Detener la pérdida de datos con DLP

Ver contenido que activa reglas de DLP

Supported editions for this feature: Frontline Standard; Enterprise Standard y Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade y Education Plus; Enterprise Essentials Plus; Chrome Enterprise Premium .  Comparar ediciones

Drive DLP and Chat DLP are available to Cloud Identity Premium users who also have a Google Workspace license. For Drive DLP, the license must include the Drive log events.

Como administrador, puedes usar fragmentos de Prevención de la pérdida de datos (DLP) para investigar si una infracción de una regla de DLP es un incidente real o un falso positivo. Los fragmentos de DLP capturan el contenido que infringe una regla. Puedes revisar los fragmentos en la herramienta de investigación de seguridad y en la página de auditoría e investigación.

En esta página

Acceso a fragmentos en la herramienta de investigación

Para acceder a los fragmentos en la herramienta de investigación, sigue estos pasos:

Antes de empezar

Activa el almacenamiento de contenido sensible:

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luegoSeguridady luegoControl de acceso y de datosy luegoProtección de datos.
  3. Activa la opción Almacenamiento de contenido sensible.
  4. Haz clic en Guardar
Si desactivas el almacenamiento de contenido sensible, dejarán de registrarse fragmentos de DLP.

Acerca de los fragmentos de DLP

Los fragmentos de DLP incluyen cualquier contenido marcado por una regla de DLP que coincida con las condiciones de contenido de una regla de DLP, como:

  • Contenido de los archivos analizados
  • Detectores de contenido reutilizables 
  • Palabras clave y listas de palabras 
  • Expresiones regulares
  • Detectores de contenido predefinidos

Puedes revisar los fragmentos de DLP en los registros durante 180 días. Durante este periodo, si se elimina o modifica el contenido de origen, los fragmentos no se eliminan. Los fragmentos de DLP capturan el contenido coincidente detectado por las reglas de DLP y el texto circundante (hasta 100 caracteres Unicode cada lado) para proporcionar contexto para los análisis de DLP.

Limitaciones de los fragmentos de DLP

  • El contenido del fragmento que supere los 500 caracteres Unicode se truncará.
  • En el caso de los datos de eventos de registro de reglas de DLP, el tamaño total del parámetro de fragmentos está limitado a 50 kB. Las instancias de fragmento se eliminan hasta que el tamaño total sea inferior a 50 kB.
  • En Google Chat, no se recogen fragmentos de mensajes sin registro (historial de chat desactivado) ni de conversaciones enviadas a espacios que pertenezcan a usuarios ajenos a tu organización.
  • Es posible que el contenido y los fragmentos extraídos de Google Drive que se analice con DLP no coincidan con el contenido original del documento.

Paso 1: Inicia la investigación

Opción 1: Ver fragmentos de contenido sensible en la herramienta de investigación

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoCentro de Seguridady luegoHerramienta de investigación.
  3. Haz clic en Fuente de datos y selecciona Eventos de registro de reglas.
  4. Haz clic en Añadir condición
  5. En el menú Atributo, selecciona Tipo de regla y asegúrate de que el operador tenga asignado el valor Es (la opción predeterminada).
  6. En el menú Tipo de regla, selecciona DLP
  7. Haz clic en Buscar

Opción 2: Ver fragmentos de contenido sensible en la página Auditoría e investigación

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Informesy luegoAuditoría e investigacióny luegoEventos de registro de reglas.
  3. Haz clic en Añadir un filtro y luego Tipo de regla.
  4. En el recuadro Tipo de regla, selecciona Esy luego DLP y haz clic en Aplicar.
  5. Haz clic en Buscar

Paso 2: Muestra contenido sensible

  1. En la columna Tiene contenido sensible de los resultados de búsqueda, busca Verdadero.
  2. En la columna Descripción , haz clic en el texto para abrir el panel Detalles del registro.
  3. Haz clic en Mostrar contenido sensible.
  4. Si es necesario, indica el motivo por el que quieres ver el contenido sensibley luegohaz clic en Confirmar.

El panel se actualizará y verás la fila Fragmentos de contenido sensible con los fragmentos activados por la regla que estás investigando.

Paso 3: Consulta el contenido sensible

En el panel Detalles del registro, junto a Fragmentos de contenido sensible, haz clic en la flecha hacia la derecha para mostrar las filas que incluyen contenido sensible.

Puedes revisar los siguientes atributos:

Atributo Description
Contenido El contenido (incluido el texto circundante para el contexto) coincide con una regla de DLP
Carácter inicial del contenido relacionado Inicio del contenido que coincide con una regla, donde el índice que supera el parámetro máximo se basa en cero. El carácter inicial del contenido que coincide está relacionado con el fragmento de contenido, no con el documento de origen.
Longitud del contenido relacionado Duración de la coincidencia
ID del detector coincidente Detector que coincide, si lo hay
Índice de la fila (Archivos de Chat en formato CSV) Índice basado en cero de la fila de contenido, si lo hubiera
Nombre del campo (Archivos de Chat en formato CSV) Nombre de la columna del contenido, si lo hubiera

Ejemplo: Análisis de reglas de DLP en busca de números de identificación personal

En este ejemplo, si una hoja de cálculo contiene un número de la seguridad social, los atributos se rellenan de la siguiente manera:

  • Contenido: SSN 123-45-6789
  • Carácter inicial del contenido relacionado: 4
  • Longitud del contenido relacionado: 11
  • ID de detector coincidente: US_SOCIAL_Safety_NUMBER
  • Índice de la fila: 2
  • Nombre del campo: header2

Exportar contenido sensible con BigQuery

Puedes exportar fragmentos de contenido sensible a tablas personalizadas para investigarlos más a fondo. Consulta más información en el artículo Definir una configuración de BigQuery Export.

Quitar contenido sensible de los registros

Tras investigar un incidente, puedes quitar contenido sensible de los registros para no exponer los datos de forma innecesaria. Al quitar el contenido de los registros, no se quita del archivo o recurso en el que se ha encontrado ni de las tablas personalizadas de BigQuery. Si quitas el contenido, dejará de estar disponible en la herramienta de investigación y en la página de auditoría e investigación, y no se podrá exportar a BigQuery. 

Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.

  1. Repite los pasos 1, 2 y 3 de esta página para ver contenido sensible.
  2. Haz clic en Retirar contenido sensible.
  3. En el cuadro Retirar contenido sensible, haz clic en Retirar para confirmar la acción.

Restaurar contenido sensible

Si lo necesitas, podrás restaurarlo en el registro durante el periodo de conservación de 180 días.

Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.

  1. Repite los pasos 1, 2 y 3 de esta página para ver contenido sensible.
  2. En la parte superior del panel Detalles del registro, haz clic en Restaurar.
  3. Haz clic en Mostrar contenido sensible.
  4. En el panel Detalles del registro, junto a Fragmentos de contenido sensible, haz clic en la flecha hacia la derecha para mostrar las filas que incluyen contenido sensible.

Una vez transcurrido el periodo de conservación original de 180 días, los fragmentos de DLP se eliminarán, independientemente de si los restauras.

Eventos de registro de acciones para datos de administrador

Puedes buscar en los eventos de registro de acción de datos de administrador para hacer un seguimiento de los administradores que han accedido, retirado o restaurado contenido sensible. Consulta más información en el artículo Eventos de registro de acciones para datos de administrador.

Tema relacionado

Utilizar detectores de contenido predefinidos

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal