Inhalte ansehen, die DLP-Regeln auslösen

Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Enterprise Standard und Enterprise Plus; Education Fundamentals, Education Standard und Education Plus; Enterprise Essentials Plus; Chrome Enterprise Premium. Versionen vergleichen

DLP in Google Drive, DLP in Gmail und DLP in Google Chat sind für Nutzer der Cloud Identity Premiumversion verfügbar, die auch eine Google Workspace-Lizenz haben. Bei DLP in Drive muss die Lizenz die Drive-Protokollereignisse enthalten.

Als Administrator können Sie Snippets zum Schutz vor Datenverlust (Data Loss Prevention, DLP) verwenden, um zu prüfen, ob ein Verstoß gegen die DLP-Regeln ein tatsächlicher Vorfall oder ein falsch positives Ergebnis ist. In DLP-Snippets werden die Inhalte erfasst, die gegen eine Regel verstoßen. Sie können die Snippets im Sicherheitsprüftool und auf der Audit- und Prüfseite ansehen.

Themen in diesem Hilfeartikel

Zugriff auf Snippets im Prüftool

So greifen Sie im Prüftool auf Snippets zu:

  • Administratoren müssen die Berechtigung Sensible Inhalte ansehen haben. Weitere Informationen finden Sie unter Administratorberechtigungen für das Prüftool.
  • Wenn Administratoren sensible Inhalte ansehen dürfen, müssen Sie die Einstellung „Sensible Inhalte ansehen“ aktivieren.
  • Wenn Sie sensible Inhalte aus Protokollen entfernen und wiederherstellen möchten, müssen Sie Super Admin sein.

Hinweis

So aktivieren Sie die Speicherung sensibler Inhalte:

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Datenschutz.

    Hierfür benötigen Sie die Administratorberechtigungen „DLP-Regel ansehen“ und „DLP-Regel verwalten“.

  2. Ändern Sie den Status für Speicherung sensibler Inhalte in Ein.
  3. Klicken Sie auf Speichern.

Wenn Sie die Speicherung sensibler Inhalte deaktivieren, werden DLP-Snippets nicht mehr protokolliert.

Informationen zu DLP-Snippets

DLP-Snippets enthalten alle Inhalte, die von einer DLP-Regel gekennzeichnet wurden, die den Inhaltsbedingungen einer DLP-Regel entspricht, z. B.:

  • Inhalte gescannter Dateien
  • Wiederverwendbare Inhaltsdetektoren
  • Suchbegriffe und Wortlisten
  • Reguläre Ausdrücke
  • Vordefinierte Inhaltsdetektoren

DLP-Snippets sind 180 Tage lang in den Protokollen aufrufbar. Wenn die Quellinhalte in diesem Zeitraum gelöscht oder geändert werden, werden die Snippets nicht gelöscht. DLP-Snippets erfassen übereinstimmende Inhalte, die von DLP-Regeln erkannt wurden, sowie den umgebenden Text (bis zu 100 Unicode-Zeichen auf jeder Seite), um Kontext für DLP-Scans zu liefern.

Einschränkungen bei DLP-Snippets

  • Snippets mit mehr als 500 Unicode-Zeichen werden abgeschnitten.
  • Bei den Protokollereignisdaten zu DLP-Regeln ist die Gesamtgröße des Snippets-Parameters auf 50 KB begrenzt. Snippet-Instanzen werden entfernt, bis die Gesamtgröße weniger als 50 KB beträgt.
  • In Google Chat werden keine Snippets für nicht gespeicherte Nachrichten (Chatverlauf deaktiviert) oder Unterhaltungen erfasst, die an einen Bereich gesendet werden, der einer Person außerhalb Ihrer Organisation gehört.
  • Von DLP gescannte Inhalte und Snippets, die aus Google Drive extrahiert wurden, können vom ursprünglichen Quellinhalt im Dokument abweichen.

Schritt 1: Prüfung starten

Option 1: Snippets sensibler Inhalte im Prüftool ansehen

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Sicherheitscenter und dann Prüftool.

    Hierfür ist die Administratorberechtigung Sicherheitscenter erforderlich.

  2. Klicken Sie auf Datenquelle und wählen Sie Ereignisse im Regelprotokoll aus.
  3. Klicken Sie auf Bedingung hinzufügen.
  4. Wählen Sie im Menü Attribut die Option Regeltyp aus und achten Sie darauf, dass der Operator auf Ist (Standardoption) festgelegt ist.
  5. Wählen Sie im Menü Regeltyp die Option DLP aus.
  6. Klicken Sie auf Suchen.

Option 2: Snippets sensibler Inhalte auf der Audit- und Prüfseite ansehen

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Berichterstellung und dann Audit und Prüfung und dann Ereignisse im Regelprotokoll.

    Hierfür ist die Administratorberechtigung Audit und Prüfung erforderlich.

