Logghändelser för åtkomstbedömning

Se hur klientprogram får åtkomst till användaruppgifter

Beroende på din Google Workspace-utgåva kan du ha åtkomst till verktyget för säkerhetsutredningar, som har mer avancerade funktioner. Till exempel kan avancerade administratörer identifiera, utvärdera och vidta åtgärder för problem med säkerhet och integritet. Läs mer

Som organisationens administratör kan du använda logghändelser för åtkomstbedömning för att ta reda på hur de olika säkerhetspolicyerna i Google Workspace påverkar slutanvändarnas åtkomst till appar.  En organisation kan till exempel ha flera OAuth-policyer som styr appåtkomsten baserat på olika regler. Logghändelsen för åtkomstbedömning visar de policyer som påverkar användaråtkomsten, om åtkomst beviljades och hur besluten fattades. Du kan använda den här informationen för att granska och ändra organisationens säkerhetspolicyer och konfiguration. 

Söka efter logghändelser

Dina möjligheter att göra sökningar beror på din Google-utgåva, dina administrativa behörigheter och datakällan. Du kan köra en sökning på alla användare, oavsett Google Workspace-utgåva.

Gransknings- och utredningsverktyg

Om du vill söka efter logghändelser väljer du först en datakälla. Välj sedan ett eller flera villkor för sökningen.

  1. Logga in med ett administratörskonto på Googles administratörskonsol.

    Om du inte använder ett administratörskonto kan du inte komma åt administratörskonsolen.

  2. I administratörskonsolen öppnar du menyn följt av Rapporteringföljt avGranskning och utredningföljt avLogghändelser för Åtkomstutvärdering.

  3. Klicka på Lägg till ett filter och välj sedan ett attribut.
  4. Välj en operator i popup-fönstret följt av välj ett värdeföljt avklicka på Tillämpa.
    • (Valfritt) Upprepa det här steget om du vill skapa flera filter för sökningen.
    • (Valfritt) Om du vill lägga till en sökoperator väljer du AND eller OR ovanför Lägg till ett filter.
  5. Klicka på Sök.

    Obs! På fliken Filter kan du inkludera enkla parameter- och värdepar för att filtrera sökresultaten. Du kan även använda fliken Villkorsverktyg där filtren representeras som villkor med OCH/ELLER-operatorer.

Verktyg för säkerhetsutredning
Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity-premiumversion. Jämför utgåvor

Om du vill köra en sökning i verktyget för säkerhetsutredningar väljer du först en datakälla. Välj sedan ett eller flera villkor för sökningen. För varje villkor väljer du ett attribut, en operator och ett värde

  1. Logga in med ett administratörskonto på Googles administratörskonsol.

    Om du inte använder ett administratörskonto kan du inte komma åt administratörskonsolen.

  2. Gå till menyn följt av Säkerhet > Säkerhetscenter > Utredningsverktyg.

    Administratörsbehörighet för Säkerhetscenter krävs.

  3. Klicka på Datakälla och välj Logghändelser för Åtkomstbedömning.
  4. Klicka på Lägg till villkor.
    Tips! Du kan inkludera ett eller flera villkor i din sökning eller anpassa sökningen med kapslade frågor. Mer information finns i Anpassa sökningen med kapslade frågor.
  5. Klicka på Attributföljt av välj ett alternativ.
    En fullständig lista över attribut finns i avsnittet Attributbeskrivningar nedan.
  6. Välj en operator.
  7. Ange ett värde eller välj ett värde på rullgardinsmenyn.
  8. (Valfritt) Upprepa steg 4–7 om du vill lägga till fler sökvillkor.
  9. Klicka på Sök.
    Sökresultat i utredningsverktyget visas i en tabell längst ned på sidan.
  10. (Valfritt) Om du vill spara utredningen klickar du på Spara följt av ange titel och beskrivningföljt avklicka på Spara.

Anmärkningar

  • På fliken Villkorsverktyg visas filter som villkor med OCH/ELLER-operatorer. Du kan även använda fliken Filter för att inkludera enkla parameter- och värdepar för att filtrera sökresultaten.
  • Om du har gett en användare ett nytt namn ser du inte sökresultat med användarens gamla namn. Om du exempelvis byter namn på [email protected] till [email protected] ser du inga resultat för händelser som rör [email protected].

Attributbeskrivningar

Organisationen kan ha flera säkerhetsprinciper från olika källor som påverkar användaråtkomsten. Loggar för åtkomstutvärdering hjälper dig att förstå det kombinerade beteendet hos dessa policyer och vilka specifika policyer du kan vilja ändra.
 

Om obehörig åtkomst till en meddelandeapp till exempel sker kan logghändelsen för åtkomstbedömning hjälpa dig att förstå vilka policyer som används. Om du ändrar en policy visar logghändelserna resultatet av ändringen. 

Logghändelser för åtkomstbedömning används även för att undersöka organisationens säkerhetsstatus. Exempel: 

  • Håll utkik efter misstänkt aktivitet: Du kan använda loggarna för att hålla utkik efter misstänkt aktivitet, till exempel försök att få åtkomst till känslig data eller åtkomst från förbjudna platser.
  • Granska organisationens säkerhetsstatus: Du kan använda loggarna för att granska organisationens säkerhetsstatus och se till att din data skyddas.

En loggpost skapas för den första händelsen inom en 24-timmarsperiod. Dubbletter av händelser med samma information loggas inte förrän 24 timmar har gått. Om en post med Användar1, Klient1 och IP1 till exempel inträffar vid tidpunkt X loggas dubbletter av händelser med samma information inte förrän 24 timmar har gått.

Obs! Varje loggpost kan innehålla en del, men inte all, av följande information. Fältet för tjänstkonto är till exempel vanligtvis tomt om åtkomsten inte utförs av ett tjänstkonto.

Kolumnnamn

Kommentarer

Exempel

Datum

Tid då begäran utvärderades.

2022-08-11T10:00:53-07:00

App-id

Klient-id för appen som åtkomsten utvärderades för.

705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com

Appnamn

Appens namn för klient-id:t ovan.

Reddit

Händelse

Händelsenamn.
  • Tillåt begäran om token
  • Tillåt identitetsstöld av token (när åtkomsten sker via ett tjänstkonto)

Beskrivning

En beskrivning av händelsen. 

Begäran om åtkomst för Förnamn Efternamn till Minapp för vissa omfattningar är tillåten.

Användare

Slutanvändarens e-postadress som utvärderingen begärdes och tilläts för.

[email protected]

Omfattning

Omfattningar som begäran beviljades för

https://googleapis.com/auth/userinfo.email, https://googleapis.com/auth/userinfo.profile, openid

Extern IP-adress

IP-adressen som slutanvändaren begärde åtkomstbedömning från.

2601:600:8780:19d0:925:e630:d20e:b1cc

Konfigurationskälla

Beskriver om ett klient-id tilläts på grund av en Google Workspace-policy som uttryckligen tillät åtkomst till detta app-id för slutanvändaren.  

Se Beskrivningar av konfigurationskällor.

Tjänstkonto

E-post-id för tjänstkontot om det användes för att utge sig för att vara en användare.

[email protected]

Klienttyp

Typ av app-id.

Webb, Android, IOS osv.

Beskrivningar av konfigurationskällor

Konfigurationskällan beskriver om ett klient-id tilläts på grund av en Google Workspace-policy som uttryckligen tillät åtkomst till detta app-id för slutanvändaren. 

Scenario Beskrivning
Ingen appkonfiguration

Åtkomsten tilläts eftersom administratörer inte har angett någon policy med API-kontroller som blockerar åtkomsten till klient-id:t. 

Om du vill lägga till blockeringspolicyer läser du Kontrollera vilka externa och interna appar som får åtkomst till Google Workspace-data.
Konfiguration av API-kontroller

Åtkomst tillåts eftersom appen var betrodd eller begränsad i en policy med API-kontroller. 

Mer information finns i Kontrollera vilka externa och interna appar som får åtkomst till Google Workspace-data.
Konfiguration av ändpunktshantering

Åtkomst tilläts eftersom appen var betrodd eller begränsad i en policy med Googles slutpunktshantering.

Se Översikt: Hantera enheter med Googles slutpunktshantering
Konfiguration av Workspace Marketplace

Åtkomst beviljades eftersom appen installerades i Google Workspace Marketplace.

Mer information finns i Hitta och installera en app på Marketplace.
Domänomfattande delegeringskonfiguration

Åtkomst beviljades eftersom appen delegerades domänomfattande.

Se Styra API-åtkomst med domänomfattande delegering

Hantera logghändelsedata

Hantera kolumndata för sökresultat

Du kan styra vilka datakolumner som visas i sökresultaten.

  1. Klicka på Hantera kolumner uppe till höger i sökresultattabellen.
  2. (Valfritt) Om du vill ta bort aktuella kolumner klickar du på Ta bort .
  3. (Valfritt) Om du vill lägga till kolumner klickar du på nedåtpilen bredvid Lägg till en ny kolumn och väljer datakolumnen.
    Upprepa vid behov.
  4. (Valfritt) Om du vill ändra ordningen på kolumnerna drar du datakolumnnamnen.
  5. Klicka på Spara.
Exportera sökresultatsdata

Du kan exportera sökresultat till Kalkylark eller till en CSV-fil.

  1. Klicka på Exportera alla högst upp i sökresultattabellen.
  2. Ange ett namn följt av klicka på Exportera.
    Exporten visas nedanför sökresultattabellen under Exportera åtgärdsresultat.
  3. Klicka på exportens namn om du vill visa informationen.
    Exporten öppnas i Kalkylark.

Exportgränserna varierar:

  • Gränsen för exporterade resultat är 100 000 rader.
  • Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity-premiumversion. Jämför utgåvor

    Om du har verktyget för säkerhetsutredningar begränsas de totala resultaten av exporten till 30 miljoner rader.

Mer information finns i Exportera sökresultat.

När och hur länge är data tillgänglig?

Vidta åtgärder baserat på sökresultat

Skapa aktivitetsregler och konfigurera varningar
  • Du kan ställa in varningar baserat på logghändelsedata med hjälp av rapporteringsregler. Anvisningar finns i Skapa och hantera aktivitetsregler.
  • Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity-premiumversion. Jämför utgåvor

    Förebygg, identifiera och åtgärda säkerhetsproblem effektivt genom att automatisera åtgärder i verktyget för säkerhetsutredningar och konfigurera varningar genom att skapa aktivitetsregler. Konfigurera en regel, ange villkor för regeln och ange vilka åtgärder som ska utföras när villkoren är uppfyllda. Mer information och instruktioner finns i Skapa och hantera aktivitetsregler.

Vidta åtgärder baserat på sökresultat

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity-premiumversion. Jämför utgåvor

När du har gjort en sökning i verktyget för säkerhetsutredningar kan du agera på sökresultaten. Du kan till exempel köra en sökning baserat på logghändelser i Gmail och använda verktyget för att radera specifika meddelanden, sätta meddelanden i karantän eller skicka meddelanden till användarnas inkorgar. Mer information finns i Vidta åtgärder baserat på sökresultat.

Hantera dina utredningar

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity-premiumversion. Jämför utgåvor

Visa listan över utredningar

Visa en lista över utredningar som du äger och som har delats med dig genom att klicka på Visa utredningar . Utredningslistan innehåller utredningarnas namn, beskrivningar och ägare samt det datum då de senast ändrades. 

I den här listan kan du vidta åtgärder för utredningar du äger. Du kan till exempel radera en utredning. Markera kryssrutan för en utredning och klicka sedan på Åtgärder.

Obs! Direkt ovanför listan över utredningar kan du under Snabbåtkomst se de undersökningar som nyligen har sparats.

Gör inställningar för dina undersökningar

Som avancerad administratör klickar du på Inställningar för att göra följande:

  • Ändra tidszon för dina undersökningar. Tidszonen tillämpas på sökvillkoren och resultaten.
  • Aktivera eller inaktivera Kräv granskare. Mer information finns i Kräv granskare för massåtgärder.
  • Aktivera eller inaktivera Visa innehåll. Med den här inställningen kan administratörer med relevant behörighet visa innehåll.
  • Slå på eller av Aktivera åtgärdsanpassning.

Anvisningar och detaljer finns i Konfigurera inställningar för undersökningar.

Dela, radera och duplicera undersökningar

Om du vill spara dina sökkriterier eller dela dem med andra kan du skapa och spara en utredning och sedan dela, duplicera eller radera den.

Mer information finns i Spara, dela, radera och duplicera utredningar.

Relaterade ämnen

Var det här till hjälp?

Hur kan vi förbättra den?

Behöver du mer hjälp?

Testa detta härnäst:

Gör ett inlägg i hjälpforumet Få svar från communityn
Kontakta oss Berätta mer så hjälper vi dig
true
Testa kostnadsfritt i 14 dagar

E-post för arbetet, onlinelagring, delade kalendrar, videomöten med mera. Påbörja din kostnadsfria provperiod på G Suite i dag.

Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
14522377452737663536
true
Sök i hjälpcentret
true
true
true
true
true
73010
false
false
false
false