Supported editions for this feature: Frontline Standard; Enterprise Standard и Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade и Education Plus; Enterprise Essentials Plus; Chrome Enterprise Premium . Сравнение версий
Drive DLP and Chat DLP are available to Cloud Identity Premium users who also have a Google Workspace license. For Drive DLP, the license must include the Drive log events.
Администраторы могут смотреть в журнале аудита правил фрагменты контента, чтобы определять, действительно ли были нарушены правила DLP или произошло ложное срабатывание. Фрагменты DLP содержат контент, нарушающий правила. Вы можете изучать фрагменты в инструменте "Анализ безопасности" и на странице аудита и анализа.
- Просмотр фрагментов в инструменте "Анализ безопасности"
- Подготовка
- О фрагментах DLP
- Ограничения, накладываемые на фрагменты DLP
- Шаг 1. Начните анализ
- Шаг 2. Настройте показ конфиденциальных данных
- Шаг 3. Изучите конфиденциальные данные
- Как экспортировать конфиденциальные данные с помощью BigQuery
- Как удалить конфиденциальные данные из журналов
- Как восстановить конфиденциальные данные
- События журнала действий с данными администратора
Просмотр фрагментов в инструменте "Анализ безопасности"
Чтобы получить доступ к фрагментам в инструменте "Анализ безопасности":
- У администраторов должно быть право Просмотр конфиденциальных данных. Подробные сведения приведены в статье Права, необходимые администратору для доступа к инструменту "Анализ безопасности".
- Чтобы разрешить администраторам доступ к конфиденциальным данным, следуйте инструкциям в разделе Как включить параметр "Просмотр конфиденциальных данных".
- Чтобы удалять и восстанавливать конфиденциальный контент в журналах, нужны права суперадминистратора.
Подготовка
Включите хранение конфиденциального контента:
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
Безопасность
Управление доступом и данными
- Переключите параметр Хранение конфиденциального контента в состояние Включено.
- Нажмите Сохранить.
О фрагментах DLP
Фрагменты DLP содержат весь отмеченный правилом DLP контент, который соответствует условиям этого правила, например:
- содержимое отсканированных файлов;
- детекторы содержания многократного применения;
- ключевые слова и списки слов;
- регулярные выражения;
- стандартные детекторы содержания.
Фрагменты DLP хранятся в журналах в течение 180 дней. Если в течение этого времени исходный контент будет удален или изменен, соответствующие фрагменты не удаляются. Фрагменты DLP содержат соответствующий условиям правил DLP контент, а также окружающий текст (до 100 символов Unicode с каждой стороны), чтобы обеспечить контекст для проверок функции DLP.
Ограничения, накладываемые на фрагменты DLP
- Содержание фрагмента, длина которого превышает 500 символов Unicode, отсекается.
- Для данных событий в журнале правил DLP общий размер параметра фрагментов ограничен 50 КБ. Экземпляры фрагментов будут удаляться, пока общий размер фрагментов не станет меньше этого значения.
- В Google Chat фрагменты не собираются для сообщений из чатов с выключенной записью, а также чатов, принадлежащих внешнему пользователю.
- Контент, проверяемый функцией DLP, и фрагменты, извлеченные из Google Диска, могут отличаться от исходного контента документа.
Шаг 1. Начните анализ
Вариант 1. Изучите фрагменты конфиденциальных данных в инструменте "Анализ безопасности"
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
- Нажмите Источник данных и выберите События журнала правил.
- Нажмите Добавить условие.
- В меню Атрибут выберите Тип правила и убедитесь, что выбран оператор Равно (вариант по умолчанию).
- В меню Тип правила выберите DLP.
- Нажмите Поиск.
Вариант 2. Изучите фрагменты конфиденциального контента на странице аудита и анализа
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
Отчеты
- Нажмите Добавить фильтр
- В поле Тип правила выберите Равно
- Нажмите Поиск.
Шаг 2. Настройте показ конфиденциальных данных
- В результатах поиска в столбце Содержит конфиденциальные данные найдите Истина.
- В столбце Описание нажмите на текст, чтобы открыть панель "Сведения в журнале".
- Нажмите Показывать конфиденциальные данные.
- При необходимости укажите, для чего вам требуется доступ к конфиденциальному контенту
Данные на панели обновятся, и в строке Фрагмент конфиденциальной информации появятся фрагменты, активированные правилом, которое вы изучаете.
Шаг 3. Изучите конфиденциальные данные
На панели Сведения в журнале рядом со строкой Фрагмент конфиденциальной информации нажмите на стрелку вправо, чтобы развернуть строки, содержащие конфиденциальный контент.
Вы можете посмотреть следующие атрибуты:
| Атрибут | Описание |
| Контент | Контент (в том числе окружающий текст, включенный для контекста), соответствующий условиям правила DLP. |
| Начальный символ совпадающего содержания | Начало контента, соответствующего условиям правила. |
| Длина совпадающего содержания | Длина контента, соответствующего условиям правила. |
| Идентификатор соответствующего детектора | Сработавший детектор (при наличии). |
| Индекс строки | Для файлов Chat в формате CSV – индекс строки контента с отсчетом от нуля. |
| Название поля | Для файлов Chat в формате CSV – название столбца контента. |
Пример: проверки на соответствие правилам DLP номеров социального страхования
Если таблица в этом примере содержит номер социального страхования, то будут подставлены следующие значения атрибутов:
- Контент: SSN 123-45-6789.
- Начальный символ совпадающего содержания: 4.
- Длина совпадающего содержания: 11.
- Идентификатор соответствующего детектора: US_SOCIAL_SECURITY_NUMBER.
- Индекс строки: 2.
- Название поля: header2.
Как экспортировать конфиденциальные данные с помощью BigQuery
Вы можете экспортировать фрагменты конфиденциального контента в настраиваемые таблицы для дальнейшего изучения. Подробные сведения приведены в разделе Как настроить конфигурацию BigQuery Export.
Как удалить конфиденциальные данные из журналов
Завершив анализ инцидента, вы можете удалить конфиденциальный контент из журналов, чтобы не подвергать данные риску раскрытия. При удалении контента из журнала он не удаляется из исходного файла или ресурса, как и из настраиваемых таблиц BigQuery. Если вы удалите контент, он больше не будет доступен ни в инструменте "Анализ безопасности", ни на странице аудита и анализа. Кроме того, его нельзя будет экспортировать в BigQuery.
Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.
- Повторите шаги 1, 2 и 3 на этой странице, чтобы перейти к нужному конфиденциальному контенту.
- Нажмите Удалить конфиденциальные данные.
- В окне Удалить конфиденциальные данные нажмите Удалить, чтобы подтвердить.
Как восстановить конфиденциальные данные
При необходимости вы можете восстановить конфиденциальный контент в журнале в течение 180-дневного периода хранения.
Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.
- Повторите шаги 1, 2 и 3 на этой странице, чтобы перейти к нужному конфиденциальному контенту.
- В верхней части панели Сведения в журнале нажмите Восстановить.
- Нажмите Показывать конфиденциальные данные.
- На панели Сведения в журнале рядом со строкой Фрагмент конфиденциальной информации нажмите на стрелку вправо
, чтобы развернуть строки, содержащие конфиденциальный контент.
По истечении исходного 180-дневного периода хранения фрагменты будут удалены независимо от того, восстановите ли вы их.
События журнала действий с данными администратора
Вы можете выполнять поиск по событиям в журнале действий с данными администратора, чтобы отслеживать администраторов, которые просматривали, удаляли и восстанавливали конфиденциальный контент. Подробнее о событиях журнала действий с данными администратора…
