Åtkomst till utvärderingslogghändelser

Se hur klientprogram får åtkomst till användardata

Beroende på vilken Google Workspace-utgåva du har kan du ha tillgång till säkerhetsutredningsverktyget, som har mer avancerade funktioner. Till exempel kan avancerade administratörer identifiera, prioritera och vidta åtgärder mot säkerhets- och integritetsproblem. Läs mer

Som organisationsadministratör kan du använda logghändelser för åtkomstutvärdering för att förstå hur de olika säkerhetspolicyerna i Google Workspace påverkar användaråtkomsten till tredjepartsappar och Google-ägda appar. Till exempel kan en organisation ha flera OAuth-policyer som styr appåtkomst baserat på olika regler. En organisation kan också ha policyer som förhindrar eller tillåter åtkomst till vissa tjänster eller sessionsbindande policyer, till exempel Device Bound Session Credentials (DBSC), som skyddar mot cookiestöld. Logghändelser för åtkomstutvärdering visar de policyer som påverkar användaråtkomsten, om åtkomst beviljades eller nekades och hur dessa beslut fattades. Du kan använda den här informationen för att granska och revidera organisationens säkerhetspolicyer och konfiguration.

Kör en sökning efter logghändelser

Din möjlighet att köra en sökning beror på din Google-utgåva, dina administratörsbehörigheter och datakällan. Du kan köra en sökning på alla användare, oavsett deras Google Workspace-utgåva.

Revisions- och utredningsverktyg

För att söka efter logghändelser, välj först en datakälla. Välj sedan ett eller flera filter för din sökning.

  1. I Googles administratörskonsol, gå till Meny och sedan Rapportering och sedan Revision och utredning och sedan Åtkomst till utvärderingslogghändelser .

    Kräver administratörsrättigheten Rapporter .

  2. För att filtrera händelser som inträffade före eller efter ett specifikt datum, välj Före eller Efter för Datum . Som standard visas händelser från de senaste 7 dagarna. Du kan välja ett annat datumintervall eller klicka på för att ta bort datumfiltret.

  3. Klicka på Lägg till ett filter och sedan välj ett attribut. Om du till exempel vill filtrera efter en specifik händelsetyp väljer du Händelse .
  4. Välj en operator och sedan välj ett värde och sedan klicka på Verkställ .
    • (Valfritt) Upprepa det här steget om du vill skapa flera filter för din sökning.
    • (Valfritt) För att lägga till en sökoperator, välj OCH eller ELLER ovanför Lägg till ett filter .
  5. Klicka på Sök . Obs ! Med hjälp av fliken Filter kan du inkludera enkla parameter- och värdepar för att filtrera sökresultaten. Du kan också använda fliken Villkorsbyggare , där filtren representeras som villkor med OCH/ELLER-operatorer.

Verktyg för säkerhetsutredning

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

För att köra en sökning i säkerhetsutredningsverktyget, välj först en datakälla. Välj sedan ett eller flera villkor för din sökning. För varje villkor väljer du ett attribut , en operator och ett värde .

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Säkerhetscenter och sedan Utredningsverktyg .

    Kräver administratörsbehörighet i säkerhetscenter .

  2. Klicka på Datakälla och välj Åtkomst till utvärderingslogghändelser .

  3. För att filtrera händelser som inträffade före eller efter ett specifikt datum, välj Före eller Efter för Datum . Som standard visas händelser från de senaste 7 dagarna. Du kan välja ett annat datumintervall eller klicka på för att ta bort datumfiltret.

  4. Klicka på Lägg till villkor .
    Tips : Du kan inkludera ett eller flera villkor i din sökning eller anpassa din sökning med kapslade frågor . För mer information, gå till Anpassa din sökning med kapslade frågor .
  5. Klickattribut och sedan Välj ett alternativ. Om du till exempel vill filtrera efter en specifik händelsetyp väljer du Händelse .
    För en komplett lista över attribut, gå till avsnittet Attributbeskrivningar .
  6. Välj en operator.
  7. Ange ett värde eller välj ett värde från listan.
  8. (Valfritt) Upprepa stegen om du vill lägga till fler sökvillkor.
  9. Klicka på Sök .
    Du kan granska sökresultaten från undersökningsverktyget i en tabell längst ner på sidan.
  10. (Valfritt) För att spara din undersökning, klicka på Spara och sedan ange en titel och beskrivning och sedan klicka på Spara .

Anteckningar

  • På fliken Villkorsbyggare representeras filter som villkor med OCH/ELLER-operatorer. Du kan också använda fliken Filter för att inkludera enkla parameter- och värdepar för att filtrera sökresultaten.
  • Om du ger en användare ett nytt namn kommer du inte att se frågeresultat med användarens gamla namn. Om du till exempel byter namn på GammaltNamn@example.com till NyttNamn@example.com kommer du inte att se resultat för händelser relaterade till GammaltNamn@example.com .
  • Du kan bara söka efter data i meddelanden som ännu inte har raderats från papperskorgen.

Attributbeskrivningar

Din organisation kan ha flera säkerhetspolicyer från olika källor som påverkar användaråtkomsten. Åtkomstutvärderingsloggar hjälper dig att förstå det kombinerade beteendet hos dessa policyer och vilka specifika policyer du kan vilja ändra.

Om till exempel obehöriga användare använder en meddelandeapp, hjälper logghändelser i åtkomstutvärderingen dig att förstå vilka policyer som används. Om du ändrar en policy visar logghändelserna resultatet av den ändringen.

Du kan också använda händelser i loggförteckningen för åtkomstutvärdering för att undersöka organisationens säkerhetsstatus. Till exempel:

  • Övervaka misstänkt aktivitet: Du kan använda loggarna för att övervaka misstänkt aktivitet, till exempel försök att komma åt känsliga data eller åtkomst från otillåtna platser.
  • Granska organisationens säkerhetsstatus: Du kan använda loggarna för att granska organisationens säkerhetsstatus och säkerställa att dina data är skyddade.
  • Undersök sessionsavbrott: Använd loggarna för att avgöra om en användare loggas ut eftersom deras session inte kunde kopplas säkert till enheten.

En loggpost skapas för den första händelsen inom en 24-timmarsperiod. Dubbletter av händelser med samma information loggas inte förrän 24 timmar har gått. Om till exempel en post med Användare1, Klient1 och IP1 inträffar vid tidpunkten X, loggas inte dubbletter av händelser med samma information förrän 24 timmar har gått.

Obs ! Varje loggpost kan innehålla en del av följande information, men inte all. Till exempel är fältet för servicekonto vanligtvis tomt om inte åtkomst utförs av ett servicekonto.

Kolumnnamn Kommentarer Exempel
Händelse Händelsenamn
  • Begäran om åtkomsttoken (när en OAuth-token har utfärdats)
  • Tillåt tokenimitation (när åtkomst sker via ett tjänstkonto)
  • Tillåt begäran om cookievalidering (när inloggningsuppgifter som är kopplade till en cookie har validerats mot säkerhetspolicyer under programåtkomst)
  • Neka begäran om cookievalidering (när åtkomst nekas eftersom den DBSC-bundna cookien inte kunde valideras)
Beskrivning Beskrivning av händelsen

För händelser som avvisar begäran om validering av cookies, klicka på länken för att se specifika orsaker till felet. För att hålla resultaten koncisa registreras endast en händelse per användare varje timme.		 Åtkomstbegäran till Min app för vissa omfång är tillåten för FirstName LastName

