创建云端硬盘 DLP 规则和自定义内容检测器

支持此功能的版本：Frontline Standard、企业标准版和企业 Plus 版、教育基础版、教育标准版、教与学升级版和教育 Plus 版、Enterprise Essentials Plus。 比较您的版本

Cloud Identity 专业版用户只要拥有 Google Workspace 许可，即可使用云端硬盘 DLP 和 Chat DLP 功能。对于云端硬盘 DLP 功能，许可必须包含云端硬盘日志事件服务。

DLP 规则条件决定了规则检测的敏感内容类型。如需查看基本示例，请参阅下文的 DLP 规则示例。规则可能只需要一个条件，也可以使用 AND、OR 或 NOT 运算符结合多个条件。请转到云端硬盘 DLP 规则示例 - 使用运算符嵌套条件，查看嵌套条件的示例。

• 若要检测标准个人信息（例如驾照号码或纳税人 ID），您的规则可以使用预定义的内容检测器。要查看完整的可用检测器列表，请参阅如何使用预定义的内容检测器。
• 规则条件还可以使用您创建的自定义内容检测器，例如包含字词表或正则表达式的内容检测器。有关说明，请参阅“第 2 步：创建自定义检测器”。

要了解如何改进规则测试，包括设置规则测试环境，请转到加快规则测试的最佳做法。

您可以创建仅记入审核日志的规则来测试您在 DLP 中创建的规则，以便测试 Google 云端硬盘相关规则可能造成的影响。仅记入审核日志的规则与所有规则一样都可以被触发，但不同的是，这类规则被触发后，系统不会执行任何操作，但会将结果写入规则审核日志和调查工具。

要了解如何改进规则测试，包括设置规则测试环境，请转到加快规则测试的最佳做法。

要创建和使用仅记入审核日志的规则，请执行以下操作：

1. 按照第 3 步：创建规则中的步骤创建规则。
2. 在创建规则时，不要在“操作”部分选择任何操作。操作选项不是必选项。相应规则会被触发，但没有关联的操作，且所有事件都会记录在规则审核日志中。这种情况下，该规则会在“操作”部分显示“仅记入审核日志”标记。
3. 继续创建该规则并完成规则配置。确保该规则处于“有效”状态。
4. 自行测试相应功能，或者等待您网域中的用户自然共享可能受该规则影响的数据。
5. 查看规则审核日志。转到规则审核日志或调查工具了解详情。当您使用仅记入审核日志的规则时，审核日志会列出没有触发操作的规则。

6. 如果您确定已完全按照需求配置了规则，则可以更改规则以添加操作（如第 3 步：创建规则所述）。

推荐规则是系统根据数据保护洞察报告的结果向您推荐的数据泄露防护规则。例如，如果报告显示贵单位共享的数据类型中有护照号码，那么数据泄露防护功能就会推荐用于防止共享护照号码的规则。

必须启用数据保护洞察报告，才能收到推荐规则。有关详情，请参阅利用数据保护推荐规则防范数据泄露。

• 动态群组：当用户加入、在组织中移动或离开组织时，系统会自动管理用户的成员资格。动态群组可通过管理控制台或 Cloud Identity API 创建和管理，可助您减少手动管理群组成员资格所耗费的时间。如要为 DLP 规则使用动态群组，请确保该群组同时也是安全群组（具有安全标签）。详细了解动态群组。

• 安全群组：您可以将标准群组或动态群组转换为安全群组，以便管理、审核和监控群组权限以及控制群组的访问权限。您可以通过管理控制台或 Cloud Identity Groups API 创建安全群组，只需为相应群组添加安全标签即可。详细了解安全群组。

• 迁移的群组：使用 Google Cloud Directory Sync (GCDS) 将您在 Microsoft Active Directory 或其他工具中创建的群组与 Google Workspace 同步。然后，您可以在 DLP 规则中使用这些已同步的群组。详细了解 GCDS。

如果您需要在规则条件中使用自定义检测器，可以根据以下通用说明创建。

创建 DLP 检测器以与规则搭配使用

在开始前，请先使用超级用户账号或者拥有以下权限的委派管理员账号登录：

• “单位部门管理员”权限。
• “群组管理员”权限。
• 查看 DLP 规则和管理 DLP 规则的权限。请注意，您必须同时启用“查看”和“管理”权限，才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
• 查看元数据和属性的权限（仅使用调查工具时需要）：安全中心 调查工具 规则 查看元数据和属性。

详细了解管理员权限和如何创建自定义管理员角色。

1. 登录您的 Google 管理控制台。

   请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。

2. 在管理控制台中，依次点击“菜单”图标   安全性 访问权限和数据控件 数据保护。
3. 点击管理检测器。
4. 点击添加检测器。添加名称和说明。

   您可以选择：

   • 正则表达式 - 正则表达式也称为 regex，是一种将文本与格式进行匹配的方法。点击测试表达式以验证相应正则表达式。查看正则表达式示例。
   • 字词表 - 您创建的自定义字词表。这是要检测的字词的列表，以英文逗号分隔。不区分大小写，且符号会被忽略。只有完整的字词才会匹配。您可以添加检测到相应内容时弹出的消息。字词列表检测器中的字词应至少包含 2 个字母或数字。
5. 点击创建。之后，您就可以在添加规则条件时使用相应自定义检测器。

在开始前，请先使用超级用户账号或者拥有以下权限的委派管理员账号登录：

• “单位部门管理员”权限。
• “群组管理员”权限。
• 查看 DLP 规则和管理 DLP 规则的权限。请注意，您必须同时启用“查看”和“管理”权限，才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
• 查看元数据和属性的权限（仅使用调查工具时需要）：安全中心 调查工具 规则 查看元数据和属性。

详细了解管理员权限和如何创建自定义管理员角色。

1. 登录您的 Google 管理控制台。

   请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。

2. 在管理控制台中，依次点击“菜单”图标   安全性 访问权限和数据控件 数据保护。
3. 点击管理规则。然后，点击添加规则 新建规则，或者点击添加规则 使用模板新建规则。请从“模板”页面选择需要的模板。
4. 为规则添加名称和说明。
5. 在范围部分，选择 <domain.name> 中的所有用户，或选择将此规则仅应用于所选组织部门或群组中的用户。 如果组织部门和群组在包含或排除设置上存在冲突，以群组的设置为准。

   注意：如果您想将规则应用于某个动态群组，该群组还必须带有安全标签。有关详情，请参阅“我可以为规则范围选择哪些类型的群组？”。

6. 点击继续。
7. 在应用部分，选择云端硬盘文件。
8. 点击继续。
9. 在条件部分中点击添加条件。
10. 选择要扫描的内容类型：
    • 所有内容：文档的所有内容，包括文档标题、正文和任何建议的修改
    • 正文：文档正文
    • 云端硬盘标签：应用于文档的任何标签。有关详情，请参阅云端硬盘标签管理员使用入门。
    • 修改的建议：在建议模式下添加到文档的内容
    • 标题：文档标题
11. 选择扫描内容，然后填写下表中所列的扫描类型所需属性。 

    请注意，扫描内容选项因您在上一步中选择的要扫描的内容类型而异。例如，如果您选择“标题”作为要扫描的内容类型，那么扫描内容选项将包含结尾为和开头为。

    要扫描的内容	属性
    与预定义的数据类型匹配	数据类型 - 选择预定义的数据类型。如需详细了解预定义的数据类型，请点击此处。 可能性阈值 - 选择可能性阈值。可用的阈值如下： 很低 低 中 高 很高 这些阈值反映了 DLP 系统对匹配结果的置信度。一般来说，阈值设为“很高”时会匹配较少的内容，并且会更精确。置信度为“很低”时涵盖的范围更广，应该会匹配更多文件，但精确度较低。 不重复匹配数量下限 - 要触发相应操作，非重复匹配结果必须在文档中出现的最少次数。 最低相符项目数 - 要触发相应操作，匹配结果必须在文档中出现的最少次数。 最低相符项目数和不重复匹配数量下限的工作原理是什么？例如，假设存在两个社会保障号列表：第一个列表包含 50 个完全相同的数字副本，而第二个列表包含 50 个不同的号码。 在这种情况下，如果最低相符项目数的值等于 10，则两个列表的匹配结果都会触发操作，因为两个列表中都至少有 10 个匹配项。 或者，如果不重复匹配数量下限的值等于 10，并且最低相符项目数的值等于 1，则只有第二个列表中的结果会触发操作，因为其中包含了 10 个互不相同的匹配项。
    包含文本字符串	输入要匹配的内容 - 输入子字符串、数字或要搜索的其他字符。请指定内容是否区分大小写。以子字符串为例，我们假设规则中包含有单词“key”，那么当文档中也包含单词“key”时，即视为匹配项。
    包含字词	输入要匹配的内容 - 输入要搜索的字词、数字或其他字符。
    与正则表达式匹配	正则表达式名称 - 正则表达式自定义检测器。 正则表达式被检测到的最少次数 - 要触发操作，正则表达式表示的模式在文档中出现的最少次数。
    与字词表中的字词匹配	字词表名称 - 选择自定义字词表。 匹配模式 - 选择匹配任意字词或匹配所要求最低数量的不重复字词。 检测到的不重复字词的最少数目 - 要触发操作，必须检测到的不重复字词的最少数目。 任意字词被检测到的最少总次数 - 要触发操作，某个字词要被检测到的最少次数（仅限匹配所要求最低数量的不重复字词选项）。
    结尾为	输入要匹配的内容 - 输入要搜索的字词、数字或其他字符。请指定内容是否区分大小写。
    开头为	输入要匹配的内容 - 输入要搜索的字词、数字或其他字符。请指定内容是否区分大小写。
    为（仅限云端硬盘标签内容类型）	云端硬盘标签 - 从下拉列表中选择可用的云端硬盘标签。 标签字段 - 为所选云端硬盘标签选择一个可用的标签字段。 字段选项 - 为所选字段选择一个可用的字段选项。

    您可以搭配使用“与”、“或”或“非”运算符和多个条件。请参阅云端硬盘 DLP 规则示例 - 使用运算符嵌套条件，详细了解如何搭配使用“与”、“或”或“非”运算符和多个条件。

    注意：如果您创建的 DLP 规则没有条件，则该规则会将指定的操作应用于所有云端硬盘文件。

12. 点击继续。
13. 在操作部分，您可以选择在扫描过程中检测到敏感数据时执行的操作：

    要先测试规则，然后再向其添加操作？
    您可以创建仅记入审核日志的规则，来测试仅记入审核日志但不包含操作的规则。并非必须选择操作。请转到使用仅记入审核日志的规则来测试执行相关规则的后果（可选操作，但建议执行）了解详情。

    • 禁止与外部共享 - 禁止共享相应文档。
    • 与外部共享时显示警告 - 如果用户尝试共享文件，系统会警告他们该文件包含敏感内容。他们可以取消共享或“仍然共享”。

      注意：如果您为此操作启用了提醒，则系统会在文件检测到敏感内容时触发提醒，而不是在用户尝试共享文件时触发提醒。 此时，操作也会记录在规则日志中。系统会在创建文件或创建规则时检测敏感内容（如果内容已存在）。

    • 禁止评论者和查看者下载、打印和复制 - 除非用户拥有“编辑者”权限或更高的权限，否则禁止其下载、打印和复制。此功能属于 DLP 信息权限管理 (IRM)，且将云端硬盘共享设置用作政策，因此用户无法在所有平台下载、打印或复制 Google 云端硬盘文档、表格或幻灯片。如需了解详情，请参阅 IRM 常见问题解答。
    • 应用云端硬盘标签 - 将现有的云端硬盘标签应用到匹配的文件。请按以下步骤进行配置：
      1. 从云端硬盘标签下拉列表中选择一个可用的标签，然后为该标签选择一个可用的字段和字段选项。仅支持字段类型为选项列表的标记标签和标准标签。有关详情，请参阅云端硬盘标签管理员使用入门。
      2. （可选）点击添加标签可添加其他标签。
      3. 选择是否允许用户更改其文件所应用的标签和字段值。
14. 在提醒部分，选择一个严重程度（低、中、高）。严重程度级别会影响一段时间内，事件在 DLP 事件信息中心（严重程度为“高”、“中”或“低”的事件数量）的绘制方式。
15. （可选）勾选发送到提醒中心以触发通知。仅 Google 云端硬盘支持提醒功能。有关详情，请参阅查看具体提醒的详细信息。

    勾选相应复选框以提醒所有超级用户，或添加其他收件人的电子邮件地址。您只能添加归相应用户所有的收件人地址。外部收件人会被忽略。收件人可以是用户或群组。注意，您必须设置所选群组的访问权限，以便这些群组接收发送给他们的电子邮件。请转到设置提醒中心电子邮件通知，详细了解如何为群组设置电子邮件通知的访问权限。

    提醒会显示在提醒中心。请注意，触发提醒和记录提醒之间存在时间延迟。提醒中心显示提醒之后，规则审核日志和 DLP 安全信息中心可能需要一段时间才会更新。您可能会收到提醒并可查看提醒摘要，但信息中心内的事件数量或调查工具中的审核日志需要一段时间才会更新。每条规则每天最多可以生成 50 条提醒。到达此上限后不会再发送提醒。

16. 点击继续并查看规则详情。
17. 在“规则状态”中，选择规则的初始状态：
    • 活跃 - 您的规则会立即生效。
    • 未启用 - 系统会保存您的规则，但不会立即运行。这样，在执行该规则前，您就有充足的时间来检查规则并与团队成员共享。稍后，您可以转到安全性 数据保护 管理规则来启用该规则。点击该规则的“未启用”状态，然后选择活跃。启用后，系统会立即执行该规则，DLP 会扫描敏感内容。
18. 点击创建。

更改最长可能需要 24 小时才会生效，但通常不需要这么久。了解详情

用户需要预先了解新规则的运作模式和影响。例如，您可能选择禁止与外部共享包含敏感数据的内容。在这种情况下，请告诉用户他们有时可能无法共享文档，以及无法共享的原因。

此示例展示了如何使用预定义的敏感类别来禁止特定单位和群组的用户共享敏感数据。您可以使用预定义的敏感类别来指定经常输入的数据。在此示例中，该数据为社会保障号。

在开始前，请先使用超级用户账号或者拥有以下权限的委派管理员账号登录：

• “单位部门管理员”权限。
• “群组管理员”权限。
• 查看 DLP 规则和管理 DLP 规则的权限。请注意，您必须同时启用“查看”和“管理”权限，才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
• 查看元数据和属性的权限（仅使用调查工具时需要）：安全中心 调查工具 规则 查看元数据和属性。

详细了解管理员权限和如何创建自定义管理员角色。

1. 登录您的 Google 管理控制台。

   请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。

2. 在管理控制台中，依次点击“菜单”图标   安全性 访问权限和数据控件 数据保护。
3. 点击管理规则。然后，点击添加规则 新建规则。
4. 添加规则的名称和说明。
5. 在“范围”部分，选择应用到整个 <域名>，或选择将规则应用到特定单位部门或群组，具体做法是搜索相应单位部门或群组，进行添加或排除。如果单位部门和群组在包含或排除设置上存在冲突，以群组的设置为准。
6. 点击继续。
7. 在“条件”部分，点击添加条件并选择以下值：
   • 字段 - 所有内容。
   • 值 - 与默认检测器匹配。
   • 默认检测器 -“United States - Social Security Number”（美国 - 社会保障号）。
   • 可能性阈值 - 极有可能。这个额外措施可用于决定邮件是否触发操作。
   • 不重复匹配数量下限 - 1。要触发相应操作，非重复匹配结果必须在文档中出现的最少次数。
   • 最低相符项目数 - 1。要触发相应操作，指定内容必须在邮件中出现的最少次数。例如，如果您选择 2，那么邮件中必须出现至少 2 次社会保障号才会触发相应操作。
8. 点击继续。在“Google 云端硬盘”下方，选择禁止与外部共享。
9. 在“严重性和提醒”下方，选择严重程度高。启用提醒并输入收件人。

