Visualiza el contenido que activa las reglas de la DLP

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus; Enterprise Standard y Enterprise Plus; Education Fundamentals, Education Standard y Education Plus; Enterprise Essentials Plus; Chrome Enterprise Premium. Comparar tu edición

La DLP de Drive, la DLP de Gmail y la DLP de Chat están disponibles para los usuarios de Cloud Identity Premium que también tienen una licencia de Google Workspace. En el caso de la DLP de Drive, la licencia debe incluir los eventos de registro de Drive.

Como administrador, puedes usar fragmentos de la prevención de pérdida de datos (DLP) para investigar si un incumplimiento de regla de la DLP es un incidente real o un falso positivo. Los fragmentos de la DLP capturan el contenido que incumple una regla. Puedes revisar los resúmenes en la herramienta de investigación de seguridad y en la página de investigación y auditoría.

En esta página, encontrarás lo siguiente:

Acceso a fragmentos en la herramienta de investigación
Antes de comenzar
Acerca de los fragmentos de la DLP
Limitaciones de los fragmentos de DLP
Paso 1: Inicia la investigación
Paso 2: Muestra contenido sensible
Paso 3: Visualiza contenido sensible
Cómo exportar contenido sensible con BigQuery
Cómo quitar contenido sensible de los registros
Restablecer contenido sensible
Eventos de registro de acciones de datos del administrador

Acceso a fragmentos en la herramienta de investigación

Sigue estos pasos para acceder a los resúmenes en la herramienta de investigación:

Los administradores deben tener el privilegio Ver contenido sensible. Para obtener más información, consulta Privilegios de administrador para la herramienta de investigación.
Para permitir que los administradores vean el contenido sensible, debes activar el parámetro de configuración Ver contenido sensible.
Para quitar y restablecer contenido sensible de los registros, debes ser superadministrador.

Antes de comenzar

Activa el almacenamiento de contenido sensible:

En la Consola del administrador de Google, ve a Menú SeguridadControl de acceso y datosProtección de datos.

Ir a Protección de datos

Se requiere tener los privilegios de administrador para ver y administrar la regla de DLP.
En Almacenamiento de contenido sensible, cambia el estado a Activado.
Haz clic en Guardar.

Si desactivas el almacenamiento de contenido sensible, ya no se registrarán los fragmentos de DLP.

Acerca de los fragmentos de DLP

Los fragmentos de la DLP contienen cualquier contenido marcado por una regla de la DLP que coincida con las condiciones de contenido de una regla de la DLP, como los siguientes:

Contenido de los archivos analizados
Detectores de contenido reutilizable
Palabras clave y listas de palabras
Expresiones regulares
Detectores de contenido predefinidos

Puedes revisar los fragmentos de DLP en los registros durante 180 días. Durante este tiempo, si se borra o cambia el contenido fuente, no se borran los resúmenes. Los fragmentos de la DLP capturan el contenido coincidente detectado por las reglas de la DLP, además del texto circundante (hasta 100 caracteres Unicode a cada lado), lo que proporciona contexto para los análisis de la DLP.

Limitaciones de los fragmentos de la PPD

El contenido de fragmentos que supere los 500 caracteres Unicode se truncará.
Para los datos de eventos de registro de reglas de la API de DLP, el tamaño total del parámetro de fragmentos se limita a 50 KB. Se quitan instancias de fragmentos hasta que el tamaño general sea inferior a 50 KB.
En Google Chat, no se recopilan resúmenes de los mensajes no registrados (historial de chat desactivado) ni de las conversaciones enviadas a un espacio que pertenece a alguien ajeno a tu organización.
El contenido analizado por la DLP y los fragmentos extraídos de Google Drive pueden diferir del contenido fuente original del documento.

Paso 1: Inicia la investigación

Opción 1: Ve fragmentos de contenido sensible en la herramienta de investigación

En la Consola del administrador de Google, ve a Menú SeguridadCentro de seguridadHerramienta de investigación.

Ir a la Herramienta de investigación

Es necesario tener el privilegio de administrador del Centro de seguridad.
Haz clic en Fuente de datos y selecciona Eventos de registro de reglas.
Haga clic en Agregar condición.
En el menú Atributo, selecciona Tipo de regla y asegúrate de que el operador esté configurado como Es (la opción predeterminada).
En el menú Tipo de regla, selecciona DLP.
Haz clic en Buscar.

Opción 2: Visualiza fragmentos de contenido sensible en la página de investigación y auditoría

En la Consola del administrador de Google, ve a Menú InformesInvestigación y auditoríaEventos de registro de reglas.

Ir a Eventos de registro de reglas

Es necesario tener el privilegio de administrador de Auditoría e investigación.
Haz clic en Agregar un filtro Tipo de regla.
En el cuadro Tipo de regla, selecciona Es DLP y haz clic en Aplicar.
Haz clic en Buscar.

Paso 2: Muestra contenido sensible

En los resultados de la búsqueda, en la columna Tiene contenido sensible, busca Verdadero.
En la columna Descripción, haz clic en el texto para abrir el panel Detalles del registro.
Haz clic en Mostrar contenido sensible.
Si es necesario, ingresa el motivo por el que necesitas ver el contenido sensible haz clic en Confirmar.

El panel se actualizará y la fila Resúmenes de contenido sensible se actualizará con los resúmenes activados por la regla que estás investigando.

Paso 3: Ve el contenido sensible

En el panel Detalles del registro, junto a Fragmentos de contenido sensible, haz clic en la flecha hacia la derecha para expandir las filas que contienen contenido sensible.

Puedes revisar los siguientes atributos:

Atributo	Descripción
Contenido	El contenido (incluido el texto circundante que se usa para el contexto) coincidió con una regla de DLP.
Carácter inicial del contenido coincidente	Es el inicio del contenido que coincidió con una regla, en el que el índice de inicio se basa en cero. El carácter inicial del contenido coincidente es relativo al fragmento de contenido, no al documento fuente.
Duración del contenido coincidente	Duración de la coincidencia
ID del detector que coincidió	Detector que coincidió, si hubo alguno
Índice de fila	Índice basado en cero de la fila de contenido, si corresponde (archivos de chat en formato CSV)
Nombre del campo	(Archivos de chat en formato CSV) Nombre de la columna del contenido, si corresponde

Ejemplo: La regla de la DLP analiza los números de seguridad social

En este ejemplo, si una hoja de cálculo contiene un número de seguridad social, los atributos se propagan de la siguiente manera:

Contenido: NSS 123-45-6789
Carácter inicial del contenido coincidente: 4
Longitud del contenido coincidente: 11
ID del detector coincidente: US_SOCIAL_SECURITY_NUMBER
Índice de fila: 2
Nombre del campo: header2

Exporta contenido sensible con BigQuery

Puedes exportar fragmentos de contenido sensible a tablas personalizadas para realizar investigaciones adicionales. Para obtener más detalles, consulta Cómo configurar una configuración de BigQuery Export.

Cómo quitar contenido sensible de los registros

Después de investigar un incidente, puedes quitar el contenido sensible de los registros para no exponer los datos de forma innecesaria. Quitar el contenido de los registros no lo quita del archivo o recurso real en el que se encontró el contenido ni de las tablas personalizadas de BigQuery. Si quitas el contenido, ya no estará disponible en la herramienta de investigación ni en la página de auditoría e investigación, y no se podrá exportar a BigQuery.

Debes acceder como administrador avanzado para realizar esta tarea.

Repite los pasos 1, 2 y 3 anteriores en esta página para ver contenido sensible.
Haz clic en Quitar el contenido sensible.
En el cuadro Quitar contenido sensible, haz clic en Quitar para confirmar.

Restablece el contenido sensible

Si es necesario, puedes restablecer el contenido sensible en el registro dentro del período de retención de 180 días.