Visualizzare i contenuti che attivano le regole DLP

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Fundamentals, Education Standard ed Education Plus; Enterprise Essentials Plus; Chrome Enterprise Premium. Confronta la tua versione

Le funzionalità DLP per Drive, Gmail e Chat sono disponibili per gli utenti di Cloud Identity Premium che hanno anche una licenza Google Workspace. Per la funzionalità DLP per Drive, la licenza deve includere gli eventi del log di Drive.

In qualità di amministratore, puoi utilizzare gli snippet di Prevenzione della perdita di dati (DLP) per verificare se una violazione delle regole DLP è un incidente reale o un falso positivo. Gli snippet DLP acquisiscono i contenuti che violano una regola. Puoi esaminare gli snippet nello strumento di indagine sulla sicurezza e nella pagina di controllo e indagine.

In questa pagina

Accesso agli snippet nello strumento di indagine

Per accedere agli snippet nello strumento di indagine:

Prima di iniziare

Attiva l'archiviazione dei contenuti sensibili:

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezzae poiAccesso e controllo dei datie poiProtezione dei dati.

    È necessario disporre dei privilegi amministrativi Visualizzazione regola DLP e Gestione regola DLP.

  2. Per Archiviazione di contenuti sensibili, imposta lo stato su On.
  3. Fai clic su Salva.

Se disattivi l'archiviazione di contenuti sensibili, gli snippet DLP non vengono più registrati.

Informazioni sugli snippet DLP

Gli snippet DLP contengono tutti i contenuti segnalati da una regola DLP che corrispondono alle condizioni per i contenuti di una regola DLP, ad esempio:

  • Contenuti dei file scansionati
  • Rilevatori di contenuti riutilizzabili
  • Parole chiave ed elenchi di parole
  • Espressioni regolari
  • Rilevatori di contenuti predefiniti

Puoi esaminare gli snippet DLP nei log per 180 giorni. Durante questo periodo, se i contenuti di origine vengono eliminati o modificati, gli snippet non vengono eliminati. Gli snippet DLP acquisiscono i contenuti corrispondenti rilevati dalle regole DLP e il testo circostante (fino a 100 caratteri Unicode su ciascun lato), fornendo contesto per le analisi DLP.

Limitazioni degli snippet DLP

  • I contenuti degli snippet con più di 500 caratteri Unicode vengono troncati.
  • Per i dati sugli eventi del log delle regole DLP, la dimensione totale del parametro snippet è limitata a 50 kB. Le istanze snippet vengono rimosse finché le dimensioni complessive non sono inferiori a 50 kB.
  • In Google Chat, gli snippet non vengono raccolti per i messaggi non salvati nel registro (cronologia chat disattivata) o per le conversazioni inviate a uno spazio di proprietà di una persona esterna all'organizzazione.
  • I contenuti analizzati mediante DLP e gli snippet estratti da Google Drive potrebbero essere diversi dai contenuti di origine originali del documento.

Passaggio 1: avvia l'indagine

Opzione 1: visualizza gli snippet dei contenuti sensibili nello strumento di indagine

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezzae poiCentro sicurezzae poiStrumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Fai clic su Origine dati e seleziona Eventi del log delle regole.
  3. Fai clic su Aggiungi condizione.
  4. Dal menu Attributo, seleziona Tipo di regola e assicurati che l'operatore sia impostato su Is (l'opzione predefinita).
  5. Dal menu Tipo di regola, seleziona DLP.
  6. Fai clic su Cerca.

Opzione 2: visualizza gli snippet dei contenuti sensibili nella pagina di controllo e indagine

  1. Nella Console di amministrazione Google, vai a Menu e poi Reporte poiControllo e indaginee poiEventi del log delle regole.

    È necessario disporre del privilegio amministrativo Controllo e indagine.

  2. Fai clic su Aggiungi un filtroe poiTipo di regola.
  3. Nella casella Tipo di regola, seleziona Èe poiDLP e fai clic su Applica.
  4. Fai clic su Cerca.

Passaggio 2: mostra i contenuti sensibili

  1. Nei risultati di ricerca, nella colonna Include contenuti sensibili, cerca True.
  2. Nella colonna Descrizione, fai clic sul testo per aprire il riquadro Dettagli log.
  3. Fai clic su Mostra contenuti sensibili.
  4. Se necessario, inserisci il motivo per cui devi visualizzare i contenuti sensibilie poifai clic su Conferma.

Il riquadro verrà aggiornato e la riga Snippet dei contenuti sensibili si aggiornerà con gli snippet attivati dalla regola che stai esaminando.

Passaggio 3: visualizza i contenuti sensibili

Nel riquadro Dettagli log, accanto a Snippet dei contenuti sensibili, fai clic sulla Freccia destra per espandere le righe che includono contenuti sensibili.

Puoi esaminare i seguenti attributi:

Attributo Descrizione
Contenuti I contenuti (incluso il testo circostante utilizzato per il contesto) corrispondono a una regola DLP
Carattere iniziale dei contenuti corrispondenti Inizio dei contenuti che corrispondono a una regola, in cui l'indice iniziale è in base zero. Il carattere iniziale dei contenuti corrispondenti è relativo allo snippet dei contenuti, non al documento di origine.
Lunghezza dei contenuti corrispondenti Lunghezza della corrispondenza
ID rilevatore corrispondente Rilevatore corrispondente, se presente
Indice riga (File di chat in formato CSV) Eventuale indice in base zero della riga di contenuti
Nome campo (File Chat in formato CSV) Nome della colonna dei contenuti, se presente

Esempio: scansioni di regole DLP per rilevare i numeri di previdenza sociale

In questo esempio, se un foglio di lavoro contiene un codice fiscale, gli attributi vengono compilati come segue:

  • Contenuto: SSN 123-45-6789
  • Carattere iniziale dei contenuti corrispondenti: 4
  • Lunghezza dei contenuti corrispondenti: 11
  • ID rilevatore corrispondente: US_SOCIAL_SECURITY_NUMBER
  • Indice riga: 2
  • Nome campo: header2

Esportare i contenuti sensibili utilizzando BigQuery

Puoi esportare gli snippet dei contenuti sensibili in tabelle personalizzate per ulteriori indagini. Per maggiori dettagli, vedi Impostare una configurazione di BigQuery Export.

Rimozione dei contenuti sensibili dai log

Dopo aver esaminato un incidente, puoi rimuovere i contenuti sensibili dai log per non compromettere i dati inutilmente. I contenuti rimossi dai log non vengono rimossi dal file o dalla risorsa in cui sono stati trovati o dalle tabelle BigQuery personalizzate. Se rimuovi i contenuti, questi non saranno più disponibili nello strumento di indagine o nella pagina di controllo e indagine e non potranno essere esportati in BigQuery.

Per questa attività, devi aver eseguito l'accesso come super amministratore.
  1. Ripeti i passaggi 1, 2 e 3 precedenti in questa pagina per visualizzare contenuti sensibili.
  2. Fai clic su Rimuovi contenuti sensibili.
  3. Nella casella Rimuovi contenuti sensibili, fai clic su Rimuovi per confermare.

Ripristinare contenuti sensibili

Se necessario, puoi ripristinare i contenuti sensibili nel log entro il periodo di conservazione di 180 giorni.

Per questa attività, devi aver eseguito l'accesso come super amministratore.
  1. Ripeti i passaggi 1, 2 e 3 precedenti in questa pagina per visualizzare contenuti sensibili.
  2. Nella parte superiore del riquadro Dettagli log, fai clic su Ripristina.
  3. Fai clic su Mostra contenuti sensibili.
  4. Nel riquadro Dettagli log, accanto a Snippet dei contenuti sensibili, fai clic sulla Freccia destra per espandere le righe che includono contenuti sensibili.

Dopo il periodo di conservazione originale di 180 giorni, gli snippet DLP vengono eliminati, indipendentemente dal fatto che tu li ripristini.

Eventi del log delle azioni dei dati per gli amministratori

Puoi cercare gli eventi del log delle azioni relative ai dati amministrativi per tenere traccia degli amministratori che hanno eseguito l'accesso, rimosso o ripristinato i contenuti sensibili. Per maggiori dettagli, vedi Eventi del log delle azioni dei dati per gli amministratori.

Come utilizzare i rilevatori di contenuti predefiniti