Журнал событий Chrome

Как посмотреть события Chrome в консоли администратора Google

В некоторых версиях Google Workspace вы можете получить доступ к инструменту "Анализ безопасности" с расширенными функциями. Например, суперадминистраторы могут идентифицировать, сортировать и устранять проблемы, связанные с конфиденциальностью и безопасностью. Подробнее…

Как администратор организации, вы можете искать и устранять проблемы с безопасностью, связанные с событиями журнала Chrome. Например, вы можете просматривать записи о действиях, связанных с управляемыми браузерами Chrome и устройствами ChromeOS, а также сведения о посещении небезопасных сайтов.

Подготовка

Чтобы все события Chrome были доступны администратору, необходимо выполнить некоторые действия.

Нужно настроить облачное управление браузером Chrome, запустить браузер на устройстве ChromeOS, зарегистрированном в организации, или использовать профиль пользователя, управляемый в браузере Chrome.
Необходимо настроить отчеты для событий безопасности в Chrome. Узнать, как это сделать, можно в статье Управление коннекторами Chrome Enterprise для создания отчетов.
Для просмотра событий, связанных с защитой данных Chrome, понадобится лицензия BeyondCorp Enterprise. Подробнее о том, как включить BeyondCorp Threat and Data Protection для пользователей Chrome…

Как найти события из журнала Chrome

Возможность поиска в инструменте "Анализ безопасности" зависит от версии сервиса Google, назначенных прав администратора и источника данных. Вы можете искать действия всех пользователей, независимо от того, какая у них версия Google Workspace.

Инструмент "Аудит и анализ"

Чтобы выполнить поиск событий в журнале, сначала выберите источник данных. Затем добавьте один или несколько фильтров.

Войдите в консоль администратора Google как администратор.
Войти в консоль администратора можно, только если вы используете аккаунт администратора.
Нажмите на значок меню Отчеты > Аудит и анализ > События журнала Chrome.
Вам потребуется аккаунт администратора с доступом к отчетам.
Перейдите на вкладку Фильтр.
Нажмите Добавить фильтр и выберите атрибут.
Во всплывающем окне выберите операторвыберите значениенажмите Применить.
Если нужно создать несколько фильтров результатов поиска, повторите шаги 3–5.
Нажмите Поиск.
Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.

Инструмент "Анализ безопасности"

Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Чтобы выполнить поиск в инструменте "Анализ безопасности", сначала выберите источник данных. Затем добавьте одно или несколько условий поиска и для каждого из них выберите атрибут, оператор и значение.

Войдите в консоль администратора Google как администратор.
Войти в консоль администратора можно, только если вы используете аккаунт администратора.
Нажмите на значок меню Безопасность > Центр безопасности > Инструмент "Анализ безопасности".
У вас должны быть права администратора с доступом к центру безопасности.
Нажмите Источник данных и выберите События журнала Chrome.
Нажмите Добавить условие.
Совет. Вы можете указать одно или несколько условий или использовать вложенные запросы. Подробнее о том, как использовать вложенные запросы при поиске…
Нажмите Атрибутвыберите нужный вариант.
Полный список атрибутов приведен в разделе Описания атрибутов ниже.
Выберите оператор.
Введите значение или выберите его в раскрывающемся списке.
Если нужно добавить дополнительные условия поиска, повторите шаги 4–7.
Нажмите Поиск.
Результаты поиска в инструменте "Анализ безопасности" показываются в таблице в нижней части страницы.
Чтобы сохранить анализ, нажмите Сохранить введите название и описаниеСохранить.

Примечания

На вкладке Конструктор условий фильтры представлены в виде условий с операторами И/ИЛИ. На вкладке Фильтр можно выбрать простые пары параметров и значений, чтобы отфильтровать результаты поиска.
Если пользователь был переименован, поиск не даст результатов для его прежнего имени. Например, если [email protected] заменили на [email protected], в результатах поиска не будет событий, связанных с пользователем [email protected].