   触发提醒和记录提醒之间可能存在时间延迟。针对每条规则，管理员每天最多可以接收 50 条提醒。到达此上限后不会再收到。

10. 点击继续以查看规则详情。
11. 点击创建，然后选择：
    • 活跃 - 您的规则会立即生效
    • 未启用 - 系统会保存您的规则，但不会立即运行。这样，在执行该规则前，您就有充足的时间来检查规则并与团队成员共享。稍后，您可以转到安全性 数据保护 管理规则来启用该规则。点击该规则的未启用状态，然后选择活跃。启用后，系统会立即执行该规则，DLP 会扫描敏感内容。
12. 点击完成。

更改最长可能需要 24 小时才会生效，但通常不需要这么久。了解详情

此示例展示了如何设置自定义检测器。您可以在自定义检测器中列出要检测的字词。在规则中使用触发器设置，禁止用户与外部收件人共享包含敏感数据的文档，例如内部项目名称。

在开始前，请先使用超级用户账号或者拥有以下权限的委派管理员账号登录：

• “单位部门管理员”权限。
• “群组管理员”权限。
• 查看 DLP 规则和管理 DLP 规则的权限。请注意，您必须同时启用“查看”和“管理”权限，才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
• 查看元数据和属性的权限（仅使用调查工具时需要）：安全中心 调查工具 规则 查看元数据和属性。

详细了解管理员权限和如何创建自定义管理员角色。

1. 登录您的 Google 管理控制台。

   请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。

2. 在管理控制台中，依次点击“菜单”图标   安全性 访问权限和数据控件 数据保护。
3. 点击管理检测器。然后，点击添加检测器 字词表。
4. 输入检测器名称和说明。
5. 输入要检测的字词（使用英文逗号分隔）。在自定义字词表中：
   • 不区分大小写。例如，BAD 与 bad、Bad 以及 BAD 都匹配。
   • 只有完整的字词才会匹配。例如，如果您向自定义字词表中添加了“bad”，则系统不会匹配“badminton”。
6. 点击创建。
7. 点击管理规则。然后，点击添加规则 新建规则。
8. 在“规则名称”部分，输入规则的名称。您也可以添加规则的说明。
9. 在“范围”部分，搜索并选择要应用规则的单位部门或群组。
10. 点击继续。
11. 在“条件”部分，点击添加条件并选择以下值：
    • 字段 - 所有内容
    • 值 - 与字词表检测器匹配
    • 字词表 - 滚动查找您在上文创建的检测器。
    • 匹配模式 - 选择匹配模式：
    • 匹配任何字词 - 与预定义字词表中的任意字词匹配
    • 匹配所要求最低数量的不重复字词 - 指定检测到的不同字词的最低数目，以及自定义字词表中任意字词被检测到的最少总次数。
    • 任意字词被检测到的最少总次数 - 1。
12. 点击继续。在“Google 云端硬盘”下，选择禁止与外部共享操作。
13. 在“严重性和提醒”下方，选择严重程度高。启用提醒并指定收件人。请注意，触发提醒和记录提醒之间存在时间延迟。针对每条规则，管理员每天最多可以接收 50 条提醒。到达此上限后不会再收到。
14. 点击继续以查看规则详情。
15. 点击创建，然后选择：
    • 活跃 - 您的规则会立即生效
    • 未启用 - 系统会保存您的规则，但不会立即运行。这样，在执行该规则前，您就有充足的时间来检查规则并与团队成员共享。稍后，您可以转到安全性 数据保护 管理规则来启用该规则。点击该规则的未启用状态，然后选择活跃。启用后，系统会立即执行该规则，DLP 会扫描敏感内容。
16. 点击完成。

