Visualiza el contenido que activa las reglas de la DLP

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus; Enterprise Standard y Enterprise Plus; Education Fundamentals, Education Standard y Education Plus; Enterprise Essentials Plus; Chrome Enterprise Premium. Comparar tu edición

La DLP de Drive, la DLP de Gmail y la DLP de Chat están disponibles para los usuarios de Cloud Identity Premium que también tienen una licencia de Google Workspace. En el caso de la DLP de Drive, la licencia debe incluir los eventos de registro de Drive.

Como administrador, puedes usar fragmentos de prevención de pérdida de datos (DLP) para investigar si un incumplimiento de regla de la DLP es un incidente real o un falso positivo. Los fragmentos de DLP capturan el contenido que incumple una regla. Puedes revisar los fragmentos en la herramienta de investigación de seguridad y en la página de auditoría y administración.

En esta página, encontrarás lo siguiente:

Acceso a fragmentos en la herramienta de investigación
Antes de comenzar
Acerca de los fragmentos de DLP
Limitaciones de los fragmentos de DLP
Paso 1: Comienza tu investigación
Paso 2: Muestra el contenido sensible
Paso 3: Ve el contenido sensible
Exporta contenido sensible con BigQuery
Quita contenido sensible de los registros
Restablece el contenido sensible
Eventos de registro de acciones de datos del administrador

Acceso a fragmentos en la herramienta de investigación

Para acceder a los fragmentos en la herramienta de investigación, haz lo siguiente:

Los administradores deben tener el privilegio Ver contenido sensible. Para obtener más detalles, consulta Privilegios de administrador para la herramienta de investigación herramienta.
Para permitir que los administradores vean el contenido sensible, debes activar el parámetro de configuración Ver contenido sensible.
Para quitar y restablecer contenido sensible de los registros, debes ser administrador avanzado.

Antes de comenzar

Activa el almacenamiento de contenido sensible:

En la Consola del administrador de Google, ve a Menú Seguridad Control de acceso y datos Protección de datos.

Ir a Protección de datos

Requiere tener los privilegios de administrador Ver regla de DLP y Administrar regla de DLP.
En Almacenamiento de contenido sensible, cambia el estado a Activado.
Haz clic en Guardar.

Si desactivas el almacenamiento de contenido sensible, los fragmentos de DLP ya no se registrarán.

Acerca de los fragmentos de DLP

Los fragmentos de DLP contienen cualquier contenido marcado por una regla de DLP que coincida con las condiciones de contenido de una regla de DLP, como las siguientes:

Contenido de los archivos analizados
Detectores de contenido reutilizables
Palabras clave y listas de palabras
Expresiones regulares
Detectores de contenido predefinidos

Puedes revisar los fragmentos de DLP en los registros durante 180 días. Durante este tiempo, si se borra o cambia el contenido fuente, los fragmentos no se borran. Los fragmentos de DLP capturan el contenido coincidente detectado por las reglas de DLP, además del texto circundante (hasta 100 caracteres Unicode en cada lado), lo que proporciona contexto para los análisis de DLP.

Limitaciones de los fragmentos de DLP

El contenido de los fragmentos que supere los 500 caracteres Unicode se truncará.
En el caso de los datos de eventos de registro de reglas de DLP, el tamaño total del parámetro de fragmentos se limita a 50 KB. Las instancias de fragmentos se quitan hasta que el tamaño general sea inferior a 50 KB.
En Google Chat, no se recopilan fragmentos para los mensajes que no se registran (historial de chat desactivado) ni para las conversaciones enviadas a un espacio que pertenece a alguien fuera de tu organización.
El contenido analizado por la DLP y los fragmentos extraídos de Google Drive pueden diferir del contenido fuente original del documento.

Paso 1: Comienza tu investigación

Opción 1: Ve fragmentos de contenido sensible en la herramienta de investigación

En la Consola del administrador de Google, ve a Menú Seguridad Centro de seguridad Herramienta de investigación.

