Supported editions for this feature: Frontline Standard; Enterprise Standard y Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade y Education Plus; Enterprise Essentials Plus; Chrome Enterprise Premium . Comparar ediciones
Drive DLP and Chat DLP are available to Cloud Identity Premium users who also have a Google Workspace license. For Drive DLP, the license must include the Drive log events.
Como administrador, puedes usar fragmentos de Prevención de la pérdida de datos (DLP) para investigar si una infracción de una regla de DLP es un incidente real o un falso positivo. Los fragmentos de DLP capturan el contenido que infringe una regla. Puedes revisar los fragmentos en la herramienta de investigación de seguridad y en la página de auditoría e investigación.
- Acceso a fragmentos en la herramienta de investigación
- Antes de empezar
- Acerca de los fragmentos de DLP
- Limitaciones de los fragmentos de DLP
- Paso 1: Inicia la investigación
- Paso 2: Muestra contenido sensible
- Paso 3: Consulta el contenido sensible
- Exportar contenido sensible con BigQuery
- Retirar contenido sensible de los registros
- Restaurar contenido sensible
- Eventos de registro de acciones para datos de administrador
Acceso a fragmentos en la herramienta de investigación
Para acceder a los fragmentos en la herramienta de investigación, sigue estos pasos:
- Los administradores deben tener el privilegio Ver contenido sensible. Para obtener más información, consulta el artículo Privilegios de administrador para usar la herramienta de investigación.
- Para permitir que los administradores vean el contenido sensible, debes activar la opción Ver contenido sensible.
- Para quitar y restaurar contenido sensible de los registros, debes ser superadministrador.
Antes de empezar
Activa el almacenamiento de contenido sensible:
-
Inicia sesión con una cuenta de administrador en consola de administración de Google.
Si no usas una cuenta de administrador, no podrás acceder a la consola de administración.
-
Ve a Menú
Seguridad > Control de acceso y de datos > Protección de datos.
Debes tener los privilegios de administrador Ver regla de DLP y Gestionar regla de DLP.
- Activa la opción Almacenamiento de contenido sensible.
- Haz clic en Guardar.
Acerca de los fragmentos de DLP
Los fragmentos de DLP incluyen cualquier contenido marcado por una regla de DLP que coincida con las condiciones de contenido de una regla de DLP, como:
- Contenido de los archivos analizados
- Detectores de contenido reutilizables
- Palabras clave y listas de palabras
- Expresiones regulares
- Detectores de contenido predefinidos
Puedes revisar los fragmentos de DLP en los registros durante 180 días. Durante este periodo, si se elimina o modifica el contenido de origen, los fragmentos no se eliminan. Los fragmentos de DLP capturan el contenido coincidente detectado por las reglas de DLP y el texto circundante (hasta 100 caracteres Unicode cada lado) para proporcionar contexto para los análisis de DLP.
Limitaciones de los fragmentos de DLP
- El contenido del fragmento que supere los 500 caracteres Unicode se truncará.
- En el caso de los datos de eventos de registro de reglas de DLP, el tamaño total del parámetro de fragmentos está limitado a 50 kB. Las instancias de fragmento se eliminan hasta que el tamaño total sea inferior a 50 kB.
- En Google Chat, no se recogen fragmentos de mensajes sin registro (historial de chat desactivado) ni de conversaciones enviadas a espacios que pertenezcan a usuarios ajenos a tu organización.
- Es posible que el contenido y los fragmentos extraídos de Google Drive que se analice con DLP no coincidan con el contenido original del documento.
Paso 1: Inicia la investigación
Opción 1: Ver fragmentos de contenido sensible en la herramienta de investigación
-
Inicia sesión con una cuenta de administrador en consola de administración de Google.
Si no usas una cuenta de administrador, no podrás acceder a la consola de administración.
-
Ve a Menú
Seguridad > Centro de Seguridad > Herramienta de investigación.
Se necesita el privilegio de administrador Centro de Seguridad.
- Haz clic en Fuente de datos y selecciona Eventos de registro de reglas.
- Haz clic en Añadir condición.
- En el menú Atributo, selecciona Tipo de regla y asegúrate de que el operador tenga asignado el valor Es (la opción predeterminada).
- En el menú Tipo de regla, selecciona DLP.
- Haz clic en Buscar.
