Zdarzenia z dziennika oceny dostępu

Sprawdzanie, jak aplikacje klienckie uzyskują dostęp do danych użytkownika

W zależności od wersji Google Workspace możesz mieć dostęp do narzędzia do analizy zagrożeń, które ma bardziej zaawansowane funkcje. Superadministratorzy mogą na przykład identyfikować i grupować problemy związane z bezpieczeństwem oraz prywatnością, a także przeciwdziałać takim problemom. Więcej informacji

Jako administrator organizacji możesz korzystać ze zdarzeń z dziennika oceny dostępu, aby sprawdzać, jak różne zasady bezpieczeństwa w Google Workspace wpływają na dostęp użytkowników do aplikacji innych firm i aplikacji należących do Google. Organizacja może mieć na przykład wiele zasad dotyczących protokołu OAuth, które kontrolują dostęp aplikacji na podstawie różnych reguł. Może też mieć zasady włączania i wyłączania usług, które uniemożliwiają lub umożliwiają dostęp do określonych usług. Zdarzenia w dzienniku oceny dostępu pokazują zasady, które wpływają na dostęp użytkownika, oraz wskazują, czy dostęp został przyznany i jak te decyzje zostały podjęte. Możesz użyć tych informacji do sprawdzenia i zmiany zasad bezpieczeństwa oraz konfiguracji organizacji.

Przeszukiwanie zdarzeń z dziennika

Możliwość wyszukiwania zależy od wersji usługi Google, uprawnień administratora i źródła danych. Możesz przeprowadzić wyszukiwanie dla wszystkich użytkowników, niezależnie od używanej przez nich wersji Google Workspace.

Narzędzie do kontroli i analizy zagrożeń

Aby przeszukać zdarzenia z dziennika, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 filtr wyszukiwania.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Raportowanie a potem Kontrola i analiza zagrożeń a potem Zdarzenia z dziennika oceny dostępu.

    Wymaga uprawnień administratora Raporty.

  2. Aby filtrować zdarzenia, które wystąpiły przed lub po określonej dacie, w polu Data wybierz Przed lub Po. Domyślnie wyświetlane są zdarzenia z ostatnich 7 dni. Możesz wybrać inny zakres dat lub kliknąć , aby usunąć filtr daty.

  3. Kliknij Dodaj filtr a potem wybierz atrybut. Aby na przykład filtrować według określonego typu zdarzenia, wybierz Zdarzenie.
  4. Wybierz operatora a potem wybierz wartość a potem kliknij Zastosuj.
    • (Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania, powtórz ten krok.
    • (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
  5. Kliknij Szukaj. Uwaga: na karcie Filtr możesz uwzględnić proste pary parametrów i wartości, aby przefiltrować wyniki wyszukiwania. Możesz też użyć karty narzędzia do definiowania warunków, gdzie filtry są mają postać warunków z operatorem ORAZ i LUB.

Narzędzie do analizy zagrożeń

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus, Enterprise Standard i Enterprise Plus, Education Standard i Education Plus, Enterprise Essentials Plus oraz Cloud Identity Premium. Porównanie wersji

Aby przeprowadzić wyszukiwanie w narzędziu do analizy zagrożeń, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 warunek wyszukiwania. Dla każdego warunku wybierz atrybut, operatorwartość.

  1. W konsoli administracyjnej Google otwórz Menu  a potem  Zabezpieczenia a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. Kliknij Źródło danych i wybierz Zdarzenia z dziennika oceny dostępu.

  3. Aby filtrować zdarzenia, które wystąpiły przed lub po określonej dacie, w polu Data wybierz Przed lub Po. Domyślnie wyświetlane są zdarzenia z ostatnich 7 dni. Możesz wybrać inny zakres dat lub kliknąć , aby usunąć filtr daty.

  4. Kliknij Dodaj warunek.
    Wskazówka: w wyszukiwaniu możesz uwzględnić 1 lub kilka warunków. Możesz też dostosować wyszukiwanie za pomocą zapytań zagnieżdżonych. Więcej informacji znajdziesz w artykule Dostosowywanie wyszukiwania za pomocą zapytań zagnieżdżonych.
  5. Kliknij Atrybut a potem wybierz opcję. Aby na przykład filtrować według określonego typu zdarzenia, wybierz Zdarzenie.
    Pełną listę atrybutów znajdziesz w sekcji Opisy atrybutów poniżej.
  6. Wybierz operator.
  7. Wpisz wartość lub wybierz ją z listy.
  8. (Opcjonalnie) Aby dodać więcej warunków wyszukiwania, powtórz te czynności.
  9. Kliknij Szukaj.
    Wyniki wyszukiwania z narzędzia do analizy zagrożeń możesz sprawdzić w tabeli u dołu strony.
  10. (Opcjonalnie) Aby zapisać analizę zagrożeń, kliknij Zapisz  a potem wpisz tytuł i opis a potem kliknij Zapisz.

Uwagi

  • Na karcie Narzędzie do definiowania warunków filtry mają postać warunków z operatorami AND/OR. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.
  • Jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dla zdarzeń powiązanych z nazwą stara_nazwa@example.com.
  • Możesz wyszukiwać dane tylko w wiadomościach, które nie zostały jeszcze usunięte z Kosza.

Opisy atrybutów

Twoja organizacja może mieć wiele zasad bezpieczeństwa pochodzących z różnych źródeł, które mają wpływ na dostęp użytkowników. Dzienniki oceny dostępu pomagają zrozumieć połączone działanie tych zasad oraz ustalić, które z nich warto zmienić.

Jeśli np. nieupoważnione osoby uzyskują dostęp do aplikacji do obsługi wiadomości, zdarzenia z dziennika oceny dostępu pomogą Ci ustalić, które zasady są używane. Jeśli zmienisz zasady, zdarzenia w dzienniku będą odzwierciedlać tę zmianę.

Zdarzenia z dziennika oceny dostępu możesz też wykorzystać do analizowania stanu zabezpieczeń organizacji. Przykład:

  • Monitorowanie podejrzanej aktywności: możesz używać dzienników do monitorowania podejrzanej aktywności, takiej jak próby uzyskania dostępu do danych wrażliwych lub dostęp z zabronionych lokalizacji.
  • Sprawdzanie stanu zabezpieczeń organizacji: możesz używać dzienników do sprawdzania stanu zabezpieczeń organizacji i upewniania się, że dane są chronione.

Wpis dziennika dotyczący pierwszego zdarzenia jest tworzony w ciągu 24 godzin. Zduplikowane zdarzenia zawierające te same informacje nie są rejestrowane przez 24 godziny. Jeśli np. wpis z informacjami User1, Client1 i IP1 pojawi się o godzinie X, zduplikowane zdarzenia zawierające te same informacje zostaną zarejestrowane dopiero po upływie 24 godzin.

Uwaga: każdy wpis logu może zawierać niektóre z tych informacji, ale nie wszystkie. Przykładowo pole konta usługi jest zwykle puste, chyba że dostęp jest uzyskiwany przez konto usługi.

Nazwa kolumny Komentarze Przykład
Zdarzenie Nazwa zdarzenia
  • Prośba o token dostępu (gdy token OAuth zostanie wydany)
  • Zezwolenie na przyjęcie tożsamości tokena (gdy dostęp jest uzyskiwany za pomocą konta usługi).
  • Zezwalaj na żądanie weryfikacji plików cookie (gdy dane logowania powiązane z plikiem cookie zostaną zweryfikowane pod kątem zasad zabezpieczeń podczas uzyskiwania dostępu do aplikacji)
Opis Opis zdarzenia Żądanie dostępu użytkownika Imię Nazwisko do aplikacji Myapp w ramach określonych zakresów jest dozwolone.
Data Data i godzina oceny żądania 2022-08-11T10:00:53-07:00
Użytkownik, który wykonał czynność Adres e-mail użytkownika, w przypadku którego poproszono o ocenę i wydano na nią zgodę firstlast@sample-win.info
Nazwa aplikacji Nazwa aplikacji, do której uzyskano dostęp. Reddit
Adres IP Adres IP, z którego użytkownik poprosił o ocenę dostępu 2601:600:8780:19d0:925:e630:d20e:b1cc

Identyfikator ASN adresu IP

Musisz dodać tę kolumnę do wyników wyszukiwania. Instrukcje znajdziesz w sekcji Zarządzanie danymi w kolumnie wyników wyszukiwania artykułu Zdarzenia z dziennika administratora.

Numer systemu autonomicznego adresu IP (identyfikator ASN), pododdział i region powiązane z wpisem logu.

Aby sprawdzić identyfikator ASN adresu IP oraz kod pododdziału i regionu, w którym wystąpiła aktywność, kliknij nazwę w wynikach wyszukiwania.

Identyfikator ASN adresu IP: 12345

Kod pododdziału: IN-KA

Kod regionu: IN
Identyfikator klienta OAuth

Identyfikator klienta aplikacji, w przypadku której oceniono dostęp.

