Edições compatíveis com este recurso: Frontline Standard e Frontline Plus; Enterprise Standard e Enterprise Plus; Education Fundamentals, Education Standard e Education Plus; Enterprise Essentials Plus; Chrome Enterprise Premium. Comparar sua edição
A DLP do Drive, do Gmail e do Chat estão disponíveis para os usuários do Cloud Identity Premium que também têm uma licença do Google Workspace. Para a DLP do Drive, a licença precisa incluir os eventos de registro do Drive.
Como administrador, você pode usar snippets da prevenção contra perda de dados (DLP) para investigar se uma violação de regra da DLP é um incidente real ou um falso positivo. Os snippets da DLP capturam o conteúdo que viola uma regra. É possível analisar os snippets na ferramenta de investigação de segurança e na página de auditoria e investigação.
Nesta página
- Acesso a snippets na ferramenta de investigação
- Antes de começar
- Sobre snippets da DLP
- Limitações do snippet da DLP
- Etapa 1: iniciar a investigação
- Etapa 2: mostrar conteúdo sensível
- Etapa 3: acessar conteúdo sensível
- Exportar conteúdo sensível usando o BigQuery
- Remover conteúdo sensível dos registros
- Restaurar conteúdo sensível
- Eventos de registro de ações de dados do administrador
Acesso a snippets na ferramenta de investigação
Para acessar snippets na ferramenta de investigação:
- Os administradores precisam ter o privilégio Ver conteúdo sensível. Saiba mais em Privilégios de administrador da ferramenta de investigação.
- Para permitir que os administradores vejam conteúdo sensível, você precisa ativar a configuração "Ver conteúdo sensível".
- Para remover e restaurar conteúdo sensível de registros, você precisa ser um superadministrador.
Antes de começar
Ativar o armazenamento de conteúdo sensível:
-
No Google Admin Console, acesse Menu
SegurançaControle de acesso e dadosProteção de dados.É necessário ter os privilégios de administrador Ver regra da DLP e Gerenciar regra da DLP.
- Em Armazenamento de conteúdo sensível, mude o estado para Ativado.
- Clique em Salvar.
Se você desativar o armazenamento de conteúdo sensível, os snippets da DLP não serão mais registrados.
Sobre snippets da DLP
Os snippets da DLP têm qualquer conteúdo sinalizado por uma regra da DLP que corresponde às condições de conteúdo dela, por exemplo:
- Conteúdo dos arquivos verificados
- Detectores de conteúdo reutilizáveis
- Palavras-chave e listas de palavras
- Expressões regulares
- Detectores de conteúdo predefinidos
É possível analisar os snippets da DLP nos registros por 180 dias. Durante esse período, se o conteúdo original for excluído ou alterado, os snippets não serão excluídos. Os snippets da DLP capturam o conteúdo correspondente detectado pelas regras da DLP e o texto ao redor (até 100 caracteres Unicode em cada lado), fornecendo contexto para as verificações da DLP.
Limitações do snippet da DLP
- O conteúdo do snippet com mais de 500 caracteres Unicode fica truncado.
- Para dados de eventos de registro de regras da DLP, o tamanho total do parâmetro de snippets é limitado a 50 kB. As instâncias de snippet são removidas até que o tamanho geral tenha menos de 50 kB.
- No Google Chat, os snippets não são coletados de mensagens com a gravação desativada (histórico de chat desativado) ou de conversas enviadas para um espaço de alguém de fora da sua organização.
- O conteúdo verificado pela DLP e os snippets extraídos do Google Drive podem ser diferentes do conteúdo original no documento.
Etapa 1: iniciar a investigação
Opção 1: visualizar snippets de conteúdo sensível na ferramenta de investigação
-
No Google Admin Console, acesse Menu
SegurançaCentral de segurançaFerramenta de investigação.Exige o privilégio de administrador Central de segurança.
- Clique em Fonte de dados e selecione Eventos de registro de regras.
- Clique em Adicionar condição.
- No menu Atributo, selecione Tipo de regra e verifique se o operador está definido como É (a opção padrão).
- No menu Tipo de regra, selecione DLP.
- Clique em Pesquisar.
