支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育基础版、教育标准版和教育 Plus 版;企业基本功能 Plus 版;Chrome 企业进阶版。 版本对比
Cloud Identity 专业版用户只要拥有 Google Workspace 许可,即可使用云端硬盘 DLP、Gmail DLP 和 Chat DLP 功能。对于云端硬盘 DLP 功能,许可必须包含云端硬盘日志事件服务。
作为管理员,您可以使用数据泄露防护 (DLP) 片段来调查违反 DLP 规则的行为是真实的突发事件还是误报。DLP 片段会捕获违反规则的内容。您可以在安全调查工具以及“审核和调查”页面上查看片段。
本页内容
- 访问调查工具中的片段
- 准备工作
- 数据泄露防护片段简介
- DLP 片段限制
- 第 1 步:开始调查
- 第 2 步:显示敏感内容
- 第 3 步:查看敏感内容
- 使用 BigQuery 导出敏感内容
- 从日志中移除敏感内容
- 恢复敏感内容
- 管理员数据操作日志事件
访问调查工具中的片段
如需在调查工具中访问片段,请执行以下操作:
- 管理员必须拥有查看敏感内容权限。有关详情,请参阅使用调查工具所需的管理员权限。
- 如需允许管理员查看敏感内容,您需要启用“查看敏感内容”设置。
- 如需从日志中移除和恢复敏感内容,您必须是超级用户。
准备工作
开启敏感内容存储功能:
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性访问权限和数据控件数据保护。需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。
- 对于敏感内容存储,请将状态更改为开启。
- 点击保存。
如果您关闭敏感内容存储设置,系统将不再记录数据泄露防护片段。
数据泄露防护片段简介
DLP 片段包含数据泄露防护规则标记的与 DLP 规则的内容条件匹配的任何内容,例如:
- 扫描的文件的内容
- 可重复使用的内容检测器
- 关键字和字词列表
- 正则表达式
- 预定义的内容检测器
您可以在日志中查看 180 天的 DLP 片段。在此期间,如果源内容被删除或更改,片段不会被删除。DLP 片段会捕获 DLP 规则检测到的匹配内容以及为 DLP 扫描提供上下文的周边文本(每边最多 100 个 Unicode 字符)。
DLP 片段限制
- 超过 500 个 Unicode 字符的摘要内容会被截断。
- 对于 DLP 规则日志事件数据,片段参数的总大小上限为 50 KB。系统会移除这些片段实例,直到总大小小于 50 KB。
- 在 Google Chat 中,系统不会收集未保存的消息(聊天记录功能已关闭)或发送到组织外部人员拥有的聊天室的对话的片段。
- 数据泄露防护扫描内容和从 Google 云端硬盘提取的片段可能与文档中的原始源内容不同。
第 1 步:开始调查
方法 1:在调查工具中查看敏感内容片段
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性安全中心调查工具。需要拥有“安全中心”管理员权限。
- 点击数据源,然后选择规则日志事件。
- 点击添加条件。
- 从属性菜单中,选择规则类型,并确保运算符已设置为是(默认选项)。
- 从规则类型菜单中,选择 DLP。
- 点击搜索。
方法 2:在“审核和调查”页面上查看敏感内容片段
-
在 Google 管理控制台中,依次点击“菜单”图标
报告审核和调查规则日志事件。需要拥有审核与调查管理员权限。
- 依次点击添加过滤条件规则类型。
- 在规则类型框中,选择是DLP,然后点击应用。
- 点击搜索。
第 2 步:显示敏感内容
- 在搜索结果中,找到“包含敏感内容”列中的 True。
- 在说明列中,点击文本以打开“日志详细信息”面板。
- 点击显示敏感内容。
- 如有需要,请输入您需要查看敏感内容的原因点击确认。
系统会刷新该面板,然后敏感内容片段行将更新为显示由您正在调查的规则触发的片段。
第 3 步:查看敏感内容
在日志详情面板中,点击敏感内容摘要旁边的向右箭头 
,以展开包含敏感内容的行。
您可以查看以下属性:
| 属性 | 说明 |
| 内容 | 内容(包括用于上下文的周边文本)与 DLP 规则匹配 |
| 匹配内容的开头字符 | 与规则匹配的内容的起始位置,其中起始索引从零开始。匹配内容的开头字符是相对于内容摘要(而非来源文档)而言的。 |
| 匹配内容的长度 | 匹配长度 |
| 相符的检测器 ID | 匹配的检测器(如果有) |
| 行索引 | (CSV 格式的 Chat 文件)内容行从零开始的索引(如果有) |
| 字段名称 | (CSV 格式的 Chat 文件)内容的列名称(如果有) |
示例:数据泄露防护规则扫描社会保障号
在此示例中,如果电子表格包含社会保障号,则属性会按如下所示填充:
- 内容:社会保障号 123-45-6789
- 匹配内容的开头字符:4
- 匹配内容的长度:11
- 匹配的检测器 ID:US_SOCIAL_SECURITY_NUMBER
- 行索引:2
- 字段名称:header2
使用 BigQuery 导出敏感内容
您可以将敏感内容摘要导出到自定义表格,以便进一步调查。如需了解详情,请参阅设置 BigQuery Export 配置。
从日志中移除敏感内容
调查完突发事件后,您可以从日志中移除敏感内容,以免不必要地泄露数据。从日志中移除内容并不会将相应内容从所在的实际文件或资源中移除,也不会将其从自定义 BigQuery 表中移除。如果您移除相应内容,调查工具或“审核和调查”页面将无法再显示这些内容,也无法将其导出到 BigQuery。
您必须以超级用户身份登录,才能执行此任务。- 在此页面上重复上述第 1、2 和 3 步,即可查看敏感内容。
- 点击移除敏感内容。
- 在移除敏感内容框中,点击移除进行确认。
恢复敏感内容
如有需要,您可以在 180 天的保留期限内将敏感内容恢复到日志中。
您必须以超级用户身份登录,才能执行此任务。- 在此页面上重复上述第 1、2 和 3 步,即可查看敏感内容。
- 在日志详情面板顶部,点击恢复。
- 点击显示敏感内容。
- 在日志详情面板中,点击敏感内容摘要旁边的向右箭头 ,以展开包含敏感内容的行。
在最初的 180 天保留期限过后,无论您是否恢复 DLP 片段,系统都会将其删除。
管理员数据操作日志事件
您可以搜索管理员数据操作日志事件,以跟踪访问、移除或恢复敏感内容的管理员。如需了解详情,请参阅管理数据操作日志事件。