Inhalte ansehen, die DLP-Regeln auslösen

Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Enterprise Standard und Enterprise Plus; Education Fundamentals, Education Standard und Education Plus; Enterprise Essentials Plus; Chrome Enterprise Premium. Versionen vergleichen

DLP in Google Drive, DLP in Gmail und DLP in Google Chat sind für Nutzer der Cloud Identity Premiumversion verfügbar, die auch eine Google Workspace-Lizenz haben. Bei DLP in Drive muss die Lizenz die Drive-Protokollereignisse enthalten.

Als Administrator können Sie Snippets zum Schutz vor Datenverlust (Data Loss Prevention, DLP) verwenden, um zu prüfen, ob ein Verstoß gegen die DLP-Regeln ein tatsächlicher Vorfall oder ein falsch positives Ergebnis ist. DLP-Snippets enthalten die Inhalte, die gegen eine Regel verstoßen. Sie können die Snippets im Sicherheitsprüftool und auf der Seite „Audit und Prüfung“ ansehen.

Themen auf dieser Seite

Zugriff auf Snippets im Prüftool

So greifen Sie im Prüftool auf Snippets zu:

Hinweis

So aktivieren Sie die Speicherung sensibler Inhalte:

  1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannDatenschutz.

    Hierfür benötigen Sie die Administratorberechtigungen DLP-Regel ansehen und DLP-Regel verwalten.

  2. Ändern Sie den Status für Speicherung sensibler Inhalte in Ein.
  3. Klicken Sie auf Speichern.

Wenn Sie die Speicherung sensibler Inhalte deaktivieren, werden DLP-Snippets nicht mehr protokolliert.

DLP-Snippets

DLP-Snippets enthalten alle Inhalte, die von einer DLP-Regel gekennzeichnet wurden und den Inhaltsbedingungen einer DLP-Regel entsprechen, z. B.:

  • Inhalte gescannter Dateien
  • Wiederverwendbare Inhaltsdetektoren
  • Keywords und Wortlisten
  • Reguläre Ausdrücke
  • Vordefinierte Inhaltsdetektoren

DLP-Snippets sind 180 Tage lang in den Protokollen aufrufbar. Wenn die Quellinhalte in diesem Zeitraum gelöscht oder geändert werden, werden die Snippets nicht gelöscht. DLP-Snippets enthalten übereinstimmende Inhalte, die von DLP-Regeln erkannt wurden, sowie umgebenden Text (bis zu 100 Unicode-Zeichen auf jeder Seite), der Kontext für DLP-Scans bietet.

Einschränkungen für DLP-Snippets

  • Snippet-Inhalte mit mehr als 500 Unicode-Zeichen werden gekürzt.
  • Bei den Protokollereignisdaten zu DLP-Regeln ist die Gesamtgröße des Snippets-Parameters auf 50 KB begrenzt. Snippet-Instanzen werden entfernt, bis die Gesamtgröße weniger als 50 KB beträgt.
  • In Google Chat werden keine Snippets für Nachrichten gesammelt, die nicht gespeichert werden (Chatverlauf deaktiviert), oder für Unterhaltungen, die an einen Gruppenbereich gesendet werden, der einer Person außerhalb Ihrer Organisation gehört.
  • DLP-gescannte Inhalte und aus Google Drive extrahierte Snippets können sich von den ursprünglichen Quellinhalten im Dokument unterscheiden.

Schritt 1: Prüfung beginnen

Option 1: Snippets sensibler Inhalte im Prüftool ansehen

  1. Gehen Sie in der Admin-Konsole zum Menü und dann Sicherheitund dannSicherheitscenterund dannPrüftool.

    Hierfür ist die Administratorberechtigung Sicherheitscenter erforderlich.

  2. Klicken Sie auf Datenquelle und wählen Sie Ereignisse im Regelprotokoll aus.
  3. Klicken Sie auf Bedingung hinzufügen.
  4. Wählen Sie im Menü Attribut die Option Regeltyp aus und achten Sie darauf, dass der Operator auf Ist (Standardoption) festgelegt ist.
  5. Wählen Sie im Menü Regeltyp die Option DLP aus.
  6. Klicken Sie auf Suchen.

Option 2: Snippets sensibler Inhalte auf der Audit- und Prüfseite ansehen

  1. Gehen Sie in der Admin-Konsole zum Menü und dann Berichterstellungund dannAudit und Prüfungund dannRegel-Protokollereignisse.

    Hierfür ist die Administratorberechtigung Audit und Prüfung erforderlich.

  2. Klicken Sie auf Filter hinzufügenund dannRegeltyp.
  3. Wählen Sie im Feld Regeltyp die Option Istund dannDLP aus und klicken Sie auf Anwenden.
  4. Klicken Sie auf Suchen.

