Події в журналах Chrome

Як переглядати події Chrome у Консолі адміністратора Google

Залежно від версії Google Workspace ви можете мати доступ до інструмента "Аналіз безпеки", у якому доступні розширені функції. Наприклад, суперадміністратори можуть виявляти, сортувати й усувати проблеми з безпекою і конфіденційністю. Докладніше

Як адміністратор організації ви можете шукати й усувати проблеми з безпекою, пов’язані з подіями в журналі Chrome. Наприклад, за допомогою записів дій можна відстежувати події, пов’язані з керованими вебпереглядачами Chrome і пристроями з ChromeOS, а також переглядати дані про відвідування небезпечних сайтів.

Before you begin

To see all Chrome events:

Як шукати події в журналі Chrome

Можливість виконання пошуку залежить від версії Google, прав адміністратора й джерела даних. Ви можете виконувати пошук усіх користувачів незалежно від їхньої версії Google Workspace.

Аудит і інструмент "Аналіз безпеки"

Щоб знайти події в журналі, спершу виберіть джерело даних, а потім додайте принаймні один фільтр.

  1. Увійдіть в Консоль адміністратора Google з даними облікового запису адміністратора.

    Без облікового запису з такими правами ви не зможете отримати доступ до Консолі адміністратора.

  2. Натисніть значок потім Звітність > Аудит і аналіз > Журнали подій Chrome.

    Для цього потрібні права адміністратора для Звітів.

  3. Натисніть вкладку Фільтр.
  4. Натисніть Додати фільтр і виберіть атрибут.
  5. У спливаючому вікні виберіть оператор потім виберіть значення потім натисніть Застосувати.
  6. (Необов’язково) Щоб створити кілька фільтрів для пошукового запиту, виконайте кроки 3–5 потрібну кількість разів.
  7. Натисніть Пошук.

    Підказка. Щоб фільтрувати результати пошуку, на вкладці Фільтр можна включити прості пари параметрів і значень. Крім того, на вкладці Конструктор умов фільтри представлено як умови з операторами І/АБО.

Інструмент аналізу безпеки
Ця функція підтримується для таких версій: Frontline Standard і Frontline Plus; Enterprise Standard і Enterprise Plus; Education Standard і Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Порівняти свою версію з іншими

Щоб виконати пошук в інструменті "Аналіз безпеки", спершу виберіть джерело даних. Потім виберіть принаймні одну умову для пошуку. Для кожної умови виберіть атрибут, оператор і значення

  1. Увійдіть в Консоль адміністратора Google з даними облікового запису адміністратора.

    Без облікового запису з такими правами ви не зможете отримати доступ до Консолі адміністратора.

  2. Натисніть значок потім  Безпека > Центр безпеки > Інструмент "Аналіз безпеки".

    Потрібні права адміністратора в Центрі безпеки.

  3. Натисніть Джерело даних і виберіть Журнали подій Chrome.
  4. Натисніть Додати умову.
    Підказка. Ви можете вказати одну чи кілька умов у своєму пошуковому запиті або налаштувати пошук за допомогою вбудованих запитів. Щоб дізнатися більше, перегляньте цю статтю.
  5. Натисніть Атрибут потім виберіть потрібний варіант.
    Повний список атрибутів наведено в розділі Описи атрибутів (далі на цій сторінці).
  6. Виберіть оператор.
  7. Введіть значення або виберіть значення зі списку.
  8. (Необов’язково) Щоб додати інші умови пошуку, повторіть кроки 4–7.
  9. Натисніть Пошук.
    Результати пошуку в інструменті "Аналіз безпеки" можна переглянути в таблиці внизу сторінки.
  10. Необов’язково: щоб зберегти аналіз, натисніть значок потім введіть назву й опис потім натисніть Зберегти.

Примітки

  • На вкладці Конструктор умов фільтри представлено як умови з операторами "І/АБО". Щоб фільтрувати результати пошуку, на вкладці Фільтр можна включити прості пари параметрів і значень.
  • Якщо змінити ім’я користувача, пошук за його старим іменем не дасть результатів. Наприклад, якщо [email protected] перейменувати на [email protected], у результатах пошуку не буде подій, пов’язаних із [email protected].

Опис атрибутів

Для цього джерела даних можна використовувати такі атрибути під час пошуку даних про події в журналі:

Attribute Description
Actor group name

Назва групи виконавця. Щоб дізнатися більше, перегляньте цей розділ.

Щоб додати групу до білого списку груп фільтрування, виконайте наведені нижче дії.

  1. Виберіть Назва групи.
  2. Натисніть Групи фільтрування.
    Відкриється відповідна сторінка.
  3. Натисніть Додати групи.
  4. Знайдіть групу, ввівши перші кілька символів її назви або електронної адреси. Виберіть потрібну групу.
  5. (Необов’язково) Щоб додати іншу групу, знайдіть і виберіть її.
  6. Вибравши групи, натисніть Додати.
  7. (Необов’язково) Щоб вилучити групу, натисніть значок .
  8. Натисніть Зберегти.
Actor organizational unit Organizational unit of the actor.
Application name Name of the extension from the Chrome Web Store.
Browser version Number assigned to the version of Chrome browser, such as 123.0.6312.59
Client type

Managed Chrome surface where the event happened.
Content hash The SHA256 hash of the content.
Content name The name of the content downloaded, such as a file name.
Content size* The size of the downloaded content, in bytes.
Content type The media (MIME) type of content downloaded, such as text/html.
Date Date and time of the event, displayed in your browser's default time zone.
Destination The destination file system for file transfer events. For data control events, the destination file system or destination URL for file uploads or copy and paste actions.
Device name The name of the device.
Device platform The OS that the browser is running.
Device user The user's name as reported by the OS.
Directory API ID Device ID returned by the directory API.
Domain* The domain where the action occurred.
Extension action type The type of chrome extension action that triggers the event. Can be Install, Uninstall, or Update.
Extension source The source from where the chrome extension was installed. Can be Chrome Web Store, External, or Unspecified.
Extension version The version of the extension.
Event The logged event action, such as Content unscanned, Unsafe site visitPassword reuse , Sensitive data transfer, Malware transfer, or Content transfer.
Event reason* Details about the action, such as File is password protected.
Event result The result of the event based on the policies and rules set. Can be Bypassed, Blocked, Warned, Allowed, or Detected.
Profile user The Chrome browser profile username.
Scan ID Scan ID of the content analysis scan that triggered the event.
Source

The source relating to the event:

  • File transfer events—The source file system.
  • Data control events—The source URL for file uploads or copy and paste actions.
  • Web content upload events—The source from where the data was copied. It can be a URL or a source type, such as Incognito mode, a different Chrome profile, or a computer's clipboard.
Tab URL

The URL that the tab redirects to when downloading a file.

This URL can trigger the File downloaded data loss prevention (DLP) rule. For example, when a user downloads a file from Google Drive, the tab URL (drive.google.com) or the download URL (googleusercontent.com) can trigger the rule. 

Note: Tab URL and URL are identical, except for downloads.
Trigger type The user action that triggered the event, such as Unknown, Page printed, File upload, File download, Web content upload, or File transfer.
Trigger user The username relating to the event:
  • Password reuse—The username that the password belongs to
  • Password reset—The username that the password is reset for
URL The URL that generated the event.
URL category The content category of the URL that generated the event.
User agent The user agent string of the browser used to access the content. For example, Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4140.0 Safari/537.36.
Virtual device ID* The ID of the device. The value is platform-specific.
* За допомогою цих фільтрів не можна створювати правила звітування. Докладніше про правила звітування й правила для дій.

Як фільтрувати дані за подіями, пов’язаними із захистом від загроз або захистом даних

  1. Перейдіть до даних про події в журналі, як описано вище.
  2. Натисніть вкладку Фільтр.
  3. Натисніть Додати фільтр потім Подія.
  4. У спливаючому вікні виберіть оператор потім виберіть подію потім натисніть Застосувати.
  5. (Необов’язково) Щоб створити кілька фільтрів, виконайте кроки 2–4 потрібну кількість разів.

