События журнала правил

Как отслеживать попытки пользователей передать конфиденциальную информацию

В некоторых версиях Google Workspace вы можете получить доступ к инструменту "Анализ безопасности" с расширенными функциями. Например, суперадминистраторы могут идентифицировать, сортировать и устранять проблемы, связанные с конфиденциальностью и безопасностью. Подробнее…

Как администратор организации, вы можете искать события в журнале правил и устранять связанные с ними проблемы. Например, вы можете просматривать, какие действия совершали пользователи и не было ли попыток передать конфиденциальные данные. Также можно посмотреть события, вызванные нарушением правил защиты от потери данных (DLP). Обычно записи о действиях пользователей появляются в журнале в течение часа.

В журнале правил также доступны различные типы данных, отслеживаемых инструментом Chrome Enterprise Premium threat and data protection.

Как искать события журнала

Возможность поиска в инструменте "Анализ безопасности" зависит от версии сервиса Google, назначенных прав администратора и источника данных. Вы можете искать действия всех пользователей, независимо от того, какая у них версия Google Workspace.

Инструмент "Аудит и анализ"

Чтобы выполнить поиск событий в журнале, сначала выберите источник данных. Затем добавьте один или несколько фильтров.

  1. Войдите в консоль администратора Google как администратор.

    Войти в консоль администратора можно, только если вы используете аккаунт администратора.

  2. Нажмите на значок меню а затем Отчеты > Аудит и анализ > События журнала правил.

    Вам необходимо использовать аккаунт администратора с доступом к отчетам.

  3. Нажмите Добавить фильтр и выберите атрибут.
  4. Во всплывающем окне выберите оператора затемвыберите значениеа затемнажмите Применить.
    • Если нужно создать несколько фильтров результатов поиска, повторите этот шаг.
    • Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
  5. Нажмите Поиск.

    Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.

Инструмент "Анализ безопасности"
Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Чтобы выполнить поиск в инструменте "Анализ безопасности", сначала выберите источник данных. Затем добавьте одно или несколько условий поиска и для каждого из них выберите атрибут, оператор и значение.

  1. Войдите в консоль администратора Google как администратор.

    Войти в консоль администратора можно, только если вы используете аккаунт администратора.

  2. Нажмите на значок меню а затем Безопасность > Центр безопасности > Инструмент "Анализ безопасности".

    У вас должны быть права администратора с доступом к центру безопасности.

  3. Нажмите Источник данных и выберите События журнала правил.
  4. Нажмите Добавить условие.
    Совет. Вы можете указать одно или несколько условий или использовать вложенные запросы. Подробнее о том, как использовать вложенные запросы при поиске
  5. Нажмите Атрибута затемвыберите нужный вариант.
    Полный список атрибутов приведен в разделе Описания атрибутов ниже.
  6. Выберите оператор.
  7. Введите значение или выберите его в раскрывающемся списке.
  8. Если нужно добавить дополнительные условия поиска, повторите шаги 4–7.
  9. Нажмите Поиск.
    Результаты поиска в инструменте "Анализ безопасности" показываются в таблице в нижней части страницы.
  10. Чтобы сохранить анализ, нажмите Сохранить а затемвведите название и описаниеа затемСохранить.

Примечания

  • На вкладке Конструктор условий фильтры представлены в виде условий с операторами И/ИЛИ. На вкладке Фильтр можно выбрать простые пары параметров и значений, чтобы отфильтровать результаты поиска.
  • Если пользователь был переименован, поиск не даст результатов для его прежнего имени. Например, если [email protected] заменили на [email protected], в результатах поиска не будет событий, связанных с пользователем [email protected].

Описания атрибутов

При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:

Атрибут Описание
Уровень доступа Уровни доступа, выбранные в качестве условий контекстно-зависимого доступа для этого правила. Уровни доступа распространяются только на данные Chrome. Подробнее о создании уровней контекстно-зависимого доступа
Исполнитель Адрес электронной почты пользователя, совершившего действие. Если событие произошло в результате повторного сканирования, может быть указано значение Анонимный пользователь.
Название группы

Название группы, к которой относится исполнитель. Подробнее о том, как фильтровать результаты по группе Google

Чтобы добавить группу в белый список групп фильтрации:

  1. Выберите Название группы.
  2. Выберите Группы фильтрации.
    Откроется соответствующая страница.
  3. Нажмите Добавить группы.
  4. Найдите группу: начните вводить ее название или адрес электронной почты, а затем выберите нужный вариант из списка предложений.
  5. Если вы хотите добавить ещё одну группу, найдите и выберите ее.
  6. Когда группы будут выбраны, нажмите Добавить.
  7. Если вы хотите удалить группу, нажмите на значок "Удалить группу" рядом с ней.
  8. Нажмите Сохранить.
Организационное подразделение исполнителя Организационное подразделение, к которому относится исполнитель.
Заблокированные получатели Получатели, которые были заблокированы в результате срабатывания правила.
Условное действие Список действий, которые могут быть выполнены при доступе пользователя в зависимости от настроенных для правила контекстно-зависимых условий.
Идентификатор сеанса Идентификатор сеанса встречи, которая стала частью активации этого правила.
Идентификатор контейнера Идентификатор родительского контейнера, к которому принадлежит ресурс.
Тип контейнера Тип родительского контейнера, к которому принадлежит ресурс, например Чат-группа Google Chat или Групповой чат для сообщений и прикрепленных файлов в чате.
Источник данных Приложение, в котором был создан ресурс.
Дата Дата и время, когда произошло событие.
Идентификатор детектора Идентификатор соответствующего детектора.
Название детектора Название соответствующего детектора, заданного администраторами.
Идентификатор устройства Идентификатор устройства, на котором было активировано действие. Этот тип данных применяется к Chrome Enterprise Premium threat and data protection.
Тип устройства Тип устройства, соответствующий идентификатору устройства, на котором было активировано действие. Этот тип данных применяется к Chrome Enterprise Premium threat and data protection.
Событие

Действие в зарегистрированном событии.

Google Диск

Для Диска регистрируются следующие события, связанные с правилами DLP:

  • Действие выполнено, контент совпал с условием правила* – контент в документе на Диске помечен в соответствии с правилом DLP.
  • Действие выполнено, контент не совпал с условием правила* – документ на Диске не помечен, потому что в нем больше нет контента, совпавшего с условием правила DLP.
  • Доступ заблокирован – правило заблокировало попытку скачивания экземпляра файла на Диске.

Примечания в отношении Диска:

  • В случае изменения ярлыка Диска указывается значение Ярлык применен, Значение поля изменено или Ярлык удален.
  • Когда правила доверия блокируют предоставление доступа к файлам на Диске, указывается значение Общий доступ заблокирован.
  • Когда правила доверия блокируют доступ к файлам на Диске (просмотр, скачивание или копирование), указывается значение Доступ заблокирован.

Gmail

Для Gmail регистрируются следующие события, связанные с правилами DLP:

  • Действие выполнено, сообщение проверено* – письмо Gmail было проверено на соответствие правилу DLP.
  • Действие выполнено, отправка сообщения заблокирована* – отправка письма Gmail была заблокирована в соответствии с правилом DLP.
  • Действие выполнено, сообщение помещено в карантин* – в соответствии с правилом DLP письмо Gmail было отправлено в карантин на проверку. Письмо не было отправлено.
  • Действие выполнено, уведомление об отправляемом сообщении* – в соответствии с правилом DLP пользователь получил уведомление о том, что не следует отправлять письмо.

*Фрагмент "Действие выполнено" в названиях этих событий в будущем будет удален.
Содержит конфиденциальные данные Для активированных правил DLP с обнаруженными и зарегистрированными конфиденциальными данными значение равно Истина.
Получатель* Пользователи, получившие доступ к ресурсу.
Число пропущенных получателей* Число получателей, пропущенных из-за превышения ограничения.
Идентификатор ресурса Объект, который был изменен. Для правил DLP:
  • Если запись относится к Google Диску, нажмите на идентификатор ресурса, чтобы посмотреть измененный документ на Диске.
  • Если запись относится к Google Chat, нажмите на идентификатор ресурса, чтобы открыть подробные сведения о чате. Помните, что у некоторых данных чатов есть срок хранения, поэтому не все сведения могут быть доступны.
Владелец ресурса Владелец просканированного ресурса, с которым было выполнено действие.
Название ресурса Название ресурса, который был изменен. Для правил DLP это название документа.
Тип ресурса Для правил DLP ресурсом является документ, а для DLP в Chat – сообщение или прикрепленный файл в чате.
Идентификатор правила Идентификатор активированного правила.
Название правила Название, которое администратор задал правилу при его создании.
Тип правила Для правил DLP указывается значение DLP.
Тип сканирования

Возможны следующие значения:

  • Непрерывное сканирование Диска (при изменении правила);
  • Онлайн-сканирование (при изменении документа);
  • Сканировать контент Chat перед отправкой (при отправке сообщения Chat).
Степень серьезности Степень серьезности нарушенного правила.
Заблокированное действие* Предусмотренные правилом действия, которые были заблокированы. Действие может быть заблокировано, если в момент его выполнения активируется другое действие с более высоким приоритетом.
Триггер Действие, которое привело к активации правила.
Действие при активации правила Список выполненных действий. Значение отсутствует при срабатывании правила, предусматривающего только проверку.
IP-адрес клиента, инициировавшего событие IP-адрес исполнителя, который активировал событие.
Адрес электронной почты пользователя, инициировавшего событие* Адрес электронной почты исполнителя, который активировал событие.
Действие пользователя Действие, которое пытался выполнить пользователь, заблокировано правилом.
*С помощью этих фильтров нельзя добавлять правила создания отчетов. Подробнее о различиях между правилами создания отчетов и правилами действий

Примечание. Если пользователь был переименован, поиск по его прежнему имени не даст результатов. Например, если [email protected] заменить на [email protected], в результатах поиска не будет событий, связанных с пользователем [email protected].

Как работать с данными о событиях в журнале

Как управлять столбцами данных в результатах поиска

Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.

  1. В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами" .
  2. Чтобы удалить отображаемые столбцы, нажмите "Удалить" .
  3. Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз и выберите вариант из списка.
    При необходимости повторите действия для другого запроса.
  4. Чтобы изменить порядок столбцов, перетащите их названия.
  5. Нажмите Сохранить.

Как экспортировать результаты поиска

Результаты поиска можно экспортировать в таблицу Google или CSV-файл.

  1. В верхней части таблицы результатов поиска нажмите Экспортировать все.
  2. Введите название а затем нажмите Экспорт.
    Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт".
  3. Чтобы посмотреть экспортированные данные, нажмите на название файла.
    Данные откроются в Google Таблицах.

На экспорт накладываются различные ограничения:

  • Ограничение на объем экспорта результатов: 100 000 строк.
  • Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

    Если у вас есть инструмент "Анализ безопасности", всего можно экспортировать не более 30 млн строк (10 000 строк для писем Gmail).

Подробнее об экспорте результатов поиска

Когда данные становятся доступны и как долго они хранятся?

Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.

Какие действия можно выполнить с результатами поиска

Как создавать правила активности и настраивать оповещения
  • Вы можете настроить оповещения на основе данных о событиях журнала, используя правила создания отчетов. Подробнее о том, как работать с правилами создания отчетов и настраивать оповещения
  • Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

    Чтобы эффективнее предотвращать, выявлять и исправлять проблемы с безопасностью, вы можете автоматизировать действия в инструменте "Анализ безопасности" и настроить оповещения с помощью правил активности. Для каждого правила нужно задать условия и указать, какие действия следует выполнять при соблюдении этих условий. Подробнее о том, как создавать правила активности

Действия с результатами поиска

Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Результаты поиска, полученные с помощью инструмента "Анализ безопасности", можно использовать для разных целей. Например, сообщения, найденные при поиске по событиям журнала Gmail, можно удалять, отправлять в карантин или помещать в папки "Входящие" пользователей. Подробнее о том, какие действия можно выполнять с результатами поиска

Как управлять процессом анализа

Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Как посмотреть список анализов

Чтобы посмотреть список анализов, которые вам принадлежат или к которым вам предоставлен доступ, нажмите на значок "Посмотреть список анализов" . В списке указаны названия, описания и владельцы анализов, а также дата их последнего изменения.

На странице со списком можно выполнять действия с любыми принадлежащими вам анализами, например удалять их. Для этого установите флажок рядом с нужным анализом и нажмите Действия.

Примечание. Над списком анализов в разделе Быстрый доступ также отображаются недавно сохраненные результаты анализов.

Как задать настройки анализа

Войдите в систему как суперадминистратор и нажмите на значок "Настройки" . В этом меню можно выполнить следующие действия:

  • Изменить часовой пояс для анализов. Он применяется ко всем условиям и результатам поиска.
  • Включить или отключить параметр Запросить проверку. Подробные сведения о нем можно найти в статье Как включить обязательную проверку массовых действий.
  • Включить или отключить параметр Просмотр контента. С его помощью вы можете предоставить администраторам право просматривать содержимое.
  • Включить или отключить параметр Включить обоснование действия.

Подробные сведения и инструкции приведены в статье Как задавать настройки анализа.

Как копировать анализы, удалять их и предоставлять к ним доступ

Чтобы сохранить параметры поиска или поделиться ими с другими пользователями, вы можете создать и сохранить анализ, а затем предоставить к нему доступ, копировать или удалить его.

Подробную информацию можно найти в статье Как сохранять результаты анализа и предоставлять к ним доступ.

Как использовать события журнала правил, чтобы изучать сообщения Chat

Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Как администратор, вы можете создать правило защиты данных для Chat, чтобы отслеживать и предотвращать возможные утечки конфиденциальных данных. Затем вы можете использовать инструмент "Анализ безопасности", чтобы отслеживать действия сотрудников в Chat, в том числе сообщения и файлы, отправляемые за пределы домена организации. Подробнее о том, как изучать сообщения Chat для защиты корпоративных данных

Как использовать журнал аудита правил для выявления нарушений правил DLP

Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Администраторы могут смотреть в журнале аудита правил фрагменты контента, чтобы определять, действительно ли были нарушены правила DLP или произошло ложное срабатывание. Подробнее о том, как просматривать контент, который активирует правила DLP

Статьи по теме

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
6830541376849509652
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false
false
false