Описания атрибутов

При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:

Атрибут	Описание
Название группы	Название группы, к которой относится исполнитель. Подробнее о том, как фильтровать результаты по группе Google… Чтобы добавить группу в белый список групп фильтрации: Выберите Название группы. Выберите Группы фильтрации. Откроется соответствующая страница. Нажмите Добавить группы. Найдите группу: начните вводить ее название или адрес электронной почты, а затем выберите нужный вариант из списка предложений. Если вы хотите добавить ещё одну группу, найдите и выберите ее. Когда группы будут выбраны, нажмите Добавить. Если вы хотите удалить группу, нажмите на значок "Удалить группу" рядом с ней. Нажмите Сохранить.
Организационное подразделение пользователя	Организационное подразделение, к которому относится исполнитель.
Название приложения	Название приложения или расширения из интернет-магазина Chrome.
Версия браузера	Номер, присвоенный версии браузера Chrome, например 123.0.6312.59.
Тип клиента	Управляемый профиль или аккаунт Chrome, в котором произошло событие. Неизвестно – тип клиента неизвестен. Браузер Chrome – для браузера включено облачное управление браузером Chrome. Профиль Chrome – для профиля включено облачное управление браузером Chrome. Устройство с ChromeOS – для устройства включено облачное управление браузером Chrome.
Хеш контента	Хеш SHA-256 контента.
Название контента	Название скачанного контента, например название файла.
Размер контента*	Размер скачанного контента в байтах.
Тип контента	MIME-тип скачанного контента, например text/html.
Дата	Дата и время, когда произошло событие (указывается в часовом поясе, установленном в вашем браузере по умолчанию).
Пункт назначения	Целевая файловая система для событий передачи файлов. Для событий обработки данных – целевая файловая система или целевой URL для загрузки файлов или действий копирования и вставки.
Название устройства	Название устройства.
Платформа устройства	Операционная система, в которой работает браузер.
Пользователь устройства	Имя пользователя в ОС.
Идентификатор Directory API	Идентификатор устройства, полученный от Directory API.
Домен*	Домен, в котором было выполнено действие.
Тип действия с расширением	Тип действия с расширением Chrome, которое запускает событие. Возможные значения: Установлено, Удалено или Обновлено.
Источник расширения	Источник, из которого было установлено расширение Chrome. Возможные значения: Интернет-магазин Chrome, Внешний или Не указано.
Версия расширения	Версия расширения.
Событие	Сведения о зарегистрированном действии. Примеры: Не выполнено сканирование контента, Посещение небезопасного сайта, Повторное использование пароля, Перенос конфиденциальных данных, Перенос вредоносного ПО или Перенос контента.
Причина события*	Подробная информация о действии, например Файл защищен паролем.
Результат события	Результат события в соответствии с заданными правилами. Возможные значения: Проигнорировано, Заблокировано, Показано предупреждение, Доступ разрешен или Обнаружено.
Владелец профиля	Имя пользователя в профиле браузера Chrome.
Идентификатор сканирования	Идентификатор сканирования при анализе контента, которое привело к событию.
Источник	Источник, связанный с событием: События передачи файлов – исходная файловая система. События обработки данных – исходный URL для загрузки файлов или действий копирования и вставки. События загрузки веб-контента – источник, из которого были скопированы данные. Это может быть URL или тип источника, например режим инкогнито, другой профиль Chrome или буфер обмена компьютера.
URL вкладки	URL перенаправления с вкладки при скачивании файла. По URL может срабатывать правило защиты от потери данных (DLP) Файл скачан. Например, когда пользователь скачивает файл с Google Диска, правило может срабатывать по URL вкладки (drive.google.com) или URL файла (googleusercontent.com). Примечание. Значения URL вкладки и URL совпадают во всех случаях, кроме скачивания файла.
Тип триггера	Действие пользователя, вызвавшее событие. Примеры: Неизвестно, Печать страницы, Загрузка файла, Скачивание файла, Загрузка веб-контента, Перенос файлов.
Пользователь, инициировавший событие	Имя пользователя, связанного с событием: Повторное использование пароля – имя пользователя, которому принадлежит пароль. Сброс пароля – имя пользователя, у которого произошел сброс пароля.
URL	URL, связанный с событием.
Категория URL	Категория URL, связанного с событием.
Агент пользователя	Строка User-Agent браузера, который использовался для доступа к контенту, например: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4140.0 Safari/537.36.
Идентификатор виртуального устройства*	Идентификатор устройства. Значение зависит от платформы.

