Zdarzenia z dziennika oceny dostępu

Jak aplikacje klienckie uzyskują dostęp do danych użytkownika

W zależności od używanej wersji Google Workspace możesz mieć dostęp do narzędzia do analizy zagrożeń, które ma bardziej zaawansowane funkcje. Superadministratorzy mogą na przykład identyfikować i grupować problemy związane z bezpieczeństwem oraz prywatnością, a także przeciwdziałać takim problemom. Więcej informacji

Jako administrator organizacji możesz używać zdarzeń z dziennika oceny dostępu, aby dowiedzieć się, jak różne zasady zabezpieczeń w Google Workspace wpływają na dostęp użytkowników do aplikacji.  Organizacja może mieć na przykład wiele zasad dotyczących protokołu OAuth, które kontrolują dostęp aplikacji na podstawie różnych reguł. Zdarzenia w dzienniku oceny dostępu pokazują zasady, które wpływają na dostęp użytkownika, oraz wskazują, czy dostęp został przyznany i jak te decyzje zostały podjęte. Możesz użyć tych informacji, aby przejrzeć i zaktualizować zasady bezpieczeństwa oraz konfigurację organizacji. 

Przeprowadzanie wyszukiwania zdarzeń z dziennika

Możliwość przeprowadzania wyszukiwania zależy od wersji Google, Twoich uprawnień administracyjnych i źródła danych. Możesz przeprowadzić wyszukiwanie dla wszystkich użytkowników, niezależnie od używanej przez nich wersji Google Workspace.

Narzędzie do kontroli i analizy zagrożeń

Aby przeszukać zdarzenia z dziennika, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 filtr wyszukiwania.

  1. Zaloguj się na konto administratora w konsoli administracyjnej Google.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. W konsoli administracyjnej otwórz Menu  a potem  Raportowanie a potem Kontrola i analiza zagrożeń a potem Zdarzenia z dziennika oceny dostępu.

  3. Kliknij Dodaj filtr, a następnie wybierz atrybut.
  4. W wyskakującym okienku wybierz operator a potem wybierz wartość a potem kliknij Zastosuj.
    • (Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania, powtórz ten krok.
    • (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
  5. Kliknij Szukaj.

    Uwaga: na karcie Filtr możesz uwzględnić proste pary parametrów i wartości, aby przefiltrować wyniki wyszukiwania. Możesz też użyć karty narzędzia do definiowania warunków, gdzie filtry są mają postać warunków z operatorem ORAZ i LUB.

Narzędzie do analizy zagrożeń
Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

Aby przeprowadzić wyszukiwanie w narzędziu do analizy zagrożeń, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 warunek wyszukiwania. Dla każdego warunku wybierz atrybut, operator i wartość

  1. Zaloguj się na konto administratora w konsoli administracyjnej Google.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  2. Kliknij Menu  a potem  Zabezpieczenia > Centrum bezpieczeństwa > Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  3. Kliknij Źródło danych i wybierz Zdarzenia z dziennika oceny dostępu.
  4. Kliknij Dodaj warunek.
    Wskazówka: w wyszukiwaniu możesz uwzględnić 1 lub kilka warunków. Możesz też dostosować wyszukiwanie za pomocą zapytań zagnieżdżonych. Więcej informacji znajdziesz w artykule Dostosowywanie wyszukiwania za pomocą zapytań zagnieżdżonych.
  5. Kliknij Atrybut a potem wybierz opcję.
    Pełną listę atrybutów znajdziesz w sekcji Opisy atrybutów poniżej.
  6. Wybierz operator.
  7. Wpisz wartość lub wybierz ją z listy.
  8. (Opcjonalnie) Aby dodać więcej warunków wyszukiwania, powtórz kroki 4–7.
  9. Kliknij Szukaj.
    W narzędziu do analizy zagrożeń wyniki wyszukiwania są wyświetlane w tabeli u dołu strony.
  10. (Opcjonalnie) Aby zapisać analizę zagrożeń, kliknij Zapisz  a potem wpisz tytuł i opis a potem kliknij Zapisz.

Uwaga:

  • Na karcie Narzędzie do definiowania warunków filtry mają postać warunków z operatorami AND/OR. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.
  • Jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta [email protected] na [email protected], nie zobaczysz wyników dla zdarzeń powiązanych z nazwą [email protected].

Opisy atrybutów

Twoja organizacja może mieć wiele zasad bezpieczeństwa z różnych źródeł, które wpływają na dostęp użytkowników. Dzienniki oceny dostępu pomagają zrozumieć połączone działanie tych zasad oraz ustalić, które z nich warto zmienić.
 

Jeśli np. nieupoważnione osoby uzyskują dostęp do aplikacji do obsługi wiadomości, zdarzenia z dziennika oceny dostępu pomogą Ci ustalić, które zasady są używane. Jeśli zmienisz zasady, zdarzenia w dzienniku będą odzwierciedlać tę zmianę. 

Zdarzenia z dziennika oceny dostępu służą też do analizowania stanu zabezpieczeń organizacji. Na przykład:

  • Monitorowanie podejrzanej aktywności: możesz używać dzienników do monitorowania podejrzanej aktywności, takiej jak próby uzyskania dostępu do danych wrażliwych lub dostęp z zabronionych lokalizacji.
  • Sprawdzanie stanu zabezpieczeń organizacji: za pomocą dzienników możesz sprawdzić stan zabezpieczeń organizacji i upewnić się, że Twoje dane są chronione.

Wpis dziennika dotyczący pierwszego zdarzenia jest tworzony w ciągu 24 godzin. Zduplikowane zdarzenia zawierające te same informacje nie są rejestrowane przez 24 godziny. Jeśli np. wpis z danymi Użytkownik1, Klient1 i IP1 występuje w czasie X, zduplikowane zdarzenia z tymi samymi informacjami nie są rejestrowane przez 24 godziny.

Uwaga: każdy wpis dziennika może zawierać niektóre z tych informacji, ale nie wszystkie. Przykładowo pole konta usługi jest zwykle puste, chyba że dostęp jest uzyskiwany przez konto usługi.

Nazwa kolumny

Komentarze

Przykład

Data

Czas oceny żądania.

2022-08-11T10:00:53-07:00

Identyfikator aplikacji

Identyfikator klienta aplikacji, w przypadku której oceniono dostęp.

705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com

Nazwa aplikacji

Nazwa aplikacji powiązanej z podanym powyżej identyfikatorem klienta.

Reddit

Zdarzenie

Nazwa zdarzenia.
  • Zezwolenie na żądanie dotyczące tokena.
  • Zezwolenie na przyjęcie tożsamości tokena (gdy dostęp jest uzyskiwany za pomocą konta usługi).

Opis

Opis zdarzenia.

Żądanie dostępu użytkownika Imię Nazwisko do aplikacji Myapp w ramach określonych zakresów jest dozwolone.

Użytkownik

Adres e-mail użytkownika, w przypadku którego poproszono o ocenę i wydano na nią zgodę.

[email protected]

Zakres

Zakresy, dla których prośba została zaakceptowana

https://googleapis.com/auth/userinfo.email, https://googleapis.com/auth/userinfo.profile, openid

Zewnętrzny adres IP

Adres IP, z którego użytkownik poprosił o ocenę dostępu.

2601:600:8780:19d0:925:e630:d20e:b1cc

Źródło konfiguracji

Określa, czy identyfikator klienta został dopuszczony z powodu zasad Google Workspace, które wyraźnie zezwoliły użytkownikowi na dostęp do tego identyfikatora aplikacji.  

Zobacz Opisy źródeł konfiguracji.

Konto usługi

Identyfikator e-mail konta usługi, jeśli został użyty do przyjęcia tożsamości jakiegokolwiek użytkownika.

[email protected]

Typ klienta

Typ identyfikatora aplikacji.

Internet, Android, iOS itp.

Opisy źródeł konfiguracji

Źródło konfiguracji określa, czy identyfikator klienta został dozwolony ze względu na zasady Google Workspace, które wyraźnie zezwoliły użytkownikowi końcowemu na dostęp do tego identyfikatora aplikacji. 

Scenariusz Opis
Brak konfiguracji aplikacji

Dostęp został przyznany, ponieważ administratorzy nie ustawili za pomocą Dostępu do interfejsów API żadnych zasad, które blokują dostęp do identyfikatora klienta. 

Aby dodać zasady blokowania, zapoznaj się z artykułem Określanie, które aplikacje innych firm i aplikacje wewnętrzne mają dostęp do danych Google Workspace.
Konfiguracja dostępu do interfejsów API

Dostęp został przyznany, ponieważ aplikacja została uznana za zaufaną lub została objęta ograniczeniami w ramach zasad za pomocą Dostępu do interfejsów API. 

Zapoznaj się z artykułem Określanie, które aplikacje innych firm i aplikacje wewnętrzne mają dostęp do danych Google Workspace.
Konfiguracja zarządzania punktami końcowymi

Dostęp został przyznany, ponieważ aplikacja została uznana za zaufaną lub została objęta ograniczeniami w ramach zasad używających funkcji zarządzania punktami końcowymi Google.

Zapoznaj się z artykułem Omówienie: zarządzanie urządzeniami za pomocą funkcji zarządzania punktami końcowymi Google
Konfiguracja Workspace Marketplace

Dostęp został przyznany, ponieważ aplikacja została zainstalowana w Google Workspace Marketplace.

Zapoznaj się z informacjami o znajdowaniu i instalowaniu aplikacji z Marketplace.
Konfiguracja przekazywania dostępu w całej domenie

Dostęp został przyznany, ponieważ ta aplikacja została przekazana w całej domenie.

Zapoznaj się z artykułem Kontrola dostępu do interfejsów API przy użyciu przekazywania dostępu w całej domenie

Zarządzanie danymi zdarzenia z dziennika

Zarządzanie danymi w kolumnie wyników wyszukiwania

Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania.

  1. W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami .
  2. (Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń .
  3. (Opcjonalnie) Aby dodać kolumny, obok Dodaj nową kolumnę, kliknij strzałkę w dół  i wybierz kolumnę danych.
    W razie potrzeby powtórz tę czynność.
  4. (Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij nazwy kolumn danych.
  5. Kliknij Zapisz.

Eksportowanie danych wyników wyszukiwania

Wyniki wyszukiwania możesz wyeksportować do Arkuszy Google lub do pliku CSV.

  1. U góry tabeli wyników wyszukiwania kliknij Eksportuj wszystko.
  2. Wpisz nazwę a potem kliknij Eksportuj.
    Wyeksportowane dane wyświetlają się pod tabelą wyników wyszukiwania w sekcji wyników eksportowania.
  3. Aby wyświetlić dane, kliknij nazwę eksportu.
    Eksport otworzy się w Arkuszach Google.

Limity eksportu różnią się od siebie:

  • Limit liczby eksportowanych wyników wynosi 100 tys. wierszy.
  • Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

    Jeśli masz narzędzie do analizy zagrożeń, limit liczby eksportowanych wyników wynosi 30 milionów wierszy. Wyjątek stanowią wyszukiwania wiadomości w Gmailu, w przypadku których limit wynosi 10 tys. wierszy.

Więcej informacji znajdziesz w artykule Eksportowanie wyników wyszukiwania.

Kiedy i jak długo dane są dostępne?

Podejmowanie działań na podstawie wyników wyszukiwania

Tworzenie reguł związanych z aktywnością i konfigurowanie alertów
  • Korzystając z reguł raportowania, możesz skonfigurować alerty na podstawie danych zdarzenia z dziennika. Instrukcje znajdziesz w artykule Tworzenie reguł raportowania i zarządzanie nimi.
  • Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

    Aby skutecznie zapobiegać problemom z zabezpieczeniami, wykrywać je i rozwiązywać, możesz zautomatyzować działanie narzędzia do analizy zagrożeń i skonfigurować alerty, tworząc reguły związane z aktywnością. Aby skonfigurować regułę, określ warunki reguły, a następnie wskaż czynności, które mają być wykonywane po spełnieniu tych warunków. Szczegółowe informacje i instrukcje znajdziesz w artykule o tworzeniu reguł związanych z aktywnością i zarządzaniu nimi.

Podejmowanie działań na podstawie wyników wyszukiwania

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń możesz wykonywać działania na wynikach wyszukiwania. Na przykład po przeprowadzeniu wyszukiwania zdarzeń z dziennika Gmaila za pomocą narzędzia można usunąć określone wiadomości, wysłać je do kwarantanny lub do skrzynek odbiorczych użytkowników. Więcej informacji znajdziesz w artykule Podejmowanie działań na podstawie wyników wyszukiwania.

Zarządzanie analizami zagrożeń

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

Wyświetlanie listy szablonów analizy zagrożeń

Aby wyświetlić listę analiz zagrożeń, które należą do Ciebie lub zostały Ci udostępnione, kliknij Wyświetl operacje analizy zagrożeń . Na tej liście znajdują się nazwy, opisy i właściciele szablonów analizy zagrożeń oraz daty ostatniej modyfikacji. 

Na tej liście możesz też wykonywać czynności na swoich szablonach analizy zagrożeń – na przykład usuwać je. Zaznacz pole obok danego szablonu analizy zagrożeń i kliknij Czynności.

Uwaga: bezpośrednio nad listą szablonów analizy zagrożeń w sekcji Szybki dostęp możesz wyświetlić ostatnio zapisane szablony analizy zagrożeń.

Konfigurowanie ustawień analizy zagrożeń

Jako superadministrator kliknij Ustawienia , aby:

  • zmienić strefę czasową analizy zagrożeń używaną w warunkach i wynikach wyszukiwania.
  • Włącz lub wyłącz opcję Wymagaj analizy. Więcej informacji znajdziesz w artykule Wymaganie przesyłania informacji o działaniach zbiorczych.
  • Włącz lub wyłącz opcję Wyświetl treść. To ustawienie pozwala administratorom z odpowiednimi uprawnieniami na wyświetlanie treści.
  • Włącz lub wyłącz opcję Włącz uzasadnianie działań.

Odpowiednie informacje i instrukcje znajdziesz w artykule na temat konfigurowania ustawień analizy zagrożeń.

Udostępnianie, usuwanie i powielanie szablonów analizy zagrożeń

Aby zapisać kryteria wyszukiwania lub udostępnić je innym osobom, możesz utworzyć i zapisać szablon analizy zagrożeń, a następnie udostępnić go, zduplikować lub usunąć.

Więcej informacji znajdziesz w artykule Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń.

Powiązane artykuły w Centrum bezpieczeństwa

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
18095755980512222741
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false
false
false