Logboekgebeurtenissen voor toegangsevaluatie

Zie hoe clientapplicaties toegang krijgen tot gebruikersgegevens.

Afhankelijk van uw Google Workspace-editie hebt u mogelijk toegang tot de tool voor beveiligingsonderzoek, die geavanceerdere functies biedt. Superbeheerders kunnen bijvoorbeeld beveiligings- en privacyproblemen identificeren, prioriteren en oplossen. Lees meer

Als beheerder van uw organisatie kunt u gebeurtenissen in het logboek 'Toegangsevaluatie' gebruiken om te begrijpen hoe de verschillende beveiligingsbeleidsregels in Google Workspace van invloed zijn op de toegang van gebruikers tot apps van derden en apps die eigendom zijn van Google. Een organisatie kan bijvoorbeeld meerdere OAuth-beleidsregels hebben die de toegang tot apps regelen op basis van verschillende regels. Een organisatie kan ook beleidsregels hebben die de toegang tot bepaalde services blokkeren of toestaan, of sessiebindingsbeleidsregels, zoals apparaatgebonden sessiereferenties (DBSC), die beschermen tegen diefstal van cookies. Gebeurtenissen in het logboek 'Toegangsevaluatie' tonen de beleidsregels die van invloed zijn op de gebruikerstoegang, of de toegang is verleend of geweigerd en hoe die beslissingen zijn genomen. U kunt deze informatie gebruiken om het beveiligingsbeleid en de configuratie van uw organisatie te controleren en aan te passen.

Voer een zoekopdracht uit naar logboekgebeurtenissen.

Of u een zoekopdracht kunt uitvoeren, hangt af van uw Google-editie, uw beheerdersrechten en de gegevensbron. U kunt een zoekopdracht uitvoeren voor alle gebruikers, ongeacht hun Google Workspace-editie.

Audit- en onderzoekstool

Om naar logboekgebeurtenissen te zoeken, kiest u eerst een gegevensbron. Selecteer vervolgens een of meer filters voor uw zoekopdracht.

  1. Ga in de Google Admin-console naar Menu. en dan Rapportage en dan Audit en onderzoek en dan Toegang tot evaluatielogboekgebeurtenissen .

    Hiervoor is beheerdersrechten voor rapporten vereist.

  2. Om gebeurtenissen te filteren die vóór of na een specifieke datum hebben plaatsgevonden, selecteert u bij Datum de optie Vóór of Na . Standaard worden gebeurtenissen van de afgelopen 7 dagen weergegeven. U kunt een ander datumbereik selecteren of klikken op om het datumfilter te verwijderen.

  3. Klik op ' Een filter toevoegen'. en dan Selecteer een kenmerk. Om bijvoorbeeld te filteren op een specifiek gebeurtenistype, selecteer je Gebeurtenis .
  4. Selecteer een operator en dan selecteer een waarde en dan Klik op Toepassen .
    • (Optioneel) Om meerdere filters voor uw zoekopdracht te maken, herhaalt u deze stap.
    • (Optioneel) Om een ​​zoekoperator toe te voegen, selecteer je boven ' Een filter toevoegen ' de optie 'EN' of 'OF' .
  5. Klik op Zoeken . Opmerking : Via het tabblad Filter kunt u eenvoudige parameter-waardeparen gebruiken om de zoekresultaten te filteren. U kunt ook het tabblad Voorwaarden gebruiken, waar de filters worden weergegeven als voorwaarden met AND/OR-operatoren.

Beveiligingsonderzoekstool

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Om een ​​zoekopdracht uit te voeren in de beveiligingsonderzoekstool, kiest u eerst een gegevensbron. Kies vervolgens een of meer voorwaarden voor uw zoekopdracht. Kies voor elke voorwaarde een kenmerk , een operator en een waarde .

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Beveiligingscentrum en dan Onderzoeksinstrument .

    Hiervoor is beheerdersrechten voor het beveiligingscentrum vereist.

  2. Klik op Gegevensbron en selecteer Gebeurtenissen in het evaluatielogboek .

  3. Om gebeurtenissen te filteren die vóór of na een specifieke datum hebben plaatsgevonden, selecteert u bij Datum de optie Vóór of Na . Standaard worden gebeurtenissen van de afgelopen 7 dagen weergegeven. U kunt een ander datumbereik selecteren of klikken op om het datumfilter te verwijderen.

  4. Klik op Voorwaarde toevoegen .
    Tip : U kunt een of meer voorwaarden in uw zoekopdracht opnemen of uw zoekopdracht aanpassen met geneste query's . Zie ' Uw zoekopdracht aanpassen met geneste query's' voor meer informatie.
  5. Klikkenmerk en dan Selecteer een optie. Om bijvoorbeeld te filteren op een specifiek gebeurtenistype, selecteer je Gebeurtenis .
    Voor een volledige lijst met kenmerken, ga naar het gedeelte 'Beschrijvingen van kenmerken' .
  6. Selecteer een operator.
  7. Voer een waarde in of selecteer een waarde uit de lijst.
  8. (Optioneel) Om meer zoekcriteria toe te voegen, herhaalt u de stappen.
  9. Klik op Zoeken .
    Je kunt de zoekresultaten van de onderzoekstool in een tabel onderaan de pagina bekijken.
  10. (Optioneel) Om uw onderzoek op te slaan, klikt u op Opslaan. en dan Voer een titel en beschrijving in. en dan Klik op Opslaan .

Notities

  • In het tabblad 'Voorwaardenbouwer' worden filters weergegeven als voorwaarden met AND/OR-operatoren. U kunt ook het tabblad 'Filter' gebruiken om eenvoudige parameter-waardeparen op te nemen en zo de zoekresultaten te filteren.
  • Als u een gebruiker een nieuwe naam geeft, ziet u geen zoekresultaten meer met de oude naam van de gebruiker. Als u bijvoorbeeld OldName@example.com hernoemt naar NewName@example.com , ziet u geen resultaten meer voor gebeurtenissen die gerelateerd zijn aan OldName@example.com .
  • Je kunt alleen zoeken in berichten die nog niet uit de prullenbak zijn verwijderd.

Attribuutbeschrijvingen

Uw organisatie kan meerdere beveiligingsbeleidsregels uit verschillende bronnen hebben die van invloed zijn op de gebruikerstoegang. Logboeken voor toegangsbeoordeling helpen u inzicht te krijgen in het gecombineerde gedrag van deze beleidsregels en welke specifieke beleidsregels u mogelijk wilt wijzigen.

Als bijvoorbeeld onbevoegde gebruikers toegang proberen te krijgen tot een berichtenapp, helpen gebeurtenissen in het toegangsevaluatielogboek u te begrijpen welke beleidsregels worden gebruikt. Als u een beleidsregel wijzigt, tonen de logboekgebeurtenissen het resultaat van die wijziging.

U kunt ook gebeurtenissen uit het Access Evaluation-logboek gebruiken om de beveiligingsstatus van uw organisatie te onderzoeken. Bijvoorbeeld:

  • Monitor verdachte activiteiten: U kunt de logboeken gebruiken om verdachte activiteiten te monitoren, zoals pogingen om toegang te krijgen tot gevoelige gegevens of toegang vanaf verboden locaties.
  • Controleer de beveiligingsstatus van uw organisatie: U kunt de logboeken gebruiken om de beveiligingsstatus van uw organisatie te controleren en ervoor te zorgen dat uw gegevens beschermd zijn.
  • Onderzoek sessieonderbrekingen: Gebruik de logboeken om te bepalen of een gebruiker wordt uitgelogd omdat zijn sessie niet veilig aan zijn apparaat kon worden gekoppeld.

Er wordt een logboekvermelding aangemaakt voor de eerste gebeurtenis binnen een periode van 24 uur. Dubbele gebeurtenissen met dezelfde informatie worden pas na 24 uur geregistreerd. Als er bijvoorbeeld een vermelding met Gebruiker1, Client1 en IP1 plaatsvindt op tijdstip X, worden dubbele gebeurtenissen met dezelfde informatie pas na 24 uur geregistreerd.

Opmerking : Elk logboekitem kan (een deel van) de volgende informatie bevatten, maar niet alle informatie. Het veld voor het serviceaccount is bijvoorbeeld doorgaans leeg, tenzij de toegang wordt uitgevoerd door een serviceaccount.

Kolomnaam Opmerkingen Voorbeeld
Evenement Naam van het evenement
  • Verzoek om toegangstoken (wanneer een OAuth-token succesvol is uitgegeven)
  • Sta tokenimitatie toe (wanneer toegang via een serviceaccount verloopt)
  • Toestaan ​​van cookievalidatieverzoek (wanneer de aan een cookie gekoppelde referenties met succes worden gevalideerd aan de hand van het beveiligingsbeleid tijdens de toegang tot de applicatie)
  • Verzoek tot cookievalidatie geweigerd (wanneer de toegang wordt geweigerd omdat de aan DBSC gekoppelde cookie niet kon worden gevalideerd)
Beschrijving Beschrijving van het evenement

Voor gebeurtenissen zoals 'Verzoek om cookievalidatie geweigerd' klikt u op de link om de specifieke redenen voor de fout te bekijken. Om de resultaten beknopt te houden, wordt er slechts één gebeurtenis per gebruiker per uur geregistreerd.		 Toegangsverzoeken voor Voornaam Achternaam tot Mijnapp voor bepaalde scopes zijn toegestaan.

