Wyświetlanie treści, które wyzwalają reguły DLP

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus, Enterprise Standard i Enterprise Plus, Education Fundamentals, Education Standard i Education Plus, Enterprise Essentials Plus oraz Chrome Enterprise Premium. Porównanie wersji

Funkcje DLP dla Dysku, DLP dla Gmaila i DLP dla Google Chat są dostępne dla użytkowników Cloud Identity Premium, którzy mają też licencję Google Workspace. W przypadku funkcji DLP dla Dysku licencja musi obejmować zdarzenia z dziennika Dysku.

Jako administrator możesz używać fragmentów zapobiegania utracie danych (DLP), aby sprawdzić, czy naruszenie reguły DLP jest faktycznym incydentem czy nieprawdziwym incydentem. Fragmenty DLP przechwytują treści, które naruszają regułę. Możesz je sprawdzić w narzędziu do analizy zagrożeń oraz na stronie kontroli i analizy zagrożeń.

Informacje dostępne na tej stronie

Dostęp do fragmentów w narzędziu do analizy zagrożeń

Aby uzyskać dostęp do fragmentów w narzędziu do analizy zagrożeń:

Zanim zaczniesz

Włącz przechowywanie treści o charakterze kontrowersyjnym:

  1. W konsoli administracyjnej Google otwórz Menu a potem Bezpieczeństwo a potem Kontrola dostępu i danych a potem Ochrona danych.

    Wymaga uprawnień administratora do wyświetlania reguł DLP i zarządzania nimi.

  2. W przypadku opcji Przechowywanie treści o charakterze kontrowersyjnym zmień stan na Włączone.
  3. Kliknij Zapisz.

Jeśli wyłączysz przechowywanie treści o charakterze kontrowersyjnym, fragmenty DLP nie będą już rejestrowane.

Informacje o fragmentach DLP

Fragmenty DLP zawierają wszelkie treści oznaczone przez regułę DLP pasującą do warunków treści reguły DLP, na przykład:

  • zawartość zeskanowanych plików,
  • Wzorce do wykrywania treści przeznaczone do wielokrotnego użytku
  • słowa kluczowe i listy słów,
  • Wyrażenia regularne
  • Wstępnie zdefiniowane wzorce do wykrywania treści

Fragmenty DLP w dziennikach możesz przeglądać przez 180 dni. W tym czasie, jeśli treści źródłowe zostaną usunięte lub zmienione, fragmenty nie zostaną usunięte. Fragmenty DLP przechwytują treści wykryte przez reguły DLP wraz z otaczającym je tekstem (maksymalnie 100 znaków Unicode po każdej stronie), co zapewnia kontekst dla skanowania DLP.

Ograniczenia fragmentów DLP

  • Fragment treści dłuższy niż 500 znaków Unicode zostanie obcięty.
  • W przypadku danych zdarzenia z dziennika reguł DLP łączny rozmiar parametru fragmentu jest ograniczony do 50 KB. Instancje fragmentu są usuwane, dopóki łączny rozmiar nie spadnie poniżej 50 KB.
  • W Google Chat fragmenty nie są zbierane w przypadku wiadomości z wyłączonym zapisywaniem (wyłączona historia czatu) ani rozmów wysyłanych do pokoju należącego do osoby spoza organizacji.
  • Treści zeskanowane przez DLP i fragmenty wyodrębnione z Dysku Google mogą się różnić od oryginalnych treści źródłowych w dokumencie.

Krok 1. Rozpocznij analizę zagrożeń

Opcja 1. Wyświetl fragmenty treści o charakterze kontrowersyjnym w narzędziu do analizy zagrożeń

  1. W konsoli administracyjnej Google otwórz Menu a potem Bezpieczeństwo a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. Kliknij Źródło danych i wybierz Zdarzenia z dziennika reguł.
  3. Kliknij Dodaj warunek.
  4. W menu Atrybut wybierz Typ reguły i upewnij się, że operator jest ustawiony na Is (opcja domyślna).
  5. W menu Typ reguły wybierz DLP.
  6. Kliknij Szukaj.

Opcja 2. Wyświetl fragmenty treści o charakterze kontrowersyjnym na stronie kontroli i analizy zagrożeń

  1. W konsoli administracyjnej Google otwórz Menu a potem Raportowanie a potem Kontrola i analiza zagrożeń a potem Zdarzenia z dziennika reguł.

    Wymaga uprawnień administratora Kontrola i analiza zagrożeń.

  2. Kliknij Dodaj filtr a potem Typ reguły.
  3. W polu Typ reguły zaznacz Is a potem DLP i kliknij Zastosuj.
  4. Kliknij Szukaj.