Uwaga: ten atrybut ma zastosowanie tylko w przypadku zdarzeń „Prośba o token dostępu” i „Zezwolenie na przyjęcie tożsamości tokena”.

 705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com
Scope (Zakres)

Zakres, dla których prośba została zaakceptowana.

Uwaga: informacje o zakresie OAuth nie są wyświetlane w przypadku aplikacji należących do Google.

 https://www.googleapis.com/auth/userinfo.email, https://www.googleapis.com/auth/userinfo.profile, openid
Źródło konfiguracji

Określa, czy identyfikator klienta został dozwolony ze względu na zasady Google Workspace, które wyraźnie zezwoliły użytkownikowi na dostęp do tego identyfikatora aplikacji.

Uwaga: ten atrybut ma zastosowanie tylko w przypadku zdarzeń „Prośba o token dostępu” i „Zezwolenie na przyjęcie tożsamości tokena”.

 Szczegółowe informacje znajdziesz na tej stronie w sekcji Opisy źródeł konfiguracji.
Typ klienta

Typ aplikacji, w przypadku której oceniono dostęp

Uwaga: ten atrybut ma zastosowanie tylko w przypadku zdarzeń „Prośba o token dostępu” i „Zezwolenie na przyjęcie tożsamości tokena”.

 Internet, Android, iOS itp.
Konto usługi

Identyfikator e-mail konta usługi, jeśli został użyty do przyjęcia tożsamości jakiegokolwiek użytkownika.

Uwaga: ten atrybut ma zastosowanie tylko w przypadku zdarzeń „Zezwolenie na przyjęcie tożsamości tokena”.

 abc-alpha@gserviceaccount.com

Opisy źródeł konfiguracji

Źródło konfiguracji określa, czy identyfikator klienta został dozwolony ze względu na zasady Google Workspace, które wyraźnie zezwoliły użytkownikowi na dostęp do identyfikatora aplikacji.

Uwaga: te scenariusze dotyczą tylko zdarzeń dostępu związanych z protokołem OAuth, takich jak Prośba o token dostępu lub Zezwolenie na przyjęcie tożsamości tokena.

Scenariusz Opis
Brak konfiguracji aplikacji

Dostęp został przyznany, ponieważ administratorzy nie ustawili za pomocą Dostępu do interfejsów API żadnych zasad, które blokują dostęp do identyfikatora klienta.

Aby dodać zasady blokowania, zapoznaj się z artykułem Określanie, które aplikacje mają dostęp do danych Google Workspace.
Konfiguracja dostępu do interfejsów API

Dostęp został przyznany, ponieważ aplikacja została uznana za zaufaną lub została objęta ograniczeniami w ramach zasad za pomocą Dostępu do interfejsów API.

Więcej informacji znajdziesz w artykule Określanie, które aplikacje mają dostęp do danych Google Workspace.
Konfiguracja zarządzania punktami końcowymi

Dostęp został przyznany, ponieważ aplikacja została uznana za zaufaną lub została objęta ograniczeniami w ramach zasad używających funkcji zarządzania punktami końcowymi Google.

Szczegółowe informacje znajdziesz w artykule Omówienie: zarządzanie urządzeniami za pomocą funkcji zarządzania punktami końcowymi Google.
Konfiguracja Workspace Marketplace

Dostęp został przyznany, ponieważ aplikacja została zainstalowana w Google Workspace Marketplace.

Szczegółowe informacje znajdziesz w artykule Znajdowanie i instalowanie aplikacji z Marketplace.
Konfiguracja przekazywania dostępu w całej domenie

Dostęp został przyznany, ponieważ ta aplikacja jest przekazywana w całej domenie.

Szczegółowe informacje znajdziesz w artykule Kontrola dostępu do interfejsów API przy użyciu przekazywania dostępu w całej domenie.

Zarządzanie danymi zdarzenia z dziennika

Zarządzanie danymi w kolumnie wyników wyszukiwania

Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania.

  1. W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami .
  2. (Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń .
  3. (Opcjonalnie) Aby dodać kolumny, obok opcji Dodaj nową kolumnę kliknij strzałkę w dół  i wybierz kolumnę danych.
    Powtórz w razie potrzeby.
  4. (Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij nazwy kolumn danych.
  5. Kliknij Zapisz.

Eksportowanie danych wyników wyszukiwania

Wyniki wyszukiwania możesz wyeksportować do Arkuszy lub do pliku CSV.

