跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=data-control-rule-create

建立資料控管規則

新增規則至資料管控原則以控制電子郵件中的敏感資訊。這些規則描述了要查找的資訊以及在規則匹配時應執行的操作。

若要建立新規則,請編輯現有原則或建立新原則:

  1. 移至電子郵件安全性 > 原則
  2. 按一下現有資料管控原則進行編輯。若要建立新原則,請按一下新增原則。請參閱資料控管策略
  3. 按一下 設定
  4. 按一下 入埠出埠 以設定此規則檢查的電子郵件的方向。
  5. 按一下 新增規則
  6. 設定規則名稱和說明。

  7. 選擇規則類型。

    您可以使用 Sophos 提供的範本來控制常見類型的敏感資訊。您還可以使用內容管控清單 (CCL)、郵件屬性或關鍵字和片語自訂規則。

  8. 按一下下一步

    新增項目會出現。

  9. 新增項目中,您可以選擇要套用規則的項目。

    對於大多數規則類型,您可以使用 Sophos 提供的清單或構建特定於您需求的自訂清單。

    如果選擇郵件屬性 (MA),請繼續下一步。

    如果您選擇附件檔案類型 (AFT),我們建議您使用預設 Sophos 清單。

    如果使用自訂清單,則可以選擇按檔案副檔名檔案群組篩選。

    如果按檔案副檔名篩選,則可以選取單個檔案副檔名。您無法選擇檔案群組。您也可以在包括副檔名中新增一個逗號分隔的檔案副檔名清單,以便根據其進行篩選。該規則與檔案副檔名匹配,而不是我們偵測到的檔案類型。

    如果按檔案群組篩選,則可以從清單中選取檔案類型群組。您無法選擇單個副檔名。該規則與我們偵測到的檔案類型匹配,而不是與副檔名匹配。

    如果您選擇關鍵字 (KW) ,請輸入要搜尋的字串。您還可以匯入關鍵字。

    我們會依此順序在下列位置查找關鍵字:電子郵件的主旨、正文、附件名稱及附件。我們的查找位置取決於您在搜尋位置中選取的選項。

    當我們在其中一個位置找到關鍵字時,我們會停止在該位置查找,並開始在下一個位置查找。這意味着您可能看不到報告和警示中所列郵件的一部分中的所有關鍵字。

    您可以選擇篩選單詞和片語,或使用正則表達式。如果要在 Sophos Email DLP 規則的上下文中使用正則表達式新增關鍵字,最多可以使用 50 個字元。必須對正則表達式使用 PCRE Boost Perl 語法。請參閱 Perl 語法

    限制

    由於效能原因,我們不支援包含群組的正則表達式。群組是用括號括起來的一系列字元。

    您可以使用 BRegexTest 測試正則表達式,BRegexTest 是 Google Code 提供的 Windows 可執行檔案。請參閱 Google 程式碼封存:bregextest

  10. 按一下下一步

    螢幕上顯示訊息屬性

  11. 選取要用於篩選訊息的訊息屬性。

    從以下內容進行選擇:

    • 標頭:您可以檢查標頭值是否符合規則運算式、是否包含子字串、是否等於某個值,或標頭是否存在。
    • 來源:您可以新增 IP 位址和網域來比較它們。
    • 大小:您可以為電子郵件附件、整個電子郵件或兩者設定大小限制。附件大小限制適用於單個附件,而不是所有附件的大小總計。

    如果將郵件屬性規則與其他規則類型一起使用,則匹配將針對這兩種類型。例如,如果您為附件大小選擇郵件屬性,並選擇關鍵字規則類型,則只有在滿足附件大小限制並找到關鍵字時才會匹配該規則。

    我們使用電子郵件的 MIME 編碼計算附件大小。我們不使用原始檔案的大小。這意味着所報告的附件檔案大小通常大於實際檔案。篩選附件大小時必須考慮到這一點。請參閱計算電子郵件附件檔案大小

  12. 按一下下一步

    如果您要建立輸入規則,則會顯示外部寄件者。對於輸出規則,將顯示外部收件者

    這僅適用於規則層級。您也可以在原則層級使用外部使用者和網域。請參閱外部使用者和網域

  13. 新增要包含或排除在規則之外的電子郵件地址或網域。預設值爲 全部包括

    您可以新增單個項目或匯入清單。

    包含和排除是絕對的。例如,如果包含網域,則規則適用於使用該域名的所有電子郵件,不適用於使用任何其他網域的電子郵件。或者,如果您排除某個電子郵件地址,則規則會套用至除使用該電子郵件地址以外的所有電子郵件。

    注意

    當我們分析郵件的寄件者和收件者時,會使用他們的 SMTP 信封寄件者和收件者地址,而不是他們的 From 標頭和 To 標頭地址。

  14. 按一下下一步

    選擇動作將出現。

  15. 選擇規則匹配時要執行的動作、要通知的人員和其他選項。

    注意

    選項根據規則類型和方向(內送外寄)而變更。

    例如,如果您選取了內送,則退回動作不會出現在動作清單中。對於外寄規則,您可以覆寫在全域設定 > 電子郵件加密中設定的預設加密方法。

    動作清單可包括以下選項:

    • 隔離:Sophos Email 會隔離郵件以供檢閱。

    • 加密:Sophos Email 會對郵件進行加密以確保其安全。

    • 刪除附件:原始郵件被隔離,將不帶附件的副本傳送給收件者。您可以從隔離的郵件中管理附件。請參閱隔離訊息

    • 修改地址:您可以指定郵件的收件者抄送密件抄送收件者。

      注意

      • 如果只指定抄送密件抄送收件者,則規則將向原始收件者和您在抄送密件抄送中指定的地址傳送郵件。
      • 如果指定收件者收件者,則規則將向指定的地址傳送郵件,而不會將郵件傳送給原始收件者。
      • 如果選取僅信封,則不會修改 MIME 標頭,並且郵件僅傳送到指定的收件者地址。

    • 重新導向郵件:原始郵件將作為附件轉寄至重新導向電子郵件地址。

    • 重新路由郵件:您可以新增郵件路由目的地的網域或 IP 位址,以及連接埠號。

      注意

      重新路由動作僅適用於 Sophos Email Gateway 接收和傳遞的郵件。對於 Sophos Email Mailflow 郵件,您必須在 Microsoft 365 中設定路由。

    • 退回:Sophos Email 會通知寄件者無法傳送郵件。

    • 修改標頭:您可從以下動作中進行選擇:

      • 新增標頭:輸入標頭元素和值。標頭元素即會新增至電子郵件。
      • 編輯標頭值:輸入標頭和值。標頭第一項的值將替換為新值。
      • 條帶標頭:輸入標頭元素。所有符合標頭元素的標頭都會被移除。

    • 删除:Sophos Email 會刪除郵件。

    • 記錄:Sophos Email 會記錄資料控制原則違規行為,而不採取進一步措施。

    • 標記主旨行:您可以在郵件主旨中新增主旨行。

    • 通知收件者:您可以向收件者傳送通知。

    • 通知管理員:您必須選取要通知的管理員的電子郵件地址。如果稍後刪除郵箱,Sophos Email 將繼續向其傳送通知。您必須變更地址,或選擇其他動作。

您可以選取允許處理以繼續下一個規則的動作,合併不同的規則類型。如果選取允許此操作的動作,則會顯示繼續處理,您可以將其打開。

要完成設定,請執行以下動作:

  1. 按一下使用此規則篩選郵件以打開或關閉規則。
  2. 按一下 已完成