Supported editions for this feature: Frontline Standard; Enterprise Standard en Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade en Education Plus; Enterprise Essentials Plus; Chrome Enterprise Premium . Versies vergelijken
Drive DLP and Chat DLP are available to Cloud Identity Premium users who also have a Google Workspace license. For Drive DLP, the license must include the Drive log events.
Als beheerder kunt u DLP-fragmenten (gegevensverlies voorkomen) gebruiken om te onderzoeken of schending van een DLP-regel een incident echt is of vals positief. DLP-fragmenten bevatten de content die een regel schendt. U kunt de fragmenten controleren in de tool voor beveiligingsonderzoek en op de controle- en onderzoekspagina.
- Toegang tot fragmenten in de onderzoekstool
- Voordat u begint
- Over DLP-fragmenten
- Beperkingen voor DLP-fragmenten
- Stap 1: Uw onderzoek starten
- Stap 2: Gevoelige content tonen
- Stap 3: Gevoelige content bekijken
- Gevoelige content exporteren met BigQuery
- Gevoelige content uit logboeken verwijderen
- Gevoelige content terugzetten
- Logboekgebeurtenissen voor beheerdersacties op gegevens
Toegang tot fragmenten in de onderzoekstool
Fragmenten openen in de onderzoekstool:
- Beheerders moeten het recht Gevoelige content bekijken hebben. Ga naar Beheerdersrechten voor de onderzoekstool voor meer informatie.
- Als u beheerders wilt toestaan de gevoelige content te bekijken, moet u de instelling Gevoelige content bekijken aanzetten.
- U moet hoofdbeheerder zijn om gevoelige content uit logboeken te verwijderen en te herstellen.
Voordat u begint
Zet opslag van gevoelige content aan:
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu BeveiligingToegangs- en gegevenscontroleGegevensbescherming.
- Geef Opslag van gevoelige content de status Aan.
- Klik op Opslaan.
Over DLP-fragmenten
DLP-fragmenten bevatten content die is gemarkeerd door een DLP-regel die overeenkomt met de contentvoorwaarden van een DLP-regel, zoals:
- Content van gescande bestanden
- Herbruikbare inhouddetectoren
- Zoekwoorden en woordenlijsten
- Reguliere expressies
- Vooraf ingevulde inhouddetectoren
U kunt DLP-fragmenten 180 dagen lang controleren in de logboeken. Als de broncontent in deze periode wordt verwijderd of gewijzigd, blijven de fragmenten beschikbaar. DLP-fragmenten bevatten overeenkomende content die wordt gedetecteerd door DLP-regels en omringende tekst (maximaal 100 Unicode-tekens aan elke kant) die context biedt voor DLP-scans.
Beperkingen voor DLP-fragmenten
- Fragmentcontent die meer dan 500 Unicode-tekens bevat, wordt afgekapt.
- Voor gebeurtenisgegevens in het logboek DLP-regels is de totale grootte van de parameter voor fragmenten beperkt tot 50 KB. Er worden fragmentinstanties verwijderd totdat de totale grootte kleiner is dan 50 KB.
- In Google Chat worden geen fragmenten verzameld van berichten die worden bewaard (waarvoor chatgeschiedenis uitstaat) of gesprekken die worden gestuurd naar een ruimte die eigendom is van iemand buiten uw organisatie.
- DLP gescande content en fragmenten die uit Google Drive zijn geëxtraheerd, kunnen verschillen van de oorspronkelijke broncontent in het document.
Stap 1: Uw onderzoek starten
Optie 1: Fragmenten van gevoelige content bekijken in de onderzoekstool
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu BeveiligingBeveiligingscentrumOnderzoekstool.
- Klik op Gegevensbron en selecteer Gebeurtenissen in het logboek Regels.
- Klik op Voorwaarde toevoegen.
- Selecteer in het menu Kenmerk de optie Regeltype en zorg dat de operator is ingesteld op Is (de standaardoptie).
- Selecteer DLP in het menu Regeltype.
- Klik op Zoeken.
Optie 2: Fragmenten van gevoelige content bekijken op de controle- en onderzoekspagina
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu RapportenControle en onderzoekGebeurtenissen in het beheerderslogboek.
- Klik op Een filter toevoegen Regeltype.
