Просматривайте контент, который запускает правила защиты от утечки данных (DLP).

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Fundamentals, Education Standard и Education Plus; Enterprise Essentials Plus; Chrome Enterprise Premium. Сравните свою версию .

Функции Drive DLP, Gmail DLP и Chat DLP доступны пользователям Cloud Identity Premium, имеющим также лицензию Google Workspace. Для Drive DLP лицензия должна включать события журнала Drive .

Администратор может использовать фрагменты кода предотвращения потери данных (DLP) для проверки того, является ли нарушение правила DLP реальным инцидентом или ложным срабатыванием. Фрагменты DLP фиксируют контент, нарушающий правило. Вы можете просмотреть эти фрагменты в инструменте расследования инцидентов безопасности и на странице аудита и расследования.

На этой странице

Доступ к фрагментам кода в инструменте расследования

Чтобы получить доступ к фрагментам текста в инструменте расследования:

Прежде чем начать

Включите хранение конфиденциального контента:

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Защита данных .

    Для этого требуются права администратора «Просмотр правил DLP» и «Управление правилами DLP» .

  2. Для хранения конфиденциальной информации переведите параметр в положение «Вкл.» .
  3. Нажмите « Сохранить ».

Если отключить хранение конфиденциальной информации, фрагменты DLP больше не будут регистрироваться в журнале.

О фрагментах DLP

Фрагменты DLP содержат любой контент, отмеченный правилом DLP, который соответствует условиям содержимого правила DLP, например:

  • Содержимое отсканированных файлов
  • Многоразовые детекторы контента
  • Ключевые слова и списки слов
  • Регулярные выражения
  • Предопределенные детекторы контента

Вы можете просматривать фрагменты DLP в журналах в течение 180 дней. В течение этого времени, если исходный контент удаляется или изменяется, фрагменты не удаляются. Фрагменты DLP содержат совпадающий контент, обнаруженный правилами DLP, а также окружающий текст (до 100 символов Юникода с каждой стороны), обеспечивающий контекст для сканирования DLP.

Ограничения фрагментов DLP

  • Содержимое фрагмента текста, превышающее 500 символов Юникода, обрезается.
  • Для данных журнала правил DLP общий размер параметра snippets ограничен 50 КБ. Экземпляры snippets удаляются до тех пор, пока общий размер не станет меньше 50 КБ.
  • В Google Chat фрагменты сообщений не собираются для сообщений, не относящихся к официальной переписке (история чата отключена), или для разговоров, отправленных в пространство, принадлежащее лицу, не входящему в вашу организацию.
  • Содержимое, отсканированное с помощью DLP, и фрагменты текста, извлеченные из Google Drive, могут отличаться от исходного содержимого документа.

Шаг 1: Начните расследование

Вариант 1: Просмотр фрагментов конфиденциальной информации в инструменте расследования.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. Щелкните «Источник данных» и выберите «Журнал правил событий» .
  3. Нажмите «Добавить условие» .
  4. В меню «Атрибут» выберите «Тип правила» и убедитесь, что для оператора установлено значение «Является» (вариант по умолчанию).
  5. В меню «Тип правила» выберите DLP .
  6. Нажмите «Поиск» .

Вариант 2: Просмотр фрагментов конфиденциальной информации на странице аудита и расследования.

  1. В консоли администратора Google перейдите в меню. а потом Отчетность а потом Аудит и расследование а потом Правила регистрируют события .

    Для этого необходимы права администратора по аудиту и расследованиям .

  2. Нажмите « Добавить фильтр». а потом Тип правила .
  3. В поле «Тип правила» выберите «Является» а потом Нажмите DLP и нажмите «Применить» .
  4. Нажмите «Поиск» .

Шаг 2: Отображение контента, имеющего конфиденциальный характер.

  1. В результатах поиска в столбце «Содержит конфиденциальную информацию » найдите значение «True» .
  2. В столбце «Описание» щелкните по тексту, чтобы открыть панель с подробными сведениями о журнале.
  3. Нажмите « Показать конфиденциальную информацию» .
  4. При необходимости укажите причину, по которой вам необходимо просмотреть конфиденциальную информацию. а потом Нажмите «Подтвердить» .

