Залежно від версії Google Workspace ви можете мати доступ до інструмента "Аналіз безпеки", у якому доступні розширені функції. Наприклад, суперадміністратори можуть виявляти, сортувати й усувати проблеми з безпекою і конфіденційністю. Докладніше
Адміністратори організації можуть шукати й усувати проблеми з безпекою, пов’язані з подіями в журналі Directory Sync. Наприклад, за допомогою записів про дії можна відстежувати події в Directory Sync.
Як надсилати дані про події в журналі в Google Cloud
Ви можете надати Google Cloud доступ до даних про події. Якщо ввімкнути спільний доступ, дані передаватимуться в Cloud Logging, де ви зможете надсилати запити й переглядати журнали, а також керувати їх маршрутизацією і зберіганням.
Тип даних про події в журналі, які можна надсилати в Google Cloud, залежить від облікового запису Google Workspace, Cloud Identity або Essentials.
Як шукати події в журналі
Можливість виконання пошуку залежить від версії Google, прав адміністратора й джерела даних. Ви можете виконувати пошук усіх користувачів незалежно від їхньої версії Google Workspace.
Щоб знайти події в журналі, спершу виберіть джерело даних, а потім додайте принаймні один фільтр.
-
Увійдіть в Консоль адміністратора Google з даними облікового запису адміністратора.
Без облікового запису з такими правами ви не зможете отримати доступ до Консолі адміністратора.
-
Натисніть значок
Звіти > Аудит і аналіз > Події журналу Directory Sync.
Для цього потрібні права адміністратора для Звітів.
- Натисніть Додати фільтр і виберіть атрибут.
- У спливаючому вікні виберіть оператор
виберіть значення
- (Необов’язково) Щоб створити кілька фільтрів для пошукового запиту, виконайте цей крок потрібну кількість разів.
- (Необов’язково) Щоб додати оператор пошуку, над пунктом Додати фільтр виберіть І чи АБО.
- (Необов’язково) Щоб створити кілька фільтрів для пошукового запиту, виконайте цей крок потрібну кількість разів.
- (Необов’язково) Щоб додати оператор пошуку, над пунктом Додати фільтр виберіть І чи АБО.
- Натисніть Пошук.
-
Підказка. Щоб фільтрувати результати пошуку, на вкладці Фільтр можна включити прості пари параметрів і значень. Крім того, на вкладці Конструктор умов фільтри представлено як умови з операторами І/АБО.
Щоб виконати пошук в інструменті "Аналіз безпеки", спершу виберіть джерело даних. Потім виберіть принаймні одну умову для пошуку. Для кожної умови виберіть атрибут, оператор і значення.
-
Увійдіть в Консоль адміністратора Google з даними облікового запису адміністратора.
Без облікового запису з такими правами ви не зможете отримати доступ до Консолі адміністратора.
-
Натисніть значок
Безпека > Центр безпеки > Інструмент "Аналіз безпеки".
Потрібні права адміністратора в Центрі безпеки.
- Натисніть Джерело даних і виберіть Події журналу Directory Sync.
- Натисніть Додати умову.
Підказка. Ви можете вказати одну чи кілька умов у своєму пошуковому запиті або налаштувати пошук за допомогою вбудованих запитів. Щоб дізнатися більше, перегляньте цю статтю. - Натисніть Атрибут
Повний список атрибутів наведено в розділі Описи атрибутів (далі на цій сторінці). - Виберіть оператор.
- Введіть значення або виберіть значення зі списку.
- (Необов’язково) Щоб додати інші умови пошуку, повторіть кроки 4–7.
- Натисніть Пошук.
Результати пошуку в інструменті "Аналіз безпеки" можна переглянути в таблиці внизу сторінки. - Необов’язково: щоб зберегти аналіз, натисніть значок
Примітки
- На вкладці Конструктор умов фільтри представлено як умови з операторами "І/АБО". Щоб фільтрувати результати пошуку, на вкладці Фільтр можна включити прості пари параметрів і значень.
- Якщо змінити ім’я користувача, пошук за його старим іменем не дасть результатів. Наприклад, якщо [email protected] перейменувати на [email protected], у результатах пошуку не буде подій, пов’язаних із [email protected].
Опис атрибутів
Для цього джерела даних можна використовувати такі атрибути під час пошуку даних про події в журналі:
| Attribute | Description |
|---|---|
| Count | Number of objects affected by the audit event—for example, a count of objects read in a directory read |
| Created count | Number of created objects—for example, a count of users created in target directory during a sync run |
| Date | Date and time of the event (displayed in your browser's default time zone) |
| Deleted count | Number of deleted objects—for example, a count of users deleted in target directory during a sync run |
| Deprovision action | The action involved while deprovisioning an object—for example, a user is suspended or a group is deleted |
| Event |
Logged event action, such as Object Created or Sync Summary Tip: If you have event values that you use often, you can pin those events to the top of the drop-down menu. Learn more about events related to Directory Sync. |
| Excluded count | Number of excluded objects—for example, a count of objects excluded while reading from source directory due to the configured exclusion rules |
| Exclusion rule | Condition used to exclude an object while reading from the source directory |
| Failed count | Number of objects that failed to sync during a sync run |
| Filter | Query used to read from the source directory |
| Group ID | Identifier of the group being used in membership related events—for example, [email protected] |
| Log level | Severity level of the logged event |
| Message | Reason for the occurrence of the event |
| New attributes | Object attributes following the sync |
| New membership role | Membership role following the sync |
| Object ID | ID of the object |
| Object type | Type of the object—for example, Group, Group membership, or User |
| Old attributes | Object attributes before the sync |
| Old membership role | Membership role before the sync |
| Simulation | Whether or not a sync job was a simulation |
| Source directory ID | Identifier of the source directory |
| Source directory name | Name of the source directory—for example, My AD directory name |
| Source immutable ID | Immutable ID of the source object. This ID can be the ObjectGUID of source object |
| Source object ID | Identifier of the source object—for example, CN=User Name, OU=Sales, DC=example, DC=com |
| Sync job | Identifier of the sync job |
| Sync job config | All values configured in the sync job |
| Sync run | Identifier of the sync run |
| Target object ID | Identifier of the target object—for example, [email protected] |
| Updated count | Number of objects updated during a sync run |
| Verbose log | Whether or not there are detailed logs about individual objects |
Примітка. Якщо змінити ім’я користувача, пошук за його старим іменем не дасть результатів. Наприклад, якщо [email protected] перейменувати на [email protected], у результатах пошуку не буде подій, пов’язаних із [email protected].
