В некоторых версиях Google Workspace вы можете получить доступ к инструменту "Анализ безопасности" с расширенными функциями. Например, суперадминистраторы могут идентифицировать, сортировать и устранять проблемы, связанные с конфиденциальностью и безопасностью. Подробнее…
Как администратор организации, вы можете искать и устранять проблемы с безопасностью, связанные с событиями журнала Групп. Например, вы можете отслеживать изменения в группах, списках участников и групповых сообщениях, внесенные в организации. Кроме того, с помощью этого журнала можно устранять неполадки при обнаружении несоответствий и непредвиденных изменений в групповых мероприятиях. Обычно записи о действиях пользователей появляются в журнале в течение получаса.
Примечание. Если вам нужно посмотреть действия, которые выполнялись с помощью консоли администратора Google, консоли Google Cloud, Admin SDK API, Cloud Identity API, а также пользовательского интерфейса Google Групп, ознакомьтесь со статьей События журнала Groups Enterprise.
Полный список сервисов и действий, которые вы можете проанализировать, например Google Диск и действия пользователей, приведен в статье Инструмент "Аудит и анализ".
Какие изменения можно отслеживать
- Создание и удаление групп. Вы можете проверить, была ли группа недавно удалена.
- Добавление, удаление и блокировка участников. Если пользователь не получил адресованное группе сообщение, можно проверить, является ли он ее участником. Если пользователь был удален или заблокирован, в журнале аудита будет указано, кто и когда это сделал.
- Приглашения и одобрение запросов на вступление в группу. Можно проверить, получил ли пользователь приглашение на вступление в группу, а также принял ли он его или отклонил. Также можно посмотреть, был ли одобрен или отклонен запрос пользователя на вступление в группу.
- Изменения разрешений на публикацию в группе. При попытке опубликовать запись пользователи могут получить сообщение о том, что это запрещено. В журнале событий отражаются все изменения, касающиеся разрешений на публикацию.
- Настройки модерации спама. Если сообщения публикуются не сразу, а отправляются в очередь на модерацию, то в журнале событий можно узнать, изменялись ли настройки модерации.
- Другие настройки. В журнал также заносятся подробные сведения об изменении других настроек.
В журнале событий Групп регистрируются действия пользователей и администраторов, выполненные в интерфейсе Google Групп. Информация о действиях, которые администраторы выполняют с помощью консоли или Admin SDK Directory API, хранится в журнале аудита администратора и журнале Groups Enterprise.
Как пересылать данные о событиях в Google Cloud
Вы можете предоставить Google Cloud доступ к данным о событиях. В этом случае данные будут пересылаться в Cloud Logging, где можно просматривать журналы, выполнять по ним поиск, а также управлять их маршрутизацией и хранением.
Как искать события журнала
Возможность поиска в инструменте "Анализ безопасности" зависит от версии сервиса Google, назначенных прав администратора и источника данных. Вы можете искать действия всех пользователей, независимо от того, какая у них версия Google Workspace.
Чтобы выполнить поиск событий в журнале, сначала выберите источник данных. Затем добавьте один или несколько фильтров.
-
Войдите в консоль администратора Google как администратор.
Войти в консоль администратора можно, только если вы используете аккаунт администратора.
-
Нажмите на значок меню
Отчеты > Аудит и анализ > События журнала Групп.
Вам потребуется аккаунт администратора с доступом к отчетам.
- Нажмите Добавить фильтр и выберите атрибут.
- Во всплывающем окне выберите оператор
выберите значение
- Если нужно создать несколько фильтров результатов поиска, повторите этот шаг.
- Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
- Если нужно создать несколько фильтров результатов поиска, повторите этот шаг.
- Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
- Нажмите Поиск.
-
Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.
Чтобы выполнить поиск в инструменте "Анализ безопасности", сначала выберите источник данных. Затем добавьте одно или несколько условий поиска и для каждого из них выберите атрибут, оператор и значение.
-
Войдите в консоль администратора Google как администратор.
Войти в консоль администратора можно, только если вы используете аккаунт администратора.
-
Нажмите на значок меню
Безопасность > Центр безопасности > Инструмент "Анализ безопасности".
У вас должны быть права администратора с доступом к центру безопасности.
- Нажмите Источник данных и выберите События журнала Групп.
- Нажмите Добавить условие.
Совет. Вы можете указать одно или несколько условий или использовать вложенные запросы. Подробнее о том, как использовать вложенные запросы при поиске… - Нажмите Атрибут
Полный список атрибутов приведен в разделе Описания атрибутов ниже. - Выберите оператор.
- Введите значение или выберите его в раскрывающемся списке.
- Если нужно добавить дополнительные условия поиска, повторите шаги 4–7.
- Нажмите Поиск.
Результаты поиска в инструменте "Анализ безопасности" показываются в таблице в нижней части страницы. - Чтобы сохранить анализ, нажмите Сохранить
Примечания
- На вкладке Конструктор условий фильтры представлены в виде условий с операторами И/ИЛИ. На вкладке Фильтр можно выбрать простые пары параметров и значений, чтобы отфильтровать результаты поиска.
- Если пользователь был переименован, поиск не даст результатов для его прежнего имени. Например, если [email protected] заменили на [email protected], в результатах поиска не будет событий, связанных с пользователем [email protected].
Описания атрибутов
При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:
| Атрибут | Описание |
|---|---|
| Исполнитель | Адрес электронной почты пользователя, совершившего действие. |
| Название группы |
Название группы, к которой относится исполнитель. Подробнее о том, как фильтровать результаты по группе Google… Чтобы добавить группу в белый список групп фильтрации:
|
| Организационное подразделение пользователя | Организационное подразделение, к которому относится исполнитель. |
| Дата | Дата и время события (указываются в часовом поясе, используемом по умолчанию в браузере). |
| Событие | Сведения о зарегистрированном действии, например Создание группы, Приглашение участника или Отклонение запроса на вступление в группу. |
| Адрес электронной почты группы | Адрес электронной почты группы. |
| Параметр разрешений группы | Сведения о разрешениях группы, которые есть у исполнителя, например Могут добавлять участников, Могут публиковать записи, Могут приглашать участников или Могут удалять темы. |
| Информация о группе | Сведения об обновлении информации о группе. |
| Идентификатор сообщения | Уникальный идентификатор письма, которое отправил исполнитель. Содержится в заголовке. |
| Модерация сообщений | Выполняемое исполнителем действие, результат которого – одобрение или отклонение сообщения. |
| Новое значение* | Значение, установленное после того, как исполнитель выполнил действие. |
| Старое значение* | Значение, которое было установлено до того, как исполнитель выполнил действие. |
| Роль | Роль, назначенная исполнителю, например Менеджер, Участник или Владелец. |
| Параметр* | Действие, которое выполнил исполнитель. Например, он мог разрешить добавление внешних участников, разрешить публикацию записей через веб-интерфейс, определить максимальный размер сообщения или указать название группы. |
| Статус | Статус действия, выполненного исполнителем: Успешно или Ошибка. |
| Адресат | Адрес электронной почты целевого пользователя. |
Примечание. Если пользователь был переименован, поиск по его прежнему имени не даст результатов. Например, если [email protected] заменить на [email protected], в результатах поиска не будет событий, связанных с пользователем [email protected].
Как работать с данными о событиях в журнале
Как управлять столбцами данных в результатах поиска
Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.
- В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами"
.
- Чтобы удалить отображаемые столбцы, нажмите "Удалить"
.
- Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз
и выберите вариант из списка.
При необходимости повторите действия для другого запроса. - Чтобы изменить порядок столбцов, перетащите их названия.
- Нажмите Сохранить.
Как экспортировать результаты поиска
Результаты поиска можно экспортировать в таблицу Google или CSV-файл.
- В верхней части таблицы результатов поиска нажмите Экспортировать все.
- Введите название
Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт". - Чтобы посмотреть экспортированные данные, нажмите на название файла.
Данные откроются в Google Таблицах.
На экспорт накладываются различные ограничения:
- Ограничение на объем экспорта результатов: 100 000 строк.
- Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий
Если у вас есть инструмент "Анализ безопасности", всего можно экспортировать не более 30 млн строк (10 000 строк для писем Gmail).
Подробнее об экспорте результатов поиска…
Когда данные становятся доступны и как долго они хранятся?
Какие действия можно выполнить с результатами поиска
- Вы можете настроить оповещения на основе данных о событиях журнала, используя правила создания отчетов. Подробнее о том, как работать с правилами создания отчетов и настраивать оповещения…
- Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий
Чтобы эффективнее предотвращать, выявлять и исправлять проблемы с безопасностью, вы можете автоматизировать действия в инструменте "Анализ безопасности" и настроить оповещения с помощью правил активности. Для каждого правила нужно задать условия и указать, какие действия следует выполнять при соблюдении этих условий. Подробнее о том, как создавать правила активности…
Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий
Результаты поиска, полученные с помощью инструмента "Анализ безопасности", можно использовать для разных целей. Например, сообщения, найденные при поиске по событиям журнала Gmail, можно удалять, отправлять в карантин или помещать в папки "Входящие" пользователей. Подробнее о том, какие действия можно выполнять с результатами поиска…
Как управлять процессом анализа
Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий
Как посмотреть список анализовЧтобы посмотреть список анализов, которые вам принадлежат или к которым вам предоставлен доступ, нажмите на значок "Посмотреть список анализов" . В списке указаны названия, описания и владельцы анализов, а также дата их последнего изменения.
На странице со списком можно выполнять действия с любыми принадлежащими вам анализами, например удалять их. Для этого установите флажок рядом с нужным анализом и нажмите Действия.
Примечание. Над списком анализов в разделе Быстрый доступ также отображаются недавно сохраненные результаты анализов.
Войдите в систему как суперадминистратор и нажмите на значок "Настройки" . В этом меню можно выполнить следующие действия:
- Изменить часовой пояс для анализов. Он применяется ко всем условиям и результатам поиска.
- Включить или отключить параметр Запросить проверку. Подробные сведения о нем можно найти в статье Как включить обязательную проверку массовых действий.
- Включить или отключить параметр Просмотр контента. С его помощью вы можете предоставить администраторам право просматривать содержимое.
- Включить или отключить параметр Включить обоснование действия.
Подробные сведения и инструкции приведены в статье Как задавать настройки анализа.
Чтобы сохранить параметры поиска или поделиться ими с другими пользователями, вы можете создать и сохранить анализ, а затем предоставить к нему доступ, копировать или удалить его.
Подробную информацию можно найти в статье Как сохранять результаты анализа и предоставлять к ним доступ.
