Tworzenie reguł raportowania i zarządzanie nimi

Reguły raportowania mają charakter niestandardowy i umożliwiają konfigurowanie alertów na podstawie danych zdarzeń z dziennika (wcześniej nazywanych dziennikami kontrolnymi), które są wyświetlane na stronie kontroli i analizy zagrożeń.

W tym celu musisz określić warunki reguły i wskazać czynności, które mają być wykonywane po ich spełnieniu. Reguła oznacza po prostu, że jeśli wystąpi x, należy automatycznie wykonać y. Możesz na przykład skonfigurować regułę raportowania, która ostrzega, gdy użytkownik udostępni plik na Dysku w internecie. Możesz też skonfigurować regułę tak, aby otrzymywać e-maile z powiadomieniami i alerty z Centrum alertów po jej wywołaniu.

Podczas tworzenia reguł raportowania pamiętaj o tych kwestiach:

• Możliwość tworzenia i wyświetlania reguł raportowania zależy od wersji Google Workspace i uprawnień administracyjnych. Ponadto tylko administratorzy domen mogą tworzyć reguły raportowania. Szczegółowe informacje znajdziesz w artykule Dostęp administratora do reguł raportowania i reguł związanych z aktywnością.

• Zamiast reguł raportowania administratorzy korzystający z wersji premium Google Workspace, takich jak Enterprise Plus, mogą tworzyć bardziej zaawansowane reguły związane z aktywnością w narzędziu do analizy zagrożeń. Niektórzy administratorzy wersji premium mogą tworzyć reguły raportowania, ale tylko w przypadku określonych źródeł danych. Więcej informacji znajdziesz w artykułe Dostęp administratora do reguł raportowania i reguł związanych z aktywnością oraz w artykule o tworzeniu reguł związanych z aktywnością w narzędziu do analizy zagrożeń.

• Jeśli utworzysz nową regułę raportowania, alerty z Centrum alertów zostaną dla niej domyślnie włączone. Jeśli chcesz włączyć lub wyłączyć alert w przypadku dotychczasowej reguły raportowania, możesz to zrobić w Centrum alertów. Instrukcje znajdziesz w artykule Włączanie i wyłączanie alertów za pomocą reguł.
• Gdy utworzysz lub zaktualizujesz regułę raportowania, na jej wprowadzenie mogą być potrzebne nawet 24 godziny.

Tworzenie reguły raportowania

Reguły raportowania możesz tworzyć na stronie Reguły w konsoli administracyjnej Google. Możesz skonfigurować maksymalnie 50 alertów.

Aby to zrobić:

1. Zaloguj się na konto administratora w Konsola administracyjna Google.

   Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

2. Na stronie głównej w konsoli administracyjnej Google kliknij Reguły  Utwórz regułę  Aktywność.
3. Wpisz Nazwę reguły (np. Udostępnianie danych na zewnątrz).
4. Dodaj Opis (np. Powiadomienie o udostępnieniu dokumentów poza firmę).
5. Kliknij Dalej – wyświetl warunki.
6. Wybierz źródło danych (np. Zdarzenia z dziennika administratora).
7. Kliknij Dodaj filtr.
8. Wybierz jeden z atrybutów filtra, np. Użytkownik, który wykonał czynność, Typ urządzenia lub Zdarzenie.
   Uwaga: pełną listę atrybutów i ich opisów w przypadku poszczególnych źródeł danych znajdziesz w artykule na temat źródeł danych strony kontroli i analizy zagrożeń oraz w artykułach pomocy z listy źródeł danych.
9. Wybierz wartość filtra (np. typ zdarzenia taki jak przeniesienie własności dokumentu lub adres e-mail użytkownika, który wykonał czynność).
   • Do atrybutu możesz dodać tylko 1 wartość. Na przykład do atrybutu Użytkownik może być przypisana tylko 1 osoba. Użyj narzędzia do definiowania warunków, aby dodać operator OR, a następnie dodaj ten sam atrybut z dodatkową wartością.
   • Do reguły możesz dodać wiele filtrów. W tym celu jeszcze raz kliknij Dodaj filtr, wybierz atrybut i wpisz wartość.
10. Kliknij Dalej – dodaj czynności.
11. Określ, czy reguła ma aktywować alert w Centrum alertów.
    Możesz wybrać Małą, Umiarkowaną lub Dużą wagę alertu. Możesz też wybrać opcję wysyłania e-maili z powiadomieniami: zaznacz pole Wszyscy superadministratorzy lub kliknij Dodaj odbiorców e-maila, aby po aktywowaniu reguły wysłać e-maile do wybranych administratorów.
12. Aby sprawdzić lub edytować ustawienia reguły, kliknij Dalej – sprawdź.
13. Kliknij Utwórz regułę.

Uwaga: reguły raportowania nie obsługują warunków połączonych z operatorem OR. Podczas konfigurowania reguły raportowania możesz użyć karty Narzędzie do definiowania warunków, w której filtry są przedstawiane jako warunki z operatorami AND/OR. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.

Wyświetlanie i edytowanie reguł raportowania

Szczegółowe informacje na temat reguły możesz wyświetlać i edytować na stronie Reguły. Możesz też zobaczyć listę wszystkich reguł utworzonych przez administratorów w Twojej domenie. 

Na stronie Reguły możesz:

• filtrować listę reguł, klikając Dodaj filtr;
• wyświetlać i edytować informacje na temat reguły po kliknięciu jej na liście;
• Usuwać reguły.
• tworzyć nowe reguły.

Uwaga: aby tworzyć, wyświetlać lub edytować reguły raportowania, musisz mieć uprawnienie do raportowania.

E-maile z powiadomieniami

Jeśli skonfigurujesz regułę z powiadomieniami e-mail, aktywowanie reguły spowoduje wysłanie e-maili do wskazanych odbiorców. E-mail z powiadomieniem zawiera podsumowanie informacji o regule, której dotyczy alert, w tym jej nazwę, próg, dane źródłowe i inne informacje. Administratorzy, którzy otrzymali takiego e-maila z powiadomieniem, mogą kliknąć Wyświetl alert, aby otworzyć stronę Szczegóły alertu w Centrum alertów.

Pamiętaj, że reguły raportowania można skonfigurować tylko tak, aby wysyłały e-maile do użytkowników wewnętrznych domen. Administratorzy nadal mogą konfigurować zewnętrzne alerty e-mail za pomocą Grup dyskusyjnych Google.

Powiązane artykuły

• Tworzenie reguł i zarządzanie nimi na stronie Reguły
• Tworzenie reguł związanych z aktywnością i zarządzanie nimi
• Dostęp administratora do reguł raportowania i reguł związanych z aktywnością