Sự kiện trong nhật ký quy tắc

Xem xét những lần người dùng cố gắng chia sẻ dữ liệu nhạy cảm

Tuỳ thuộc vào phiên bản Google Workspace bạn sử dụng, bạn có thể có quyền sử dụng công cụ điều tra bảo mật có nhiều tính năng nâng cao hơn. Ví dụ: quản trị viên cấp cao có thể xác định, phân loại theo thứ tự ưu tiên và xử lý các vấn đề về bảo mật và quyền riêng tư. Tìm hiểu thêm

Là quản trị viên của tổ chức, bạn có thể tiến hành tìm kiếm và xử lý các vấn đề liên quan đến sự kiện trong nhật ký Quy tắc. Ví dụ: bạn có thể xem bản ghi các hoạt động để xem xét những lần người dùng cố gắng chia sẻ dữ liệu nhạy cảm. Bạn cũng có thể xem xét các sự kiện do sự kiện vi phạm quy tắc ngăn chặn mất dữ liệu (DLP) kích hoạt. Các mục thường xuất hiện trong vòng một giờ kể từ khi người dùng thực hiện hành động.

Các sự kiện trong nhật ký quy tắc cũng liệt kê các kiểu dữ liệu cho tính năng bảo vệ dữ liệu và chống lại mối đe doạ của Chrome Enterprise Premium.

Khả năng chạy tìm kiếm tuỳ thuộc vào phiên bản Google, đặc quyền quản trị và nguồn dữ liệu của bạn. Bạn có thể tìm kiếm tất cả người dùng, bất kể phiên bản Google Workspace mà họ sử dụng.

Công cụ kiểm tra và điều tra

Để tìm kiếm sự kiện trong nhật ký, trước tiên, hãy chọn một nguồn dữ liệu. Sau đó, hãy chọn một hoặc nhiều bộ lọc cho nội dung bạn muốn tìm.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Báo cáo sau đóKiểm tra và điều tra sau đóSự kiện trong nhật ký quy tắc.

    Bạn phải có đặc quyền Kiểm tra và điều tra của quản trị viên.

  2. Để lọc những sự kiện xảy ra trước hoặc sau một ngày cụ thể, đối với Ngày, hãy chọn Trước hoặc Sau. Theo mặc định, các sự kiện trong 7 ngày qua sẽ xuất hiện. Bạn có thể chọn một phạm vi ngày khác hoặc nhấp vào biểu tượng để xoá bộ lọc ngày.

  3. Nhấp vào Thêm bộ lọc sau đóchọn một thuộc tính. Ví dụ: để lọc theo một loại sự kiện cụ thể, hãy chọn Sự kiện.
  4. Chọn một toán tử sau đóchọn một giá trị sau đónhấp vào Áp dụng.
    • (Không bắt buộc) Để tạo nhiều bộ lọc cho nội dung tìm kiếm, hãy lặp lại bước này.
    • (Không bắt buộc) Để thêm toán tử tìm kiếm, ở phía trên phần Thêm bộ lọc, hãy chọn AND hoặc OR.
  5. Nhấp vào Tìm kiếm. Lưu ý: Khi sử dụng thẻ Bộ lọc, bạn có thể thêm các cặp giá trị và tham số đơn giản để lọc kết quả tìm kiếm. Bạn cũng có thể sử dụng thẻ Trình tạo điều kiện, trong đó các bộ lọc được biểu thị dưới dạng điều kiện bằng toán tử AND/OR.

Công cụ điều tra bảo mật

Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

Để chạy một lượt tìm kiếm trong công cụ điều tra bảo mật, trước tiên, hãy chọn một nguồn dữ liệu. Sau đó, hãy chọn một hoặc nhiều điều kiện cho nội dung bạn muốn tìm. Đối với mỗi điều kiện, hãy chọn một thuộc tính, một toán tử và một giá trị.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Bảo mật sau đóTrung tâm bảo mật sau đóCông cụ điều tra.

    Bạn phải có đặc quyền của quản trị viên đối với Trung tâm bảo mật.

  2. Nhấp vào Nguồn dữ liệu rồi chọn Sự kiện trong nhật ký quy tắc.

  3. Để lọc những sự kiện xảy ra trước hoặc sau một ngày cụ thể, đối với Ngày, hãy chọn Trước hoặc Sau. Theo mặc định, các sự kiện trong 7 ngày qua sẽ xuất hiện. Bạn có thể chọn một phạm vi ngày khác hoặc nhấp vào biểu tượng để xoá bộ lọc ngày.

  4. Nhấp vào Thêm điều kiện.
    Lưu ý: Bạn có thể thêm một hoặc nhiều điều kiện vào nội dung tìm kiếm hoặc tuỳ chỉnh nội dung tìm kiếm bằng các truy vấn lồng ghép. Để biết thông tin chi tiết, hãy xem bài viết Tuỳ chỉnh nội dung tìm kiếm bằng các truy vấn lồng ghép.
  5. Nhấp vào Thuộc tính sau đóchọn một lựa chọn. Ví dụ: để lọc theo một loại sự kiện cụ thể, hãy chọn Sự kiện.
    Để xem danh sách đầy đủ các thuộc tính, hãy chuyển đến phần Nội dung mô tả thuộc tính.
  6. Chọn một toán tử.
  7. Nhập một giá trị hoặc chọn một giá trị trong danh sách.
  8. (Không bắt buộc) Để thêm các điều kiện tìm kiếm khác, hãy lặp lại các bước trên.
  9. Nhấp vào Tìm kiếm.
    Bạn có thể xem kết quả tìm kiếm từ công cụ điều tra trong một bảng ở cuối trang.
  10. (Không bắt buộc) Để lưu thông tin điều tra, hãy nhấp vào biểu tượng Lưu sau đónhập tiêu đề và nội dung mô tả sau đónhấp vào Lưu.

Lưu ý

  • Trong thẻ Trình tạo điều kiện, các bộ lọc được biểu thị dưới dạng điều kiện bằng toán tử AND/OR. Bạn cũng có thể sử dụng thẻ Bộ lọc để thêm các cặp giá trị và tham số đơn giản nhằm lọc kết quả tìm kiếm.
  • Nếu đã đổi tên cho một người dùng, bạn sẽ không thấy kết quả truy vấn theo tên cũ của người dùng đó. Ví dụ: nếu đổi tên OldName@example.com thành NewName@example.com, bạn sẽ không thấy kết quả cho các sự kiện liên quan đến OldName@example.com.
  • Bạn chỉ có thể tìm kiếm dữ liệu trong những tin nhắn chưa bị xoá khỏi Thùng rác.

Nội dung mô tả thuộc tính

Đối với nguồn dữ liệu này, bạn có thể sử dụng các thuộc tính sau khi tìm kiếm dữ liệu sự kiện trong nhật ký.

Thuộc tính Mô tả
Cấp truy cập Các cấp truy cập được chọn làm điều kiện Quyền truy cập theo bối cảnh của quy tắc này. Để biết thông tin chi tiết, hãy xem bài viết Tạo cấp truy cập theo bối cảnh.
Actor

Địa chỉ email của người dùng đã thực hiện hành động. Giá trị có thể là Người dùng ẩn danh nếu các sự kiện là kết quả của một lần quét lại.

Lưu ý: Đối với những thao tác do hệ thống kích hoạt chứ không phải do người dùng, giá trị này có thể trống.
Tên nhóm của người thực hiện

Tên nhóm của diễn viên. Để biết thêm thông tin, hãy xem bài viết Lọc kết quả theo Nhóm trên Google.

Cách thêm một nhóm vào danh sách cho phép lọc theo nhóm:

  1. Chọn Tên nhóm của người thực hiện.
  2. Nhấp vào Nhóm lọc.
    Trang Lọc theo nhóm sẽ xuất hiện.
  3. Nhấp vào Thêm nhóm.
  4. Tìm một nhóm bằng cách nhập vài ký tự đầu tiên trong tên hoặc địa chỉ email của nhóm đó. Khi thấy nhóm mà bạn muốn, hãy chọn nhóm đó.
  5. (Không bắt buộc) Để thêm một nhóm khác, hãy tìm và chọn nhóm đó.
  6. Khi bạn chọn xong nhóm, hãy nhấp vào Thêm.
  7. (Không bắt buộc) Để xoá một nhóm, hãy nhấp vào biểu tượng Xoá nhóm .
  8. Nhấp vào Lưu.
Đơn vị tổ chức của người thực hiện Đơn vị tổ chức của người thực hiện
Người nhận bị chặn Những người nhận bị chặn theo quy tắc được kích hoạt
Hành động có điều kiện Danh sách các hành động có thể được kích hoạt tại thời điểm người dùng truy cập, tuỳ thuộc vào điều kiện theo bối cảnh được định cấu hình cho quy tắc.
Mã hội nghị Mã hội nghị của cuộc họp được xử lý trong quá trình kích hoạt quy tắc này
Mã vùng chứa Mã nhận dạng của vùng chứa gốc mà tài nguyên thuộc về
Loại vùng chứa Loại vùng chứa mẹ mà tài nguyên thuộc về, ví dụ: Không gian Chat hoặc Cuộc trò chuyện nhóm, đối với tin nhắn hoặc tệp đính kèm trong cuộc trò chuyện
Nguồn dữ liệu Ứng dụng tạo ra tài nguyên
Ngày Ngày và giờ diễn ra sự kiện
Mã trình phát hiện Mã nhận dạng của trình phát hiện nội dung trùng khớp
Tên trình phát hiện Tên của một trình phát hiện nội dung trùng khớp do quản trị viên xác định
Mã thiết bị Mã nhận dạng của thiết bị mà hành động được kích hoạt. Loại dữ liệu này áp dụng cho tính năng bảo vệ dữ liệu và chống lại mối đe doạ trong Chrome Enterprise Premium.
Loại thiết bị Loại thiết bị mà Mã thiết bị đề cập đến. Loại dữ liệu này áp dụng cho tính năng bảo vệ dữ liệu và chống lại mối đe doạ trong Chrome Enterprise Premium.
Sự kiện

Hành động của sự kiện được ghi lại.

Drive

Các sự kiện quy tắc DLP sau đây được ghi nhật ký cho Drive:

  • Đã hoàn tất hành động, Nội dung trùng khớp*: Một quy tắc DLP đã gắn cờ nội dung trong nội dung của tài liệu trên Drive
  • Đã hoàn tất hành động, Nội dung không khớp*: Tài liệu trên Drive không còn bị gắn cờ nữa vì nội dung ban đầu kích hoạt một quy tắc DLP không còn xuất hiện
  • Quyền truy cập bị chặn: Một quy tắc NCMDL đã chặn hành động tải xuống hoặc sao chép tệp trên Drive

Ghi chú trên Drive:

  • Khi nhãn trên Drive thay đổi, giá trị sẽ là Đã áp dụng nhãn, Đã thay đổi giá trị của trường hoặc Đã xoá nhãn.
  • Khi quy tắc tin cậy chặn việc chia sẻ tệp trên Drive, giá trị sẽ là Đã chặn việc chia sẻ.
  • Khi quy tắc tin cậy chặn quyền truy cập vào tệp trên Drive (xem, tải xuống hoặc sao chép), giá trị sẽ là Quyền truy cập bị chặn.

Gmail

Các sự kiện quy tắc NCMDL sau đây được ghi nhật ký cho Gmail:

  • Đã hoàn tất thao tác, Đã kiểm tra thư gửi*: Một quy tắc NCMDL đã kiểm tra thư trên Gmail trong quá trình gửi
  • Đã hoàn tất hành động, Đã chặn gửi thư*: Một quy tắc NCMDL đã chặn việc gửi thư qua Gmail
  • Đã hoàn tất hành động, Thư gửi bị cách ly*: Một quy tắc DLP đã cách ly thư Gmail để xem xét. Tin nhắn chưa được gửi.
  • Đã hoàn tất hành động, Đã cảnh báo gửi thư*: Một quy tắc DLP đã cảnh báo người dùng không được gửi thư qua Gmail

* Phần "Hoàn tất hành động" trong tên của những sự kiện này sẽ không được dùng nữa.

