Supported editions for this feature: Frontline Standard; Enterprise Standard 和 Enterprise Plus; Education Fundamentals、Education Standard、Teaching and Learning Upgrade 和 Education Plus; Enterprise Essentials Plus; Chrome Enterprise Premium . 版本比較
Drive DLP and Chat DLP are available to Cloud Identity Premium users who also have a Google Workspace license. For Drive DLP, the license must include the Drive log events.
管理員可以使用資料遺失防護 (DLP) 摘要來調查事件,確認是否確實違反資料遺失防護規則,或屬於誤判情形。資料遺失防護摘要會擷取違規內容,您可以在安全調查工具和「稽核與調查」頁面中查看摘要。
- 存取調查工具中的摘要
- 事前準備
- 關於資料遺失防護的摘要
- 資料遺失防護功能摘要的限制
- 步驟 1:開始調查
- 步驟 2:顯示機密內容
- 步驟 3:查看機密內容
- 使用 BigQuery 匯出機密內容
- 移除記錄中的機密內容
- 移除機密內容
- 管理員資料動作記錄事件
存取調查工具中的摘要
如何存取調查工具中的摘要:
- 管理員必須具備「查看機密內容」權限。詳情請參閱「調查工具的管理員權限」。
- 如要允許管理員查看機密內容,您必須開啟「查看機密內容」設定。
- 您必須是超級管理員,才能移除及還原記錄中的機密內容。
事前準備
開啟機密內容儲存空間:
-
-
在管理控制台中,依序點選「選單」圖示 「安全性」「存取權與資料控管」「資料保護」。
- 將「機密內容儲存空間」的狀態變更為「開啟」。
- 按一下 [儲存]。
關於資料遺失防護的摘要
資料遺失防護摘要會包含任何由資料遺失防護規則標記,且符合資料遺失防護規則條件的內容,例如:
- 接受掃描的檔案內容
- 可重複使用的內容偵測工具
- 關鍵字和字詞清單
- 規則運算式
- 預先定義的內容偵測工具
查看記錄中 DLP 摘要的期限為 180 天。這段期間內,即使來源內容遭到刪除或變更,摘要也不會因此而刪除。資料遺失防護功能摘要會擷取資料遺失防護規則偵測到的相符內容,以及為資料遺失防護掃描功能提供背景資訊的內容周圍文字 (每邊最多 100 個 Unicode 字元),。
資料遺失防護功能摘要的限制
- 超過 500 Unicode 字元的摘要內容會遭到截斷。
- 針對資料遺失防護規則記錄事件資料,摘要參數的總大小不得超過 50 KB。系統會移除摘要執行個體,直到總大小少於 50 KB 為止。
- 在 Google Chat 中,系統不會收集「不留記錄」訊息 (關閉即時通訊記錄) 的摘要,也不會收集傳送至機構外部成員聊天室的對話摘要。
- 從 Google 雲端硬碟擷取的 DLP 掃描內容及摘要,可能會與文件中的原始來源內容不同。
步驟 1:開始調查
方法 1:在調查工具中查看機密內容摘要
-
-
在管理控制台中,依序點選「選單」圖示 「安全性」「安全中心」「調查工具」。
- 按一下「資料來源」,選取「規則記錄事件」。
- 按一下「新增條件」。
- 從「屬性」選單中選取「規則類型」,然後確認運算子已設為「是」 (預設選項)。
- 在「規則類型」選單中選取「資料遺失防護」。
- 按一下「搜尋」。
方法 2:在「稽核與調查」頁面上查看機密內容摘要
-
-
在管理控制台中,依序點選「選單」圖示 「報告」「稽核與調查」「規則記錄事件」。
- 依序按一下「新增篩選器」「規則類型」。
- 在「規則類型」方塊中,依序選取「是」「資料遺失防護」,然後點選「套用」。
- 按一下「搜尋」。
步驟 2:顯示機密內容
- 在搜尋結果的「含有機密內容」欄中尋找「是」。
- 按一下「說明」欄中的文字,開啟「記錄詳細資料」面板。
- 按一下「顯示機密內容」。
- 視需要輸入您想查看機密內容的原因 按一下「確認」。
面板會重新整理,「機密內容片段」列會更新,顯示您正在調查的規則觸發的片段。
步驟 3:查看機密內容
在「記錄詳細資料」面板中,按一下「機密內容片段」旁邊的向右箭頭 ,即可展開含有機密內容的資料列。
您可以查看下列屬性:
屬性 | 說明 |
內容 | 符合資料遺失防護規則的內容 (包括用於背景資訊的前後文字) |
相符內容的開頭字元 | 符合規則內容的開頭 |
相符內容的長度 | 相符的長度 |
相符的偵測工具 ID | 相符的偵測工具 (如有) |
列索引 | (CSV 格式的 Chat 檔案) 內容列從零開始的索引 (如有) |
欄位名稱 | (CSV 格式的 Chat 檔案) 內容的欄名稱 (如有) |
範例:資料遺失防護規則掃描身分證字號
在這個範例中,如果試算表包含身分證字號,系統會填入以下屬性:
- 內容:SSN 123-45-6789
- 相符內容的開頭字元:4
- 相符內容的長度:11
- 相符的偵測工具 ID:US_SOCIAL_SECURITY_NUMBER
- 列索引:2
- 欄位名稱:header2
使用 BigQuery 匯出機密內容
您可以將機密內容片段匯出至自訂表格,以便深入調查。詳情請參閱「調整 BigQuery Export 設定」。
移除記錄中的機密內容
調查事件後,您可以將機密內容從記錄中移除,避免在不必要的情況下曝露資料。從記錄中移除內容,不會因此將其從該內容所在的實際檔案/資源移除,也不會從自訂 BigQuery 資料表中移除。如果移除內容,調查工具或稽核與調查頁面就不會再顯示該內容,也無法匯出至 BigQuery。
您必須以超級管理員的身分登入才能執行這項工作。
- 重複本頁中的步驟 1、2 和 3,查看機密內容。
- 按一下「移除機密內容」。
- 在「移除機密內容」方塊中,按一下「移除」確認操作。
移除機密內容
如有需要,您可以在 180 天的保留期限內將機密內容還原至記錄中。
您必須以超級管理員的身分登入才能執行這項工作。
- 重複本頁中的步驟 1、2 和 3,查看機密內容。
- 按一下「記錄詳細資料」面板頂端的「還原」。
- 按一下「顯示機密內容」。
- 在「記錄詳細資料」面板中,按一下「機密內容片段」旁邊的向右箭頭 ,即可展開含有機密內容的資料列。
無論是否還原,資料遺失防護摘要都會在原本的 180 天保留期限過後刪除。
管理員資料動作記錄事件
您可以搜尋管理員資料動作記錄事件,持續追蹤曾存取、移除或還原機密內容的管理員。詳情請參閱「管理員資料動作記錄事件」。