Krok 2. Pokaż treści o charakterze kontrowersyjnym

  1. W wynikach wyszukiwania w kolumnie Zawiera treści poufne poszukaj wartości True.
  2. W kolumnie Opis kliknij tekst, aby otworzyć panel Szczegóły dziennika.
  3. Kliknij Pokaż treści poufne.
  4. W razie potrzeby wpisz powód, dla którego chcesz wyświetlić treści poufne a potem kliknij Potwierdź.

Panel zostanie odświeżony, a w wierszu Fragmenty treści o charakterze kontrowersyjnym pojawią się fragmenty wywołane przez regułę, którą analizujesz.

Krok 3. Wyświetl treści o charakterze kontrowersyjnym

W panelu Szczegóły dziennika obok opcji Fragmenty treści o charakterze kontrowersyjnym kliknij strzałkę w prawo , aby rozwinąć wiersze zawierające treści o charakterze kontrowersyjnym.

Możesz sprawdzić te atrybuty:

Atrybut Opis
Treść Treść (w tym otaczający tekst używany jako kontekst) pasuje do reguły DLP
Początkowy znak dopasowanej treści Początek treści pasującej do reguły, gdzie indeks początkowy jest liczony od zera. Początkowy znak dopasowanej treści jest określany względem fragmentu treści, a nie dokumentu źródłowego.
Długość dopasowanej treści Długość dopasowania
Identyfikator dopasowanego wzorca do wykrywania treści Dopasowany detektor (jeśli istnieje)
Indeks wiersza (Pliki czatu w formacie CSV) Indeks wiersza treści zaczynający się od zera (jeśli występuje)
Nazwa pola (Pliki czatu w formacie CSV) Nazwa kolumny treści (jeśli występuje)

Przykład: skanowanie reguły DLP pod kątem numerów ubezpieczenia społecznego

W tym przykładzie, jeśli arkusz kalkulacyjny zawiera numer ubezpieczenia społecznego, atrybuty są wypełniane w ten sposób:

  • Treść: SSN 123-45-6789
  • Początkowy znak dopasowanej treści: 4
  • Długość dopasowanej treści: 11
  • Identyfikator dopasowanego wzorca do wykrywania treści: US_SOCIAL_SECURITY_NUMBER
  • Indeks wiersza: 2
  • Nazwa pola: nagłówek2

Eksportowanie treści poufnych za pomocą BigQuery

Możesz wyeksportować fragmenty treści poufnych do tabel niestandardowych, aby przeprowadzić dalszą analizę. Więcej informacji znajdziesz w artykule Konfiguracja funkcji BigQuery Export configuration.

Usuwanie treści poufnych z dzienników

Po przeanalizowaniu incydentu możesz usunąć treści o charakterze kontrowersyjnym z dzienników, aby niepotrzebnie nie ujawniać danych. Usunięcie treści z dzienników nie powoduje usunięcia ich z pliku lub zasobu, w którym je znaleziono, ani z niestandardowych tabel BigQuery. Jeśli usuniesz treści, nie będą one już dostępne w narzędziu do analizy zagrożeń ani na stronie kontroli i analizy zagrożeń. Nie będzie można ich też wyeksportować do BigQuery.

Aby wykonać te czynności, musisz zalogować się na konto superadministratora.
  1. Powtórz kroki 1, 2 i 3 powyżej, aby wyświetlić treści poufne.
  2. Kliknij Usuń treści o charakterze kontrowersyjnym.
  3. W polu Usuń treści poufne kliknij Usuń, aby potwierdzić.

Przywracanie treści poufnych

W razie potrzeby możesz je przywrócić w okresie przechowywania trwającym 180 dni.

Aby wykonać te czynności, musisz zalogować się na konto superadministratora.
  1. Powtórz kroki 1, 2 i 3 powyżej na tej stronie, aby wyświetlić treści o charakterze kontrowersyjnym.
  2. U góry panelu Szczegóły dziennika kliknij Przywróć.
  3. Kliknij Pokaż treści o charakterze kontrowersyjnym.
  4. W panelu Szczegóły dziennika obok opcji Fragmenty treści o charakterze kontrowersyjnym kliknij strzałkę w prawo , aby rozwinąć wiersze zawierające treści o charakterze kontrowersyjnym.

Po pierwotnym okresie przechowywania trwającym 180 dni fragmenty DLP są usuwane, niezależnie od tego, czy je przywrócisz.

Zdarzenia z dziennika działań dotyczących danych administratora

Zdarzenia z dziennika działań dotyczących danych administratora możesz przeszukiwać, aby śledzić administratorów, którzy uzyskali dostęp do treści o charakterze kontrowersyjnym, usunęli je lub przywrócili. Więcej informacji znajdziesz w artykule Dane administratora Zdarzenia z dziennika działań.

Jak używać wstępnie zdefiniowanych wzorców do wykrywania treści