Залежно від версії Google Workspace ви можете мати доступ до інструмента "Аналіз безпеки", у якому доступні розширені функції. Наприклад, суперадміністратори можуть виявляти, сортувати й усувати проблеми з безпекою і конфіденційністю. Докладніше
Адміністратори організації можуть шукати події в журналі правил і керувати ними. Наприклад, за допомогою записів про дії можна відстежувати спроби користувача ділитися конфіденційними даними. Також можна переглянути події, спричинені порушенням правил запобігання витокам даних (DLP). Записи про дії користувачів зазвичай з’являються протягом години.
У журналі правил також доступні різні типи даних, які відстежуються за допомогою інструмента Chrome Enterprise Premium threat and data protection.
Як надсилати дані про події в журналі в Google Cloud
Ви можете надати Google Cloud доступ до даних про події. Якщо ввімкнути спільний доступ, дані передаватимуться в Cloud Logging, де ви зможете надсилати запити й переглядати журнали, а також керувати їх маршрутизацією і зберіганням.
Тип даних про події в журналі, які можна надсилати в Google Cloud, залежить від облікового запису Google Workspace, Cloud Identity або Essentials.
Як шукати події в журналі
Можливість виконання пошуку залежить від версії Google, прав адміністратора й джерела даних. Ви можете виконувати пошук усіх користувачів незалежно від їхньої версії Google Workspace.
Щоб знайти події в журналі, спершу виберіть джерело даних, а потім додайте принаймні один фільтр.
-
Увійдіть в Консоль адміністратора Google з даними облікового запису адміністратора.
Без облікового запису з такими правами ви не зможете отримати доступ до Консолі адміністратора.
-
Натисніть значок
Звіти > Аудит і аналіз > Події з журналу правил.
Для цього потрібні права адміністратора для Звітів.
- Натисніть Додати фільтр і виберіть атрибут.
- У спливаючому вікні виберіть оператор
виберіть значення
- (Необов’язково) Щоб створити кілька фільтрів для пошукового запиту, виконайте цей крок потрібну кількість разів.
- (Необов’язково) Щоб додати оператор пошуку, над пунктом Додати фільтр виберіть І чи АБО.
- (Необов’язково) Щоб створити кілька фільтрів для пошукового запиту, виконайте цей крок потрібну кількість разів.
- (Необов’язково) Щоб додати оператор пошуку, над пунктом Додати фільтр виберіть І чи АБО.
- Натисніть Пошук.
-
Підказка. Щоб фільтрувати результати пошуку, на вкладці Фільтр можна включити прості пари параметрів і значень. Крім того, на вкладці Конструктор умов фільтри представлено як умови з операторами І/АБО.
Щоб виконати пошук в інструменті "Аналіз безпеки", спершу виберіть джерело даних. Потім виберіть принаймні одну умову для пошуку. Для кожної умови виберіть атрибут, оператор і значення.
-
Увійдіть в Консоль адміністратора Google з даними облікового запису адміністратора.
Без облікового запису з такими правами ви не зможете отримати доступ до Консолі адміністратора.
-
Натисніть значок
Безпека > Центр безпеки > Інструмент "Аналіз безпеки".
Потрібні права адміністратора в Центрі безпеки.
- Натисніть Джерело даних і виберіть Події з журналу правил.
- Натисніть Додати умову.
Підказка. Ви можете вказати одну чи кілька умов у своєму пошуковому запиті або налаштувати пошук за допомогою вбудованих запитів. Щоб дізнатися більше, перегляньте цю статтю. - Натисніть Атрибут
Повний список атрибутів наведено в розділі Описи атрибутів (далі на цій сторінці). - Виберіть оператор.
- Введіть значення або виберіть значення зі списку.
- (Необов’язково) Щоб додати інші умови пошуку, повторіть кроки 4–7.
- Натисніть Пошук.
Результати пошуку в інструменті "Аналіз безпеки" можна переглянути в таблиці внизу сторінки. - Необов’язково: щоб зберегти аналіз, натисніть значок
Примітки
- На вкладці Конструктор умов фільтри представлено як умови з операторами "І/АБО". Щоб фільтрувати результати пошуку, на вкладці Фільтр можна включити прості пари параметрів і значень.
- Якщо змінити ім’я користувача, пошук за його старим іменем не дасть результатів. Наприклад, якщо [email protected] перейменувати на [email protected], у результатах пошуку не буде подій, пов’язаних із [email protected].
Опис атрибутів
Для цього джерела даних можна використовувати такі атрибути під час пошуку даних про події в журналі:
| Атрибут | Опис | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| Рівень доступу | Рівні доступу, вибрані як умови доступу з урахуванням контексту для цього правила. Рівні доступу застосовуються лише до даних Chrome. Щоб дізнатися більше, перегляньте цю статтю. | ||||||||
| Виконавець | Електронна адреса користувача, який виконав дію. Якщо подія є результатом повторного сканування, укажіть значення Анонімний користувач. | ||||||||
| Назва групи виконавця |
Назва групи виконавця. Щоб дізнатися більше, перегляньте цей розділ. Щоб додати групу до білого списку груп фільтрування, виконайте наведені нижче дії.
|
||||||||
| Організаційний підрозділ виконавця | Організаційний підрозділ, до якого належить виконавець. | ||||||||
| Заблоковані одержувачі | Одержувачі, заблоковані відповідно до активованого правила. | ||||||||
| Умовна дія | Список дій, які можуть активуватися під час доступу користувача, залежно від контекстних умов, налаштованих для правила. | ||||||||
| Ідентифікатор конференції | Ідентифікатор зустрічі, яка стала частиною активації цього правила. | ||||||||
| Ідентифікатор контейнера | Ідентифікатор батьківського контейнера, якому належить ресурс. | ||||||||
| Тип контейнера | Тип батьківського контейнера, до якого належить ресурс (наприклад, група Google Chat або груповий чат) для повідомлень чи вкладених файлів чату. | ||||||||
| Джерело даних | Додаток, у якому було створено ресурс. | ||||||||
| Дата | Дата й час, коли відбулася подія. | ||||||||
| Ідентифікатор детектора | Ідентифікатор відповідного детектора. | ||||||||
| Назва детектора | Назва відповідного детектора, визначеного адміністратором. | ||||||||
| Ідентифікатор пристрою | Ідентифікатор пристрою, на якому було активовано дію. Цей тип даних застосовується до інструмента Chrome Enterprise Premium threat and data protection. | ||||||||
| Тип пристрою | Тип пристрою, указаний в ідентифікаторі. Цей тип даних застосовується до інструмента Chrome Enterprise Premium threat and data protection. | ||||||||
| Подія | Зареєстрована дія події.
* Фрагмент "Дію виконано" в назвах цих подій надалі буде видалено. |
||||||||
| Містить конфіденційний контент | Для активованих правил DLP, пов’язаних із виявленим і зареєстрованим конфіденційним контентом, відображається значення Правда. | ||||||||
| Одержувач* | Користувачі, які отримали доступ до ресурсу. | ||||||||
| Кількість пропущених одержувачів* | Кількість одержувачів, пропущених через перевищення обмеження. | ||||||||
| Ідентифікатор ресурсу | Об’єкт, який було змінено. Для правил DLP інформацію наведено нижче.
|
||||||||
| Власник ресурсу | Власник відсканованого ресурсу, з яким було виконано дію. | ||||||||
| Назва ресурсу | Назва ресурсу, який було змінено. Назва документа для правил DLP. | ||||||||
| Тип ресурсу | Для правил DLP ресурсом є Документ. Для правил DLP у Chat ресурсом є Повідомлення в Chat або Вкладений файл у повідомленні Chat. | ||||||||
| Ідентифікатор правила | Ідентифікатор активованого правила. | ||||||||
| Назва правила | Назва правила, указана адміністратором під час його створення. | ||||||||
| Тип правила | DLP – це значення, указане для правил DLP. | ||||||||
| Тип сканування |
Має наведені нижче значення.
|
||||||||
| Серйозність | Рівень важливості активованого правила. | ||||||||
| Заблокована дія* | Передбачені правилом дії, які було заблоковано. Дія блокується, якщо під час її виконання активується дія з вищим пріоритетом. | ||||||||
| Активатор | Дія, яка призвела до активації правила. | ||||||||
| Активована дія | Перелік вжитих заходів. Значення відсутнє, якщо активується правило, що передбачає лише перевірку. | ||||||||
| IP-адреса клієнта, який активував дію | IP-адреса виконавця, який активував дію. | ||||||||
| Електронна адреса користувача, що виконав дію для активації* | IP-адреса виконавця, який активував дію. | ||||||||
| Дія користувача | Дія, яку намагався виконати користувач, заблокована правилом. |
Примітка. Якщо змінити ім’я користувача, пошук за його старим іменем не дасть результатів. Наприклад, якщо [email protected] перейменувати на [email protected], у результатах пошуку не буде подій, пов’язаних із [email protected].
Як керувати даними про події в журналі
Як керувати стовпцями даних у результатах пошуку
Ви можете вибрати, які стовпці даних показуватимуться в результатах пошуку.
- У верхньому правому куті таблиці з результатами пошуку натисніть значок
.
- (Необов’язково) Щоб вилучити поточні стовпці, натисніть значок
.
- (Необов’язково) Щоб додати стовпці, поруч з опцією Додати новий стовпець натисніть значок
і виберіть стовпець даних.
За потреби виконайте ці кроки ще раз. - (Необов’язково) Щоб змінити порядок стовпців, перетягніть назви стовпців даних.
- Натисніть Зберегти.
Як експортувати дані результатів пошуку
Результати пошуку можна експортувати в Google Таблиці або файл CSV.