  2. Klicken Sie auf Filter hinzufügen und dann Regeltyp.
  3. Wählen Sie im Feld Regeltyp die Option Ist und dann DLP aus und klicken Sie Anwenden.
  4. Klicken Sie auf Suchen.

Schritt 2: Sensible Inhalte anzeigen

  1. Suchen Sie in den Suchergebnissen in der Spalte Enthält sensible Inhalte nach True.
  2. Klicken Sie in der Spalte Beschreibung auf den Text, um den Bereich mit den Protokolldetails zu öffnen.
  3. Klicken Sie auf Sensible Inhalte anzeigen.
  4. Geben Sie bei Bedarf an, warum Sie die sensiblen Inhalte ansehen müssen und dann klicken Sie auf Bestätigen.

Der Bereich wird aktualisiert und die Zeile Snippets sensibler Inhalte wird mit den Snippets aktualisiert, die durch die Regel ausgelöst wurden, die Sie prüfen.

Schritt 3: Sensible Inhalte ansehen

Klicken Sie im Bereich Protokolldetails neben Snippets sensibler Inhalte auf den Rechtspfeil , um die Zeilen mit sensiblen Inhalten zu maximieren.

Sie können die folgenden Attribute prüfen:

Attribut Beschreibung
Inhalte Inhalte (einschließlich des umgebenden Texts, der für den Kontext verwendet wird) stimmen mit einer DLP-Regel überein
Startzeichen für Contentempfehlungen Start des Inhalts, der mit einer Regel übereinstimmt. Der Startindex ist nullbasiert. Das Startzeichen des übereinstimmenden Inhalts bezieht sich auf das Inhaltssnippet, nicht auf das Quelldokument.
Länge von Contentempfehlungen Länge der Übereinstimmung
ID des übereinstimmenden Detektors Detektor, der übereinstimmt (falls vorhanden)
Zeilenindex (Chatdateien im CSV-Format) Nullbasierter Index der Inhaltszeile (falls vorhanden)
Feldname (Chatdateien im CSV-Format) Spaltenname des Inhalts (falls vorhanden)

Beispiel: DLP-Regel sucht nach Sozialversicherungsnummern

Wenn eine Tabelle eine Sozialversicherungsnummer enthält, werden die Attribute in diesem Beispiel so ausgefüllt:

  • Inhalt: SSN 123-45-6789
  • Startzeichen für Contentempfehlungen: 4
  • Länge von Contentempfehlungen: 11
  • ID des übereinstimmenden Detektors: US_SOCIAL_SECURITY_NUMBER
  • Zeilenindex: 2
  • Feldname: header2

Sensible Inhalte mit BigQuery exportieren

Sie können Snippets sensibler Inhalte zur weiteren Prüfung in benutzerdefinierte Tabellen exportieren. Weitere Informationen finden Sie unter Konfiguration für BigQuery Export einrichten.

Sensible Inhalte aus Protokollen entfernen

Nach der Prüfung eines Vorfalls können Sie sensible Inhalte aus den Protokollen entfernen, damit die Daten nicht unnötig offengelegt werden. Wenn Sie die Inhalte aus den Protokollen entfernen, werden sie nicht aus der Datei oder Ressource entfernt, in der sie gefunden wurden, oder aus benutzerdefinierten BigQuery-Tabellen. Wenn Sie die Inhalte entfernen, sind sie nicht mehr im Prüftool oder auf der Audit- und Prüfseite verfügbar und können nicht nach BigQuery exportiert werden.

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
  1. Wiederholen Sie die Schritte 1, 2 und 3 oben auf dieser Seite, um sensible Inhalte aufzurufen.
  2. Klicken Sie auf Sensible Inhalte entfernen.
  3. Klicken Sie im Feld Sensible Inhalte entfernen zur Bestätigung auf Entfernen.

Sensible Inhalte wiederherstellen

Bei Bedarf können Sie sensible Inhalte innerhalb der 180-tägigen Aufbewahrungsdauer im Protokoll wiederherstellen.

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
  1. Wiederholen Sie die Schritte 1, 2 und 3 oben auf dieser Seite, um sensible Inhalte aufzurufen.
  2. Klicken Sie oben im Bereich Protokolldetails auf Wiederherstellen.
  3. Klicken Sie auf Sensible Inhalte anzeigen.
  4. Klicken Sie im Bereich Protokolldetails neben Snippets sensibler Inhalte auf den Rechtspfeil , um die Zeilen mit sensiblen Inhalten zu maximieren.

Nach Ablauf der ursprünglichen 180-tägigen Aufbewahrungsdauer werden die DLP-Snippets gelöscht, unabhängig davon, ob Sie sie wiederherstellen.

Protokollereignisse für Administratordatenaktionen

Sie können in den Protokollereignissen für Administratordatenaktionen nach Administratoren suchen, die auf sensible Inhalte zugegriffen, sie entfernt oder wiederhergestellt haben. Weitere Informationen finden Sie im Hilfeartikel Admin Data Action log events.

Vordefinierte Inhaltsdetektoren verwenden