Protokollereignisse bei der Zugriffsbewertung

Informationen dazu, wie Clientanwendungen auf Nutzerdaten zugreifen

Je nach Google Workspace-Version haben Sie möglicherweise Zugriff auf das Sicherheits-Prüftool, das erweiterte Funktionen bietet. Super Admins können beispielsweise Sicherheits- und Datenschutzprobleme erkennen, eingehender untersuchen und die geeigneten Maßnahmen dafür ergreifen. Weitere Informationen

Als Administrator Ihrer Organisation können Sie anhand von Protokollereignissen für die Zugriffsbewertung sehen, wie sich die verschiedenen Sicherheitsrichtlinien in Google Workspace auf den Zugriff der Nutzer auf Drittanbieter-Apps und Apps von Google auswirken. Eine Organisation kann beispielsweise mehrere OAuth-Richtlinien haben, mit denen der App-Zugriff auf Grundlage verschiedener Regeln gesteuert wird. Eine Organisation kann auch Richtlinien zum Aktivieren/Deaktivieren von Diensten haben, die den Zugriff auf bestimmte Dienste verhindern oder zulassen. Protokollereignisse für die Zugriffsbewertung zeigen die Richtlinien, die sich auf den Nutzerzugriff auswirken, ob der Zugriff gewährt wurde und wie diese Entscheidungen getroffen wurden. Anhand dieser Informationen können Sie die Sicherheitsrichtlinien Ihrer Organisation und deren Konfiguration überprüfen und überarbeiten.

Nach Protokollereignissen suchen

Ob Sie eine Suche ausführen können, hängt von Ihrer Google-Version, Ihren Administratorberechtigungen und der Datenquelle ab. Sie können eine Suche für alle Nutzerinnen und Nutzer ausführen, unabhängig von deren Google Workspace-Version.

Audit- und Prüftool

Wenn Sie nach Protokollereignissen suchen möchten, müssen Sie zuerst eine Datenquelle auswählen und dann mindestens einen Suchfilter.

  1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü  und dann Berichterstellung und dannAudit und Prüfung und dannLog-Ereignisse bei der Zugriffsbewertung.

    Hierfür benötigen Sie die Administratorberechtigung Berichte.

  2. Wenn Sie Ereignisse filtern möchten, die vor oder nach einem bestimmten Datum aufgetreten sind, wählen Sie für Datum die Option Vor oder Nach aus. Standardmäßig werden Ereignisse der letzten 7 Tage angezeigt. Sie können einen anderen Zeitraum auswählen oder auf  klicken, um den Datumsfilter zu entfernen.

  3. Klicken Sie auf Filter hinzufügen und dannwählen Sie ein Attribut aus. Wenn Sie beispielsweise nach einem bestimmten Ereignistyp filtern möchten, wählen Sie Ereignis aus.
  4. Wählen Sie einen Operator aus. und dannWählen Sie einen Wert aus. und dannKlicken Sie auf Anwenden.
    • Optional: Wenn Sie mehrere Filter für Ihre Suche erstellen möchten, wiederholen Sie diesen Schritt.
    • Optional: Wenn Sie einen Suchoperator hinzufügen möchten, wählen Sie über Filter hinzufügen die Option UND oder ODER aus.
  5. Klicken Sie auf Suchen. Hinweis: Auf dem Tab Filter lassen sich Suchergebnisse auch mit einfachen Parameter- und Wertepaaren filtern. Sie können auch den Tab Tool zur Bedingungserstellung verwenden. Dort werden die Filter als Bedingungen mit UND- bzw. ODER-Operatoren dargestellt.

Sicherheitsprüftool

Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Enterprise Standard und Enterprise Plus; Education Standard und Education Plus; Enterprise Essentials Plus; Cloud Identity Premiumversion. Versionen vergleichen

Wenn Sie im Sicherheitsprüftool eine Suchanfrage ausführen möchten, müssen Sie zuerst eine Datenquelle auswählen. Wählen Sie dann mindestens eine Bedingung aus. Wählen Sie für jede Bedingung ein Attribut, einen Operator und einen Wert aus.

  1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü  und dann Sicherheit und dannSicherheitscenter und dannPrüftool.

    Hierfür ist die Administratorberechtigung Sicherheitscenter erforderlich.

  2. Klicken Sie auf Datenquelle und wählen Sie Log-Ereignisse bei der Zugriffsbewertung aus.

  3. Wenn Sie Ereignisse filtern möchten, die vor oder nach einem bestimmten Datum aufgetreten sind, wählen Sie für Datum die Option Vor oder Nach aus. Standardmäßig werden Ereignisse der letzten 7 Tage angezeigt. Sie können einen anderen Zeitraum auswählen oder auf  klicken, um den Datumsfilter zu entfernen.

  4. Klicken Sie auf Bedingung hinzufügen.
    Tipp: Sie können eine oder mehrere Bedingungen in die Suche einschließen oder Ihre Suche mit verschachtelten Abfragen anpassen. Weitere Informationen finden Sie unter Individuelle Suche mit verschachtelten Abfragen erstellen.
  5. Klicken Sie auf Attribut und dann wählen Sie eine Option aus. Wenn Sie beispielsweise nach einem bestimmten Ereignistyp filtern möchten, wählen Sie Ereignis aus.
    Eine vollständige Liste der Attribute finden Sie im Abschnitt Attributbeschreibungen.
  6. Wählen Sie einen Operator aus.
  7. Geben Sie einen Wert ein oder wählen Sie einen Wert aus der Liste aus.
  8. Optional: Wiederholen Sie die Schritte, um weitere Suchbedingungen hinzuzufügen.
  9. Klicken Sie auf Suchen.
    Die Suchergebnisse aus dem Prüftool werden unten auf der Seite in einer Tabelle angezeigt.
  10. Optional: Wenn Sie die Untersuchung speichern möchten, klicken Sie auf „Speichern“  und danngeben Sie einen Titel und eine Beschreibung ein und dannklicken Sie auf Speichern.

Hinweise

  • Auf dem Tab Tool zur Bedingungserstellung werden Filter als Bedingungen mit UND- bzw. ODER-Operatoren dargestellt. Auf dem Tab Filter lassen sich Suchergebnisse auch mit einfachen Parameter- und Wertepaaren filtern.
  • Falls Sie einem Nutzer einen neuen Namen gegeben haben, sehen Sie keine Abfrageergebnisse mit dem alten Namen des Nutzers. Wenn Sie beispielsweise AlterName@beispiel.de in NeuerName@beispiel.de umbenennen, erhalten Sie keine Ergebnisse für Ereignisse im Zusammenhang mit AlterName@beispiel.de.
  • Sie können nur in Nachrichten nach Daten suchen, die noch nicht aus dem Papierkorb gelöscht wurden.

Attributbeschreibungen

Ihre Organisation kann mehrere Sicherheitsrichtlinien aus verschiedenen Quellen haben, die sich auf den Nutzerzugriff auswirken. Mithilfe von Protokollen für die Zugriffsbewertung können Sie das kombinierte Verhalten dieser Richtlinien nachvollziehen und sehen, welche spezifischen Richtlinien Sie möglicherweise ändern sollten.

Wenn beispielsweise nicht autorisierte Nutzer auf eine Messaging-App zugreifen, können Sie anhand von Protokollereignissen für die Zugriffsbewertung nachvollziehen, welche Richtlinien verwendet werden. Wenn Sie eine Richtlinie ändern, wird das Ergebnis dieser Änderung in den Protokollereignissen angezeigt.

Sie können Protokollereignisse für die Zugriffsbewertung auch verwenden, um den Sicherheitsstatus Ihrer Organisation zu untersuchen. Beispiel:

  • Verdächtige Aktivitäten beobachten: Sie können die Protokolle verwenden, um verdächtige Aktivitäten zu beobachten, z. B. Versuche, auf sensible Daten zuzugreifen, oder Zugriffe von verbotenen Standorten.
  • Sicherheitsstatus Ihrer Organisation prüfen: Mit den Protokollen können Sie den Sicherheitsstatus Ihrer Organisation prüfen und dafür sorgen, dass Ihre Daten geschützt sind.

Für das erste Ereignis innerhalb eines Zeitraums von 24 Stunden wird ein Protokolleintrag erstellt. Doppelte Ereignisse mit denselben Informationen werden erst nach 24 Stunden protokolliert. Wenn beispielsweise zu Uhrzeit X ein Eintrag mit Nutzer1, Client1 und IP1 erfolgt, werden doppelte Ereignisse mit denselben Informationen erst nach 24 Stunden protokolliert.

Hinweis: Jeder Protokolleintrag kann die folgenden Informationen enthalten, es müssen aber nicht alle Werte vorhanden sein. Das Feld „Dienstkonto“ ist beispielsweise in der Regel leer, es sei denn, der Zugriff erfolgt über ein Dienstkonto.

Spaltenname Kommentare Beispiel
Ereignis Ereignisname
  • Zugriffstokenanfrage (wenn ein OAuth-Token erfolgreich ausgestellt wurde)
  • Token-Identitätsübernahme zulassen (wenn der Zugriff über ein Dienstkonto erfolgt)
  • Anfrage zur Cookie-Validierung zulassen (wenn Anmeldedaten, die mit einem Cookie verknüpft sind, während des Anwendungszugriffs erfolgreich anhand von Sicherheitsrichtlinien validiert werden)
Beschreibung Beschreibung des Ereignisses Die Zugriffsanfrage von [Vorname] [Nachname] auf „Meine App“ für bestimmte Bereiche ist zulässig
Datum Datum und Uhrzeit der Überprüfung der Anfrage 2022-08-11T10:00:53-07:00
Schauspieler Die E‑Mail-Adresse des Nutzers, für den die Auswertung angefordert und genehmigt wurde. firstlast@sample-win.info
Name der Anwendung Name der Anwendung, auf die zugegriffen wird Reddit
IP-Adresse IP-Adresse, von der aus der Nutzer die Zugriffsbewertung angefordert hat 2601:600:8780:19d0:925:e630:d20e:b1cc

IP-ASN

Sie müssen diese Spalte den Suchergebnissen hinzufügen. Eine Anleitung finden Sie unter Daten der Suchergebnisspalten verwalten.

Die Nummer des autonomen Systems (Autonomous System Number, ASN), die Unterteilung und die Region, die dem Logeintrag zugeordnet sind.

Wenn Sie die IP-ASN, die Unterteilung und den Regionscode für die Aktivität aufrufen möchten, klicken Sie in den Suchergebnissen auf den Namen.

IP-ASN: 12345

Code für die nationale Verwaltungseinheit: IN-KA

Regionscode: IN
OAuth-Client-ID

Die Client-ID der Anwendung, für die der Zugriff bewertet wurde

Hinweis: Dieses Attribut gilt nur für Ereignisse vom Typ „Token-Anfrage zulassen“ und „Token-Identitätsübernahme zulassen“.

 705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com
Ebene

Der Bereich, für den die Anfrage genehmigt wurde

Hinweis: Informationen zu OAuth-Bereichen werden für Google-eigene Apps nicht angezeigt.

 https://www.googleapis.com/auth/userinfo.email, https://www.googleapis.com/auth/userinfo.profile, openid
Konfigurationsquelle

Beschreibt, ob eine Client-ID aufgrund einer Google Workspace-Richtlinie zugelassen wurde, die den Nutzerzugriff auf diese Anwendungs-ID explizit erlaubt hat.

Hinweis: Dieses Attribut gilt nur für Ereignisse vom Typ „Token-Anfrage zulassen“ und „Token-Identitätsübernahme zulassen“.

 Weitere Informationen finden Sie weiter unten auf dieser Seite unter Beschreibung der Konfigurationsquellen.
Clienttyp

Art der Anwendung, für die der Zugriff bewertet wurde

Hinweis: Dieses Attribut gilt nur für Ereignisse vom Typ „Token-Anfrage zulassen“ und „Token-Identitätsübernahme zulassen“.

 Web, Android, iOS usw.
Dienstkonto

Die E‑Mail-ID des Dienstkontos, wenn damit die Identität eines Nutzers angenommen wurde

Hinweis: Dieses Attribut gilt nur für Ereignisse vom Typ „Token-Identitätsübernahme zulassen“.

 abc-alpha@gserviceaccount.com

Beschreibung der Konfigurationsquelle

Die Konfigurationsquelle gibt an, ob eine Client-ID aufgrund einer Google Workspace-Richtlinie zugelassen wurde, die dem Nutzer den Zugriff auf die Anwendungs-ID explizit erlaubt hat.

Hinweis: Diese Szenarien gelten nur für OAuth-bezogene Zugriffsereignisse vom Typ „Token-Anfrage zulassen“ oder „Token-Identitätsübernahme zulassen“.

Szenario Beschreibung
Keine App-Konfiguration

Der Zugriff wurde zugelassen, da Administratoren keine Richtlinie mit der API-Steuerung festgelegt haben, die den Zugriff auf die Client-ID blockiert.