De validatie van de cookie met voornaam en achternaam is niet toegestaan ​​vanwege een fout (voor gebeurtenissen waarbij de cookievalidatie is geweigerd).
Datum Datum en tijd waarop het verzoek is beoordeeld 2022-08-11T10:00:53-07:00
Status van de gebeurtenis Status van het evenement Afgewezen — Het verzoek werd geblokkeerd door DBSC.
Klik op de status om de redenen voor de storing in een zijpaneel te bekijken.
Acteur E-mailadres van de gebruiker voor wie de evaluatie is aangevraagd en goedgekeurd. firstlast@sample-win.info
Applicatienaam Naam van de applicatie die wordt geopend Reddit
IP-adres IP-adres van waaruit de gebruiker de toegangsevaluatie heeft aangevraagd 2601:600:8780:19d0:925:e630:d20e:b1cc

IP ASN

Je moet deze kolom toevoegen aan de zoekresultaten. Zie 'Kolomgegevens van zoekresultaten beheren' voor de stappen .

Het IP-autonoom systeemnummer (ASN), de onderverdeling en de regio die aan de logboekvermelding zijn gekoppeld.

Om het IP-adres, het ASN en de regiocode (subdivisie en regio) te bekijken waar de activiteit plaatsvond, klikt u op de naam in de zoekresultaten.

IP ASN: 12345

Onderverdelingscode: IN-KA

Regiocode: IN

OAuth-client-ID

Client-ID van de applicatie waarvoor de toegang is geëvalueerd

Opmerking : Dit attribuut is alleen van toepassing op de gebeurtenissen 'Access Token Request' en 'Allow Token Impersonation'.

 705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com
Domein

Omvang waarvoor het verzoek is ingewilligd

Opmerking : Informatie over het OAuth-bereik wordt niet weergegeven voor apps die eigendom zijn van Google.

 https://www.googleapis.com/auth/userinfo.email, https://www.googleapis.com/auth/userinfo.profile, openid
Configuratiebron

Beschrijft of een client-ID was toegestaan ​​vanwege een Google Workspace-beleid dat gebruikers expliciet toegang gaf tot deze applicatie-ID.

Opmerking : Dit attribuut is alleen van toepassing op de gebeurtenissen 'Access Token Request' en 'Allow Token Impersonation'.

 Zie voor meer informatie de beschrijvingen van de configuratiebronnen verderop op deze pagina.
Klanttype

Type applicatie waarvoor toegang werd beoordeeld

Opmerking : Dit attribuut is alleen van toepassing op de gebeurtenissen 'Access Token Request' en 'Allow Token Impersonation'.

 Web, Android, iOS, enz.
Serviceaccount

Het e-mailadres van het serviceaccount, indien dit is gebruikt om zich voor te doen als een andere gebruiker.

Opmerking : Dit kenmerk is alleen van toepassing op gebeurtenissen waarbij tokenimitatie is toegestaan.

 abc-alpha@gserviceaccount.com

Beschrijvingen van configuratiebronnen

De configuratiebron beschrijft of een client-ID was toegestaan ​​vanwege een Google Workspace-beleid dat gebruikers expliciet toegang gaf tot de applicatie-ID.

Opmerking : Deze scenario's zijn alleen van toepassing op OAuth-gerelateerde toegangsverzoeken voor tokens of toegangsgebeurtenissen waarbij tokens worden geïmpersoneerd.

Scenario Beschrijving
Geen app-configuratie

Toegang werd verleend omdat beheerders geen beleid hebben ingesteld via API Controls dat de toegang tot de client-ID blokkeert.

Om blokkeringsbeleid toe te voegen, ga naar Bepalen welke apps toegang hebben tot Google Workspace-gegevens .

API-besturingselementen configuratie

Toegang werd verleend omdat de applicatie vertrouwd was of beperkt werd door een beleid met behulp van API-controls.

Ga voor meer informatie naar Bepalen welke apps toegang hebben tot Google Workspace-gegevens .

Configuratie van eindpuntbeheer

Toegang werd verleend omdat de applicatie vertrouwd was of beperkt werd door een beleid dat gebruikmaakt van Google-eindpuntbeheer.

Ga voor meer informatie naar Overzicht: Apparaten beheren met Google Endpoint Management.

Configuratie van de Workspace Marketplace

Toegang werd verleend omdat de applicatie was geïnstalleerd via de Google Workspace Marketplace.

Ga voor meer informatie naar Een app zoeken en installeren in de Marketplace .

Domeinbrede delegatieconfiguratie

Toegang werd verleend omdat deze applicatie domeinbreed was gedelegeerd.

