Supported editions for this feature: Frontline Standard; 企业标准版和企业 Plus 版; 教育基础版、教育标准版、教与学升级版和教育 Plus 版; Enterprise Essentials Plus; Chrome Enterprise Premium . 比较您的版本
Drive DLP and Chat DLP are available to Cloud Identity Premium users who also have a Google Workspace license. For Drive DLP, the license must include the Drive log events.
作为管理员,您可以使用数据泄露防护 (DLP) 片段来调查违反数据泄露防护规则的行为是真实的突发事件还是误报。DLP 片段会捕获违反规则的内容。您可以在安全调查工具以及“审核和调查”页面上查看片段。
- 访问调查工具中的片段
- 准备工作
- 数据泄露防护片段简介
- DLP 片段限制
- 第 1 步:开始调查
- 第 2 步:显示敏感内容
- 第 3 步:查看敏感内容
- 使用 BigQuery 导出敏感内容
- 从日志中移除敏感内容
- 恢复敏感内容
- 管理员数据操作日志事件
访问调查工具中的片段
如需在调查工具中访问片段,请执行以下操作:
- 管理员必须拥有查看敏感内容权限。有关详情,请参阅使用调查工具所需的管理员权限。
- 如要允许管理员查看敏感内容,您需要开启“查看敏感内容”设置。
- 如需移除和恢复日志中的敏感内容,您必须是超级用户。
准备工作
启用敏感内容存储设置:
-
-
在管理控制台中,依次点击“菜单”图标
安全性
访问权限和数据控件
- 将敏感内容存储状态更改为开启。
- 点击保存。
关于 DLP 片段
DLP 片段包含数据泄露防护规则标记的与 DLP 规则的内容条件匹配的任何内容,例如:
- 扫描的文件的内容
- 可重复使用的内容检测器
- 关键字和字词列表
- 正则表达式
- 预定义的内容检测器
您可以在日志中查看 180 天的 DLP 片段。在此期间,如果源内容被删除或更改,片段不会被删除。DLP 片段会捕获 DLP 规则检测到的匹配内容以及为 DLP 扫描提供上下文的周边文本(每边最多 100 个 Unicode 字符)。
DLP 片段限制
- 超过 500 个 Unicode 字符的片段内容会被截断。
- 对于 DLP 规则日志事件数据,片段参数的总大小上限为 50 KB。系统会移除这些片段实例,直到总大小小于 50 KB。
- 在 Google Chat 中,系统不会收集未保存的消息(聊天记录功能已关闭)或发送到组织外部人员拥有的聊天室的对话的片段。
- 数据泄露防护扫描内容和从 Google 云端硬盘提取的片段可能与文档中的原始源内容不同。
第 1 步:开始调查
方法 1:在调查工具中查看敏感内容片段
-
-
在管理控制台中,依次点击“菜单”图标
- 点击数据源,然后选择规则日志事件。
- 点击添加条件。
- 在属性菜单中,选择规则类型,并确保运算符已设置为为(默认选项)。
- 在规则类型菜单中,选择 DLP。
- 点击搜索。
方法 2:在“审核和调查”页面上查看敏感内容片段
-
-
在管理控制台中,依次点击“菜单”图标
报告
- 点击添加过滤条件
- 在规则类型框中,选择为
- 点击搜索。
第 2 步:显示敏感内容
- 在搜索结果中的包含敏感内容列中,查找 True。
- 在说明列中,点击文本以打开“日志详细信息”面板。
- 点击显示敏感内容。
- 如果需要,输入您需要查看敏感内容的原因
系统会刷新该面板,然后敏感内容片段行将更新为显示由您正在调查的规则触发的片段。
第 3 步:查看敏感内容
在日志详细信息面板中,点击敏感内容片段旁边的向右箭头 ,以展开包含敏感内容的行。
您可以查看以下属性:
| 属性 | 说明 |
| 内容 | 与 DLP 规则匹配的内容(包括用于上下文的周边文本) |
| 匹配内容的开头字符 | 与规则匹配的内容的开头 |
| 匹配内容的长度 | 匹配长度 |
| 相符的检测器 ID | 匹配的检测器(如果有) |
| 行索引 | (CSV 格式的聊天文件)内容行的索引(从零开始)(如果有) |
| 字段名称 | (CSV 格式的聊天文件)内容的列名称(如果有) |
示例:针对社会保障号进行数据泄露防护规则扫描
在此示例中,如果电子表格包含社会保障号,则属性会按如下所示填充:
- 内容:SSN 123-45-6789
- 匹配内容的开头字符:4
- 匹配内容的长度:11
- 匹配的检测器 ID:US_SOCIAL_SECURITY_NUMBER
- 行索引:2
- 字段名称:header2
使用 BigQuery 导出敏感内容
您可以将敏感内容片段导出到自定义表格中,以便进一步调查。有关详情,请参阅设置 BigQuery Export 配置。
从日志中移除敏感内容
调查完突发事件后,您可以从日志中移除敏感内容,以避免不必要的数据泄露。从日志中移除内容并不会将相应内容从所在的实际文件或资源中移除,也不会将其从自定义 BigQuery 表中移除。如果您移除相应内容,调查工具或“审核和调查”页面将无法再显示这些内容,也无法将其导出到 BigQuery。
您必须以超级用户身份登录,才能执行此任务。
- 在此页面上重复执行上述第 1 步、第 2 步和第 3 步以查看敏感内容。
- 点击移除敏感内容。
- 在移除敏感内容框中,点击移除进行确认。
恢复敏感内容
如有需要,您可以在 180 天保留期限内将敏感内容恢复到日志中。
您必须以超级用户身份登录,才能执行此任务。
- 在此页面上重复执行上述第 1 步、第 2 步和第 3 步以查看敏感内容。
- 在日志详细信息面板的顶部,点击恢复。
- 点击显示敏感内容。
- 在日志详细信息面板中,点击敏感内容片段旁边的向右箭头
,以展开包含敏感内容的行。
在最初的 180 天保留期限过后,无论您是否恢复 DLP 片段,系统都会将其删除。
管理员数据操作日志事件
您可以搜索管理员数据操作日志事件,跟踪访问、移除或恢复敏感内容的管理员。有关详情,请参阅管理员数据操作日志事件。
