Как создавать и настраивать правила оповещения

Правила оповещения – это пользовательские правила, позволяющие настроить оповещения на основе событий журнала (ранее – журналы аудита), которые указаны на странице аудита и анализа.

Для каждого правила нужно задать условия и указать, какие действия следует выполнять при соблюдении этих условий. Проще говоря, правило представляет собой инструкцию: если произошло событие А, нужно выполнить действие Б. Например, вы можете создать правило для отправки оповещения, когда пользователь делает файл на Диске видимым в интернете. Вы также можете создать правило для уведомлений по электронной почте и Центра оповещений.

При создании правил оповещения учитывайте следующее:

• Возможность создания и просмотра правил оповещения зависит от используемой версии Google Workspace и ваших прав администратора. Правила создания отчетов могут создавать только администраторы с доменом. Подробную информацию можно найти в статье Доступ с правами администратора к правилам оповещения и правилам активности.

• Администраторы расширенных версий Google Workspace, например Enterprise Plus, вместо правил оповещения могут создавать более сложные правила активности в инструменте "Анализ безопасности". Некоторые администраторы расширенных версий могут создавать правила оповещения, но только для определенных источников данных. Дополнительные сведения приведены в статьях Доступ с правами администратора к правилам оповещения и правилам активности и Как создавать правила активности.

• При добавлении нового правила оповещения для него по умолчанию включена отправка в Центр оповещений. Включить или отключить отправку для существующего правила можно там же. Дополнительные сведения приведены на странице Включение и выключение оповещений с помощью правил.
• Новые и обновленные правила оповещения вступают в силу в течение 24 часов.

Как создать правило оповещения

Вы можете создавать правила оповещения на странице "Правила" в консоли администратора Google. Можно настроить до 50 оповещений.

Выполните указанные ниже действия.

1. Войдите в консоль администратора Google как администратор.

   Войти в консоль администратора можно, только если вы используете аккаунт администратора.

2. На главной странице консоли администратора Google нажмите ПравилаСоздать правилоДействия.
3. Укажите название правила (например, Распространение данных вне организации).
4. Добавьте описание (пример: Уведомлять, когда доступ к документам предоставляется пользователям, не являющимся сотрудниками компании).
5. Нажмите Далее: проверьте условия.
6. Выберите источник данных (например Журнал аудита администратора).
7. Нажмите Добавить фильтр.
8. Задайте для фильтра один из атрибутов (например, Исполнитель, Тип устройства или Событие).
   Примечание. Чтобы увидеть полный список атрибутов и описаний атрибутов для каждого источника данных, перейдите в раздел Источники данных для страницы аудита и анализа и в списке источников данных выберите справочные статьи.
9. Определите значение для фильтра (например, тип события "Передача права собственности на документ" или "Адрес электронной почты исполнителя").
   • Для каждого атрибута можно добавить только одно значение. Например, атрибут "Исполнитель" может обозначать только одного пользователя. Указать несколько значений можно с помощью конструктора условий: добавьте оператор ИЛИ, а затем тот же атрибут с дополнительным значением.
   • Вы можете добавить в правило несколько фильтров. Для этого снова нажмите Добавить фильтр, выберите атрибут и введите значение.
10. Затем нажмите Добавить действия.
11. Выберите, должно ли это правило активировать оповещение в Центре оповещений.
    Вы можете выбрать степень серьезности: высокую, среднюю или низкую. Также можно настроить получение уведомлений по электронной почте. Для этого нужно установить флажок Все суперадминистраторы или нажать Добавить получателей, чтобы при срабатывании правила определенным администраторам высылались уведомления по электронной почте.
12. Чтобы посмотреть или изменить правило, нажмите Проверить правило.
13. Нажмите Создать правило.

Примечание. Правила оповещения не поддерживают условия с оператором ИЛИ. При настройке правила оповещения вы можете использовать вкладку Конструктор условий, где фильтры представлены в виде условий с операторами И. На вкладке Фильтр вы можете ограничить результаты поиска с помощью простых пар параметров и значений.

Как смотреть и изменять правила оповещения

Вы можете посмотреть или изменить правило на странице "Правила". Кроме того, на ней есть список всех правил, которые были созданы администраторами в вашем домене.

На странице "Правила" можно выполнить перечисленные ниже действия.

• Фильтровать список правил, нажимая Добавить фильтр.
• Смотреть и изменять правила, нажимая их.
• Удалять правила.
• Создавать новые правила.

Примечание. Чтобы создать, посмотреть или изменить правило оповещения, вам необходимо соответствующее разрешение.

Уведомления по электронной почте

Если настроить для правила оповещения по электронной почте, при срабатывании правила указанным получателям отправляются электронные письма. В таком уведомлении содержится сводная информация о правиле, которое отправило оповещение, с указанием названия, сведений о пороговом значении, данных источника и прочего. Администраторы, получившие уведомление по электронной почте, могут нажать в письме Посмотреть оповещение, чтобы перейти на нужную страницу в Центре оповещений.

Обратите внимание, что правила оповещения можно настроить только для отправки электронных писем пользователям в домене. Однако администраторы могут настроить оповещения по электронной почте для внешних адресов через Google Группы.

Статьи по теме

• Как изменять правила на странице "Правила" и управлять ими
• Как создавать правила активности с использованием инструмента "Анализ безопасности"
• Доступ с правами администратора к правилам оповещения и правилам активности