- Selecteer in het veld Regeltype Is DLP en klik op Toepassen.
- Klik op Zoeken.
Stap 2: Gevoelige content tonen
- Zoek in de zoekresultaten in de kolom Bevat gevoelige content naar Waar.
- Klik in de kolom Beschrijving op de tekst om het deelvenster Logboekgegevens te openen.
- Klik op Gevoelige content tonen.
- Geef zo nodig de reden op waarom u de gevoelige content wilt bekijken klik op Bevestigen.
Het deelvenster wordt vernieuwd en de rij Fragmenten van gevoelige content wordt geüpdatet met de fragmenten die worden getriggerd door de regel waarmee u zoekt.
Stap 3: Gevoelige content bekijken
Klik in het deelvenster Logboekdetails, naast Fragmenten van gevoelige content, op de pijl-rechts om de rijen met gevoelige content uit te vouwen.
U kunt de volgende kenmerken controleren:
Kenmerk | Beschrijving |
Content | Content (inclusief de omringende tekst die wordt gebruikt voor context) komt overeen met een DLP-regel |
Eerste teken van overeenkomende content | Begin van content die overeenkomt met een regel |
Lengte van overeenkomende content | Lengte van overeenkomst |
ID van overeenkomende detector | Detector die overeenkomt (indien van toepassing) |
Rij-index | (Chatbestanden in csv-indeling) Op nul gebaseerde index van rij Content, indien van toepassing |
Veldnaam | (Chatbestanden in csv-indeling) Kolomnaam van content, indien van toepassing |
Voorbeeld: DLP-regel scant op burgerservicenummers
Als in dit voorbeeld een spreadsheet een Social Security Number bevat, worden de kenmerken als volgt ingevuld:
- Content: SSN 123-45-6789
- Eerste teken van overeenkomende content: 4
- Lengte van overeenkomende content: 11
- ID van overeenkomende detector: US_SOCIAL_SECURITY_NUMBER
- Rij-index: 2
- Veldnaam: header2
Gevoelige content exporteren met BigQuery
U kunt fragmenten van gevoelige content exporteren naar aangepaste tabellen voor verder onderzoek. Ga naar Een BigQuery Export-configuratie instellen voor meer informatie.
Gevoelige content uit logboeken verwijderen
Nadat u een incident heeft onderzocht, kunt u gevoelige content uit de logboeken verwijderen, zodat u de gegevens niet onnodig openbaar houdt. Als u de content uit de logboeken verwijdert, wordt deze niet verwijderd uit het daadwerkelijke bestand of de bron waarin de content is gevonden, of uit aangepaste BigQuery-tabellen. Als u de content verwijdert, is deze niet meer beschikbaar in de onderzoekstool of op de controle- en onderzoekspagina. Ook kunt u de content niet exporteren naar BigQuery.
U moet zijn ingelogd als hoofdbeheerder om deze taak te kunnen uitvoeren.
- Herhaal stap 1, 2 en 3 hierboven op deze pagina om gevoelige content te bekijken.
- Klik op Gevoelige content verwijderen.
- Klik in het vak Gevoelige content verwijderen op Verwijderen om te bevestigen.
Gevoelige content terugzetten
Indien nodig kunt u gevoelige content in het logboek binnen de bewaarperiode van 180 dagen herstellen.
U moet zijn ingelogd als hoofdbeheerder om deze taak te kunnen uitvoeren.
- Herhaal stap 1, 2 en 3 hierboven op deze pagina om gevoelige content te bekijken.
- Klik bovenaan het venster Logboekgegevens op Herstellen.
- Klik op Gevoelige content tonen.
- Klik in het deelvenster Logboekdetails, naast Fragmenten van gevoelige content, op de pijl-rechts om de rijen met gevoelige content uit te vouwen.
Na de oorspronkelijke bewaarperiode van 180 dagen worden de DLP-fragmenten verwijderd, ongeacht of u ze herstelt.
Logboekgebeurtenissen voor beheerdersacties op gegevens
U kunt zoeken in Logboekgebeurtenissen voor beheerdersacties op gegevens om na te gaan welke beheerders gevoelige content hebben geopend, verwijderd of hersteld. Ga naar Logboekgebeurtenissen voor beheerdersacties op gegevens voor meer informatie.