Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Fundamentals, Education Standard och Education Plus; Enterprise Essentials Plus; Chrome Enterprise Premium. Jämför din utgåva
Drive DLP, Gmail DLP och Chat DLP är tillgängliga för Cloud Identity Premium-användare som också har en Google Workspace-licens. För Drive DLP måste licensen inkludera Drive-logghändelserna .
Som administratör kan du använda DLP-kodavsnitt (data loss prevention) för att undersöka om en DLP-regelöverträdelse är en verklig incident eller ett falskt positivt resultat. DLP-kodavsnitt fångar upp innehållet som bryter mot en regel. Du kan granska kodavsnitten i säkerhetsutredningsverktyget och på sidan för granskning och utredning.
På den här sidan
- Åtkomst till utdrag i utredningsverktyget
- Innan du börjar
- Om DLP-kodavsnitt
- Begränsningar för DLP-kodavsnitt
- Steg 1: Börja din undersökning
- Steg 2: Visa känsligt innehåll
- Steg 3: Visa känsligt innehåll
- Exportera känsligt innehåll med BigQuery
- Ta bort känsligt innehåll från loggar
- Återställ känsligt innehåll
- Logghändelser för administratörsdataåtgärder
Åtkomst till utdrag i utredningsverktyget
Så här får du åtkomst till utdrag i undersökningsverktyget:
- Administratörer måste ha behörigheten att visa känsligt innehåll . För mer information, gå till Administratörsbehörigheter för undersökningsverktyget .
- För att tillåta administratörer att se känsligt innehåll måste du aktivera inställningen Visa känsligt innehåll .
- För att ta bort och återställa känsligt innehåll från loggar måste du vara superadministratör.
Innan du börjar
Aktivera lagring av känsligt innehåll:
I Googles administratörskonsol, gå till Meny
Säkerhet Åtkomst- och datakontroll Dataskydd .Kräver administratörsbehörigheterna Visa DLP-regel och Hantera DLP-regel .
- För lagring av känsligt innehåll , ändra tillståndet till På .
- Klicka på Spara .
Om du inaktiverar lagring av känsligt innehåll loggas inte längre DLP-kodavsnitt.
Om DLP-kodavsnitt
DLP-kodavsnitt innehåller allt innehåll som flaggats av en DLP-regel och som matchar en DLP-regels innehållsvillkor, till exempel:
- Innehåll i skannade filer
- Återanvändbara innehållsdetektorer
- Nyckelord och ordlistor
- Reguljära uttryck
- Fördefinierade innehållsdetektorer
Du kan granska DLP-kodavsnitt i loggarna i 180 dagar. Under denna tid, om källinnehållet raderas eller ändras, raderas inte kodavsnitten. DLP-kodavsnitt fångar matchande innehåll som upptäcks av DLP-regler plus omgivande text (upp till 100 Unicode-tecken på varje sida) och ger kontext för DLP-skanningar.
Begränsningar för DLP-kodavsnitt
- Utdragsinnehåll större än 500 Unicode-tecken avkortas.
- För DLP-regellogghändelsedata är den totala storleken på snippets-parametern begränsad till 50 KB. Snippet-instanser tas bort tills den totala storleken är mindre än 50 KB.
- I Google Chat samlas inte utdrag in för meddelanden utanför protokollet (chatthistoriken är avstängd) eller konversationer som skickas till ett utrymme som ägs av någon utanför din organisation.
- DLP-skannat innehåll och utdrag som extraherats från Google Drive kan skilja sig från det ursprungliga källinnehållet i dokumentet.
Steg 1: Börja din undersökning
Alternativ 1: Visa utdrag ur känsligt innehåll i utredningsverktyget
I Googles administratörskonsol, gå till Meny
Säkerhet Säkerhetscenter Utredningsverktyg .Kräver administratörsbehörighet i säkerhetscenter .
- Klicka på Datakälla och välj Regellogghändelser .
- Klicka på Lägg till villkor .
- Från attributmenyn väljer du Regeltyp och ser till att operatorn är inställd på Är (standardalternativet).
- Från menyn Regeltyp väljer du DLP .
- Klicka på Sök .
