Supported editions for this feature: Frontline Standard; Enterprise Standard ed Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade ed Education Plus; Enterprise Essentials Plus; Chrome Enterprise Premium . Confronta la tua versione
Drive DLP and Chat DLP are available to Cloud Identity Premium users who also have a Google Workspace license. For Drive DLP, the license must include the Drive log events.
In qualità di amministratore, puoi utilizzare gli snippet per la prevenzione della perdita di dati (DLP) per verificare se una violazione delle regole DLP è un incidente reale o un falso positivo. Gli snippet DLP acquisiscono i contenuti che violano una regola. Puoi esaminare gli snippet nello strumento di indagine sulla sicurezza e nella pagina di controllo e indagine.
- Accesso agli snippet nello strumento di indagine
- Prima di iniziare
- Informazioni sugli snippet DLP
- Limitazioni degli snippet DLP
- Passaggio 1: avvia l'indagine
- Passaggio 2: mostra contenuti sensibili
- Passaggio 3: visualizza contenuti sensibili
- Esportare contenuti sensibili utilizzando BigQuery
- Rimuovere contenuti sensibili dai log
- Ripristina contenuti sensibili
- Eventi del log delle azioni dei dati per gli amministratori
Accedere agli snippet nello strumento di indagine
Per accedere agli snippet nello strumento di indagine:
- Gli amministratori devono disporre del privilegio Visualizzazione di contenuti sensibili. Per maggiori dettagli, vedi Privilegi amministrativi per lo strumento di indagine.
- Per consentire agli amministratori di visualizzare i contenuti sensibili, è necessario attivare l'impostazione Visualizza contenuti sensibili.
- Per rimuovere e ripristinare i contenuti sensibili dai log, devi essere un super amministratore.
Prima di iniziare
Attiva l'archiviazione dei contenuti sensibili:
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu SicurezzaAccesso e controllo dei datiProtezione dei dati.
- Per l'archiviazione di contenuti sensibili, imposta lo stato su On.
- Fai clic su Salva.
Informazioni sugli snippet DLP
Gli snippet DLP contengono tutti i contenuti segnalati da una regola DLP che corrispondono alle condizioni per i contenuti di una regola DLP, ad esempio:
- Contenuti dei file scansionati
- Rilevatori di contenuti riutilizzabili
- Parole chiave ed elenchi di parole
- Espressioni regolari
- Rilevatori di contenuti predefiniti
Puoi esaminare gli snippet DLP nei log per 180 giorni. Durante questo periodo, se i contenuti di origine vengono eliminati o modificati, gli snippet non vengono eliminati. Gli snippet DLP acquisiscono i contenuti corrispondenti rilevati dalle regole DLP e il testo circostante (fino a 100 caratteri Unicode su ciascun lato), fornendo contesto per le analisi DLP.
Limitazioni degli snippet DLP
- I contenuti dello snippet più grandi di 500 caratteri Unicode vengono troncati.
- Per i dati sugli eventi del log delle regole DLP, la dimensione totale del parametro snippet è limitata a 50 kB. Le istanze di snippet vengono rimosse fino a quando le dimensioni complessive non sono inferiori a 50 kB.
- In Google Chat, gli snippet non vengono raccolti per i messaggi non salvati nel registro (cronologia chat disattivata) o per le conversazioni inviate a uno spazio di proprietà di una persona esterna all'organizzazione.
- I contenuti analizzati mediante DLP e gli snippet estratti da Google Drive potrebbero essere diversi dai contenuti di origine originali del documento.
Passaggio 1: avvia l'indagine
Opzione 1: visualizza gli snippet di contenuti sensibili nello strumento di indagine
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu SicurezzaCentro sicurezzaStrumento di indagine.
- Fai clic su Origine dati e seleziona Eventi del log delle regole.
- Fai clic su Aggiungi condizione.
- Dal menu Attributo, seleziona Tipo di regola e assicurati che l'operatore sia impostato su È (opzione predefinita).
- Nel menu Tipo di regola, seleziona DLP.
- Fai clic su Cerca.
Opzione 2: visualizza gli snippet di contenuti sensibili nella pagina di controllo e indagine
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu ReportControllo e indagineEventi del log delle regole.
- Fai clic su Aggiungi un filtroTipo di regola.