Zie voor meer informatie: API-toegang beheren met domeinbrede delegatie

Beheer logboekgebeurtenisgegevens

Gegevens van de kolom met zoekresultaten beheren

Je kunt zelf bepalen welke gegevenskolommen in je zoekresultaten worden weergegeven.

  1. Klik rechtsboven in de tabel met zoekresultaten op Kolommen beheren. .
  2. (Optioneel) Om de huidige kolommen te verwijderen, klikt u op Verwijderen. .
  3. (Optioneel) Om kolommen toe te voegen, klikt u naast 'Nieuwe kolom toevoegen ' op de pijl naar beneden. en selecteer de gegevenskolom.
    Herhaal indien nodig.
  4. (Optioneel) Om de volgorde van de kolommen te wijzigen, sleept u de namen van de gegevenskolommen.
  5. Klik op Opslaan .

Exporteer zoekresultatengegevens

Je kunt zoekresultaten exporteren naar Google Sheets of naar een CSV-bestand.

  1. Klik bovenaan in de tabel met zoekresultaten op Alles exporteren .
  2. Voer een naam in en dan Klik op Exporteren .
    De export wordt onder de zoekresultatentabel weergegeven, onder ' Exportactieresultaten' .
  3. Om de gegevens te bekijken, klikt u op de naam van uw export.
    Het exportbestand wordt geopend in Google Sheets.

Exportlimieten variëren:

  • De totale resultaten van de export zijn beperkt tot 100.000 rijen.
  • Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

    Als u de tool voor beveiligingsonderzoek hebt, zijn de totale resultaten van de export beperkt tot 30 miljoen rijen.

Ga voor meer informatie naar Zoekresultaten exporteren .

Wanneer en hoe lang zijn de gegevens beschikbaar?

Onderneem actie op basis van de zoekresultaten.

Maak activiteitsregels aan en stel waarschuwingen in.

  • U kunt waarschuwingen instellen op basis van logboekgebeurtenisgegevens met behulp van rapportageregels. Zie Rapportageregels maken en beheren voor instructies.
  • Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

    Om beveiligingsproblemen efficiënt te voorkomen, op te sporen en op te lossen, kunt u acties in de tool voor beveiligingsonderzoek automatiseren en waarschuwingen instellen door activiteitsregels te maken. Om een ​​regel in te stellen, definieert u de voorwaarden voor de regel en specificeert u vervolgens de acties die moeten worden uitgevoerd wanneer aan de voorwaarden is voldaan. Ga voor meer informatie naar Activiteitsregels maken en beheren .

Onderneem actie op basis van de zoekresultaten.

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Nadat u een zoekopdracht hebt uitgevoerd in de tool voor beveiligingsonderzoek, kunt u actie ondernemen op basis van de zoekresultaten. U kunt bijvoorbeeld een zoekopdracht uitvoeren op basis van gebeurtenissen in het Gmail-logboek en vervolgens de tool gebruiken om specifieke berichten te verwijderen, berichten in quarantaine te plaatsen of berichten naar de inbox van gebruikers te sturen. Ga naar Actie ondernemen op basis van zoekresultaten voor meer informatie.

Beheer uw onderzoeken

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Bekijk uw lijst met onderzoeken

Om een ​​lijst te bekijken van de onderzoeken die u bezit en die met u zijn gedeeld, klikt u op 'Onderzoeken bekijken'. De lijst met onderzoeken bevat de namen, beschrijvingen en eigenaren van de onderzoeken, en de datum van de laatste wijziging.

Vanuit deze lijst kunt u acties uitvoeren op alle onderzoeken die u beheert, bijvoorbeeld een onderzoek verwijderen. Vink het vakje van een onderzoek aan en klik vervolgens op Acties .

Opmerking : U kunt uw opgeslagen onderzoeken bekijken onder Snelle toegang , direct boven uw lijst met onderzoeken.

Configureer de instellingen voor uw onderzoeken.

Als superbeheerder klikt u op Instellingen. naar:

  • Wijzig de tijdzone voor uw zoekopdrachten. De tijdzone is van invloed op de zoekvoorwaarden en -resultaten.
  • Schakel de optie 'Reviewer vereisen' in of uit. Ga naar 'Reviewers vereisen voor bulkacties' voor meer informatie.
  • Schakel 'Inhoud weergeven' in of uit. Met deze instelling kunnen beheerders met de juiste rechten de inhoud bekijken.
  • Schakel de actierechtvaardiging in of uit.

Ga voor meer informatie naar Instellingen configureren voor uw onderzoeken .

Onderzoeken opslaan, delen, verwijderen en dupliceren

Om je zoekcriteria op te slaan of met anderen te delen, kun je een zoekopdracht aanmaken en opslaan, en deze vervolgens delen, dupliceren of verwijderen.

Ga voor meer informatie naar Onderzoeken opslaan, delen, verwijderen en dupliceren .