Förnamn Efternamn cookievalideringsbegäran tilläts inte på grund av fel (för händelser som nekar cookievalideringsbegäran)
Datum Datum och tid då begäran utvärderades 2022-08-11T10:00:53-07:00
Händelsestatus Händelsens status Nekad — Begäran blockerades av DBSC.
Klicka på statusen för att granska orsakerna till felet i en sidopanel.
Skådespelare Användarens e-postadress för vilken utvärderingen begärdes och godkändes firstlast@sample-win.info
Applikationsnamn Namn på applikationen som används Reddit
IP-adress IP-adress från vilken användaren begärde åtkomstutvärdering 2601:600:8780:19d0:925:e630:d20e:b1cc

IP-ASN

Du måste lägga till den här kolumnen i sökresultaten. För stegen, gå till Hantera kolumndata för sökresultat .

IP-nummer för autonomt system (ASN), underavdelning och region som är associerad med loggposten.

För att granska IP-ASN och underavdelnings- och regionkod där aktiviteten inträffade klickar du på namnet i sökresultaten.

IP-ASN: 12345

Underavdelningskod: IN-KA

Regionskod: IN

OAuth-klient-ID

Klient-ID för den applikation som åtkomst utvärderades för

Obs ! Det här attributet gäller endast för händelserna Access Token Request och Allow Token Personification.

 705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com
Omfattning

Omfattning för vilken begäran beviljades

Obs ! Information om OAuth-omfattning visas inte för Google-ägda appar.

 https://www.googleapis.com/auth/userinfo.email, https://www.googleapis.com/auth/userinfo.profile, öppen-ID
Konfigurationskälla

Beskriver om ett klient-ID tilläts på grund av en Google Workspace-policy som uttryckligen tillät användaren åtkomst till detta applikations-ID.

Obs ! Det här attributet gäller endast för händelserna Access Token Request och Allow Token Personification.

 För mer information, gå till Beskrivningar av konfigurationskällor senare på den här sidan.
Klienttyp

Typ av applikation för vilken åtkomst utvärderades

Obs ! Det här attributet gäller endast för händelserna Access Token Request och Allow Token Personification.

 Webb, Android, iOS, etc.
Servicekonto

E-postadress för tjänstkontot om den användes för att utge sig för att vara en användare

Obs ! Det här attributet gäller endast för händelser av typen Tillåt tokenimitation.

 abc-alpha@gserviceaccount.com

Beskrivningar av konfigurationskällor

Konfigurationskällan beskriver om ett klient-ID tilläts på grund av en Google Workspace-policy som uttryckligen tillät användaren åtkomst till applikations-ID:t.

Obs ! Dessa scenarier gäller endast för OAuth-relaterade åtkomsthändelser av typen Access Token Request eller Allow Token Personification.

Scenario Beskrivning
Ingen appkonfiguration

Åtkomst tilläts eftersom administratörer inte har ställt in någon policy med API-kontroller som blockerar åtkomst till klient-ID:t.

Om du vill lägga till blockeringspolicyer går du till Styr vilka appar som har åtkomst till Google Workspace-data .

API-kontrollernas konfiguration

Åtkomst tilläts eftersom programmet var betrott eller begränsat i en policy som använder API-kontroller.

Mer information finns i Kontrollera vilka appar som har åtkomst till Google Workspace-data .

Konfiguration av slutpunktshantering

Åtkomst tilläts eftersom appen var betrodd eller begränsad i en policy som använder Googles slutpunktshantering.

För mer information, gå till Översikt: Hantera enheter med Googles slutpunktshantering

Konfiguration av Workspace Marketplace

Åtkomst tilläts eftersom appen installerades i Google Workspace Marketplace.

För mer information, gå till Hitta och installera en app i Marketplace .

Domänomfattande delegeringskonfiguration

Åtkomst tilläts eftersom den här applikationen delegerades till hela domänen.

För mer information, gå till Kontrollera API-åtkomst med domänomfattande delegering

Hantera logghändelsedata

Hantera data i sökresultatskolumnen

Du kan styra vilka datakolumner som visas i dina sökresultat.