*С помощью этих фильтров нельзя добавлять правила создания отчетов. Подробнее о различиях между правилами создания отчетов и правилами действий…

Как отфильтровать данные по событиям, связанным с защитой от угроз и защитой данных

Откройте журнал событий, как описано выше в разделе Инструмент "Аудит и анализ безопасности".
Перейдите на вкладку Фильтр.
Нажмите Добавить фильтрСобытие.
Во всплывающем окне выберите операторвыберите событиенажмите Применить.
Если нужно создать несколько фильтров результатов поиска, повторите шаги 2–4.

Описание событий, связанных с защитой от угроз в Chrome

Значение события	Описание	Поддержка коннектора для создания отчетов
События сбоя	Обнаружен сбой вкладки или браузера.	Поддерживается в браузере Chrome версии 112 и выше.
Установка расширения	Пользователь или администратор установил расширение браузера.	Поддерживается в браузере Chrome версии 110 и выше.
Перенос вредоносного ПО	Загруженный или скачанный пользователем контент идентифицирован как вредоносный, опасный или нежелательный.	Поддерживается в браузере Chrome версии 104 и выше.
События входа	Примечание. Эти события вносятся в отчет, только если включен Менеджер паролей. Пользователь вошел в домен по URL, который указан в настройках коннектора для создания отчетов. Событие можно увидеть в Центре безопасности Google. Неудачные попытки входа не вносятся в отчет.	Поддерживается в браузере Chrome версии 105 и выше.
Утечка пароля	Примечание. Эти события вносятся в отчет, только если включен Менеджер паролей. Если вход на какой-либо сайт выполняется с помощью пароля, то в случае утечки данных с этого сайта пользователь получает уведомление от Chrome о том, что возможен взлом аккаунта. Подробнее о том, как сменить ненадежные пароли в аккаунте Google… Кроме того, Chrome предлагает сменить ненадежный пароль везде, где он был использован. Для URL, заданных в консоли администратора, информация об утечке данных также появляется в Центре безопасности Google, если пароль сохранен в Менеджере паролей. Каждый URL представлен отдельной записью.	Поддерживается в браузере Chrome версии 105 и выше.
Изменение пароля	Пользователь выполнил сброс пароля для первого входа в аккаунт.	Поддерживается в браузере Chrome версии 104 и выше.
Повторное использование пароля	Пользователь ввел пароль на странице с адресом, не указанным в списке разрешенных URL.	Поддерживается в браузере Chrome версии 104 и выше.
Посещение небезопасного сайта	Посещенный пользователем URL считается мошенническим или вредоносным.	Поддерживается в браузере Chrome версии 104 и выше.

Описание событий, связанных с защитой данных в Chrome

Сведения о событиях, связанных с защитой от угроз в Chrome, доступны только клиентам с подпиской Chrome Enterprise Premium .

Дополнительная информация о Chrome Enterprise Premium и его настройке приведена в статье Как включить Chrome Enterprise Premium threat and data protection для пользователей Chrome.

