Supported editions for this feature: Frontline Standard; Enterprise Standard und Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade und Education Plus; Enterprise Essentials Plus; Chrome Enterprise Premium . G Suite-Versionen vergleichen
Drive DLP and Chat DLP are available to Cloud Identity Premium users who also have a Google Workspace license. For Drive DLP, the license must include the Drive log events.
Als Administrator können Sie mit Snippets zum Schutz vor Datenverlust (Data Loss Prevention, DLP) prüfen, ob es sich bei einem DLP-Regelverstoß um einen echten Vorfall oder ein falsch positives Ergebnis handelt. Mit DLP-Snippets werden die Inhalte erfasst, die gegen eine Regel verstoßen. Sie können sich die Snippets im Sicherheits-Prüftool und auf der Audit- und Prüfseite ansehen.
- Zugriff auf Snippets im Prüftool
- Hinweise
- DLP-Snippets
- Einschränkungen für DLP-Snippets
- Schritt 1: Prüfung starten
- Schritt 2: Sensible Inhalte anzeigen
- Schritt 3: Sensible Inhalte ansehen
- Sensible Inhalte mit BigQuery exportieren
- Sensible Inhalte aus Protokollen entfernen
- Sensible Inhalte wiederherstellen
- Protokollereignisse für Administratordatenaktionen
Zugriff auf Snippets im Prüftool
So greifen Sie im Prüftool auf Snippets zu:
- Administratoren benötigen die Berechtigung Sensible Inhalte ansehen. Weitere Informationen finden Sie im Hilfeartikel Administratorberechtigungen für das Prüftool.
- Damit Administratoren sensible Inhalte ansehen können, müssen Sie die Einstellung „Sensible Inhalte ansehen“ aktivieren.
- Nur Super Admins können sensible Inhalte aus Protokollen entfernen und wiederherstellen.
Hinweise
So aktivieren Sie die Speicherung sensibler Inhalte:
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitZugriffs- und DatenkontrolleDatenschutz.
- Ändern Sie den Status für Speicher für sensible Inhalte in Ein.
- Klicken Sie auf Speichern.
DLP-Snippets
DLP-Snippets enthalten Inhalte, die von einer DLP-Regel gekennzeichnet wurden, die den Inhaltsbedingungen einer DLP-Regel entspricht, z. B.:
- Inhalte gescannter Dateien
- Wiederverwendbare Inhaltsdetektoren
- Keywords und Wortlisten
- Reguläre Ausdrücke
- Vordefinierte Inhaltsdetektoren
DLP-Snippets sind 180 Tage lang in den Protokollen aufrufbar. Während dieser Zeit werden die Snippets nicht gelöscht, wenn die Quellinhalte gelöscht oder geändert werden. DLP-Snippets erfassen übereinstimmende Inhalte, die von DLP-Regeln erkannt werden, sowie umgebenden Text (bis zu 100 Unicode-Zeichen auf jeder Seite). So wird Kontext für DLP-Scans bereitgestellt.
Einschränkungen für DLP-Snippets
- Snippet-Inhalte mit mehr als 500 Unicode-Zeichen werden abgeschnitten.
- Bei Ereignisdaten des DLP-Regelprotokolls darf der Snippet-Parameter maximal 50 KB groß sein. Snippet-Instanzen werden entfernt, bis die Gesamtgröße unter 50 KB liegt.
- In Google Chat werden keine Snippets für vertrauliche Nachrichten (das Chatprotokoll deaktiviert) oder Unterhaltungen an einen Gruppenbereich erfasst, der einer Person außerhalb Ihrer Organisation gehört.
- Von DLP gescannte Inhalte und aus Google Drive extrahierte Snippets können vom ursprünglichen Quellinhalt im Dokument abweichen.
Schritt 1: Prüfung starten
Option 1: Snippets für sensible Inhalte im Prüftool ansehen
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Gehen Sie in der Admin-Konsole zu „Menü“ SicherheitSicherheitscenterPrüftool.
- Klicken Sie auf Datenquelle und wählen Sie Ereignisse im Regelprotokoll aus.
- Klicken Sie auf Bedingung hinzufügen.
- Wählen Sie im Menü Attribut die Option Regeltyp aus und achten Sie darauf, dass für den Operator Ist festgelegt ist (Standardoption).
- Wählen Sie im Menü Regeltyp die Option DLP aus.
- Klicken Sie auf Suchen.
Option 2: Snippets für sensible Inhalte auf der Audit- und Prüfseite ansehen
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü BerichterstellungAudit und PrüfungRegel-Protokollereignisse.
- Klicken Sie auf Filter hinzufügenRegeltyp.
