Événements du journal Évaluation des accès

Découvrir comment les applications clientes accèdent aux données utilisateur

Selon votre édition Google Workspace, vous pouvez avoir accès à l'outil d'investigation sur la sécurité, qui dispose de fonctionnalités plus avancées. Par exemple, les super-administrateurs peuvent identifier, prioriser et corriger les problèmes de sécurité et de confidentialité. En savoir plus

En tant qu'administrateur de votre organisation, vous pouvez utiliser les événements de journaux sur l'évaluation des accès pour comprendre l'impact des différentes règles de sécurité de Google Workspace sur l'accès des utilisateurs aux applications tierces et appartenant à Google. Par exemple, une organisation peut disposer de plusieurs règles OAuth permettant de contrôler l'accès aux applications en fonction de différentes règles. Une organisation peut également disposer de règles d'activation ou de désactivation des services qui empêchent ou autorisent l'accès à certains services. Les événements de journaux sur l'évaluation des accès indiquent les règles qui ont une incidence sur l'accès des utilisateurs, si l'accès a été accordé et comment ces décisions ont été prises. Ces informations vous permettent d'examiner et de réviser la configuration et les règles de sécurité de votre organisation.

Rechercher des événements de journaux

Votre capacité à effectuer une recherche dépend de votre édition Google, de vos droits d'administrateur et de la source des données. Vous pouvez effectuer une recherche sur tous les utilisateurs, quelle que soit leur édition Google Workspace.

Outil d'audit et d'investigation

Pour exécuter une recherche portant sur les événements de journaux, choisissez d'abord une source de données. Sélectionnez ensuite un ou plusieurs filtres pour votre recherche.

  1. Dans la console d'administration Google, accédez à Menu  puis Reporting puis Audit et enquête puis Événements de journaux sur l'évaluation des accès.

    Vous devez disposer du droit d'administrateur Rapports.

  2. Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après pour l'option Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre période ou cliquer sur  pour supprimer le filtre de date.

  3. Cliquez sur Ajouter un filtre puis sélectionnez un attribut. Par exemple, pour filtrer les données par type d'événement spécifique, sélectionnez Événement.
  4. Sélectionnez un opérateur puis sélectionnez une valeur puis cliquez sur Appliquer.
    • (Facultatif) Pour créer plusieurs filtres pour votre recherche, répétez cette étape.
    • (Facultatif) Pour ajouter un opérateur de recherche, sélectionnez AND ou OR au-dessus de l'option Ajouter un filtre.
  5. Cliquez sur Rechercher. Remarque : L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de recherche. Vous pouvez également utiliser l'onglet Générateur de conditions, dans lequel les filtres sont représentés par des conditions avec des opérateurs AND/OR.

Outil d'investigation de sécurité

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Pour lancer une recherche dans l'outil d'investigation sur la sécurité, sélectionnez d'abord une source de données. Choisissez ensuite une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puis Centre de sécurité puis Outil d'investigation.

    Le droit d'administrateur Centre de sécurité est requis.

  2. Cliquez sur Source de données, puis sélectionnez Événements de journaux sur l'évaluation des accès.

  3. Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après pour l'option Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre période ou cliquer sur  pour supprimer le filtre de date.

  4. Cliquez sur Ajouter une condition.
    Conseil : Vous pouvez inclure une ou plusieurs conditions dans votre recherche ou la personnaliser avec des requêtes imbriquées. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées.
  5. Cliquez sur Attribut puis sélectionnez une option. Par exemple, pour filtrer les données par type d'événement spécifique, sélectionnez Événement.
    Pour obtenir la liste complète des attributs, consultez la section Descriptions des attributs.
  6. Sélectionnez un opérateur.
  7. Saisissez une valeur ou sélectionnez-en une dans la liste.
  8. (Facultatif) Pour ajouter des conditions de recherche, répétez la procédure.
  9. Cliquez sur Rechercher.
    Vous pouvez consulter les résultats de recherche de l'outil d'investigation dans un tableau en bas de la page.
  10. (Facultatif) Pour enregistrer votre investigation, cliquez sur Enregistrer  puis saisissez un titre et une description puis cliquez sur Enregistrer.

Notes

  • Dans l'onglet Générateur de conditions, les filtres sont représentés par des conditions avec des opérateurs AND/OR. L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de recherche.
  • Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendrez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous remplacez AncienNom@example.com par NouveauNom@example.com, vous n'obtiendrez aucun résultat pour des événements liés à AncienNom@example.com.
  • Vous ne pouvez rechercher des données que dans les messages qui n'ont pas encore été supprimés de la corbeille.

Descriptions des attributs

Votre organisation peut disposer de plusieurs règles de sécurité provenant de différentes sources qui ont un impact sur l'accès des utilisateurs. Les journaux sur l'évaluation des accès vous aident à comprendre le comportement combiné de ces règles et les règles spécifiques que vous pourriez vouloir modifier.

Par exemple, si des utilisateurs non autorisés accèdent à une application de messagerie, les événements de journaux sur l'évaluation des accès vous aident à comprendre quelles règles sont utilisées. Si vous modifiez une règle, les événements du journal affichent le résultat de cette modification.

Vous pouvez également examiner la stratégie de sécurité de votre organisation à l'aide des événements de journaux sur l'évaluation des accès. Exemple :

  • Surveiller les activités suspectes : vous pouvez utiliser les journaux pour surveiller les activités suspectes, comme les tentatives d'accès à des données sensibles ou les accès depuis des emplacements interdits.
  • Auditer la stratégie de sécurité de votre organisation : vous pouvez utiliser les journaux pour auditer la stratégie de sécurité de votre organisation et vérifier que vos données sont protégées.

Une entrée de journal est créée pour le premier événement dans un délai de 24 heures. Les événements en double contenant les mêmes informations ne sont pas enregistrés avant un délai de 24 heures. Par exemple, si une entrée avec User1, Client1 et IP1 se produit à l'heure X, les événements en double comportant les mêmes informations ne sont pas enregistrés avant un délai de 24 heures.

Remarque : Chaque entrée de journal peut inclure une partie, mais pas la totalité, des informations suivantes. Par exemple, le champ "Compte de service" est généralement vide, sauf si un compte de service est à l'origine de l'accès.

Nom de la colonne Commentaires Exemple
Événement Nom de l'événement
  • Demande de jeton d'accès (lorsqu'un jeton OAuth est émis)
  • Autoriser l'emprunt d'identité d'un jeton (lorsqu'un compte de service est à l'origine de l'accès)
  • Autoriser la demande de validation des cookies (lorsque les identifiants associés à un cookie sont validés avec succès par rapport aux règles de sécurité lors de l'accès à l'application)
Description Description de l'événement La demande d'accès de FirstName LastName à Myapp est autorisée pour certaines habilitations
Date Date et heure auxquelles la demande a été évaluée 2022-08-11T10:00:53-07:00
Acteur Adresse e-mail de l'utilisateur pour lequel l'évaluation a été demandée et autorisée firstlast@sample-win.info
Nom de l'application Nom de l'application consultée Reddit
Adresse IP Adresse IP à partir de laquelle l'utilisateur a demandé l'évaluation des accès 2601:600:8780:19d0:925:e630:d20e:b1cc

Numéro de système autonome de l'adresse IP

Vous devez ajouter cette colonne aux résultats de recherche. Pour savoir comment procéder, consultez Gérer les données des colonnes de résultats de recherche.

Numéro de système autonome (ASN) de l'adresse IP, subdivision et région associés à l'entrée de journal.

Pour examiner le numéro de système autonome de l'adresse IP, le code correspondant à la subdivision et le code régional où l'activité a eu lieu, cliquez sur le nom dans les résultats de recherche.

Numéro de système autonome de l'adresse IP : 12345

Code correspondant à la subdivision : IN-KA

Code régional : IN
ID client OAuth

ID client de l'application pour laquelle l'accès a été évalué

Remarque : Cet attribut ne s'applique qu'aux événements "Demande de jeton d'accès" et "Autoriser l'emprunt d'identité d'un jeton".

 705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com
Scope (Portée)

Habilitations pour lesquelles la demande a été accordée

Remarque : Les informations sur l'habilitation OAuth ne sont pas affichées pour les applications appartenant à Google.

 https://www.googleapis.com/auth/userinfo.email, https://www.googleapis.com/auth/userinfo.profile, openid
Source de configuration

Indique si un ID client a été autorisé en raison d'une règle Google Workspace qui autorisait explicitement l'accès utilisateur à cet ID d'application.

Remarque : Cet attribut ne s'applique qu'aux événements "Demande de jeton d'accès" et "Autoriser l'emprunt d'identité d'un jeton".

 Pour en savoir plus, consultez Description des sources de configuration plus loin sur cette page.
Type de client

Type d'application pour laquelle l'accès a été évalué

Remarque : Cet attribut ne s'applique qu'aux événements "Demande de jeton d'accès" et "Autoriser l'emprunt d'identité d'un jeton".

 Web, Android, iOS, etc.
Compte de service

ID de messagerie du compte de service s'il a été utilisé pour emprunter l'identité d'un utilisateur

Remarque : Cet attribut ne s'applique qu'aux événements "Autoriser l'emprunt d'identité d'un jeton".

 abc-alpha@gserviceaccount.com

Description des sources de configuration

La source de configuration indique si un ID client a été autorisé en raison d'une règle Google Workspace qui autorisait explicitement l'accès utilisateur à l'ID d'application.

Remarque : Ces scénarios ne s'appliquent qu'aux événements d'accès liés à OAuth (demande de jeton d'accès ou autoriser l'emprunt d'identité d'un jeton).