Значение события	Описание	Поддержка коннектора для создания отчетов
Перенос контента	Контент был загружен, скачан или напечатан с использованием Chrome и отправлен на проверку на наличие конфиденциальной информации и вредоносного ПО.	Поддерживается в браузере Chrome версии 104 и выше. Требуется Chrome Enterprise Premium .
Не выполнено сканирование контента	Сканирование файла может не выполняться по различным причинам. Например: файл защищен паролем; файл слишком большой; сбой сканирования DLP; сбой сканирования на вредоносное ПО; тип файла не поддерживается при сканировании на вредоносное ПО; сервис недоступен.	Поддерживается в браузере Chrome версии 104 и выше. Требуется Chrome Enterprise Premium .
Перенос конфиденциальных данных	Скачанный, загруженный, вставленный или напечатанный пользователем контент считается конфиденциальным согласно правилам защиты данных.	Поддерживается в браузере Chrome версии 104 и выше. Требуется Chrome Enterprise Premium .
Фильтрация URL	Пользователь пытается получить доступ к URL, который совпадает с условием правила защиты данных, заданным администратором.	Поддерживается в браузере Chrome версии 113 и более поздних. Требуется Chrome Enterprise Premium .

Важно! В журнал событий, связанных с защитой данных Chrome, записываются попытки загрузки контента, а не завершенные загрузки. Загрузка может не завершиться из-за сбоев сервера, ошибок сети, отмены ее пользователем или сайтов, которые не поддерживают загрузку файлов или папок.

Описание событий безопасности, связанных с ChromeOS

В управляемых гостевых сеансах, сеансах в режиме киоска и сеансах пользователей из другой организации данные об адресах электронной почты не собираются. Подробнее об аффилированных пользователях…
Чтобы собирать данные о таких событиях, необходимо включить все функции для создания отчетов или специальные функции, указанные ниже. Подробную информацию можно найти в разделах Отправка отчетов с данными телеметрии устройств, Отправка отчетов об операционной системе устройств и Создание отчетов об управлении данными.

Значение события	Описание	Поддержка коннектора для создания отчетов	Необходимое правило
Сбой при входе в аккаунт на устройстве с ChromeOS	Пользователю не удалось войти в аккаунт на устройстве с ChromeOS.	Поддерживается	"Отправка отчетов с данными телеметрии устройствСтатус входа и выхода"
Вход в аккаунт на устройстве с ChromeOS	Пользователь вошел в аккаунт на устройстве с ChromeOS.	Поддерживается
Выход из аккаунта на устройстве с ChromeOS	Пользователь вышел из аккаунта на устройстве с ChromeOS.	Поддерживается
Аккаунт пользователя добавлен на устройство с ChromeOS	Аккаунт пользователя добавлен на устройство с ChromeOS.	Поддерживается
Аккаунт пользователя удален с устройства с ChromeOS	Аккаунт пользователя удален с устройства с ChromeOS.	Поддерживается
Блокировка ChromeOS	Экран устройства с ChromeOS заблокирован.	Не поддерживается
Разблокировка ChromeOS	Экран устройства с ChromeOS разблокирован.	Не поддерживается
Неудачная разблокировка ChromeOS	Произошла неудачная попытка разблокировать устройство с ChromeOS.	Не поддерживается
Изменение режима загрузки для устройства с ChromeOS	Режим загрузки устройства с ChromeOS был изменен на режим разработчика или проверки. Чтобы это событие было внесено в отчет, устройства должны быть зарегистрированы в управляемом домене до и после изменения режима загрузки.	Не поддерживается		"Отправка отчетов об операционной системе устройствРежим загрузки ОС"
USB-устройство с ChromeOS добавлено	USB-устройство добавлено на устройство с ChromeOS. Событие указывается в отчете только для аффилированных пользователей.	Поддерживается	"Отправка отчетов об операционной системе устройствСтатус периферийного USB-устройства"
USB-устройство с ChromeOS удалено	USB-устройство удалено с устройства с ChromeOS. Событие указывается в отчете только для аффилированных пользователей.	Поддерживается
Статус USB-устройства с ChromeOS изменился	При входе аффилированного пользователя в аккаунт на устройстве в отчет добавляются все существующие USB-подключения.	Поддерживается
Хост CRD ChromeOS запущен	Аффилированный пользователь запустил хост Chrome Report Desktop (CRD) на управляемом устройстве.	Поддерживается	"Отправка отчетов об операционной системе устройствСеансы CRD"
Клиент CRD ChromeOS подключен	Пользователь подключил сеанс Chrome Report Desktop (CRD).	Поддерживается
Клиент CRD ChromeOS отключен	Пользователь отключил сеанс Chrome Report Desktop (CRD).	Поддерживается
Хост CRD ChromeOS остановлен	Аффилированный пользователь остановил хост Chrome Report Desktop (CRD) на управляемом устройстве.	Поддерживается
Успешный откат ChromeOS	На устройстве с ChromeOS выполнен откат версии операционной системы.	Не поддерживается	Отправка отчетов об операционной системе устройствСообщать о состоянии обновления ОС
Версия ChromeOS обновлена	Пользователь обновил устройство с ChromeOS до целевой версии.	Не поддерживается
Сбой при обновлении версии ChromeOS	Не удалось обновить устройство с ChromeOS до целевой версии.	Не поддерживается
Восстановление заводских настроек устройства с ChromeOS запущено	На устройстве с ChromeOS запущен процесс восстановления заводских настроек.	Не поддерживается
Контроль доступа к данным	Пользователь активировал правила контроля данных ChromeOS, примененные администратором.	Поддерживается	Создание отчетов об управлении данными