Ir a la herramienta de investigación

Requiere tener el privilegio de administrador del Centro de seguridad.
Haz clic en Fuente de datos y selecciona Eventos de registro de reglas.
Haz clic en Agregar condición.
En el menú Atributo, selecciona Tipo de regla y asegúrate de que el operador esté configurado como Es (la opción predeterminada).
En el menú Tipo de regla, selecciona DLP.
Haz clic en Buscar.

Opción 2: Ve fragmentos de contenido sensible en la página de auditoría y administración

En la Consola del administrador de Google, ve a Menú Informes Auditoría y administración Eventos de registro de reglas.

Ir a Eventos de registro de reglas

Requiere tener el privilegio de administrador de Auditoría y administración.
Haz clic en Agregar un filtro Tipo de regla.
En el cuadro Tipo de regla, selecciona Es DLP y haz clic en Aplicar.
Haz clic en Buscar.

Paso 2: Muestra el contenido sensible

En los resultados de la búsqueda, en la columna Tiene contenido sensible, busca Verdadero.
En la columna Descripción, haz clic en el texto para abrir el panel Detalles del registro.
Haz clic en Mostrar contenido sensible.
Si es necesario, ingresa el motivo por el que necesitas ver el contenido sensible haz clic en Confirmar.

El panel se actualizará y la fila Fragmentos de contenido sensible se actualizará con los fragmentos activados por la regla que estás investigando.

Paso 3: Ve el contenido sensible

En el panel Detalles del registro, junto a Fragmentos de contenido sensible, haz clic en la flecha derecha para expandir las filas que contienen contenido sensible.

Puedes revisar los siguientes atributos:

Atributo	Descripción
Contenido	El contenido (incluido el texto circundante que se usa para el contexto) coincidió con una regla de DLP.
Carácter inicial del contenido coincidente	Es el inicio del contenido que coincidió con una regla, en el que el índice inicial se basa en cero. El carácter inicial del contenido coincidente es relativo al fragmento de contenido, no al documento fuente.
Longitud del contenido coincidente	Es la longitud de la coincidencia.
ID del detector coincidente	Es el detector que coincidió, si corresponde.
Índice de fila	(Archivos de Chat en formato CSV) Es el índice basado en cero de la fila de contenido, si corresponde.
Nombre del campo	(Archivos de Chat en formato CSV) Es el nombre de la columna de contenido, si corresponde.

Ejemplo: La regla de DLP analiza los números de identificación personal

En este ejemplo, si una hoja de cálculo contiene un número de identificación personal, los atributos se propagan de la siguiente manera:

Contenido: SSN 123-45-6789
Carácter inicial del contenido coincidente: 4
Longitud del contenido coincidente: 11
ID del detector coincidente: US_SOCIAL_SECURITY_NUMBER
Índice de fila: 2
Nombre del campo: header2

Exporta contenido sensible con BigQuery

Puedes exportar fragmentos de contenido sensible a tablas personalizadas para realizar más investigaciones. Para obtener más detalles, consulta Configura una exportación de BigQuery configuración.

Quita contenido sensible de los registros

Después de investigar un incidente, puedes quitar el contenido sensible de los registros para no exponer los datos de forma innecesaria. Quitar el contenido de los registros no lo quita del archivo o recurso real en el que se encontró el contenido ni de las tablas personalizadas de BigQuery. Si quitas el contenido, ya no estará disponible en la herramienta de investigación ni en la página de auditoría y administración, y no se podrá exportar a BigQuery.

Debes acceder como administrador avanzado para realizar esta tarea.

Repite los pasos 1, 2 y 3 de esta página para ver el contenido sensible.
Haz clic en Quitar contenido sensible.
En el cuadro Quitar contenido sensible, haz clic en Quitar para confirmar.

Restablece el contenido sensible

Si es necesario, puedes restablecer el contenido sensible en el registro dentro del período de retención de 180 días.