Gebeurtenissen in het logboek Toegangsevaluatie

Bekijken hoe client-apps toegang hebben tot gebruikersgegevens

Afhankelijk van uw Google Workspace-versie heeft u misschien toegang tot de tool voor beveiligingsonderzoek, die geavanceerdere functies bevat. Hoofdbeheerders kunnen bijvoorbeeld beveiligings- en privacyproblemen identificeren, analyseren en er acties op ondernemen. Meer informatie

Als beheerder van uw organisatie kunt u logboekgebeurtenissen voor Toegangsbeoordeling gebruiken om inzicht te krijgen in hoe de verschillende beveiligingsbeleidsregels in Google Workspace van invloed zijn op de toegang van eindgebruikers tot apps.  Een organisatie kan bijvoorbeeld meerdere OAuth-beleidsregels hebben die de app-toegang beheren op basis van verschillende regels. Gebeurtenissen in het logboek Toegangsevaluatie tonen de beleidsregels die van invloed zijn op de toegang van gebruikers, of er toegang is verleend en hoe die beslissingen zijn genomen. U kunt deze informatie gebruiken om het beveiligingsbeleid en de configuratie van uw organisatie te controleren en aan te passen. 

Logboekgebeurtenissen zoeken

Of u een zoekopdracht kunt uitvoeren, hangt af van uw Google-versie, uw beheerdersrechten en de gegevensbron. U kunt een zoekopdracht uitvoeren voor alle gebruikers, ongeacht hun Google Workspace-versie.

Controle- en onderzoekstool

Als u een logboekgebeurtenis wilt zoeken, kiest u eerst een gegevensbron. Kies daarna een of meer filters voor de zoekopdracht.

  1. Log in met een beheerdersaccount op de Google Beheerdersconsole.

    Als u geen beheerdersaccount gebruikt, heeft u geen toegang tot de Beheerdersconsole.

  2. Ga in de Beheerdersconsole naar Menu en dan Rapportageen danControle en onderzoeken danGebeurtenissen in het logboek Toegangsevaluatie.

  3. Klik op Een filter toevoegen en selecteer een kenmerk.
  4. Selecteer in het pop-upvenster een operatorand thenselecteer een waardeand thenklik op Toepassen.
    • (Optioneel) Herhaal deze stap om meerdere filters voor de zoekopdracht te maken.
    • (Optioneel) Als u een zoekoperator wilt toevoegen, selecteert u boven Een filter toevoegen de optie AND of OR.
  5. Klik op Zoeken.

    Opmerking: Op het tabblad Filter kunt u eenvoudige parameter- en waardeparen toevoegen om de zoekresultaten te filteren. U kunt ook het tabblad Voorwaardenbuilder gebruiken, waar de filters worden weergegeven als voorwaarden met AND/OR-operators.

Tool voor beveiligingsonderzoek
Deze functie wordt ondersteund in de volgende versies: Frontline Standard en Frontline Plus, Enterprise Standard en Enterprise Plus, Education Standard en Education Plus, Enterprise Essentials Plus en Cloud Identity Premium. Versies vergelijken

Als u een zoekopdracht wilt uitvoeren in de tool voor beveiligingsonderzoek, kiest u eerst een gegevensbron. Kies daarna een of meer voorwaarden voor de zoekopdracht. Kies voor elke voorwaarde een kenmerk, een operator en een waarde.

  1. Log in met een beheerdersaccount op de Google Beheerdersconsole.

    Als u geen beheerdersaccount gebruikt, heeft u geen toegang tot de Beheerdersconsole.

  2. Ga naar Menu and then Beveiliging > Beveiligingscentrum > Onderzoekstool.

    Hiervoor is het beheerdersrecht Beveiligingscentrum vereist.

  3. Klik op Gegevensbron en selecteer Gebeurtenissen in het logboek Toegangsevaluatie.
  4. Klik op Voorwaarde toevoegen.
    Tip: U kunt een of meer voorwaarden toevoegen aan de zoekopdracht of de zoekopdracht aanpassen met geneste zoekopdrachten. Zie Een zoekopdracht aanpassen met geneste zoekopdrachten voor meer informatie.
  5. Klik op Kenmerkand thenselecteer een optie.
    Ga naar het gedeelte Kenmerkbeschrijvingen hieronder voor de volledige lijst met kenmerken.
  6. Selecteer een operator
  7. Vul een waarde in of selecteer een waarde in het dropdownmenu.
  8. (Optioneel) Herhaal stap 4-7 om meer zoekvoorwaarden toe te voegen.
  9. Klik op Zoeken.
    In de onderzoekstool staan de zoekresultaten in een tabel onderaan de pagina.
  10. (Optioneel) Als u het onderzoek wilt opslaan, klikt u op Opslaan and thenvul een titel en een beschrijving inand thenklik op Opslaan.

Opmerking:

  • Op het tabblad Voorwaardenbuilder worden filters weergegeven als voorwaarden met AND/OR-operatoren. U kunt ook het tabblad Filter gebruiken en eenvoudige parameter- en waardeparen toevoegen om de zoekresultaten te filteren.
  • Als u een gebruiker een nieuwe naam heeft gegeven, ziet u geen queryresultaten met de oude naam. Als u bijvoorbeeld [email protected] de naam [email protected] geeft, ziet u geen gebeurtenissen gerelateerd aan [email protected].

Kenmerkbeschrijvingen

Uw organisatie kan meerdere beveiligingsbeleidsregels uit verschillende bronnen hebben die van invloed zijn op de gebruikerstoegang. Met de logboeken voor toegangsbeoordeling krijgt u inzicht in het gecombineerde gedrag van dat beleid en welke specifieke beleidsregels u misschien wilt wijzigen.
 

Als onbevoegde gebruikers bijvoorbeeld toegang hebben tot een berichten-app, krijgt u met gebeurtenissen in het logboek Toegangsevaluatie inzicht in welke beleidsregels worden gebruikt. Als u een beleidsregel wijzigt, tonen de logboekgebeurtenissen het resultaat van die wijziging. 

Gebeurtenissen in het logboek Toegangsevaluatie worden ook gebruikt om de beveiligingsstatus van uw organisatie te onderzoeken. Voorbeeld: 

  • Controle op verdachte activiteit: U kunt de logboeken gebruiken om te controleren op verdachte activiteit, zoals pogingen om toegang te krijgen tot gevoelige gegevens of toegang vanaf verboden locaties.
  • De beveiligingsstatus van uw organisatie controleren: U kunt de logboeken gebruiken om de beveiligingsstatus van uw organisatie te controleren en te zorgen dat uw gegevens worden beschermd.

Er wordt een logboekitem gemaakt voor de 1e gebeurtenis binnen 24 uur. Dubbele gebeurtenissen met dezelfde informatie worden pas na 24 uur geregistreerd. Als er bijvoorbeeld op tijd X een vermelding met Gebruiker1, Client1 en IP1 plaatsvindt, worden dubbele gebeurtenissen met dezelfde informatie pas geregistreerd als er 24 uur zijn verstreken.

Opmerking: Elk logboekitem kan sommige, maar niet alle, van de volgende gegevens bevatten. Het veld Serviceaccount is bijvoorbeeld meestal leeg, tenzij de toegang wordt uitgevoerd door een serviceaccount.

Kolomnaam

Reacties

Voorbeeld

Datum

Tijdstip waarop het verzoek is beoordeeld.

2022-08-11T10:00:53-07:00

App-ID

De client-ID van de app waarvoor de toegang is geëvalueerd.

705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com

App-naam

App-naam van de bovenstaande klant-ID.

Reddit

Gebeurtenis

Naam gebeurtenis.
  • Verzoek om token toestaan
  • Nabootsing van token toestaan (als de toegang via een serviceaccount is)

Beschrijving

Beschrijving van de gebeurtenis. 

Het toegangsverzoek van Voornaam Achternaam tot Mijnapp voor bepaalde bereiken is toegestaan.

Gebruiker

E-mailadres van eindgebruiker waarvoor de evaluatie is aangevraagd en toegestaan.

[email protected]

Bereik

Bereiken waarvoor het verzoek is geaccepteerd

https://googleapis.com/auth/userinfo.email, https://googleapis.com/auth/userinfo.profile, openid

Extern IP-adres

Het IP-adres van waaruit de eindgebruiker om toegangsbeoordeling heeft gevraagd.

2601:600:8780:19d0:925:e630:d20e:b1cc

Configuratiebron

Geeft aan of een client-ID is toegestaan vanwege een Google Workspace-beleid dat de eindgebruiker expliciet toegang geeft tot deze app-ID.  

Zie Beschrijvingen van configuratiebronnen.

Serviceaccount

E-mailadres van serviceaccount als dit is gebruikt om een andere gebruiker na te bootsen.

[email protected]

Clienttype

Type app-ID.

Web, Android, iOS, enzovoort

Beschrijvingen van configuratiebronnen

De configuratiebron beschrijft of een client-ID is toegestaan vanwege een Google Workspace-beleid dat de eindgebruiker expliciet toegang geeft tot deze app-ID. 

Scenario Beschrijving
Geen app-configuratie

De toegang is toegestaan omdat beheerders geen beleid hebben ingesteld met API-beheer waarmee de toegang tot de client-ID wordt geblokkeerd. 

Ga naar Bepalen welke apps van derden en interne apps toegang hebben tot Google Workspace-gegevens om blokkeringsbeleid toe te voegen.
Configuratie van API-functies

De toegang is toegestaan omdat de app is vertrouwd of beperkt in een beleid met API-beheer. 

Zie Bepalen welke apps van derden en interne apps toegang hebben tot Google Workspace-gegevens.
Configuratie van eindpuntbeheer

De toegang is toegestaan omdat de app is vertrouwd of beperkt in een beleid met Google-eindpuntbeheer.

Zie Overzicht: Apparaten beheren met Google-eindpuntbeheer
Workspace Marketplace-configuratie

De toegang is toegestaan omdat de app is geïnstalleerd in de Google Workspace Marketplace.

Zie Een app zoeken en installeren in de Marketplace.
Configuratie voor domeinbrede machtiging

De toegang is toegestaan omdat deze app domeinbreed is gemachtigd.

Zie API-toegang beheren met domeinbrede machtigingen

Logboekgebeurtenisgegevens beheren

Kolomgegevens in de zoekresultaten beheren

Je kunt instellen welke gegevenskolommen worden getoond in de zoekresultaten.

  1. Klik rechtsboven in de tabel met zoekresultaten op Kolommen beheren .
  2. (Optioneel) Als je huidige kolommen wilt verwijderen, klik je op Verwijderen .
  3. (Optioneel) Als je kolommen wilt toevoegen, klik je naast Nieuwe kolom toevoegen op de pijl-omlaag  en selecteer je de juiste gegevenskolom.
    Herhaal de stappen indien nodig.
  4. (Optioneel) Als je de volgorde van kolommen wilt wijzigen, versleep je de kolomnaam.
  5. Klik op Opslaan.

Zoekresultaten exporteren

U kunt zoekresultaten exporteren naar Google Spreadsheets of naar een csv-bestand.

  1. Klik bovenaan de tabel met zoekresultaten op Alles exporteren.
  2. Voer een naam in and then klik op Exporteren.
    De export wordt onder de tabel met zoekresultaten weergegeven, onder Actieresultaten exporteren.
  3. Klik op de naam van de export om de gegevens te bekijken.
    De export wordt geopend in Google Spreadsheets.

De exportlimieten zijn verschillend:

  • De export kan in totaal niet meer dan 100.000 rijen bevatten.
  • Deze functie wordt ondersteund in de volgende versies: Frontline Standard en Frontline Plus, Enterprise Standard en Enterprise Plus, Education Standard en Education Plus, Enterprise Essentials Plus en Cloud Identity Premium. Versies vergelijken

    Als u de tool voor beveiligingsonderzoek gebruikt, kunnen er in totaal niet meer dan 30 miljoen rijen met zoekresultaten worden gemaakt in een export (behalve bij zoekopdrachten in Gmail-berichten, die beperkt zijn tot 10.000 rijen).

Ga naar Zoekresultaten exporteren voor meer informatie.

Wanneer en hoelang zijn gegevens beschikbaar?

Acties uitvoeren op basis van zoekresultaten

Activiteitsregels maken en meldingen instellen
  • U kunt met rapportregels meldingen instellen op basis van logboekgebeurtenisgegevens. Ga naar Rapportregels maken en beheren voor instructies.
  • Deze functie wordt ondersteund in de volgende versies: Frontline Standard en Frontline Plus, Enterprise Standard en Enterprise Plus, Education Standard en Education Plus, Enterprise Essentials Plus en Cloud Identity Premium. Versies vergelijken

    U kunt acties in de tool voor beveiligingsonderzoek automatiseren en meldingen instellen door activiteitsregels te maken. Zo kunt u beveiligingsproblemen efficiënter voorkomen, opsporen en oplossen. Als u een regel wilt instellen, stelt u voorwaarden in voor de regel en geeft u op welke acties er moeten worden uitgevoerd als aan de voorwaarden wordt voldaan. Ga naar Activiteitsregels maken en beheren voor meer informatie en instructies.

Acties uitvoeren op basis van zoekresultaten

Deze functie wordt ondersteund in de volgende versies: Frontline Standard en Frontline Plus, Enterprise Standard en Enterprise Plus, Education Standard en Education Plus, Enterprise Essentials Plus en Cloud Identity Premium. Versies vergelijken

Nadat u een zoekopdracht heeft uitgevoerd in de tool voor beveiligingsonderzoek, kunt u acties uitvoeren op de zoekresultaten. U kunt bijvoorbeeld een zoekopdracht uitvoeren op Gmail-logboekgebeurtenissen en daarna de tool gebruiken om specifieke berichten te verwijderen, berichten in de quarantaine te plaatsen of berichten naar de inbox van gebruikers te sturen. Ga naar Acties uitvoeren op basis van zoekresultaten voor meer informatie.

Uw onderzoeken beheren

Deze functie wordt ondersteund in de volgende versies: Frontline Standard en Frontline Plus, Enterprise Standard en Enterprise Plus, Education Standard en Education Plus, Enterprise Essentials Plus en Cloud Identity Premium. Versies vergelijken

De lijst met onderzoeken bekijken

Klik op Onderzoeken bekijken  om een lijst te bekijken van de onderzoeken waarvan u de eigenaar bent en die met u zijn gedeeld. In de lijst met onderzoeken staan de naam, beschrijving en eigenaar van de onderzoeken, en de datum waarop de onderzoeken voor het laatst zijn gewijzigd.

In deze lijst kunt u acties uitvoeren op elk onderzoek waarvan u de eigenaar bent, bijvoorbeeld een onderzoek verwijderen. Vink het vakje aan voor een onderzoek en klik op Acties.

Opmerking: Direct boven de lijst met onderzoeken kunt u onder Snelle toegang recent opgeslagen onderzoeken bekijken.

Instellingen instellen voor onderzoeken

Klik als hoofdbeheerder op Instellingen  om het volgende te doen:

  • De tijdzone voor uw onderzoeken wijzigen. De tijdzone wordt toegepast op zoekvoorwaarden en resultaten.
  • Beoordeling vereisen aan- of uitzetten. Ga naar Vereisen dat bulkacties worden beoordeeld door een reviewer voor meer informatie.
  • Content bekijken aan- of uitzetten. Met deze instelling kunnen beheerders met de juiste rechten content bekijken.
  • De instelling Reden voor actie aanzetten aan- of uitzetten.

Zie Instellingen instellen voor onderzoeken voor instructies en meer informatie.

Onderzoeken delen, verwijderen en dupliceren

Als u zoekcriteria wilt opslaan of deze met anderen wilt delen, kunt u een onderzoek maken en opslaan, en het daarna delen, dupliceren of verwijderen.

Ga naar Onderzoeken opslaan, delen, verwijderen en dupliceren voor meer informatie.

Gerelateerde onderwerpen voor het beveiligingscentrum

Was dit nuttig?

Hoe kunnen we dit verbeteren?

Meer hulp nodig?

Probeer de volgende stappen:

Posten in de Help-community Krijg antwoorden van communityleden
Contact opnemen Vertel ons meer zodat we u kunnen helpen
true
Start vandaag nog met een gratis proefperiode van 14 dagen

Professionele e-mail, online opslag, gedeelde agenda's, videovergaderingen en meer. Start vandaag nog met uw gratis proefperiode voor G Suite.

Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
8493449777518245678
true
Zoeken in het Helpcentrum
true
true
true
true
true
73010
false
false
false
false