Как работать с данными о событиях в журнале

Как управлять столбцами данных в результатах поиска

Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.

В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами" .
Чтобы удалить отображаемые столбцы, нажмите "Удалить" .
Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз и выберите вариант из списка.
При необходимости повторите действия для другого запроса.
Чтобы изменить порядок столбцов, перетащите их названия.
Нажмите Сохранить.

Как экспортировать результаты поиска

Результаты поиска можно экспортировать в таблицу Google или CSV-файл.

В верхней части таблицы результатов поиска нажмите Экспортировать все.
Введите название нажмите Экспорт.
Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт".
Чтобы посмотреть экспортированные данные, нажмите на название файла.
Данные откроются в Google Таблицах.

На экспорт накладываются различные ограничения:

Ограничение на объем экспорта результатов: 100 000 строк.
Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий
Если у вас есть инструмент "Анализ безопасности", всего можно экспортировать не более 30 млн строк (10 000 строк для писем Gmail).

Подробнее об экспорте результатов поиска…

Когда данные становятся доступны и как долго они хранятся?

Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.

Какие действия можно выполнить с результатами поиска

Как создавать правила активности и настраивать оповещения

Вы можете настроить оповещения на основе данных о событиях журнала, используя правила создания отчетов. Подробнее о том, как работать с правилами создания отчетов и настраивать оповещения…
Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий
Чтобы эффективнее предотвращать, выявлять и исправлять проблемы с безопасностью, вы можете автоматизировать действия в инструменте "Анализ безопасности" и настроить оповещения с помощью правил активности. Для каждого правила нужно задать условия и указать, какие действия следует выполнять при соблюдении этих условий. Подробнее о том, как создавать правила активности…

Действия с результатами поиска

Результаты поиска, полученные с помощью инструмента "Анализ безопасности", можно использовать для разных целей. Например, сообщения, найденные при поиске по событиям журнала Gmail, можно удалять, отправлять в карантин или помещать в папки "Входящие" пользователей. Подробнее о том, какие действия можно выполнять с результатами поиска…

Как управлять процессом анализа

Как посмотреть список анализов

Чтобы посмотреть список анализов, которые вам принадлежат или к которым вам предоставлен доступ, нажмите на значок "Посмотреть список анализов" . В списке указаны названия, описания и владельцы анализов, а также дата их последнего изменения.

На странице со списком можно выполнять действия с любыми принадлежащими вам анализами, например удалять их. Для этого установите флажок рядом с нужным анализом и нажмите Действия.

Примечание. Над списком анализов в разделе Быстрый доступ также отображаются недавно сохраненные результаты анализов.