Schritt 2: Sensible Inhalte anzeigen

  1. Suchen Sie in den Suchergebnissen in der Spalte Enthält vertrauliche Inhalte nach Wahr.
  2. Klicken Sie in der Spalte Beschreibung auf den Text, um den Bereich mit den Protokolldetails zu öffnen.
  3. Klicken Sie auf Sensible Inhalte anzeigen.
  4. Geben Sie bei Bedarf an, warum Sie die sensiblen Inhalte ansehen müssenund dannklicken Sie auf Bestätigen.

Das Feld wird aktualisiert und die Zeile Snippets mit vertraulichen Inhalten wird mit den Snippets aktualisiert, die durch die Regel ausgelöst wurden, die Sie untersuchen.

Schritt 3: Sensible Inhalte ansehen

Klicken Sie im Bereich Protokolldetails neben Ausschnitte mit vertraulichen Inhalten auf den Rechtspfeil , um die Zeilen mit vertraulichen Inhalten zu maximieren.

Sie können die folgenden Attribute prüfen:

Attribut Beschreibung
Inhalt Inhalte (einschließlich des umgebenden Texts, der für den Kontext verwendet wird) stimmen mit einer DLP-Regel überein.
Startzeichen für Contentempfehlungen Der Beginn des Inhalts, der einer Regel entspricht. Der Startindex ist nullbasiert. Das Startzeichen der übereinstimmenden Inhalte bezieht sich auf den Inhaltsausschnitt und nicht auf das Quelldokument.
Länge von Contentempfehlungen Länge der Übereinstimmung
ID des übereinstimmenden Detektors Übereinstimmender Detektor (falls vorhanden)
Zeilenindex (Chatdateien im CSV-Format) Nullbasierter Index der Inhaltszeile, falls vorhanden
Feldname (Chatdateien im CSV-Format) Spaltenname des Inhalts, falls vorhanden

Beispiel: DLP-Regel sucht nach Sozialversicherungsnummern

Wenn eine Tabelle in diesem Beispiel eine Sozialversicherungsnummer enthält, werden die Attribute so ausgefüllt:

  • Inhalt: SSN 123-45-6789
  • Startzeichen für Contentempfehlungen: 4
  • Länge von Contentempfehlungen: 11
  • ID des übereinstimmenden Detektors: US_SOCIAL_SECURITY_NUMBER
  • Zeilenindex: 2
  • Feldname: header2

Vertrauliche Inhalte mit BigQuery exportieren

Sie können Snippets mit sensiblen Inhalten zur weiteren Prüfung in benutzerdefinierte Tabellen exportieren. Weitere Informationen finden Sie unter Konfiguration für BigQuery Export einrichten.

Sensible Inhalte aus Protokollen entfernen

Nach der Untersuchung eines Vorfalls können Sie vertrauliche Inhalte aus den Protokollen entfernen, um die Daten nicht unnötig preiszugeben. Durch das Entfernen der Inhalte aus den Protokollen werden sie nicht aus der Datei oder Ressource entfernt, in der sie gefunden wurden, oder aus benutzerdefinierten BigQuery-Tabellen. Wenn Sie die Inhalte entfernen, sind sie nicht mehr im Prüftool oder auf der Seite „Audit und Prüfung“ verfügbar und können nicht nach BigQuery exportiert werden.

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
  1. Wiederholen Sie die Schritte 1, 2 und 3 oben auf dieser Seite, um sensible Inhalte aufzurufen.
  2. Klicken Sie auf Sensible Inhalte entfernen.
  3. Klicken Sie im Feld Sensible Inhalte entfernen zur Bestätigung auf Entfernen.

Sensible Inhalte wiederherstellen

Bei Bedarf können Sie sensible Inhalte innerhalb der 180‑tägigen Aufbewahrungsdauer im Protokoll wiederherstellen.

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
  1. Wiederholen Sie die Schritte 1, 2 und 3 oben auf dieser Seite, um sensible Inhalte aufzurufen.
  2. Klicken Sie oben im Bereich Logdetails auf Wiederherstellen.
  3. Klicken Sie auf Sensible Inhalte anzeigen.
  4. Klicken Sie im Bereich Protokolldetails neben Ausschnitte mit vertraulichen Inhalten auf den Rechtspfeil , um die Zeilen mit vertraulichen Inhalten zu maximieren.

Nach Ablauf des ursprünglichen Aufbewahrungszeitraums von 180 Tagen werden die DLP-Snippets gelöscht, unabhängig davon, ob Sie sie wiederherstellen.

Protokollereignisse für Administratordatenaktionen

Sie können in den Protokollereignissen für Administratordatenaktionen nach Administratoren suchen, die auf sensible Inhalte zugegriffen, sie entfernt oder wiederhergestellt haben. Weitere Informationen finden Sie im Hilfeartikel Protokollereignisse für Administratordatenaktionen.

Vordefinierte Inhaltsdetektoren verwenden