Как создавать правила активности

Как настроить оповещения и действия
Весь сентябрь 2025 г.мы будет преобразовывать правила создания отчетов в правила активности. Ни от пользователей, ни от администраторов никаких действий не требуется. Перенесенным правилам присваивается дата изменения, соответствующая времени переноса или последнего изменения. 

Администраторам с правом доступа к отчетам будут автоматически назначены права "Просмотр данных аудита и анализа", "Просмотр правил активности" и "Управление правилами активности".

Как администратор, вы можете настраивать правила активности в консоли администратора Google, чтобы при определенных событиях в домене отправлялись уведомления или выполнялись нужные действия. Правила активности помогают быстрее и эффективнее предотвращать, обнаруживать и исправлять проблемы с безопасностью. Правила активности создаются администраторами в инструменте "Анализ безопасности" или на странице "Правила".

Для каждого правила нужно задать условия и указать, какие уведомления нужно отправлять или какие действия следует выполнять при соблюдении этих условий. Проще говоря, правило представляет собой инструкцию: если произошло событие А, нужно автоматически выполнить действие Б.

Системы Google будут непрерывно выполнять операцию поиска, указанную в правиле активности. Если количество результатов поиска превысит настроенное пороговое значение, то будут выполнены заданные вами действия и отправлены уведомления. Например, можно настроить правило, чтобы отправлять уведомления по электронной почте конкретным администраторам, когда доступ к документам на Диске предоставляется кому-либо не из числа сотрудников компании.

Рекомендации по созданию правил активности

Доступ к правилам активности и функциям

Доступ с правами администратора к правилам активности

Возможность создания и просмотра правил активности зависит от прав администратора и источника данных. Подробнее о доступе с правами администратора к правилам активности

Функции, доступные во всех версиях Google Workspace

Во всех версиях Google Workspace можно создавать и изменять правила отправки уведомлений. К уведомлениям относятся оповещения и электронные письма. Администратор может перейти к правилам активности, открыв страницу Правила или выбрав Отчеты > Аудит и анализ > источник данных.

В непремиальных версиях Google Workspace:

  • поддерживаются фильтры "И", включающие до 5 условий;
  • вложенные условия недоступны.

Функции в премиальных версиях Google Workspace

В премиальных версиях Google Workspace (например, Enterprise Plus) также можно использовать инструмент "Анализ безопасности" для создания правил активности, согласно которым при определенном событии автоматически выполняются заданные действия.

Премиальные версии Google Workspace также поддерживают:

  • фильтры "ИЛИ";
  • настройку действий в триггерах;
  • настройку пороговых значений для триггеров;
  • более пяти условий в правиле;
  • несколько уровней условий в правиле.

Примечание. Администраторы, использующие премиальную версию Workspace, могут изменять правила активности, созданные пользователями с непремиальной версией. Администраторы с непремиальной версией Workspace не могут редактировать правила активности с функциями, поддерживаемыми только премиальными версиями.

Важное руководство по созданию правил активности

  • Правила активности можно создавать только на основе данных из журналов, например событий журнала Gmail или событий журнала устройства. Нельзя создавать правила активности на основе источников данных с меняющимся состоянием, например браузеров Chrome, устройств, сообщений из Gmail и пользователей.
  • Доступные источники данных зависят от версии Google Workspace. Подробные сведения приведены в статье Как задать условия поиска в инструменте "Анализ безопасности".
  • В каждый запрос необходимо добавить хотя бы один атрибут события.
  • Вы можете применить оператор ИЛИ на верхнем уровне, только если в каждой последовательности условий указано "Событие".
  • Для каждого атрибута можно добавить только одно значение. Например, атрибут "Исполнитель" может обозначать только одного пользователя. Указать несколько значений можно с помощью конструктора условий: добавьте оператор ИЛИ, а затем тот же атрибут с дополнительным значением.
  • К правилам действий нельзя применять фильтры по дате (из-за постоянной проверки выполнения их условий).
  • Правило должно предусматривать по крайней мере одно действие или оповещение.
  • Поскольку правила действий основаны на событиях журнала, они срабатывают после того, как события произошли. По этой причине правила активности не подходят для таких действий, как блокировка, предоставление общего доступа к документу или отправка электронных сообщений.

Уведомления по электронной почте

Если настроить для правила активности уведомления по электронной почте, в течение периода срабатывания письмо будет отправляться только при первом срабатывании правила. В таком уведомлении содержится сводная информация о правиле, которое отправило оповещение, с указанием названия, сведений о пороговом значении, данных источника и прочего. Администраторы, получившие уведомление по электронной почте, могут нажать в письме Посмотреть оповещение, чтобы перейти на нужную страницу в Центре оповещений.

Чтобы уменьшить количество уведомлений, организации с премиальной версией Workspace могут создавать правила с пороговыми значениями, при которых уведомления отправляются только в том случае, если событие происходит больше определенного количества раз за заданный период времени. Например, в первый раз, когда событие активирует правило, в Центр оповещений добавляется новое уведомление и отправляется электронное письмо (если настроено для правила). Если для правила задано пороговое значение длительностью 1 час, последующие события в течение этого периода будут добавлены в то же уведомление. Пока заданное время не пройдет, дополнительные уведомления по электронной почте отправляться не будут.

Примечания

  • Электронные письма и оповещения, активированные правилом с пороговым значением, не содержат описание события.
  • Правила активности можно настроить только для отправки электронных писем пользователям в домене. Однако администраторы могут настроить оповещения по электронной почте для внешних адресов с помощью Google Групп.

Принцип работы пороговых значений для правил

Когда вы задаете пороговое значение для правила, это значение рассчитывается на основе действий всех пользователей, а не каждого по отдельности. Например, вы создали правило, согласно которому аккаунты блокируются после пяти неудачных попыток входа в течение часа. Пороговое значение достигается, когда один или несколько пользователей совершают в сумме пять неудачных попыток входа в течение часа. После этого будут заблокированы все пользователи, которые совершили по меньшей мере одну неудачную попытку входа.

Создание правила активности

Вы можете создать правило активности при помощи инструмента "Анализ безопасности" или на странице "Правил".

  1. Войдите в Консоль администратора Google как администратор.

    Войти в консоль администратора можно, только если вы используете аккаунт администратора.

  2. Создайте правила (в любой версии Google Workspace):

    На главной странице консоли администратора выберите Правила, а затем нажмите Создать правило активности.
    —ИЛИ—
    Нажмите Отчеты > Аудит и анализ > выберите источник данных > Создать правило активности.

    Примечание.     В премиальных версиях Google Workspace также можно выбрать Безопасность > Центр безопасности > Инструмент "Анализ безопасности" и нажать Создать правило активности.
  3. Введите сведения о правиле и нажмите Продолжить:
    • Название правила – например, Распространение данных вне организации.
    • Описание – например, Уведомлять, когда доступ к документам предоставляется пользователям, не являющимся сотрудниками компании.
  4. На странице "Условия" настройте условия срабатывания правила:
    1. Выберите Источник данных для правила. Например: Журнал аудита администратора.
      Примечание. Доступные источники данных зависят от версии Google Workspace и прав администратора. Добавлять действия для событий журнала Диска нельзя. Подробнее о доступе с правами администратора к правилам активности и об источниках данных для инструмента "Анализ безопасности"
    2. Перейдите на вкладку Фильтр, чтобы отфильтровать результаты поиска с помощью простых параметров, например Содержит, Не содержит, Является или Не является.
    3. Перейдите на вкладку Конструктор условий, чтобы отфильтровать результаты поиска с помощью операторов И/ИЛИ. Для каждого условия выберите атрибут, оператор и значение.

      Например, чтобы задать условие, которое будет указывать, что событие – это передача права собственности на документ, выберите атрибут Событие, оператор Является и значение Настройки документа > Передача права собственности на документ

      Примечание. Событие – это обязательное условие. Условия, которые можно применять к отдельным источникам данных, подробно описаны на странице Источники данных для инструмента "Анализ безопасности".
    4. Нажмите Добавить условие, чтобы задать ещё одно условие, или выберите Продолжить.
  5. В премиальных версиях можно выбрать один из следующих вариантов:
    • Каждый раз – отправлять уведомления и/или выполнять действия каждый раз, когда происходит событие.
    • Если частота событий соответствует пороговому значению – настройте параметры для активации уведомлений и/или действий, если событие происходит больше определенного количества раз за заданный период времени (например, если событие происходит больше 10 раз за 1 час).
  6. В премиальных версиях вы можете нажать Добавить действие, чтобы выполнить действие, когда происходит событие или достигается пороговое значение. 
    • Например, можно временно заблокировать аккаунт пользователя или инициировать смену пароля.
    • Если нужно создать другие действия, нажмите Добавить действие.
  7. В разделе Уведомление настройте следующие параметры:
    • Центр оповещений (рекомендуется) – отправить оповещение в Центр оповещений. В оповещениях есть дополнительные данные, которые помогают вам устранять различные проблемы совместно с другими администраторами в вашем домене.
    • Электронная почта – отправлять уведомления по электронной почте следующим адресатам:
      • Все суперадминистраторы – отправлять электронные письма всем суперадминистраторам.
      • Добавить получателей эл. почты – отправлять электронные письма отдельным администраторам.
    • Периодичность уведомлений – максимальное количество оповещений и/или электронных писем, которые будут отправлены за заданный период времени. Вы можете использовать этот параметр, чтобы не допустить отправки чрезмерного количества уведомлений и электронных писем для одного события.
      • Все версии Workspace – укажите пороговое значение. По умолчанию используется значение До 5 в час.
      • В премиальных версиях Workspace также можно выбрать Каждый раз.
    • Серьезность – степень серьезности, которая будет назначена событию.
  8. Выберите статус правила. 
    • Активно (по умолчанию) – система собирает данные для журналов и применяет правило.
    • Проверяется – система собирает данные для журналов, но не применяет правило. Это значение позволяет проверять журналы перед применением правила.
    • Неактивно – система не собирает данные для журналов и не применяет правило.
  9. Нажмите Продолжить.
    Проверьте правило. Если понадобится внести изменения, нажмите Назад.
  10. Нажмите Создать правило.

Как просматривать и изменять правила активности

После создания правила активности вы можете перейти на страницу Правила, чтобы посмотреть сведения о правиле и его область действия, условия правила, а также действия, которые выполняются при достижении пороговых значений.

На странице "Правила" вы также можете найти список всех правил, которые были созданы администраторами в вашем домене. Откройте главную страницу консоли администратора и нажмите Правила.

На странице "Правила" администраторы домена могут просматривать правила, созданные другими администраторами, в зависимости от источника данных для правила и прав, которые есть у каждого из администраторов. Например, у одного из администраторов может быть право на просмотр событий журналов Диска, но не событий журналов Gmail, из-за чего он не сможет видеть правила, основанные на событиях журналов Gmail.

На странице "Правила" можно выполнять следующие действия:

  • Фильтровать список правил, нажимая Добавить фильтр.
  • Просматривать и изменять информацию о правилах, нажимая на них.
  • Удалять правила.
  • Создавать новые правила.
  • Нажмите Анализ, чтобы открыть инструмент исследования для просмотра данных из событий журнала правил.

Статьи по теме

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

936238755778044806
true
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
Поиск по Справочному центру
true
true
true
true
true
73010
false
false
false
false