Erstellen einer KI-Dienstzugriffsregel

Prozedur

1. Klicken Sie auf dem Bildschirm Secure Access Rules auf die Registerkarte AI Service Access und dann auf Create AI Service Access Rule.
   Der Bildschirm zur Regelkonfiguration erscheint mit der AI service access-Regelvorlage ausgewählt.
2. Geben Sie einen eindeutigen Namen und eine Beschreibung für die Regel an.
3. Geben Sie an, ob der betreffende generative KI-Dienst ein öffentlicher oder privater generativer KI-Dienst ist.
4. (Optional) Um die Regel zu aktivieren oder zu deaktivieren, klicken Sie auf den Schalter neben Status.

   Tipp Sie können Regeln auf dem Bildschirm Secure Access Rules auch aktivieren oder deaktivieren.

5. Konfigurieren Sie die folgenden Regel-Einstellungen.

   Regelkonfiguration	Beschreibung	Optionen
   Regelziel	Benutzer, Geräte und Standorte, die von der Regel betroffen oder ausgeschlossen sind	Users / Groups/ IP address groups: Zielgruppen oder Benutzergruppen, die bei Ihrem konfigurierten SSO-Anbieter registriert sind, ein- oder ausschließen. Alternativ können Sie sowohl öffentliche als auch private IP-Adressgruppen ein- oder ausschließen. Nur Benutzer oder Gruppen aus dem IAM-System, das als Ihr SSO-Anbieter konfiguriert ist, können in Regeln verwendet werden. Definieren Sie eine neue IP-Adressgruppe, indem Sie auf Hinzufügen klicken, und wählen Sie entweder eine öffentliche oder private IP-Adressgruppe aus. Wenn Sie eine private IP-Adresse ausgewählt haben, müssen die IP-Adressen oder Bereiche in Ihrem internen Firmennetzwerk vorhanden sein. Sie können sowohl benutzerdefinierte URLs als auch benutzerdefinierte Cloud-Apps ein- und ausschließen. Wichtig Regeln gelten möglicherweise nicht für Geräte ohne installiertes Secure Access Module, die keine HTTP/HTTPS-Anfragen mit dem X-Forwarded-For (XFF)-Headerfeld senden. Das Internetzugangsgateway kann die privaten IP-Adressen dieser Geräte nicht abrufen. Device posture profile: Wählen Sie ein Gerätehaltungsprofil aus oder fügen Sie eines hinzu, um konforme Geräte auszuschließen, die über das Secure Access Module auf das Internet zugreifen. Locations: Ziel sind verfügbare Unternehmens- oder öffentliche/Heim-Speicherorte im Netzwerk, wie sie in Ihrem Internetzugangs-Cloud-Gateway oder Internetzugangs-On-Premises-Gateways definiert sind. Definieren Sie Speicherorte im Netzwerk auf bestimmten Gateways, indem Sie zu Secure Access Configuration → Internet Access and AI Service Access Configuration → Gateways gehen.
   Datenverkehr	Der KI-Dienstverkehr, auf den die Regel angewendet wird	AI services Geben Sie alle verfügbaren KI-Dienste oder ausgewählte KI-Dienste an. Wichtig Wählen Sie aus Services supporting content inspection, um die erweiterte generative KI-Content-Filterung zu aktivieren. KI-Dienste, die keine Inhaltsinspektion unterstützen, können nur erlaubt oder gesperrt werden. Unterstützte KI-Dienste umfassen derzeit: Amazon Bedrock Converse und ConverseStream (alle Versionen) InvokeModel und InvokeModelWithResponseStream (nur Anthropic-Modelle) Anthropic-API und Claude (alle Versionen) ChatGPT (alle Versionen) DeepSeek (alle Versionen) GitHub Copilot (Visual Studio Code – nur Chat-Panel) Erfordert IDE-Plugin Version 1.5.6.5692 oder höher Erfordert Secure Access Module (SAM) Weitere Informationen finden Sie unter Konfigurieren des abonnementbasierten Netzwerk-Routings für Copilot in Ihrer Organisation Google Gemini (ehemals Bard) Microsoft Copilot (ehemals Bing Chat) Microsoft Copilot für Microsoft 365 Wenn Sie die Regel auf einen öffentlichen KI-Dienst anwenden, müssen Sie zu Internet Access and AI Service Access Configuration → HTTPS Inspection gehen und HTTPS-Inspektionsregeln für die folgenden URL-Kategorien hinzufügen oder aktivieren: Wirtschaft/Handel Suchmaschinen/Portale Computer/Internet
   Zeitplan	Der Zeitraum, in dem die Regel angewendet wird	Wählen Sie Benutzerdefiniert, um einen wöchentlichen Zeitplan festzulegen. Überprüfen Sie Only apply the rule during the specified period und wählen Sie einen Datumsbereich, um einen bestimmten Zeitraum festzulegen. Hinweis Zeitpläne verwenden die in Ihren Speicherorten im Unternehmensnetzwerk definierten Zeitzonen. Verbindungen von öffentlichen oder Heimnetzwerken verwenden UTC+0.
   Aktion	Die durchgeführte Aktion, wenn die Regel ausgelöst wird	KI-Dienstzugriff sperren: Sperrt den Zugriff auf alle unterstützten KI-Dienste. KI-Dienstzugriff mit erweiterter KI-Inhaltsinspektion erlauben: Ermöglicht den Zugriff auf angegebene KI-Dienste innerhalb der festgelegten Inhaltsinspektionsparameter für Eingabeaufforderungen oder Antworten. Eingabeaufforderungseinstellungen umfassen: Erkennung von Lecks sensibler Daten: Überwacht oder sperrt Eingaben, die sensible Daten enthalten, wie durch die KI-Inhaltsinspektionsregeln definiert Potenzielle Prompt-Injektionserkennung: Überwachen oder Sperren von Prompts, die versuchen könnten, bösartige Anweisungen an den KI-Dienst zu geben und es dem Dienst zu ermöglichen, Malware zu verbreiten, sensible Daten zu stehlen oder die Kontrolle über Systeme zu übernehmen Datei-Upload-Erkennung: Versuche, Dateien zu einem KI-Dienst hochzuladen, überwachen oder sperren Antwortoptionen umfassen: Erkennung unangemessener Antwortinhalte: Überwacht oder sperrt Antworten, die als unangemessene Daten erkannt werden, wie durch KI-Inhaltsinspektionsregeln definiert Antworten mit bösartigen URLs sperren, wie von den Bedrohungsexperten von Trend Micro erkannt

6. Klicken Sie auf Save.
   Alle verfügbaren Regeln auf dem Bildschirm AI Service Access anzeigen.