Як керувати даними про події в журналі
Як керувати стовпцями даних у результатах пошуку
Ви можете вибрати, які стовпці даних показуватимуться в результатах пошуку.
- У верхньому правому куті таблиці з результатами пошуку натисніть значок
.
- (Необов’язково) Щоб вилучити поточні стовпці, натисніть значок
.
- (Необов’язково) Щоб додати стовпці, поруч з опцією Додати новий стовпець натисніть значок
і виберіть стовпець даних.
За потреби виконайте ці кроки ще раз. - (Необов’язково) Щоб змінити порядок стовпців, перетягніть назви стовпців даних.
- Натисніть Зберегти.
Як експортувати дані результатів пошуку
Результати пошуку можна експортувати в Google Таблиці або файл CSV.
- Угорі таблиці з результатами пошуку натисніть Експортувати все.
- Введіть назву
Експорт даних відображається під таблицею з результатами пошуку Результати експорту дій. - Щоб переглянути дані, натисніть назву експорту.
Після цього відкриється сервіс Google Таблиці.
На експорт накладаються різні обмеження.
- Усього можна експортувати не більше ніж 100 000 рядків (за винятком пошукових запитів у Gmail, які мають обмеження до 10 000 рядків).
- Ця функція підтримується для таких версій: Frontline Standard і Frontline Plus; Enterprise Standard і Enterprise Plus; Education Standard і Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Порівняти свою версію з іншими
Якщо ви користуєтесь інструментом аналізу безпеки, загальна кількість результатів експорту обмежується 30 мільйонами рядків (за винятком пошукових запитів у Gmail, які мають обмеження до 10 000 рядків).
Щоб дізнатися більше, перегляньте статтю про те, як експортувати результати пошуку.
Коли дані стануть доступними й на який строк
Які дії можна виконувати на основі результатів пошуку
- Ви можете налаштувати сповіщення на основі даних про події в журналі за допомогою правил звітування. Вказівки можна переглянути в цій статті.
- Ця функція підтримується для таких версій: Frontline Standard і Frontline Plus; Enterprise Standard і Enterprise Plus; Education Standard і Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Порівняти свою версію з іншими
Щоб ефективніше виявляти й усувати проблеми з безпекою, а також запобігати їм, ви можете автоматизувати дії в інструменті "Аналіз безпеки", створивши правила для дій. Щоб налаштувати правило, задайте для нього умови, а потім укажіть, які дії слід виконувати за їх дотримання. Детальну інформацію і вказівки можна переглянути в цій статті.
Ця функція підтримується для таких версій: Frontline Standard і Frontline Plus; Enterprise Standard і Enterprise Plus; Education Standard і Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Порівняти свою версію з іншими
Результати пошуку, отримані за допомогою інструмента "Аналіз безпеки", можна використовувати для різних цілей. Наприклад, ви можете виконати пошук на основі подій у журналі Gmail, а потім за допомогою інструмента видалити певні повідомлення, перемістити їх у карантин або надіслати користувачам у папки "Вхідні". Щоб дізнатися більше про дії, які можна виконувати на основі результатів пошуку, перегляньте цю статтю.
Як керувати аналізами
Ця функція підтримується для таких версій: Frontline Standard і Frontline Plus; Enterprise Standard і Enterprise Plus; Education Standard і Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Порівняти свою версію з іншими
Як переглянути список результатів аналізівЩоб переглянути список результатів аналізів, які належать вам або до яких вам надали доступ, натисніть значок . Цей список містить назви, описи й імена власників результатів аналізів, а також дату їх останньої зміни.
На сторінці зі списком можна виконувати дії з будь-якими аналізами, які вам належать (наприклад, видаляти їх). Поставте прапорець біля потрібного аналізу й натисніть Дії.
Примітка. Нещодавно збережені результати аналізів можна переглянути безпосередньо над їх списком у розділі Швидкий доступ.
Увійдіть у систему як суперадміністратор і натисніть значок . У цьому меню можна виконати наведені нижче дії.
- Змінити часовий пояс для аналізів. Часовий пояс застосовується до умов і результатів пошуку.
- Увімкнути чи вимкнути параметр Запит на перевірку. Щоб дізнатися більше про перевірку масових дій, перегляньте цю статтю.
- Увімкнути чи вимкнути параметр Перегляд контенту. Завдяки цьому налаштуванню адміністратори з відповідними правами матимуть змогу переглядати контент.
- Увімкнути чи вимкнути параметр Увімкніть обґрунтування дії.
Вказівки й докладні відомості про налаштування параметрів для проведення аналізів наведено в цій статті.
Щоб зберегти критерії пошуку або поділитися ними з іншими користувачами, ви можете створити аналіз, зберегти його результати, а потім копіювати чи видалити його або поділитися ним з іншими.
Дізнатися більше про зазначені вище дії ви можете в цій статті.