Lịch (giai đoạn thử nghiệm)

Các sự kiện theo quy tắc DLP sau đây được ghi nhật ký cho Lịch:

  • Đã kiểm tra sự kiện trên Lịch khi lưu: Sự kiện trên Lịch được kiểm tra trong khi lưu.
  • Đã cảnh báo sự kiện trên lịch khi lưu: Một người dùng được cảnh báo không được lưu sự kiện trên Lịch.
  • Đã chặn sự kiện trên Lịch khi lưu: Sự kiện trên Lịch bị chặn khi lưu.
Có chứa nội dung nhạy cảm Đối với các quy tắc DLP được kích hoạt có nội dung nhạy cảm được phát hiện và ghi nhật ký, giá trị là True.
Người nhận* Những người nhận được tài nguyên được chia sẻ
Số người nhận bị bỏ qua* Số lượng người nhận tài nguyên bị bỏ qua do vượt quá giới hạn
Mã nhận dạng tài nguyên Đối tượng đã sửa đổi. Đối với quy tắc DLP:
  • Đối với các mục liên quan đến Google Drive, hãy nhấp vào Mã tài nguyên để xem tài liệu trên Drive đã được sửa đổi.
  • Đối với các mục liên quan đến Google Chat, hãy nhấp vào Mã tài nguyên để xem thông tin chi tiết về một cuộc trò chuyện trên Chat. Xin lưu ý rằng một số dữ liệu trong Chat có thể hết hạn, vì vậy không phải lúc nào bạn cũng xem được tất cả thông tin chi tiết.
Chủ sở hữu tài nguyên Người dùng sở hữu tài nguyên đã được quét và có hành động được áp dụng cho tài nguyên đó
Tiêu đề tài nguyên Tiêu đề của tài nguyên đã được sửa đổi. Đối với DLP, đó là tiêu đề tài liệu.
Loại tài nguyên Đối với tính năng DLP của Drive, tài nguyên là Tài liệu. Đối với tính năng DLP của Chat, tài nguyên là Tin nhắn Chat hoặc Tệp đính kèm trong Chat. Đối với DLP trên Lịch, tài nguyên là Sự kiện trên Lịch.
Mã quy tắc Mã của quy tắc đã kích hoạt
Tên quy tắc Tên quy tắc do quản trị viên cung cấp khi họ tạo quy tắc
Loại quy tắc DLP là giá trị cho các quy tắc DLP
Loại quét

Giá trị là:

  • Quét liên tục trên Drive (xảy ra khi một quy tắc thay đổi)
  • Quét trực tuyến (xảy ra khi tài liệu đang thay đổi)
  • Quét nội dung trò chuyện trước khi gửi (xảy ra khi một tin nhắn Chat được gửi)
  • Quét nội dung trên Lịch trước khi lưu sự kiện (xảy ra trước khi sự kiện được tạo hoặc cập nhật)
  • Quét nội dung trên Lịch khi lưu sự kiện (xảy ra khi sự kiện được tạo hoặc sửa đổi)
Mức độ nghiêm trọng Mức độ nghiêm trọng được chỉ định cho quy tắc khi quy tắc đó được kích hoạt
Hành động bị chặn* Các thao tác được định cấu hình trên quy tắc nhưng bị chặn. Một thao tác sẽ bị chặn nếu một thao tác có mức độ ưu tiên cao hơn xảy ra cùng lúc và được kích hoạt.
Điều kiện kích hoạt Hoạt động dẫn đến việc kích hoạt một quy tắc
Hành động được kích hoạt Liệt kê các hành động đã thực hiện. Trường này sẽ trống nếu một quy tắc chỉ kiểm tra được kích hoạt.
IP của ứng dụng kích hoạt Địa chỉ IP của người dùng đã kích hoạt hành động
Email của người dùng kích hoạt* Địa chỉ email của người dùng đã kích hoạt hành động
Hành động của người dùng Hành động mà người dùng đang cố gắng thực hiện nhưng bị một quy tắc chặn
* Bạn không thể tạo quy tắc báo cáo bằng các bộ lọc này. Tìm hiểu thêm về quy tắc báo cáo so với quy tắc hoạt động.

Lưu ý: Nếu đã đổi tên người dùng, bạn sẽ không thấy kết quả truy vấn có tên cũ của người dùng đó. Ví dụ: nếu đổi tên OldName@example.com thành NewName@example.com, bạn sẽ không thấy kết quả cho các sự kiện liên quan đến OldName@example.com.

Quản lý dữ liệu sự kiện trong nhật ký

Quản lý dữ liệu của cột kết quả tìm kiếm

Bạn có thể kiểm soát những cột dữ liệu sẽ xuất hiện trong phần kết quả tìm kiếm.

  1. Ở góc trên cùng bên phải của bảng kết quả tìm kiếm, hãy nhấp vào biểu tượng Quản lý cột .
  2. (Không bắt buộc) Để xoá các cột hiện tại, hãy nhấp vào biểu tượng Xoá .
  3. (Không bắt buộc) Để thêm cột, bên cạnh phần Thêm cột mới, hãy nhấp vào biểu tượng Mũi tên xuống rồi chọn cột dữ liệu.
    Lặp lại bước trên nếu cần.
  4. (Không bắt buộc) Để thay đổi thứ tự của các cột, hãy kéo tên của cột dữ liệu.
  5. Nhấp vào Lưu.

Xuất dữ liệu về kết quả tìm kiếm

Bạn có thể xuất kết quả tìm kiếm sang Trang tính hoặc sang một tệp CSV.

  1. Ở phía trên cùng của bảng kết quả tìm kiếm, hãy nhấp vào Xuất tất cả.
  2. Nhập tên sau đó nhấp vào Xuất.
    Bản dữ liệu xuất ra sẽ hiển thị bên dưới bảng kết quả tìm kiếm trong phần Kết quả của hành động xuất.
  3. Để xem dữ liệu, hãy nhấp vào tên của bản dữ liệu xuất ra.
    Bản này sẽ được mở trong Trang tính.

Giới hạn xuất có thể khác nhau:

  • Tổng số kết quả xuất tối đa là 100.000 hàng.
  • Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

    Nếu bạn có công cụ điều tra bảo mật, thì tổng số kết quả xuất ra có giới hạn là 30 triệu hàng.

Để biết thêm thông tin, hãy xem bài viết Xuất kết quả tìm kiếm.

Khi nào sẽ có dữ liệu và dữ liệu sẽ xem được trong bao lâu?

Xử lý dựa trên kết quả tìm kiếm

Tạo quy tắc hoạt động và thiết lập cảnh báo

  • Bạn có thể thiết lập cảnh báo dựa trên dữ liệu sự kiện trong nhật ký bằng cách sử dụng quy tắc báo cáo. Để xem hướng dẫn, hãy chuyển đến phần Tạo và quản lý quy tắc báo cáo.
  • Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

    Để ngăn chặn, phát hiện và khắc phục các vấn đề bảo mật một cách hiệu quả, bạn có thể tự động hoá các hành động trong công cụ điều tra bảo mật và thiết lập cảnh báo bằng cách tạo quy tắc hoạt động. Để thiết lập một quy tắc, hãy thiết lập các điều kiện cho quy tắc đó, rồi chỉ định những hành động cần thực hiện khi các điều kiện được đáp ứng. Để biết thêm thông tin chi tiết, hãy xem bài viết Tạo và quản lý quy tắc hoạt động.

Xử lý dựa trên kết quả tìm kiếm

Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

Sau khi chạy một cụm từ tìm kiếm trong công cụ điều tra bảo mật, bạn có thể thực hiện hành động đối với kết quả tìm kiếm. Ví dụ: bạn có thể chạy một tìm kiếm dựa trên các sự kiện trong nhật ký Gmail, sau đó dùng công cụ này để xoá thư cụ thể, gửi thư đến vùng cách ly hoặc gửi thư đến hộp thư đến của người dùng. Để biết thêm thông tin chi tiết, hãy xem bài viết Xử lý dựa trên kết quả tìm kiếm.

Quản lý các cuộc điều tra

Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

Xem danh sách các cuộc điều tra

Để xem danh sách các cuộc điều tra mà bạn sở hữu và các cuộc điều tra được chia sẻ với bạn, hãy nhấp vào biểu tượng Xem các cuộc điều tra . Danh sách điều tra bao gồm tên, nội dung mô tả, chủ sở hữu của các cuộc điều tra và ngày sửa đổi gần đây nhất.

Trong danh sách này, bạn có thể thực hiện hành động đối với bất kỳ cuộc điều tra nào mà bạn sở hữu, chẳng hạn như xoá một cuộc điều tra. Đánh dấu vào hộp cho một cuộc điều tra rồi nhấp vào Thao tác.

Lưu ý: Bạn có thể xem các thông tin điều tra đã lưu trong phần Truy cập nhanh, ngay phía trên danh sách thông tin điều tra.

Định cấu hình chế độ cài đặt cho các hoạt động điều tra

Là một quản trị viên cấp cao, hãy nhấp vào biểu tượng Cài đặt để:

  • Thay đổi múi giờ cho các cuộc điều tra. Múi giờ áp dụng cho các điều kiện và kết quả tìm kiếm.
  • Bật hoặc tắt chế độ Yêu cầu người đánh giá. Để biết thêm thông tin chi tiết, hãy xem bài viết Yêu cầu người đánh giá cho các thao tác hàng loạt.
  • Bật hoặc tắt chế độ Xem nội dung. Chế độ cài đặt này cho phép những quản trị viên có đặc quyền thích hợp xem nội dung.
  • Bật hoặc tắt chế độ Bật lý do thực hiện hành động.

Để biết thêm thông tin chi tiết, hãy xem bài viết Định cấu hình chế độ cài đặt cho hoạt động điều tra.

Lưu, chia sẻ, xoá và sao chép các cuộc điều tra

Để lưu tiêu chí tìm kiếm hoặc chia sẻ tiêu chí đó với người khác, bạn có thể tạo và lưu một cuộc điều tra, sau đó chia sẻ, sao chép hoặc xoá cuộc điều tra đó.

Để biết thông tin chi tiết, hãy xem bài viết Lưu, chia sẻ, xoá và sao chép các cuộc điều tra.

Sử dụng Sự kiện trong nhật ký quy tắc để điều tra tin nhắn trên Chat

Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

Là quản trị viên, bạn có thể tạo một quy tắc bảo vệ dữ liệu cho Chat để giám sát và ngăn chặn tình trạng rò rỉ nội dung nhạy cảm. Sau đó, bạn có thể dùng công cụ điều tra bảo mật để theo dõi hoạt động trên Chat trong tổ chức của mình, bao gồm cả tin nhắn và tệp được gửi ra ngoài miền của bạn. Để biết thông tin chi tiết, hãy xem bài viết Điều tra tin nhắn trong Chat để bảo vệ dữ liệu của tổ chức.

Sử dụng Sự kiện trong nhật ký quy tắc để điều tra các trường hợp vi phạm quy tắc DLP

Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

Là quản trị viên, bạn có thể sử dụng đoạn trích ngăn chặn mất dữ liệu (DLP) để điều tra xem hành vi vi phạm quy tắc DLP có phải là sự cố thực tế hay là trường hợp dương tính giả. Để biết thông tin chi tiết, hãy xem phần Xem nội dung kích hoạt quy tắc DLP.