Opção 2: visualizar snippets de conteúdo sensível na página de auditoria e investigação
-
No Google Admin Console, acesse Menu
RelatóriosAuditoria e investigaçãoEventos de registro da regra.Exige o privilégio de administrador Auditoria e investigação.
- Clique em Adicionar um filtro Tipo de regra.
- Na caixa Tipo de regra, selecione É DLP e clique em Aplicar.
- Clique em Pesquisar.
Etapa 2: mostrar conteúdo sensível
- Nos resultados da pesquisa, na coluna Tem conteúdo sensível, procure Verdadeiro.
- Na coluna Descrição, clique no texto para abrir o painel "Detalhes do registro".
- Clique em Mostrar conteúdo sensível.
- Se necessário, informe por que você precisa acessar o conteúdo sensível clique em Confirmar.
O painel será atualizado, e a linha Snippets de conteúdo sensível será atualizada com os snippets acionados pela regra que você está investigando.
Etapa 3: acessar conteúdo sensível
No painel Detalhes do registro, ao lado de Snippets de conteúdo sensível, clique na seta para a direita 
para abrir as linhas com esse tipo de conteúdo.
Você pode analisar os seguintes atributos:
| Attribute | Descrição |
| Conteúdo | O conteúdo (incluindo o texto ao redor usado para contexto) corresponde a uma regra da DLP. |
| Caractere inicial do conteúdo correspondente | Início do conteúdo que corresponde a uma regra, em que o índice inicial é baseado em zero. O caractere inicial do conteúdo correspondente é relativo ao snippet de conteúdo, não ao documento de origem. |
| Duração do conteúdo correspondente | Nível de correspondência |
| ID do detector correspondente | Detector correspondente, se houver |
| Índice de linhas | (Arquivos do Chat no formato CSV) Índice baseado em zero da linha de conteúdo, se houver |
| Nome do campo | (Arquivos do Chat no formato CSV) Nome da coluna do conteúdo, se houver |
Exemplo: verificações de regras da DLP para CPF ou CNPJ
Neste exemplo, se uma planilha contém um CPF ou CNPJ, os atributos são preenchidos da seguinte maneira:
- Conteúdo: CPF 123.456.789-10
- Caractere inicial do conteúdo correspondente: 4
- Duração do conteúdo correspondente: 11
- ID do detector correspondente: US_SOCIAL_SECURITY_NUMBER
- Índice de linhas: 2
- Nome do campo: header2
Exportar conteúdo sensível usando o BigQuery
Você pode exportar snippets de conteúdo sensível para tabelas personalizadas para uma investigação mais detalhada. Para mais detalhes, acesse Definir uma configuração do BigQuery Export.
Remover conteúdo sensível dos registros
Após investigar um incidente, você pode remover conteúdo sensível dos registros para não expor os dados sem necessidade. Remover o conteúdo dos registros não o remove do arquivo ou recurso real em que o conteúdo foi encontrado ou de tabelas personalizadas do BigQuery. Se você remover o conteúdo, ele não ficará mais disponível na ferramenta de investigação nem na página de auditoria e investigação e não poderá ser exportado para o BigQuery.
Para realizar essa tarefa, você precisa fazer login como superadministrador.- Repita as etapas 1, 2 e 3 acima nesta página para acessar conteúdo sensível.
- Clique em Remover conteúdo sensível.
- Na caixa Remover conteúdo sensível, clique em Remover para confirmar.
Restaurar conteúdo sensível
Se necessário, é possível restaurar o conteúdo sensível no registro no período de armazenamento de 180 dias.
Para realizar essa tarefa, você precisa fazer login como superadministrador.- Repita as etapas 1, 2 e 3 acima nesta página para acessar conteúdo sensível.
- Na parte de cima do painel Detalhes do registro, clique em Restaurar.
- Clique em Mostrar conteúdo sensível.
- No painel Detalhes do registro, ao lado de Snippets de conteúdo sensível, clique na seta para a direita para abrir as linhas com esse tipo de conteúdo.
Após o período de armazenamento original de 180 dias, os snippets da DLP serão excluídos, mesmo que você não os restaure.
Eventos de registro da ação de dados do administrador
Você pode pesquisar os eventos de registro da ação de dados do administrador para monitorar os administradores que acessaram, removeram ou restauraram conteúdo sensível. Confira mais detalhes em Eventos de registro da ação de dados do administrador.