- Угорі таблиці з результатами пошуку натисніть Експортувати все.
- Введіть назву
Експорт даних відображається під таблицею з результатами пошуку Результати експорту дій. - Щоб переглянути дані, натисніть назву експорту.
Після цього відкриється сервіс Google Таблиці.
На експорт накладаються різні обмеження.
- Усього можна експортувати не більше ніж 100 000 рядків (за винятком пошукових запитів у Gmail, які мають обмеження до 10 000 рядків).
- Ця функція підтримується для таких версій: Frontline Standard і Frontline Plus; Enterprise Standard і Enterprise Plus; Education Standard і Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Порівняти свою версію з іншими
Якщо ви користуєтесь інструментом аналізу безпеки, загальна кількість результатів експорту обмежується 30 мільйонами рядків (за винятком пошукових запитів у Gmail, які мають обмеження до 10 000 рядків).
Щоб дізнатися більше, перегляньте статтю про те, як експортувати результати пошуку.
Коли дані стануть доступними й на який строк
Які дії можна виконувати на основі результатів пошуку
- Ви можете налаштувати сповіщення на основі даних про події в журналі за допомогою правил звітування. Вказівки можна переглянути в цій статті.
- Ця функція підтримується для таких версій: Frontline Standard і Frontline Plus; Enterprise Standard і Enterprise Plus; Education Standard і Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Порівняти свою версію з іншими
Щоб ефективніше виявляти й усувати проблеми з безпекою, а також запобігати їм, ви можете автоматизувати дії в інструменті "Аналіз безпеки", створивши правила для дій. Щоб налаштувати правило, задайте для нього умови, а потім укажіть, які дії слід виконувати за їх дотримання. Детальну інформацію і вказівки можна переглянути в цій статті.
Ця функція підтримується для таких версій: Frontline Standard і Frontline Plus; Enterprise Standard і Enterprise Plus; Education Standard і Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Порівняти свою версію з іншими
Результати пошуку, отримані за допомогою інструмента "Аналіз безпеки", можна використовувати для різних цілей. Наприклад, ви можете виконати пошук на основі подій у журналі Gmail, а потім за допомогою інструмента видалити певні повідомлення, перемістити їх у карантин або надіслати користувачам у папки "Вхідні". Щоб дізнатися більше про дії, які можна виконувати на основі результатів пошуку, перегляньте цю статтю.
Як керувати аналізами
Ця функція підтримується для таких версій: Frontline Standard і Frontline Plus; Enterprise Standard і Enterprise Plus; Education Standard і Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Порівняти свою версію з іншими
Як переглянути список результатів аналізівЩоб переглянути список результатів аналізів, які належать вам або до яких вам надали доступ, натисніть значок . Цей список містить назви, описи й імена власників результатів аналізів, а також дату їх останньої зміни.
На сторінці зі списком можна виконувати дії з будь-якими аналізами, які вам належать (наприклад, видаляти їх). Поставте прапорець біля потрібного аналізу й натисніть Дії.
Примітка. Нещодавно збережені результати аналізів можна переглянути безпосередньо над їх списком у розділі Швидкий доступ.
Увійдіть у систему як суперадміністратор і натисніть значок . У цьому меню можна виконати наведені нижче дії.
- Змінити часовий пояс для аналізів. Часовий пояс застосовується до умов і результатів пошуку.
- Увімкнути чи вимкнути параметр Запит на перевірку. Щоб дізнатися більше про перевірку масових дій, перегляньте цю статтю.
- Увімкнути чи вимкнути параметр Перегляд контенту. Завдяки цьому налаштуванню адміністратори з відповідними правами матимуть змогу переглядати контент.
- Увімкнути чи вимкнути параметр Увімкніть обґрунтування дії.
Вказівки й докладні відомості про налаштування параметрів для проведення аналізів наведено в цій статті.
Щоб зберегти критерії пошуку або поділитися ними з іншими користувачами, ви можете створити аналіз, зберегти його результати, а потім копіювати чи видалити його або поділитися ним з іншими.
Дізнатися більше про зазначені вище дії ви можете в цій статті.
Як аналізувати повідомлення в Chat за допомогою подій із журналу правил
Адміністратор можете створити правило захисту даних для Chat, щоб відстежувати витоки конфіденційної інформації і запобігати їм. Після цього ви можете використовувати інструмент аналізу безпеки, щоб відстежувати дії працівників у Chat, зокрема повідомлення й файли, що надсилаються за межі домену організації. Щоб дізнатися більше, перегляньте статтю Як аналізувати повідомлення в Chat із метою захисту даних організації.
Як аналізувати порушення правил DLP за допомогою подій із журналу правил
Адміністратори можуть переглядати фрагменти DLP (запобігання витокам даних), щоб визначати, чи дійсно було порушено правила DLP, чи сталася помилка під час роботи. Докладніше про те, як переглядати контент, що активує правила DLP.