Opción 2: Ver fragmentos de contenido sensible en la página Auditoría e investigación
-
Inicia sesión con una cuenta de administrador en consola de administración de Google.
Si no usas una cuenta de administrador, no podrás acceder a la consola de administración.
-
Ve a Menú
Informes > Auditoría e investigación > Eventos de registro de reglas.
Se requiere el privilegio de administrador Informes.
- Haz clic en Añadir un filtro
Tipo de regla.
- En el recuadro Tipo de regla, selecciona Es
DLP y haz clic en Aplicar.
- Haz clic en Buscar.
Paso 2: Muestra contenido sensible
- En la columna Tiene contenido sensible de los resultados de búsqueda, busca Verdadero.
- En la columna Descripción , haz clic en el texto para abrir el panel Detalles del registro.
- Haz clic en Mostrar contenido sensible.
- Si es necesario, indica el motivo por el que quieres ver el contenido sensible
haz clic en Confirmar.
El panel se actualizará y verás la fila Fragmentos de contenido sensible con los fragmentos activados por la regla que estás investigando.
Paso 3: Consulta el contenido sensible
En el panel Detalles del registro, junto a Fragmentos de contenido sensible, haz clic en la flecha hacia la derecha para mostrar las filas que incluyen contenido sensible.
Puedes revisar los siguientes atributos:
Atributo | Description |
Contenido | El contenido (incluido el texto circundante para el contexto) coincide con una regla de DLP |
Carácter inicial del contenido relacionado | Inicio del contenido que coincide con una regla, donde el índice que supera el parámetro máximo se basa en cero. El carácter inicial del contenido que coincide está relacionado con el fragmento de contenido, no con el documento de origen. |
Longitud del contenido relacionado | Duración de la coincidencia |
ID del detector coincidente | Detector que coincide, si lo hay |
Índice de la fila | (Archivos de Chat en formato CSV) Índice basado en cero de la fila de contenido, si lo hubiera |
Nombre del campo | (Archivos de Chat en formato CSV) Nombre de la columna del contenido, si lo hubiera |
Ejemplo: Análisis de reglas de DLP en busca de números de identificación personal
En este ejemplo, si una hoja de cálculo contiene un número de la seguridad social, los atributos se rellenan de la siguiente manera:
- Contenido: SSN 123-45-6789
- Carácter inicial del contenido relacionado: 4
- Longitud del contenido relacionado: 11
- ID de detector coincidente: US_SOCIAL_Safety_NUMBER
- Índice de la fila: 2
- Nombre del campo: header2
Exportar contenido sensible con BigQuery
Puedes exportar fragmentos de contenido sensible a tablas personalizadas para investigarlos más a fondo. Consulta más información en el artículo Definir una configuración de BigQuery Export.
Quitar contenido sensible de los registros
Tras investigar un incidente, puedes quitar contenido sensible de los registros para no exponer los datos de forma innecesaria. Al quitar el contenido de los registros, no se quita del archivo o recurso en el que se ha encontrado ni de las tablas personalizadas de BigQuery. Si quitas el contenido, dejará de estar disponible en la herramienta de investigación y en la página de auditoría e investigación, y no se podrá exportar a BigQuery.
Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.
- Repite los pasos 1, 2 y 3 de esta página para ver contenido sensible.
- Haz clic en Retirar contenido sensible.
- En el cuadro Retirar contenido sensible, haz clic en Retirar para confirmar la acción.
Restaurar contenido sensible
Si lo necesitas, podrás restaurarlo en el registro durante el periodo de conservación de 180 días.
Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.
- Repite los pasos 1, 2 y 3 de esta página para ver contenido sensible.
- En la parte superior del panel Detalles del registro, haz clic en Restaurar.
- Haz clic en Mostrar contenido sensible.
- En el panel Detalles del registro, junto a Fragmentos de contenido sensible, haz clic en la flecha hacia la derecha
para mostrar las filas que incluyen contenido sensible.
Una vez transcurrido el periodo de conservación original de 180 días, los fragmentos de DLP se eliminarán, independientemente de si los restauras.
Eventos de registro de acciones para datos de administrador
Puedes buscar en los eventos de registro de acción de datos de administrador para hacer un seguimiento de los administradores que han accedido, retirado o restaurado contenido sensible. Consulta más información en el artículo Eventos de registro de acciones para datos de administrador.