  1. U góry tabeli wyników wyszukiwania kliknij Eksportuj wszystko.
  2. Wpisz nazwę a potem kliknij Eksportuj.
    Wyeksportowane dane wyświetlają się pod tabelą wyników wyszukiwania w sekcji wyników eksportowania.
  3. Aby wyświetlić dane, kliknij nazwę eksportu.
    Eksport otworzy się w Arkuszach.

Limity eksportu różnią się od siebie:

  • Limit liczby eksportowanych wyników wynosi 100 tys. wierszy.
  • Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus, Enterprise Standard i Enterprise Plus, Education Standard i Education Plus, Enterprise Essentials Plus oraz Cloud Identity Premium. Porównanie wersji

    Jeśli masz narzędzie do analizy zagrożeń, limit liczby eksportowanych wyników wynosi 30 milionów wierszy.

Więcej informacji znajdziesz w artykule Eksportowanie wyników wyszukiwania.

Kiedy i jak długo dane są dostępne?

Podejmowanie działań na podstawie wyników wyszukiwania

Tworzenie reguł związanych z aktywnością i konfigurowanie alertów

  • Alerty na podstawie danych zdarzeń z dziennika możesz konfigurować za pomocą reguł raportowania. Instrukcje znajdziesz w artykule Tworzenie reguł raportowania i zarządzanie nimi.
  • Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus, Enterprise Standard i Enterprise Plus, Education Standard i Education Plus, Enterprise Essentials Plus oraz Cloud Identity Premium. Porównanie wersji

    Aby skutecznie zapobiegać problemom z zabezpieczeniami, wykrywać je i rozwiązywać, możesz zautomatyzować działanie narzędzia do analizy zagrożeń i skonfigurować alerty, tworząc reguły związane z aktywnością. Aby skonfigurować regułę, określ warunki reguły, a następnie wskaż czynności, które mają być wykonywane po spełnieniu tych warunków. Więcej informacji znajdziesz w artykule Tworzenie reguł związanych z aktywnością i zarządzanie nimi.

Podejmowanie działań na podstawie wyników wyszukiwania

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus, Enterprise Standard i Enterprise Plus, Education Standard i Education Plus, Enterprise Essentials Plus oraz Cloud Identity Premium. Porównanie wersji

Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń możesz wykonywać działania na wynikach wyszukiwania. Na przykład po przeprowadzeniu wyszukiwania zdarzeń z dziennika Gmaila za pomocą narzędzia można usunąć określone wiadomości, wysłać je do kwarantanny lub do skrzynek odbiorczych użytkowników. Więcej informacji znajdziesz w artykule Podejmowanie działań na podstawie wyników wyszukiwania.

Zarządzanie analizami zagrożeń

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus, Enterprise Standard i Enterprise Plus, Education Standard i Education Plus, Enterprise Essentials Plus oraz Cloud Identity Premium. Porównanie wersji

Wyświetlanie listy szablonów analizy zagrożeń

Aby wyświetlić listę analiz zagrożeń, które należą do Ciebie lub zostały Ci udostępnione, kliknij Wyświetl operacje analizy zagrożeń . Na tej liście znajdują się nazwy, opisy i właściciele analiz zagrożeń oraz daty ostatniej modyfikacji.

Na tej liście możesz też wykonywać czynności na swoich szablonach analizy zagrożeń – na przykład usuwać je. Zaznacz pole obok analizy zagrożeń i kliknij Czynności.

Uwaga: zapisane analizy zagrożeń możesz wyświetlić w sekcji Szybki dostęp, bezpośrednio nad listą analiz zagrożeń.

Konfigurowanie ustawień analizy zagrożeń

Jako superadministrator kliknij Ustawienia , aby:

  • zmienić strefę czasową analizy zagrożeń używaną w warunkach i wynikach wyszukiwania.
  • Włącz lub wyłącz opcję Wymagaj analizy. Więcej informacji znajdziesz w artykule Wymaganie przesyłania informacji o działaniach zbiorczych.
  • Włącz lub wyłącz opcję Wyświetl treść. To ustawienie pozwala administratorom z odpowiednimi uprawnieniami na wyświetlanie treści.
  • Włącz lub wyłącz opcję Włącz uzasadnianie działań.

Więcej informacji znajdziesz w artykule Konfigurowanie ustawień analizy zagrożeń.

Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń

Aby zapisać kryteria wyszukiwania lub udostępnić je innym osobom, możesz utworzyć i zapisać szablon analizy zagrożeń, a następnie udostępnić go, zduplikować lub usunąć.

Więcej informacji znajdziesz w artykule Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń.