События в журнале оценки доступа

Способы доступа клиентских приложений к пользовательским данным

В некоторых версиях Google Workspace вы можете получить доступ к инструменту "Анализ безопасности" с расширенными функциями. Например, суперадминистраторы могут идентифицировать, сортировать и устранять проблемы, связанные с конфиденциальностью и безопасностью. Подробнее…

Как администратор организации, вы можете определить, как разные правила безопасности в Google Workspace влияют на доступ пользователей к приложениям, используя события в журнале оценки доступа. Например, в организации может быть несколько правил OAuth, управляющих доступом к приложениям на основе различных критериев. С помощью событий в журнале оценки доступа можно узнать, какие правила влияют на доступ пользователей, был ли предоставлен доступ и на основе каких критериев было принято решение. Эта информация позволяет проверить и пересмотреть правила и конфигурацию безопасности организации.

Как искать события журнала

Возможность поиска в инструменте "Анализ безопасности" зависит от версии сервиса Google, назначенных прав администратора и источника данных. Вы можете искать действия всех пользователей, независимо от того, какая у них версия Google Workspace.

Инструмент "Аудит и анализ"

Чтобы выполнить поиск событий в журнале, сначала выберите источник данных. Затем добавьте один или несколько фильтров.

  1. Войдите в консоль администратора Google как администратор.

    Войти в консоль администратора можно, только если вы используете аккаунт администратора.

  2. В консоли администратора нажмите на значок меню > Отчеты>Аудит и анализ>События в журнале оценки доступа.

  3. Нажмите Добавить фильтр и выберите атрибут.
  4. Во всплывающем окне выберите оператора затемвыберите значениеа затемнажмите Применить.
    • Если нужно создать несколько фильтров результатов поиска, повторите этот шаг.
    • Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
  5. Нажмите Поиск.

    Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.

Инструмент "Анализ безопасности"
Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Чтобы выполнить поиск в инструменте "Анализ безопасности", сначала выберите источник данных. Затем добавьте одно или несколько условий поиска и для каждого из них выберите атрибут, оператор и значение.

  1. Войдите в консоль администратора Google как администратор.

    Войти в консоль администратора можно, только если вы используете аккаунт администратора.

  2. Нажмите на значок меню а затем Безопасность > Центр безопасности > Инструмент "Анализ безопасности".

    У вас должны быть права администратора с доступом к центру безопасности.

  3. Нажмите Источник данных и выберите События в журнале оценки доступа.
  4. Нажмите Добавить условие.
    Совет. Вы можете указать одно или несколько условий или использовать вложенные запросы. Подробнее о том, как использовать вложенные запросы при поиске
  5. Нажмите Атрибута затемвыберите нужный вариант.
    Полный список атрибутов приведен в разделе Описания атрибутов ниже.
  6. Выберите оператор.
  7. Введите значение или выберите его в раскрывающемся списке.
  8. Если нужно добавить дополнительные условия поиска, повторите шаги 4–7.
  9. Нажмите Поиск.
    Результаты поиска в инструменте "Анализ безопасности" показываются в таблице в нижней части страницы.
  10. Чтобы сохранить анализ, нажмите Сохранить а затемвведите название и описаниеа затемСохранить.

Примечания

  • На вкладке Конструктор условий фильтры представлены в виде условий с операторами И/ИЛИ. На вкладке Фильтр можно выбрать простые пары параметров и значений, чтобы отфильтровать результаты поиска.
  • Если пользователь был переименован, поиск не даст результатов для его прежнего имени. Например, если [email protected] заменили на [email protected], в результатах поиска не будет событий, связанных с пользователем [email protected].

Описания атрибутов

На доступ пользователей в организации может влиять сразу несколько правил безопасности из разных источников. С помощью журналов оценки можно выяснить совокупный результат применения этих правил и определить правила, которые следует изменить.
 

Например, если неавторизованные пользователи получают доступ к приложению для обмена сообщениями, с помощью событий в журнале оценки доступа вы сможете понять, какие правила применяются. Если вы измените правило, в журнале отобразится результат этого изменения.

События в журнале оценки доступа также используются для изучения конфигурации безопасности организации. Например, с помощью журналов оценки доступа можно:

  • отслеживать подозрительные действия, например попытки доступа к конфиденциальным данным или доступ из запрещенных местоположений;
  • оценивать конфигурацию безопасности организации, чтобы убедиться, что данные защищены.

Запись в журнале создается для первого события за 24 часа. Повторяющиеся события с той же информацией не регистрируются, пока не пройдет 24 часа. Например, если запись со значениями User1, Client1 и IP1 произойдет в момент времени X, повторные события с той же информацией не будут регистрироваться, пока не пройдет 24 часа.

Примечание. Каждая запись в журнале может содержать часть указанной ниже информации, но не всю. Например, поле сервисного аккаунта чаще всего пустое, за исключением случаев, когда доступ выполняет сервисный аккаунт.

Имя столбца

Комментарии

Пример

Дата

Время обработки запроса.

2022-08-11T10:00:53-07:00

Идентификатор приложения

Идентификатор клиента для приложения, которому был предоставлен или запрещен доступ.

705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com

Название приложения

Название приложения с указанным выше идентификатором клиента.

Reddit

Событие

Название события.
  • Разрешить запрос токена.
  • Разрешить токен выдачи себя за другое лицо (если доступ выполняется через сервисный аккаунт).

Описание

Информация о событии.

Запрос FirstName LastName на доступ к Myapp для определенных областей разрешен.

Пользователь

Адрес электронной почты конечного пользователя, для которого был обработан запрос и разрешен доступ.

[email protected]

Область действия

Области, для которых был разрешен доступ по запросу

https://googleapis.com/auth/userinfo.email, https://googleapis.com/auth/userinfo.profile, openid

Внешний IP-адрес

IP-адрес, с которого конечный пользователь запросил доступ.

2601:600:8780:19d0:925:e630:d20e:b1cc

Источник конфигурации

Описывает, был ли разрешен доступ для идентификатора клиента в соответствии с правилом Google Workspace, в котором конечному пользователю был в явном виде разрешен доступ к этому идентификатору приложения.  

Подробнее об источниках конфигурации

Сервисный аккаунт

Идентификатор электронной почты сервисного аккаунта, если он использовался для олицетворения любого пользователя.

[email protected]

Тип клиента

Тип идентификатора приложения.

Web (Веб-клиент), Android, IOS и т. д.

Описания источников конфигурации

В источнике конфигурации описывается, был ли разрешен доступ для идентификатора клиента в соответствии с правилом Google Workspace, в котором конечному пользователю был в явном виде разрешен доступ к этому идентификатору приложения.

Сценарий Описание
Не настроено

Доступ был разрешен, поскольку администраторы не настроили ни одного правила с использованием элементов управления API, которое могло бы заблокировать доступ для идентификатора клиента.

Узнать, как добавить запрещающие правила, можно из статьи Как управлять доступом сторонних и внутренних приложений к данным Google Workspace.
Настройка параметров API

Доступ был разрешен, поскольку приложение было доверенным или ограниченным в правилах с использованием элементов управления API.

Подробнее о том, как управлять доступом сторонних и внутренних приложений к данным Google Workspace
Настройка управления конечными точками

Доступ был разрешен, поскольку приложение было доверенным или ограниченным в правилах с использованием управления конечными точками Google.

Подробнее об управлении конечными точками Google
Настройка Workspace Marketplace

Доступ был разрешен, поскольку приложение было установлено из Google Workspace Marketplace.

Подробнее о том, как найти и установить приложение из каталога Marketplace
Настройка делегирования на уровне домена

Доступ был разрешен, поскольку приложению был делегирован доступ к данным в домене.

Подробнее о том, как управлять доступом к API, используя делегирование доступа к данным в домене

Как работать с данными о событиях в журнале

Как управлять столбцами данных в результатах поиска

Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.

  1. В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами" .
  2. Чтобы удалить отображаемые столбцы, нажмите "Удалить" .
  3. Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз и выберите вариант из списка.
    При необходимости повторите действия для другого запроса.
  4. Чтобы изменить порядок столбцов, перетащите их названия.
  5. Нажмите Сохранить.

Как экспортировать результаты поиска

Результаты поиска можно экспортировать в таблицу Google или CSV-файл.

  1. В верхней части таблицы результатов поиска нажмите Экспортировать все.
  2. Введите название а затем нажмите Экспорт.
    Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт".
  3. Чтобы посмотреть экспортированные данные, нажмите на название файла.
    Данные откроются в Google Таблицах.

На экспорт накладываются различные ограничения:

  • Ограничение на объем экспорта результатов: 100 000 строк.
  • Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

    Если у вас есть инструмент "Анализ безопасности", всего можно экспортировать не более 30 млн строк (10 000 строк для писем Gmail).

Подробнее об экспорте результатов поиска

Когда данные становятся доступны и как долго они хранятся?

Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.

Какие действия можно выполнить с результатами поиска

Как создавать правила активности и настраивать оповещения
  • Вы можете настроить оповещения на основе данных о событиях журнала, используя правила создания отчетов. Подробнее о том, как работать с правилами создания отчетов и настраивать оповещения
  • Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

    Чтобы эффективнее предотвращать, выявлять и исправлять проблемы с безопасностью, вы можете автоматизировать действия в инструменте "Анализ безопасности" и настроить оповещения с помощью правил активности. Для каждого правила нужно задать условия и указать, какие действия следует выполнять при соблюдении этих условий. Подробнее о том, как создавать правила активности

Действия с результатами поиска

Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Результаты поиска, полученные с помощью инструмента "Анализ безопасности", можно использовать для разных целей. Например, сообщения, найденные при поиске по событиям журнала Gmail, можно удалять, отправлять в карантин или помещать в папки "Входящие" пользователей. Подробнее о том, какие действия можно выполнять с результатами поиска

Как управлять процессом анализа

Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Как посмотреть список анализов

Чтобы посмотреть список анализов, которые вам принадлежат или к которым вам предоставлен доступ, нажмите на значок "Посмотреть список анализов" . В списке указаны названия, описания и владельцы анализов, а также дата их последнего изменения.

На странице со списком можно выполнять действия с любыми принадлежащими вам анализами, например удалять их. Для этого установите флажок рядом с нужным анализом и нажмите Действия.

Примечание. Над списком анализов в разделе Быстрый доступ также отображаются недавно сохраненные результаты анализов.

Как задать настройки анализа

Войдите в систему как суперадминистратор и нажмите на значок "Настройки" . В этом меню можно выполнить следующие действия:

  • Изменить часовой пояс для анализов. Он применяется ко всем условиям и результатам поиска.
  • Включить или отключить параметр Запросить проверку. Подробные сведения о нем можно найти в статье Как включить обязательную проверку массовых действий.
  • Включить или отключить параметр Просмотр контента. С его помощью вы можете предоставить администраторам право просматривать содержимое.
  • Включить или отключить параметр Включить обоснование действия.

Подробные сведения и инструкции приведены в статье Как задавать настройки анализа.

Как копировать анализы, удалять их и предоставлять к ним доступ

Чтобы сохранить параметры поиска или поделиться ими с другими пользователями, вы можете создать и сохранить анализ, а затем предоставить к нему доступ, копировать или удалить его.

Подробную информацию можно найти в статье Как сохранять результаты анализа и предоставлять к ним доступ.

Статьи по теме

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
4382352403902144797
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false
false
false