- Wählen Sie im Feld Regeltyp die Option IstDLP aus und klicken Sie auf Anwenden.
- Klicken Sie auf Suchen.
Schritt 2: Sensible Inhalte anzeigen
- Suchen Sie in den Suchergebnissen in der Spalte Enthält sensible Inhalte nach Wahr.
- Klicken Sie in der Spalte Beschreibung auf den Text, um den Bereich „Logdetails“ zu öffnen.
- Klicken Sie auf Sensible Inhalte anzeigen.
- Geben Sie bei Bedarf an, warum Sie sich die vertraulichen Inhalte ansehen möchten klicken Sie auf Bestätigen.
Der Bereich wird aktualisiert und die Zeile Snippets für sensible Inhalte mit den Snippets aktualisiert, die von der Regel ausgelöst wurden, die Sie untersuchen.
Schritt 3: Sensible Inhalte ansehen
Klicken Sie im Bereich Logdetails neben Snippets für sensible Inhalte auf den Rechtspfeil , um die Zeilen mit vertraulichen Inhalten zu maximieren.
Folgende Attribute sind verfügbar:
Attribut | Beschreibung |
Inhalte | Inhalt (einschließlich umgebender Text für Kontext), der einer DLP-Regel entspricht |
Startzeichen für Contentempfehlungen | Beginn des Contents, der einer Regel entspricht |
Länge von Contentempfehlungen | Länge der Übereinstimmung |
ID des übereinstimmenden Detektors | Übereinstimmender Detektor (falls vorhanden) |
Zeilenindex | (Chatdateien im CSV-Format) Null-basierter Index der Inhaltszeile, falls vorhanden |
Feldname | (Chatdateien im CSV-Format) Name der Spalte für Inhalt, falls vorhanden |
Beispiel: DLP-Regel scannt nach Sozialversicherungsnummern
Wenn eine Tabellenkalkulation in diesem Beispiel eine Sozialversicherungsnummer enthält, werden die Attribute wie folgt ausgefüllt:
- Inhalt: SSN 123-45-6789
- Startzeichen für Contentempfehlungen: 4
- Länge von Contentempfehlungen: 11
- ID des übereinstimmenden Detektors: US_SOCIAL_SECURITY_NUMBER
- Zeilenindex: 2
- Feldname: header2
Sensible Inhalte mit BigQuery exportieren
Sie können Snippets sensibler Inhalte zur weiteren Untersuchung in benutzerdefinierte Tabellen exportieren. Weitere Informationen finden Sie im Hilfeartikel BigQuery Export-Konfiguration einrichten.
Sensible Inhalte aus Protokollen entfernen
Nachdem Sie einen Vorfall untersucht haben, können Sie sensible Inhalte aus den Protokollen entfernen, damit Sie die Daten nicht unnötigerweise preisgeben. Wenn Sie den Inhalt aus den Protokollen entfernen, wird er nicht aus der Datei oder Ressource entfernt, in der der Inhalt gefunden wurde, oder aus benutzerdefinierten BigQuery-Tabellen. Wenn Sie die Inhalte entfernen, sind sie im Prüftool oder auf der Audit- und Prüfseite nicht mehr verfügbar und können nicht nach BigQuery exportiert werden.
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
- Wiederholen Sie die Schritte 1, 2 und 3 oben auf dieser Seite, um sensible Inhalte anzusehen.
- Klicken Sie auf Sensible Inhalte entfernen.
- Klicken Sie im Feld Sensible Inhalte entfernen zur Bestätigung auf Entfernen.
Sensible Inhalte wiederherstellen
Bei Bedarf können Sie sensible Inhalte innerhalb der 180-tägigen Aufbewahrungsdauer im Protokoll wiederherstellen.
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
- Wiederholen Sie die Schritte 1, 2 und 3 oben auf dieser Seite, um sensible Inhalte anzusehen.
- Klicken Sie oben im Bereich Logdetails auf Wiederherstellen.
- Klicken Sie auf Sensible Inhalte anzeigen.
- Klicken Sie im Bereich Logdetails neben Snippets für sensible Inhalte auf den Rechtspfeil , um die Zeilen mit vertraulichen Inhalten zu maximieren.
Nach der ursprünglichen Aufbewahrungsfrist von 180 Tagen werden die DLP-Snippets gelöscht, unabhängig davon, ob Sie sie wiederherstellen.
Protokollereignisse für Administratordatenaktionen
Sie können in den Protokollereignissen für Administratordatenaktionen nach Administratoren suchen, die auf sensible Inhalte zugegriffen, diese entfernt oder wiederhergestellt haben. Weitere Informationen finden Sie im Hilfeartikel Protokollereignisse für Administratordatenaktionen.