設定檔，而非支援應用程式發展介面 (API) 的保護原則中所有使用者或使用者群組。使用者設定檔可讓您上傳逗號分隔值 （CSV） 檔案，內含所有使用者的電子郵件地址，以便在掃描中包含或排除違反原則的情況。

6. 在 上傳 CSV 功能表中：
   1. 按一下選取檔案。
   2. 前往使用者電子郵件地址的 CSV 檔案，然後連按兩下。
   3. 按一下下一步。
   
7. 填入 使用者設定檔名稱，然後按一下 建立使用者設定檔。
   

限制

限制設定檔用於即時保護原則。限制設定檔定義使用者可為應用程式中的特定活動做些什麼。就 Amazon S3 而言，限制會偵測和防止內部威脅活動。

例如：

• 使用者只能從 Google Drive 在組織內共用內容，或略過檢查使用者是否要登入其個人的 Gmail 例項。
• 使用者無法從公司擁有的 Amazon S3 容器複製或同步資料至個人或非公司 Amazon S3 容器。

為應用程式建立即時保護原則時，使用者和儲存限制設定檔可套用至特定活動。如需詳細資訊，請按一下適當的設定檔。

User

6. 在 建立使用者限制設定檔 功能表中：
   1. 填入 限制設定檔名稱。
   2. 選取相符類型。
   3. 填入電子郵件網域。
   4. 或者，按一下 + 新增其他，然後重複步驟 B 和 C，直到填入所有需要的電子郵件地址為止。
   5. 按一下儲存限制設定檔。

儲存裝置

6. 按一下儲存裝置標籤。
   
7. 按一下新增儲存限制設定檔。
   
8. 在 建立儲存限制設定檔 功能表中：
   1. 填入 限制設定檔名稱。
   2. 選取相符類型。
   3. 選取要相符的 Amazon S3 容器 。
   4. 按一下儲存限制設定檔。

隔離

隔離設定檔用於指定有隔離原則動作時檔案必須隔離的位置。使用標記檔案來取代原始檔案的內容。會保留原始檔案的名稱和副檔名。

6. 在 設定 功能表中：
   1. 選取應用程式。
   2. 選取例項。
   3. 填入 使用者電子郵件 以擁有隔離資料夾。
   4. 填入以逗號分隔的電子郵件地址，以便在檔案上傳至隔離資料夾時接收通知。
   5. 按一下下一步。
   
7. 從 自訂 功能表中：
   1. 為標記文字選取預設或自訂。
   2. 如果選取自訂文字，請填入自訂標記文字。否則，請前往步驟 C。
   3. 為惡意軟體標記文字選取預設或自訂。
   4. 如果選取自訂文字，請填入自訂惡意軟體標記文字。否則，請前往步驟 E。
   5. 或者，選取 使用上傳的標記檔案。
   6. 或者，按一下客戶提供的標記檔案，然後前往步驟 8。
   7. 按一下下一步，然後前往步驟 9。
   
   注意：自訂標記文字不適用於檔案副檔名 .xls(x) 和 .ppt(x)。針對這些檔案類型，Netskope 會顯示預設的標記文字。
8. 從 客戶提供的標記檔案 功能表中：
   1. 填入 標記檔案副檔名。
   2. 按一下選取檔案以上傳標記檔案。
   3. 按一下上傳。
   
9. 填入 隔離設定檔名稱 然後按一下 建立隔離設定檔。
   

Legal Hold

Legal Hold 是組織在合理預期有訴訟時，用來保留所有相關資訊形式的程序。Legal Hold 設定檔用於指定檔案必須存放的位置，以利法律之用。

6. 在 建立 Legal Hold 設定檔設定 功能表中：
   1. 選取您希望將檔案上傳的應用程式位置，以供 Legal Hold 使用。
   2. 選取應用程式的例項。
   3. 填入 託管人員電子郵件 以擁有 Legal hold 資料夾。
   4. 填入當檔案上傳至 Legal hold 資料夾時，應收到通知的任何系統管理員 通知電子郵件 。
   5. 按一下下一步。
   
   注意：

   • 如需建立例項的詳細資訊，請參閱如何建立 Netskope API 已啟用的保護例項。
   • 為 Microsoft 365 OneDrive/SharePoint 應用程式設定 Legal Hold 設定檔之前，託管人員應先登入 Microsoft 365 帳戶並設定 OneDrive/SharePoint 應用程式。
   • 對於 Slack for Enterprise 應用，電子郵件位址應與你在 Slack for Enterprise 實例設置期間輸入的電子郵件位址相同。
7. 填入 Legal Hold 設定檔名稱 ，然後按一下 建立 Legal Hold 設定檔。
   

鑑識

此功能可在原則觸發違規時提供資料遺失防護 (DLP) 鑑識詳細資料。鑑識資訊可能包含敏感內容。為了維護隱私權，您必須選取一個鑑識設定檔，以儲存鑑識資訊。

6. 在 建立鑑識設定檔 功能表中：
   1. 選取您要啟用意外管理的應用程式。
   2. 選取應用程式的例項。
   3. 填入應用程式特定資訊。
   4. 按一下下一步。
   
   注意：

   • 步驟 6C 會依所選的應用程式而有所不同。此資訊可用來識別要監控的資料。
   • 如需建立例項的詳細資訊，請參閱如何建立 Netskope API 已啟用的保護例項。
   • 如果使用 Microsoft Azure，請填入 Azure 儲存裝置帳戶名稱。若要找到儲存裝置帳戶名稱，請登入 portal.azure.com。轉到 “所有服務”、“ 存儲”，然後轉到 “存儲帳戶”。此頁面會顯示儲存裝置帳戶的清單。輸入 Azure 容器名稱。Netskope 在此容器中上傳鑑識檔案。若要找到容器名稱，請登入 portal.azure.com。轉到“所有服務”、“存儲”、“存儲帳戶”。此頁面會顯示儲存裝置帳戶的清單。單擊存儲帳戶名稱，然後轉到“ Blob 服務”， 然後選擇“ Blob”。此頁面會顯示容器清單。
   • 為 Microsoft 365 OneDrive 應用設置鑑識配置檔之前，擁有者應登錄到 Microsoft 365 帳戶並設置 OneDrive 應用。
7. 填入 鑑識設定檔名稱 ，然後按一下 建立鑑識設定檔。
   
8. 按一下設定。
   
9. 按一下意外管理。
   
10. 在 編輯設定 功能表中：
    1. 按一下以 啟用鑑識。
    2. 選取 鑑識設定檔。
    3. 按一下儲存。
    

網路位置

您可以新增單一物件或多個物件的網路位置。

6. 在 位址 功能表中：
   1. 填入 IP 位址、IP 位址範圍或無類別網域間路由 (CIDR) 網路遮罩。
   2. 按一下右側的 + 鍵。
   3. 按一下下一步。
   
7. 填入 網路位置物件名稱，然後按一下 儲存網路位置。