Alternativ 2: Visa utdrag ur känsligt innehåll på sidan för granskning och utredning
I Googles administratörskonsol, gå till Meny
Rapportering Revision och utredning Regellogghändelser .Kräver administratörsbehörighet som granskning och utredning .
- Klicka på Lägg till ett filter Regeltyp .
- I rutan Regeltyp väljer du Är DLP och klicka på Verkställ .
- Klicka på Sök .
Steg 2: Visa känsligt innehåll
- Leta efter True i kolumnen Har känsligt innehåll i sökresultaten.
- I kolumnen Beskrivning klickar du på texten för att öppna panelen Logginformation.
- Klicka på Visa känsligt innehåll .
- Om det behövs, ange anledningen till varför du behöver se det känsliga innehållet klicka på Bekräfta .
Panelen uppdateras och raden för känsligt innehåll uppdateras med de kodavsnitt som utlöses av regeln du undersöker.
Steg 3: Visa känsligt innehåll
I panelen Logginformation , bredvid Känsligt innehållskodavsnitt , klicka på högerpilen 
för att utöka raderna som innehåller känsligt innehåll.
Du kan granska följande attribut:
| Attribut | Beskrivning |
| Innehåll | Innehåll (inklusive omgivande text som används för kontext) matchade en DLP-regel |
| Starttecken för matchande innehåll | Början av innehåll som matchade en regel, där startindexet är nollbaserat. Starttecknet för det matchade innehållet är relativt till innehållskodavsnittet, inte källdokumentet. |
| Matchat innehållslängd | Matchens längd |
| Matchande detektor-ID | Detektor som matchade, om någon |
| Radindex | (Chattfiler i CSV-format) Innehållsradens nollbaserade index, om sådant finns |
| Fältnamn | (Chattfiler i CSV-format) Innehållets kolumnnamn, om sådant finns |
Exempel: DLP-regelsökningar för personnummer
I det här exemplet, om ett kalkylblad innehåller ett personnummer, fylls attributen i enligt följande:
- Innehåll: Personnummer 123-45-6789
- Starttecken för matchande innehåll: 4
- Längd på matchande innehåll: 11
- Matchande detektor-ID: US_SOCIAL_SECURITY_NUMBER
- Radindex: 2
- Fältnamn: header2
Exportera känsligt innehåll med BigQuery
Du kan exportera utdrag av känsligt innehåll till anpassade tabeller för vidare undersökning. Mer information finns i Konfigurera en BigQuery Export-konfiguration .
Ta bort känsligt innehåll från loggar
Efter att ha undersökt en incident kan du ta bort känsligt innehåll från loggarna så att du inte exponerar informationen i onödan. Att ta bort innehållet från loggarna tar inte bort det från den faktiska filen eller resursen där innehållet hittades eller från anpassade BigQuery-tabeller. Om du tar bort innehållet är det inte längre tillgängligt i undersökningsverktyget eller på gransknings- och undersökningssidan och kan inte exporteras till BigQuery.
Du måste vara inloggad som superadministratör för den här uppgiften.- Upprepa steg 1, 2 och 3 ovan på den här sidan för att visa känsligt innehåll.
- Klicka på Ta bort känsligt innehåll .
- I rutan Ta bort känsligt innehåll klickar du på Ta bort för att bekräfta.
Återställ känsligt innehåll
Om det behövs kan du återställa känsligt innehåll till loggen inom 180-dagars lagringsperioden.
Du måste vara inloggad som superadministratör för den här uppgiften.- Upprepa steg 1, 2 och 3 ovan på den här sidan för att visa känsligt innehåll.
- Klicka på Återställ högst upp i panelen Logginformation .
- Klicka på Visa känsligt innehåll .
- I panelen Logginformation , bredvid Känsligt innehållskodavsnitt , klicka på högerpilen för att utöka raderna som innehåller känsligt innehåll.
Efter den ursprungliga lagringsperioden på 180 dagar raderas DLP-kodavsnitten, oavsett om du återställer dem eller inte.
Logghändelser för administratörsdataåtgärder
Du kan söka i logghändelserna för administratörsdataåtgärder för att hålla reda på administratörer som har öppnat, tagit bort eller återställt känsligt innehåll. För mer information, gå till Logghändelser för administratörsdataåtgärder .