Описи подій, пов’язаних із захистом від загроз у Chrome

Цінність події Опис Підтримка конектора для створення звітів
Події збоїв Виявлено збій вкладки або вебпереглядача. Підтримується у вебпереглядачі Chrome 112 і новіших версій
Встановлення розширення Користувач або адміністратор установив розширення вебпереглядача. Підтримується у вебпереглядачі Chrome 110 і новіших версій
Передача зловмисного програмного забезпечення Контент, завантажений користувачем, вважається шкідливим, небезпечним або небажаним. Підтримується у вебпереглядачі Chrome 104 й новіших версій.
Події входу

Примітка. Щоб ця подія реєструвалася, потрібно ввімкнути Менеджер паролів.

Користувач успішно ввійшов у домен за URL-адресою, указаною в налаштуваннях конектора звітування. Цю подію можна переглянути в Центрі безпеки Google. Дані про невдалий вхід не вносяться у звіт.

 Підтримується у вебпереглядачі Chrome 105 і новіших версій.
Злам пароля

Примітка. Щоб ця подія реєструвалася, потрібно ввімкнути Менеджер паролів.

Коли користувач вводить на вебсайті ім’я користувача й пароль, він отримує попередження від Chrome, якщо обліковий запис зламано через порушення безпеки даних на певному сайті чи в додатку. Докладніше про те, як змінити ненадійні паролі в обліковому записі Google.

Крім того, Chrome пропонує змінити ненадійний пароль усюди, де він використовувався. Якщо пароль збережено в Менеджері паролів, для вказаних URL-адрес у Консолі адміністратора також відображатиметься інформація про порушення у вікні Центру безпеки Google. Кожна URL-адреса відображається як окремий запис.

 Підтримується у вебпереглядачі Chrome 105 і новіших версій.
Пароль змінено

Користувач скидає пароль для першого входу в обліковий запис.

 Підтримується у вебпереглядачі Chrome 104 й новіших версій.
Повторне використання пароля Користувач вводить пароль у URL-адресі, яка не входить у список дозволених URL-адрес для входу в корпоративний обліковий запис. Підтримується у вебпереглядачі Chrome 104 й новіших версій.
Відвідування небезпечного сайту URL-адреса, яку відвідав користувач, вважається оманливою або зловмисною. Підтримується у вебпереглядачі Chrome 104 й новіших версій.

Описи подій, пов’язаних із захистом даних у Chrome

Події, пов’язані із захистом даних у Chrome, доступні лише для клієнтів Chrome Enterprise Premium .

Щоб дізнатися більше про ліцензію Chrome Enterprise Premium і те, як її налаштувати, перегляньте статтю Як увімкнути Chrome Enterprise Premium threat and data protection для користувачів Chrome.

Цінність події Опис Підтримка конектора для створення звітів
Перенесення контенту Контент було завантажено або роздруковано з використанням Chrome і надіслано на перевірку на наявність зловмисного програмного забезпечення або конфіденційних даних

Підтримується у вебпереглядачі Chrome 104 й новіших версій.

Потрібна ліцензія Chrome Enterprise Premium

Контент не перевірено Файли не скануються з різних причин. Наприклад:
  • файл захищено паролем;
  • файл завеликий;
  • не вдалося виконати DLP-перевірку;
  • не вдалося виконати сканування на наявність зловмисного програмного забезпечення;
  • тип файлу не підтримує перевірку на наявність зловмисного програмного забезпечення;
  • сервіс недоступний.

Підтримується у вебпереглядачі Chrome 104 й новіших версій.

Потрібна ліцензія Chrome Enterprise Premium

Передача конфіденційних даних Контент, який користувач завантажив, надрукував або вставив, вважається конфіденційним, оскільки його виявлено за допомогою правил захисту даних.

Підтримується у вебпереглядачі Chrome 104 й новіших версій.

Потрібна ліцензія Chrome Enterprise Premium

Фільтрування URL-адрес Користувач намагався отримати доступ до URL-адреси, яка відповідає правилу захисту даних, указаному адміністратором.

Підтримується у вебпереглядачі Chrome 113 і новіших версій

Потрібна ліцензія Chrome Enterprise Premium

Important: Content upload attempts, not completed uploads, are logged for Chrome Data Protection events. Uploads might not be successful due to server failures, network errors, user cancellation of the upload, or websites that don’t support file or folder uploads.

Описи подій системи безпеки ChromeOS  

Цінність події Опис Підтримка конектора для створення звітів Обов’язкове правило
Помилка входу в обліковий запис на пристрої з ОС Chrome Користувачу не вдалося ввійти на пристрій із ChromeOS. Підтримується Звітувати про телеметрію пристроїв потім Статус входу або виходу
Здійснено вхід в обліковий запис на пристрої з ChromeOS Користувач увійшов в обліковий запис на пристрої з ChromeOS. Підтримується
Здійснено вихід з облікового запису на пристрої з ChromeOS Користувач вийшов з облікового запису на пристрої з ChromeOS. Підтримується
Додано обліковий запис користувача на пристрої з ChromeOS Обліковий запис користувача додано на пристрій із ChromeOS. Підтримується
Вилучено обліковий запис користувача на пристрої з ChromeOS Обліковий запис користувача вилучено з пристрою з ChromeOS. Підтримується
Екран на пристрої з ChromeOS заблоковано Екран на пристрої з ChromeOS заблоковано. Не підтримується
Екран на пристрої з ChromeOS розблоковано Екран на пристрої з ChromeOS розблоковано. Не підтримується
Не вдалося розблокувати екран на пристрої з ChromeOS Не вдалося розблокувати екран на пристрої з ChromeOS. Не підтримується
Зміна режиму завантаження пристрою з ChromeOS

Пристрій із ChromeOS запустився в режимі розробника або підтвердженому режимі.

  • Щоб цю подію було внесено у звіт, пристрої мають бути зареєстровані в керованому домені до й після зміни режиму завантаження.
 Не підтримується Звітувати про ОС пристроїв потім Звітувати про режим запуску ОС
USB-пристрій додано в ChromeOS

USB-пристрій додано на пристрій із ChromeOS. Ця подія вказується у звіті лише для афілійованих користувачів.

 Підтримується Звітувати про ОС пристроїв потім Статус периферійних пристроїв USB
USB-пристрій вилучено з ChromeOS USB-пристрій вилучено з пристрою з ChromeOS. Ця подія вказується у звіті лише для афілійованих користувачів. Підтримується
Зміна статусу USB в ChromeOS Під час входу афілійованого користувача в обліковий запис у звіт додаються всі наявні з’єднання USB. Підтримується
Хост CRD ОС Chrome запущено Афілійований користувач ініціював сеанс хосту Chrome Report Desktop (CRD) на керованому пристрої. Підтримується Звітувати про ОС пристроїв потім Сеанси Віддаленого керування Chrome
Клієнт CRD ChromeOS підключено

Користувач підключився до сеансу Chrome Report Desktop (CRD).

 Підтримується
Клієнт CRD ChromeOS відключено Користувач відключився від сеансу Chrome Report Desktop (CRD). Підтримується
Хост CRD ChromeOS зупинено Афілійований користувач зупинив сеанс хосту Chrome Report Desktop (CRD) на керованому пристрої. Підтримується
Успішне відкочування ChromeOS Для пристрою з ChromeOS виконано відкочування ОС. Не підтримується Звітувати про ОС пристроїв потім Повідомляти статус оновлення ОС
Версію ChromeOS оновлено Користувач оновив пристрій із ChromeOS до цільової версії. Не підтримується
Не вдалось оновити версію ChromeOS Не вдалось оновити пристрій із ChromeOS до цільової версії. Не підтримується
Для пристрою з ChromeOS ініційовано відновлення заводських налаштувань На пристрої з ChromeOS ініційовано відновлення заводських налаштувань. Не підтримується
Контроль доступу до даних Користувач активував правила керування даними ChromeOS, застосовані адміністратором. Підтримується Звітування щодо елементів керування даними

Як керувати даними про події в журналі

Як керувати стовпцями даних у результатах пошуку

Ви можете вибрати, які стовпці даних показуватимуться в результатах пошуку.

  1. У верхньому правому куті таблиці з результатами пошуку натисніть значок .
  2. (Необов’язково) Щоб вилучити поточні стовпці, натисніть значок .
  3. (Необов’язково) Щоб додати стовпці, поруч з опцією Додати новий стовпець натисніть значок і виберіть стовпець даних.
    За потреби виконайте ці кроки ще раз.
  4. (Необов’язково) Щоб змінити порядок стовпців, перетягніть назви стовпців даних.
  5. Натисніть Зберегти.

Як експортувати дані результатів пошуку

Результати пошуку можна експортувати в Google Таблиці або файл CSV.

  1. Угорі таблиці з результатами пошуку натисніть Експортувати все.
  2. Введіть назву потім натисніть Експортувати.
    Експорт даних відображається під таблицею з результатами пошуку Результати експорту дій.
  3. Щоб переглянути дані, натисніть назву експорту.
    Після цього відкриється сервіс Google Таблиці.

На експорт накладаються різні обмеження.

  • Усього можна експортувати не більше ніж 100 000 рядків (за винятком пошукових запитів у Gmail, які мають обмеження до 10 000 рядків).
  • Ця функція підтримується для таких версій: Frontline Standard і Frontline Plus; Enterprise Standard і Enterprise Plus; Education Standard і Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Порівняти свою версію з іншими

    Якщо ви користуєтесь інструментом аналізу безпеки, загальна кількість результатів експорту обмежується 30 мільйонами рядків (за винятком пошукових запитів у Gmail, які мають обмеження до 10 000 рядків).

Щоб дізнатися більше, перегляньте статтю про те, як експортувати результати пошуку.

Коли дані стануть доступними й на який строк

Які дії можна виконувати на основі результатів пошуку

Як створити правила для дій і налаштувати сповіщення
  • Ви можете налаштувати сповіщення на основі даних про події в журналі за допомогою правил звітування. Вказівки можна переглянути в цій статті.
  • Ця функція підтримується для таких версій: Frontline Standard і Frontline Plus; Enterprise Standard і Enterprise Plus; Education Standard і Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Порівняти свою версію з іншими

    Щоб ефективніше виявляти й усувати проблеми з безпекою, а також запобігати їм, ви можете автоматизувати дії в інструменті "Аналіз безпеки", створивши правила для дій. Щоб налаштувати правило, задайте для нього умови, а потім укажіть, які дії слід виконувати за їх дотримання. Детальну інформацію і вказівки можна переглянути в цій статті.

Які дії можна виконувати на основі результатів пошуку

Ця функція підтримується для таких версій: Frontline Standard і Frontline Plus; Enterprise Standard і Enterprise Plus; Education Standard і Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Порівняти свою версію з іншими

Результати пошуку, отримані за допомогою інструмента "Аналіз безпеки", можна використовувати для різних цілей. Наприклад, ви можете виконати пошук на основі подій у журналі Gmail, а потім за допомогою інструмента видалити певні повідомлення, перемістити їх у карантин або надіслати користувачам у папки "Вхідні". Щоб дізнатися більше про дії, які можна виконувати на основі результатів пошуку, перегляньте цю статтю.

Як керувати аналізами

Ця функція підтримується для таких версій: Frontline Standard і Frontline Plus; Enterprise Standard і Enterprise Plus; Education Standard і Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Порівняти свою версію з іншими

Як переглянути список результатів аналізів

Щоб переглянути список результатів аналізів, які належать вам або до яких вам надали доступ, натисніть значок . Цей список містить назви, описи й імена власників результатів аналізів, а також дату їх останньої зміни. 

На сторінці зі списком можна виконувати дії з будь-якими аналізами, які вам належать (наприклад, видаляти їх). Поставте прапорець біля потрібного аналізу й натисніть Дії.

Примітка. Нещодавно збережені результати аналізів можна переглянути безпосередньо над їх списком у розділі Швидкий доступ.

Як налаштувати параметри аналізів

Увійдіть у систему як суперадміністратор і натисніть значок . У цьому меню можна виконати наведені нижче дії.

  • Змінити часовий пояс для аналізів. Часовий пояс застосовується до умов і результатів пошуку.
  • Увімкнути чи вимкнути параметр Запит на перевірку. Щоб дізнатися більше про перевірку масових дій, перегляньте цю статтю.
  • Увімкнути чи вимкнути параметр Перегляд контенту. Завдяки цьому налаштуванню адміністратори з відповідними правами матимуть змогу переглядати контент.
  • Увімкнути чи вимкнути параметр Увімкніть обґрунтування дії.