更改最长可能需要 24 小时才会生效，但通常不需要这么久。了解详情

规则模板会提供一组条件，可覆盖大量常见的数据保护情况。请使用规则模板为常见的数据保护情况设置政策。

此示例使用规则模板禁止发送或共享包含美国个人身份信息 (PII) 的云端硬盘文档或电子邮件。

在开始前，请先使用超级用户账号或者拥有以下权限的委派管理员账号登录：

• “单位部门管理员”权限。
• “群组管理员”权限。
• 查看 DLP 规则和管理 DLP 规则的权限。请注意，您必须同时启用“查看”和“管理”权限，才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
• 查看元数据和属性的权限（仅使用调查工具时需要）：安全中心 调查工具 规则 查看元数据和属性。

详细了解管理员权限和如何创建自定义管理员角色。

1. 登录您的 Google 管理控制台。

   请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。

2. 在管理控制台中，依次点击“菜单”图标   安全性 访问权限和数据控件 数据保护。
3. 点击管理规则。
4. 点击添加规则 使用模板新建规则。
5. 在“模板”页面中，点击 Prevent PII information sharing (US)（禁止共享（美国）个人身份信息）。
6. 接受规则的默认名称和说明，或输入新值。
7. 在“范围”部分，搜索并选择要应用规则的单位部门和群组。
8. 点击继续。规则模板中已预先选择了条件。如果您想了解应用于该规则的具体条件，请查看相应条件。安全性设置为“低”，并且提醒已停用。
9. 对于 Google 云端硬盘，系统已选择禁止与外部共享。禁止共享操作可禁止用户与单位以外的用户共享符合条件的文件。
10. 点击继续以查看规则详情。
11. 点击创建，然后选择：
    • 活跃 - 您的规则会立即生效
    • 未启用 - 系统会保存您的规则，但不会立即运行。这样，在执行该规则前，您就有充足的时间来检查规则并与团队成员共享。稍后，您可以转到安全性 数据保护 管理规则来启用该规则。点击该规则的未启用状态，然后选择活跃。启用后，系统会立即执行该规则，DLP 会扫描敏感内容。
12. 点击完成。

更改最长可能需要 24 小时才会生效，但通常不需要这么久。了解详情

在开始前，请先使用超级用户账号或者拥有以下权限的委派管理员账号登录：

• “单位部门管理员”权限。
• “群组管理员”权限。
• 查看 DLP 规则和管理 DLP 规则的权限。请注意，您必须同时启用“查看”和“管理”权限，才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
• 查看元数据和属性的权限（仅使用调查工具时需要）：安全中心 调查工具 规则 查看元数据和属性。

详细了解管理员权限和如何创建自定义管理员角色。

1. 登录您的 Google 管理控制台。

   请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。

2. 在管理控制台中，依次点击“菜单”图标   安全性 访问权限和数据控件 数据保护。
3. 点击管理规则或管理检测器。“规则”页面位于安全性 > 数据保护 > 规则下。“检测器”页面位于安全性 > 数据保护 > 检测器下。