  1. Klicka på Hantera kolumner längst upp till höger i sökresultatstabellen. .
  2. (Valfritt) Om du vill ta bort aktuella kolumner klickar du på Ta bort .
  3. (Valfritt) För att lägga till kolumner, klicka på nedåtpilen bredvid Lägg till ny kolumn och välj datakolumnen.
    Upprepa vid behov.
  4. (Valfritt) Om du vill ändra ordningen på kolumnerna drar du datakolumnnamnen.
  5. Klicka på Spara .

Exportera sökresultatdata

Du kan exportera sökresultat till Kalkylark eller till en CSV-fil.

  1. Klicka på Exportera alla högst upp i sökresultatstabellen.
  2. Ange ett namn och sedan klicka på Exportera .
    Exporten visas under sökresultatstabellen under Exportera åtgärdsresultat .
  3. För att visa informationen klickar du på exportens namn.
    Exporten öppnas i Kalkylark.

Exportgränserna varierar:

  • Det totala resultatet av exporten är begränsat till 100 000 rader.
  • Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

    Om du har verktyget för säkerhetsundersökning är det totala resultatet av exporten begränsat till 30 miljoner rader.

För mer information, gå till Exportera sökresultat .

När och hur länge är data tillgängliga?

Vidta åtgärder baserat på sökresultat

Skapa aktivitetsregler och konfigurera aviseringar

  • Du kan konfigurera aviseringar baserade på logghändelsedata med hjälp av rapporteringsregler. För instruktioner, gå till Skapa och hantera rapporteringsregler .
  • Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

    För att effektivt förebygga, upptäcka och åtgärda säkerhetsproblem kan du automatisera åtgärder i säkerhetsundersökningsverktyget och ställa in aviseringar genom att skapa aktivitetsregler . För att konfigurera en regel, ställ in villkor för regeln och ange sedan de åtgärder som ska utföras när villkoren är uppfyllda. För mer information, gå till Skapa och hantera aktivitetsregler .

Vidta åtgärder baserat på sökresultat

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

När du har kört en sökning i säkerhetsutredningsverktyget kan du agera utifrån dina sökresultat. Du kan till exempel köra en sökning baserat på Gmail-logghändelser och sedan använda verktyget för att ta bort specifika meddelanden, skicka meddelanden till karantän eller skicka meddelanden till användarnas inkorgar. För mer information, gå till Vidta åtgärder baserat på sökresultat .

Hantera dina utredningar

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

Visa din lista över utredningar

Om du vill se en lista över de utredningar som du äger och som delats med dig klickar du på Visa utredningar Utredningslistan innehåller namn, beskrivningar och ägare till utredningarna, samt datum för senaste ändring.

Från den här listan kan du vidta åtgärder för alla utredningar som du äger, till exempel att ta bort en utredning. Markera rutan för en utredning och klicka sedan på Åtgärder .

Obs ! Du kan se dina sparade undersökningar under Snabbåtkomst , direkt ovanför din lista över undersökningar.

Konfigurera inställningar för dina undersökningar

Som superadministratör klickar du på Inställningar till:

  • Ändra tidszonen för dina undersökningar. Tidszonen gäller för sökvillkor och resultat.
  • Aktivera eller inaktivera Kräv granskare . För mer information, gå till Kräv granskare för massåtgärder .
  • Aktivera eller inaktivera Visa innehåll . Den här inställningen tillåter administratörer med lämpliga behörigheter att visa innehåll.
  • Slå på eller av Aktivera åtgärdsjustering .

För mer information, gå till Konfigurera inställningar för dina undersökningar .

Spara, dela, radera och duplicera undersökningar

För att spara dina sökkriterier eller dela dem med andra kan du skapa och spara en undersökning och sedan dela, duplicera eller ta bort den.

För mer information, gå till Spara, dela, ta bort och duplicera undersökningar .