Вказівки й докладні відомості про налаштування параметрів для проведення аналізів наведено в цій статті.

Як видаляти й копіювати результати аналізу, а також ділитися ними

Щоб зберегти критерії пошуку або поділитися ними з іншими користувачами, ви можете створити аналіз, зберегти його результати, а потім копіювати чи видалити його або поділитися ним з іншими.

Дізнатися більше про зазначені вище дії ви можете в цій статті.

Дані про телеметрію розширень Chrome

Доступно лише для клієнтів, які придбали ліцензію Google Security Operations.

Дані про телеметрію розширень Chrome можна знайти в Google Security Operations. Збирайте дані про телеметрію розширень Chrome і надсилайте їх у Google Security Operations, щоб отримати швидкий аналіз щодо небезпечної діяльності.

  1. Увійдіть в Консоль адміністратора Google з даними облікового запису адміністратора.

    Без облікового запису з такими правами ви не зможете отримати доступ до Консолі адміністратора.

  2. Виберіть значок потім > Chrome > Налаштування > Користувачі та веб-переглядачі.

    Потрібно мати права адміністратора на керування мобільними пристроями.

  3. Відкрийте Звіти про роботу вебпереглядачів.
  4. Натисніть Звіти про події і виберіть Увімкнути звіти про події.
  5. НатиснітьДодаткові налаштування й поставте прапорець Звіти про телеметрію розширень.
  6. Натисніть Зберегти.
  7. Go to Menu потім Chrome browser > Connectors.

    Requires having the Chrome administrator privilege.

  8. Відкрийте конфігурацію Google Security Operations потім натисніть Деталі потім Змінити.
  9. Відкрийте Події користувача й вебпереглядача й у полі Додаткові типи подій поставте прапорець Звіти про телеметрію розширень. Або ж натисніть Конфігурація нового постачальника, щоб створити нову конфігурацію для отримання подій про телеметрію розширень.
  10. Натисніть Зберегти.

Щоб дізнатися більше про сервіс Google Security Operations і його налаштування, зв’яжіться з командою Google Cloud Security.

Дані про телеметрію розширень Chrome

Для всіх значень розширень у цій таблиці:

  • виклик API підтримується у вебпереглядачі Chrome 129 і новіших версій;
  • щоб переглядати дані про телеметрію, потрібна ліцензія Google Security Operations.
Значення розширення для вебпереглядача Chrome
Опис
chrome.cookies.get

Отримує дані про єдиний файл cookie.

API для маніпулювання файлами cookie. Сервіс телеметрії відстежує виклики API і аргументи для розкриття крадіжок файлів cookie.
chrome.cookies.get(All)

Сигнал про телеметрію розширень Chrome. Отримує всі файли cookie з одного сховища файлів cookie, які збігаються з указаною інформацією.

API для маніпулювання файлами cookie. Сервіс телеметрії відстежує виклики API і аргументи для розкриття крадіжок файлів cookie.
chrome.tabs Сигнал про телеметрію розширень Chrome. API для керування вкладками. Сервіс телеметрії відстежує використання методів API для створення, оновлення й вилучення, щоб розкривати злом пошуку й вебпереглядача.
Віддалені хости зі встановленим зв’язком Сигнал про телеметрію розширень Chrome. Сервіс телеметрії робить запис віддалених хостів, з якими встановлено зв’язок через http(s) і websocket(s).
Розширення, установлені за межами магазину Сигнал про телеметрію розширень Chrome. Сервіс телеметрії відстежує назви файлів і хеші з розширень, які не було встановлено у Вебмагазині Chrome.

Чи корисна ця інформація?

Як можна її покращити?

Потрібна додаткова допомога?

Спробуйте дії нижче.

Опублікуйте запитання на довідковому форумі Отримайте відповіді від учасників форуму
Зв’яжіться з нами Розкажіть нам більше й отримайте допомогу
true
Start your free 14-day trial today

Professional email, online storage, shared calendars, video meetings and more. Start your free Google Workspace trial today.

Пошук
Очистити пошук
Закрити пошук
Головне меню
15221875093948929815
true
Пошук у довідковому центрі
true
true
true
true
true
73010
false
false
false
false