配置 AI 服務存取規則以控制使用者對基於網頁的 AI 服務的存取,並監控敏感或不適當的內容。
 |
重要這是一個預發布的子功能,並不屬於正式商業或一般發布的現有功能。使用此子功能前,請先查看 預發佈子功能免責聲明。
|
 |
注意AI 服務存取規則優先於網路存取規則。
|
步驟
- 在安全存取規則畫面上,點選AI Service Access標籤,然後點選Create AI Service Access Rule。規則配置畫面顯示已選擇AI service access規則範本。
- 指定規則的唯一名稱和描述。
- 指定適用的生成式 AI 服務是公共生成式 AI 服務還是私人生成式 AI 服務。
- (選擇性)若要啟用或關閉規則,請點選狀態旁的切換開關。
秘訣
您也可以在安全存取規則畫面上啟用或關閉規則。 - 配置以下規則設定。規則設定說明選項規則目標受規則針對或排除的使用者、裝置和位置
-
Users/Groups/Private IP address groups:目標或排除與您配置的 SSO 提供者註冊的使用者或群組。您也可以選擇目標或排除來自您內部 企業網路位置 的私人 IP 位址群組。
-
只有從配置為您SSO提供者的IAM系統中的用戶或群組才能在規則中使用。
-
透過點擊新增來定義新的 IP 位址群組。IP 位址或範圍必須存在於您內部的公司網路中。
重要
規則可能不適用於未安裝安全存取模組且不發送包含X-Forwarded-For (XFF)標頭欄位的 HTTP/HTTPS 請求的裝置。網路存取閘道無法檢索這些裝置的私人 IP 位址。 -
-
Device posture profile:選擇或新增裝置狀態設定檔,以排除使用安全存取模組存取網路的合規裝置。
- Locations:目標為在您的網路存取雲端閘道或網路存取內部閘道上定義的可用企業或公共/家庭網路位置。
-
通過轉到來定義特定網關上的網路位置。
-
流量此規則適用於 AI 服務流量AI services指定所有可用的 AI 服務或選定的 AI 服務。重要
-
從Services supporting content inspection中選擇以啟用進階生成式 AI 內容正在過濾。不支援內容檢查的 AI 服務只能允許或已封鎖。目前支援的 AI 服務包括:
-
Amazon Bedrock(僅限 Converse 和 ConverseStream)
-
Anthropic API 和 Claude(所有版本)
-
ChatGPT(所有版本)
-
Google Gemini(前稱 Bard)
-
Microsoft Copilot(前稱 Bing 聊天)
-
Microsoft 365 的 Microsoft Copilot
-
- 如果將規則應用於公共 AI 服務,您必須前往 並為以下 URL 類別添加或啟用 HTTPS 檢查規則:
-
商業/經濟
-
搜尋引擎/入口網站
-
電腦/網路
-
排程規則應用的時間範圍選擇Custom來設定每週計劃。勾選Only apply the rule during the specified period並選擇日期範圍來設定特定期間。注意
排程使用您公司網路位置中定義的時區。來自公共或家庭網路的連線使用 UTC+0。處理行動當規則被觸發時的中毒處理行動-
封鎖 AI 服務存取:封鎖對所有支援的 AI 服務的存取。
-
允許 AI 服務訪問並進行高級 AI 內容檢查:允許在指定的內容檢查參數內訪問指定的 AI 服務以進行提示或回應。
-
提示設定包括:
-
敏感資料洩漏檢測:根據 AI 內容檢查規則監控或阻止包含敏感資料的提示
-
潛在的提示注入檢測:監控可能嘗試向 AI 服務提供惡意指令的提示,並允許該服務散佈惡意程式、竊取敏感資料或控制系統
-
檔案上傳偵測:監控或封鎖嘗試上傳檔案至 AI 服務的行為
-
-
回應設定包括:
-
不當回應內容檢測:根據 AI 內容檢查規則,監控或阻止被檢測為包含不當資料的回應
-
封鎖包含惡意 URL 的回應,這些 URL 由趨勢科技安全威脅專家檢測出來
-
-
-
- 點選儲存。在AI Service Access畫面上查看所有可用的規則。