Scénario Description
Aucune configuration d'application

L'accès a été autorisé, car les administrateurs n'ont défini aucune règle à l'aide de commandes d'API permettant de bloquer l'accès à l'ID client.

Pour ajouter des règles de blocage, consultez Contrôler quelles applications ont accès aux données Google Workspace.
Configuration des commandes des API

L'accès a été autorisé, car l'application a été approuvée ou limitée dans une règle à l'aide de commandes d'API.

Pour en savoir plus, consultez Contrôler quelles applications ont accès aux données Google Workspace.
Configuration de la gestion des points de terminaison

L'accès a été autorisé, car l'application a été approuvée ou limitée dans une règle utilisant la gestion Google des points de terminaison.

Pour en savoir plus, consultez Présentation : Gérer les appareils à l'aide de la gestion des points de terminaison Google.
Configuration de Workspace Marketplace

L'accès a été autorisé, car l'application a été installée dans Google Workspace Marketplace.

Pour en savoir plus, consultez Rechercher et installer une application sur Marketplace.
Configuration de la délégation au niveau du domaine

L'accès a été autorisé, car cette application a été déléguée au niveau du domaine.

Pour en savoir plus, consultez Contrôler l'accès à l'API à l'aide de la délégation au niveau du domaine.

Gérer les données d'événement des journaux

Gérer les données des colonnes de résultats de recherche

Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.

  1. En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes .
  2. (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer .
  3. (Facultatif) Pour ajouter des colonnes, à côté de Ajouter une colonne, cliquez sur la flèche vers le bas , puis sélectionnez la colonne de données.
    Répétez l'opération autant de fois que nécessaire.
  4. (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
  5. Cliquez sur Enregistrer.

Exporter les données des résultats de recherche

Vous pouvez exporter les résultats de recherche dans Sheets ou un fichier CSV.

  1. En haut du tableau des résultats de recherche, cliquez sur Tout exporter.
  2. Saisissez un nom puis cliquez sur Exporter.
    L'exportation s'affiche en dessous du tableau des résultats de recherche sous Exporter les résultats de l'action.
  3. Pour afficher les données, cliquez sur le nom de votre exportation.
    L'exportation s'ouvre dans Sheets.

Les limites d'exportation varient :

  • Le total des résultats de l'exportation est limité à 100 000 lignes.
  • Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

    Si vous disposez de l'outil d'investigation sur la sécurité, le total des résultats de l'exportation est limité à 30 millions de lignes.

Pour en savoir plus, consultez Exporter les résultats d'une recherche.

Quand et pendant combien de temps les données sont-elles disponibles ?

Effectuer des actions en fonction des résultats de recherche

Créer des règles d'activité et configurer des alertes

  • Vous pouvez configurer des alertes en fonction des données des événements de journaux à l'aide de règles de reporting. Pour savoir comment procéder, consultez Créer et gérer des règles de reporting.
  • Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

    Afin de prévenir, de détecter et de résoudre les problèmes de sécurité de façon efficace, vous pouvez automatiser les actions de l'outil d'investigation sur la sécurité et configurer des alertes en créant des règles d'activité. Pour configurer une règle, vous devez définir ses conditions et spécifier les actions à effectuer lorsque les conditions sont remplies. Pour en savoir plus, consultez Créer et gérer des règles d'activité.

Effectuer des actions en fonction des résultats de recherche

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Après avoir effectué une recherche dans l'outil d'investigation sur la sécurité, vous pouvez intervenir en fonction des résultats. Vous pouvez, par exemple, effectuer une recherche basée sur les événements de journaux Gmail, puis, à l'aide de l'outil, supprimer des messages spécifiques, les placer en zone de quarantaine ou les envoyer vers la boîte de réception de certains utilisateurs. Pour en savoir plus, consultez Effectuer des actions en fonction des résultats de recherche.

Gérer vos investigations

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Afficher la liste des investigations

Pour afficher la liste des investigations dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations . La liste des investigations inclut leur nom, leur description et leur propriétaire, ainsi que la date de la dernière modification.

Cette liste vous permet d'intervenir sur les investigations dont vous êtes le propriétaire, par exemple pour en supprimer une. Cochez la case correspondant à une investigation, puis cliquez sur Actions.

Remarque : Vous pouvez afficher vos investigations enregistrées sous Accès rapide, juste au-dessus de votre liste d'investigations.

Configurer les paramètres de vos investigations

En tant que super-administrateur, cliquez sur Paramètres  pour effectuer les actions suivantes :

  • Modifier le fuseau horaire de votre événement. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
  • Activer ou désactiver l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
  • Activer ou désactiver l'option Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
  • Activer ou désactiver l'option Activer la justification des actions.

Pour en savoir plus, consultez Configurer les paramètres de vos investigations.

Enregistrer, partager, supprimer et dupliquer des investigations

Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une investigation, puis la partager, la dupliquer ou la supprimer.

Pour en savoir plus, consultez Enregistrer, partager, supprimer et dupliquer des investigations.