- Nella casella Tipo di regola, seleziona È DLP e fai clic su Applica.
- Fai clic su Cerca.
Passaggio 2: mostra contenuti sensibili
- Nei risultati di ricerca, nella colonna Contiene contenuti sensibili, cerca Vero.
- Nella colonna Descrizione , fai clic sul testo per aprire il riquadro Dettagli log.
- Fai clic su Mostra contenuti sensibili.
- Se necessario, inserisci il motivo per cui hai bisogno di visualizzare i contenuti sensibilifai clic su Conferma.
Il riquadro verrà aggiornato e la riga Snippet di contenuti sensibili verrà aggiornata con gli snippet attivati dalla regola che stai esaminando.
Passaggio 3: visualizza i contenuti sensibili
Nel riquadro Dettagli del log, accanto a Snippet di contenuti sensibili, fai clic sulla Freccia destra per espandere le righe che includono contenuti sensibili.
Puoi esaminare i seguenti attributi:
Attributo | Description |
Contenuti | I contenuti (incluso il testo circostante utilizzato per il contesto) corrispondono a una regola DLP |
Carattere iniziale dei contenuti corrispondenti | Inizio dei contenuti che corrispondono a una regola |
Lunghezza dei contenuti corrispondenti | Lunghezza della corrispondenza |
ID rilevatore corrispondente | Rilevatore corrispondente, se presente |
Indice riga | (File di chat in formato CSV) Eventuale indice in base zero della riga di contenuti |
Nome campo | (File di Chat in formato CSV) Eventuali nomi della colonna dei contenuti |
Esempio: scansioni di regole DLP per rilevare i numeri di previdenza sociale
In questo esempio, se un foglio di lavoro contiene un numero di previdenza sociale, gli attributi vengono compilati come segue:
- Contenuto: SSN 123-45-6789
- Carattere iniziale dei contenuti corrispondenti: 4
- Lunghezza dei contenuti corrispondenti: 11
- ID rilevatore corrispondente: US_SOCIAL_SECURITY_NUMBER (ITALIA_CODICE_FISCALE)
- Indice riga: 2
- Nome campo: header2
Esportare contenuti sensibili utilizzando BigQuery
Puoi esportare gli snippet di contenuti sensibili in tabelle personalizzate per ulteriori indagini. Per maggiori dettagli, vedi Impostare una configurazione di BigQuery Export.
Rimuovere contenuti sensibili dai log
Dopo aver esaminato un incidente, puoi rimuovere i contenuti sensibili dai log per non compromettere i dati inutilmente. I contenuti rimossi dai log non vengono rimossi dal file o dalla risorsa in cui sono stati trovati o dalle tabelle BigQuery personalizzate. Se rimuovi i contenuti, questi non saranno più disponibili nello strumento di indagine o nella pagina di controllo e indagine e non potranno essere esportati in BigQuery.
Per questa attività, devi aver eseguito l'accesso come super amministratore.
- Ripeti i passaggi 1, 2 e 3 in questa pagina per visualizzare i contenuti sensibili.
- Fai clic su Rimuovi contenuti sensibili.
- Nella casella Rimuovi contenuti sensibili, fai clic su Rimuovi per confermare.
Ripristina contenuti sensibili
Se necessario, puoi ripristinare i contenuti sensibili nel log entro il periodo di conservazione di 180 giorni.
Per questa attività, devi aver eseguito l'accesso come super amministratore.
- Ripeti i passaggi 1, 2 e 3 in questa pagina per visualizzare i contenuti sensibili.
- Nella parte superiore del riquadro Dettagli log, fai clic su Ripristina.
- Fai clic su Mostra contenuti sensibili.
- Nel riquadro Dettagli del log, accanto a Snippet di contenuti sensibili, fai clic sulla Freccia destra per espandere le righe che includono contenuti sensibili.
Dopo il periodo di conservazione originale di 180 giorni, gli snippet DLP vengono eliminati, indipendentemente dal fatto che tu li ripristini.
Eventi del log delle azioni dei dati per gli amministratori
Puoi cercare gli eventi del log delle azioni relative ai dati amministrativi per tenere traccia degli amministratori che hanno eseguito l'accesso, rimosso o ripristinato i contenuti sensibili. Per informazioni dettagliate, vedi Eventi del log delle azioni dei dati per gli amministratori.