Как задать настройки анализа

Войдите в систему как суперадминистратор и нажмите на значок "Настройки" . В этом меню можно выполнить следующие действия:

Изменить часовой пояс для анализов. Он применяется ко всем условиям и результатам поиска.
Включить или отключить параметр Запросить проверку. Подробные сведения о нем можно найти в статье Как включить обязательную проверку массовых действий.
Включить или отключить параметр Просмотр контента. С его помощью вы можете предоставить администраторам право просматривать содержимое.
Включить или отключить параметр Включить обоснование действия.

Подробные сведения и инструкции приведены в статье Как задавать настройки анализа.

Чтобы сохранить параметры поиска или поделиться ими с другими пользователями, вы можете создать и сохранить анализ, а затем предоставить к нему доступ, копировать или удалить его.

Подробную информацию можно найти в статье Как сохранять результаты анализа и предоставлять к ним доступ.

Данные телеметрии расширений Chrome

Только для пользователей с лицензией Google Security Operations.

Вы можете записывать данные телеметрии расширений Chrome в Google Security Operations. Собранные данные телеметрии можно отправлять в Google Security Operations, где они будут мгновенно проанализированы на наличие рискованных действий.

Войдите в консоль администратора Google как администратор.
Войти в консоль администратора можно, только если вы используете аккаунт администратора.
Нажмите на значок меню Устройства > Chrome > Настройки. По умолчанию откроется страница Настройки пользователей и браузеров.
У вас должны быть права администратора на управление мобильными устройствами.

Если вы зарегистрировались в системе облачного управления браузером Chrome, нажмите на значок меню Браузер Chrome > Настройки.
Найдите раздел Отчеты браузера.
Нажмите Отчеты о событиях и выберите Включить отчеты о событиях.
Нажмите Дополнительные настройки и установите флажок Отчеты о телеметрии расширений.
Нажмите Сохранить.
Нажмите на значок меню Браузер Chrome > Коннекторы.
У вас должны быть права администратора Chrome.
Откройте конфигурацию Google Security Operations нажмите СведенияИзменить.
Перейдите на страницу События, связанные с пользователями и браузерами и в разделе Дополнительные типы событий установите флажок Отчеты о телеметрии расширений. Вы также можете нажать Добавить конфигурацию поставщика, чтобы создать новую конфигурацию для получения событий телеметрии расширений.
Нажмите Сохранить.

Чтобы получить дополнительную информацию о Google Security Operations и настройке, обратитесь в Google Cloud Security.

Данные телеметрии расширения для браузера Chrome

Для всех значений расширения в таблице ниже:

Вызов API поддерживается в браузере Chrome версии 129 и более поздних.
Для просмотра данных телеметрии необходима лицензия Google Security Operations.

Значение расширения для браузера Chrome	Описание
chrome.cookies.get	Извлекает информацию об одном файле cookie. API, с помощью которого можно работать с файлами cookie. Сервис телеметрии отслеживает вызовы API и их аргументы, чтобы выявлять случаи кражи файлов cookie.
chrome.cookies.get(All)	Сигнал телеметрии расширения Chrome. Извлекает из одного хранилища файлов cookie все файлы cookie, соответствующие заданной информации. API, с помощью которого можно работать с файлами cookie. Сервис телеметрии отслеживает вызовы API и их аргументы, чтобы выявлять случаи кражи файлов cookie.
chrome.tabs	Сигнал телеметрии расширения Chrome. С помощью этого API можно управлять вкладками. Сервис телеметрии отслеживает использование методов API создания, обновления и удаления, чтобы выявить случаи взлома поиска или браузера.
Доступ к удаленным хостам	Сигнал телеметрии расширения Chrome. Сервис телеметрии ведет список доступа к удаленным хостам по протоколу HTTP(S) и WebSocket.
Расширения, которых нет в магазине	Сигнал телеметрии расширения Chrome. Сервис телеметрии отслеживает имена и хеши файлов, установленных не из интернет-магазина Chrome.

Статьи по теме

Эта информация оказалась полезной?

Как можно улучшить эту статью?