Панель обновится, и строка « Конфиденциальные фрагменты контента» отобразит фрагменты, активируемые правилом, которое вы исследуете.

Шаг 3: Просмотр конфиденциальной информации

В панели сведений о журнале рядом с пунктом «Конфиденциальные фрагменты содержимого » нажмите стрелку вправо. развернуть строки, содержащие конфиденциальную информацию.

Вы можете просмотреть следующие атрибуты:

Атрибут Описание
Содержание Содержимое (включая окружающий текст, используемый для контекста) соответствовало правилу DLP.
Соответствующий контент, начальный персонаж Начало содержимого, соответствующего правилу, где начальный индекс начинается с нуля. Начальный символ найденного содержимого определяется относительно фрагмента содержимого, а не исходного документа.
Соответствующая длина контента Длительность матча
Идентификатор совпавшего детектора Детектор, который совпал с данным, если таковой имелся.
Индекс строки (Файлы чата в формате CSV) Индекс строки содержимого, начинающийся с нуля, если таковой имеется.
Название поля (Файлы чата в формате CSV) Название столбца содержимого, если таковой имеется.

Пример: правило DLP сканирует наличие номеров социального страхования.

В этом примере, если электронная таблица содержит номер социального страхования, атрибуты заполняются следующим образом:

  • Содержание: SSN 123-45-6789
  • Соответствующий контент, начальный символ: 4
  • Длина найденного контента: 11
  • Идентификатор совпавшего детектора: US_SOCIAL_SECURITY_NUMBER
  • Номер строки: 2
  • Название поля: header2

Экспорт конфиденциального контента с помощью BigQuery

Вы можете экспортировать фрагменты конфиденциальной информации в пользовательские таблицы для дальнейшего анализа. Подробности см. в разделе «Настройка конфигурации экспорта BigQuery» .

Удалите конфиденциальную информацию из журналов.

После расследования инцидента вы можете удалить конфиденциальную информацию из журналов, чтобы избежать ненужного раскрытия данных. Удаление информации из журналов не удаляет её из самого файла или ресурса, где она была найдена, а также из пользовательских таблиц BigQuery. Если вы удалите информацию, она больше не будет доступна в инструменте расследования или на странице аудита и расследования и не сможет быть экспортирована в BigQuery.

Для выполнения этой задачи необходимо войти в систему как суперадминистратор .
  1. Повторите шаги 1, 2 и 3, описанные выше, на этой странице, чтобы просмотреть контент, содержащий конфиденциальную информацию.
  2. Нажмите « Удалить конфиденциальную информацию» .
  3. В поле «Удалить конфиденциальную информацию» нажмите «Удалить» для подтверждения.

Восстановить конфиденциальный контент

При необходимости вы можете восстановить конфиденциальную информацию в журнале в течение 180-дневного периода хранения.

Для выполнения этой задачи необходимо войти в систему как суперадминистратор .
  1. Повторите шаги 1, 2 и 3, описанные выше, на этой странице, чтобы просмотреть контент, содержащий конфиденциальную информацию.
  2. В верхней части панели сведений о журнале нажмите «Восстановить» .
  3. Нажмите « Показать конфиденциальную информацию» .
  4. В панели сведений о журнале рядом с пунктом «Конфиденциальные фрагменты содержимого » нажмите стрелку вправо. развернуть строки, содержащие конфиденциальную информацию.

По истечении первоначального 180-дневного срока хранения фрагменты DLP удаляются независимо от того, восстанавливаете вы их или нет.

События журнала действий администратора с данными

Вы можете выполнить поиск по событиям журнала действий администратора, чтобы отслеживать администраторов, которые получили доступ, удалили или восстановили конфиденциальный контент. Для получения более подробной информации перейдите в раздел «События журнала действий администратора» .

Как использовать предопределенные детекторы контента