为规则排序

您可以根据名称或上次修改时间列对规则进行升序或降序排列。

1. 在“规则”页面上，点击名称或最后修改时间的列名称。
2. 点击向上或向下箭头即可对列进行排序。

启用或停用规则

如果您启用规则，DLP 就会扫描使用该规则的文档。

1. 在“规则”页面的“状态”列下，选择活跃或未启用。
2. 确认您要启用或停用该规则。

删除规则

规则一旦删除，就无法恢复。

1. 在规则页面上，将光标指向某一行，系统会在行末显示垃圾桶图标 。
2. 点击垃圾桶图标 。
3. 确认您要删除该规则。

导出规则

您可以将规则导出为 .txt 文件。

1. 在“规则”页面上，点击导出规则。
2. 规则列表会下载到文本文件中。点击左下角的 .txt 文件，查看已下载的规则。

修改规则详细信息

当您修改规则时，会触发系统重新扫描受该规则影响的文档。

1. 在规则列表中，点击要修改的规则。
2. 点击修改规则。
3. 根据需要修改规则。此流程与创建规则相同。
4. 修改完成后，点击更新并选择：
5. 活跃 - 您的规则会立即生效
6. 未启用 - 系统会保存您的规则，但不会立即运行。这样，在执行该规则前，您就有充足的时间来检查规则并与团队成员共享。稍后，您可以转到安全性 数据保护 管理规则来启用该规则。点击该规则的未启用状态，然后选择活跃。启用后，系统会立即执行该规则，DLP 会扫描敏感内容。
7. 点击完成。

更改最长可能需要 24 小时才会生效，但通常不需要这么久。了解详情

使用安全调查工具调查规则

DLP 会使用安全调查工具来显示触发规则的频率。该工具会列出相应规则对应的搜索结果，并显示每个事件的触发操作。

要使用调查工具，您必须拥有“查看元数据和属性”权限（位于安全中心 调查工具 规则 查看元数据和属性）。

要调查某条规则，请执行以下操作：

1. 在规则列表中，点击要调查的规则。
2. 点击调查规则。
3. 您会看到该规则的搜索结果。请注意，触发规则和更新审核日志之间存在时间延迟。有关详情，请转至调查工具。

提示：您可以通过调查工具启用或停用规则。在结果表格中，将光标指向列标题“规则 ID”。点击并选择操作 启用规则或操作 停用规则。

提示：要查看所有 DLP 规则的结果，请点击 X 以删除特定的规则搜索条件，然后点击搜索。

过滤自定义检测器

您可以按检测器名称和类型过滤自定义检测器列表。

1. 在自定义检测器页面上，点击添加过滤条件。
2. 按检测器名称或类型过滤：
   • 检测器名称 - 输入要搜索的字符串
   • 检测器类型 - 选择检测器类型
3. 点击应用。过滤器会一直应用，直到您将其关闭。

导出检测器

您可以将检测器导出为 .txt 文件。

1. 在检测器页面上，点击导出检测器。
2. 检测器列表会下载到文本文件中。点击左下角的 .txt 文件，查看已下载的检测器。

修改自定义字词表检测器

当您修改规则使用的自定义检测器时，会触发系统重新扫描受包含所修改的检测器的规则影响的文档。

要修改自定义检测器名称和说明，请执行以下操作：

1. 点击列表中的自定义字词表检测器。
2. 点击修改信息。
3. 修改标题和说明。
4. 点击保存。

要将字词添加到列表中，请执行以下操作：

1. 点击列表中的自定义字词表检测器。
2. 点击添加字词。
3. 向字词表中添加字词。
4. 点击保存。

要修改列表中的字词，请执行以下操作：

1. 点击列表中的自定义字词表检测器。
2. 点击修改字词。
3. 修改列表中的字词。
4. 点击保存。

修改自定义正则表达式检测器

当您修改规则使用的自定义检测器时，会触发系统重新扫描受包含所修改的检测器的规则影响的文档。

要修改自定义正则表达式的名称、说明或正则表达式，请执行以下操作：

1. 在自定义检测器页面上，点击相应自定义正则表达式检测器。
2. 在弹出式窗口中，修改标题、说明或正则表达式。
3. 如果您修改了正则表达式，请点击测试表达式。输入要验证的测试数据。
4. 点击保存。

删除自定义检测器

检测器一旦删除，就无法恢复。

1. 在自定义检测器页面上，将光标指向某一行，系统会在行末显示垃圾桶图标 。
2. 点击垃圾桶图标 。
3. 确认您要删除该检测器。