Informationen zum Hinzufügen von Blockierungsrichtlinien finden Sie unter Festlegen, welche Apps auf Google Workspace-Daten zugreifen können.
Konfiguration der API-Einstellungen

Der Zugriff wurde gewährt, weil die Anwendung vertrauenswürdig war oder in einer Richtlinie mit der API-Steuerung eingeschränkt wurde.

Weitere Informationen finden Sie im Hilfeartikel Festlegen, welche Apps auf Google Workspace-Daten zugreifen können.
Konfiguration der Endpunktverwaltung

Der Zugriff wurde gewährt, weil die Anwendung in einer Richtlinie mit der Google-Endpunktverwaltung als vertrauenswürdig oder eingeschränkt eingestuft wurde.

Weitere Informationen finden Sie im Hilfeartikel Geräte mit der Google-Endpunktverwaltung verwalten.
Workspace Marketplace-Konfiguration

Der Zugriff wurde gewährt, weil die Anwendung über den Google Workspace Marketplace installiert wurde.

Weitere Informationen finden Sie unter Apps im Marketplace suchen und installieren.
Konfiguration der domainweiten Delegierung

Der Zugriff wurde gewährt, da diese Anwendung domainweit delegiert wurde.

Weitere Informationen finden Sie unter Zugriff auf die API mit domainweiter Delegierung verwalten.

Protokollereignisdaten verwalten

Daten der Suchergebnisspalte verwalten

Sie können festlegen, welche Datenspalten in Ihren Suchergebnissen angezeigt werden.

  1. Klicken Sie rechts oben in der Tabelle der Suchergebnisse auf „Spalten verwalten“ .
  2. Optional: Wenn Sie die aktuellen Spalten entfernen möchten, klicken Sie auf „Entfernen“ .
  3. Optional: Wenn Sie Spalten hinzufügen möchten, klicken Sie neben Neue Spalte hinzufügen auf den Drop-down-Pfeil  und wählen Sie die Datenspalte aus.
    Wiederholen Sie die Schritte je nach Bedarf.
  4. Optional: Wenn Sie die Reihenfolge der Spalten ändern möchten, ziehen Sie die Datenspaltennamen an die gewünschte Stelle.
  5. Klicken Sie auf Speichern.

Suchergebnisdaten exportieren

Sie können die Suchergebnisse in Google Sheets oder in eine CSV-Datei exportieren.

  1. Klicken Sie oben in der Tabelle mit den Suchergebnissen auf Alle exportieren.
  2. Geben Sie einen Namen ein  und dann klicken Sie auf Exportieren.
    Der Export wird unter der Suchergebnistabelle unter Ergebnisse der Export-Aktion angezeigt.
  3. Klicken Sie auf den Namen des Exports, um sich die Daten anzusehen.
    Der Export wird in Google Tabellen geöffnet.

Die Exportbeschränkungen variieren:

  • Die Gesamtergebnisse des Exports sind auf 100.000 Zeilen beschränkt.
  • Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Enterprise Standard und Enterprise Plus; Education Standard und Education Plus; Enterprise Essentials Plus; Cloud Identity Premiumversion. Versionen vergleichen

    Wenn Sie das Sicherheitsprüftool haben, sind die Gesamtergebnisse des Exports auf 30 Millionen Zeilen beschränkt.

Weitere Informationen finden Sie unter Suchergebnisse exportieren.

Wann und wie lange sind Daten verfügbar?

Weitere Informationen finden Sie im Hilfeartikel Datenaufbewahrung und Zeitverzögerungen.

Auf Grundlage von Suchergebnissen Aktionen durchführen

Aktivitätsregeln erstellen und Benachrichtigungen einrichten

  • Mit Regeln zur Berichterstellung können Sie Benachrichtigungen anhand von Protokollereignisdaten einrichten. Eine Anleitung dazu finden Sie im Hilfeartikel Regeln für die Berichterstellung erstellen und verwalten.
  • Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Enterprise Standard und Enterprise Plus; Education Standard und Education Plus; Enterprise Essentials Plus; Cloud Identity Premiumversion. Versionen vergleichen

    Um Sicherheitsprobleme effizient zu verhindern, zu erkennen und zu beheben, können Sie Aktionen im Sicherheitsprüftool automatisieren und Benachrichtigungen einrichten. Dazu erstellen Sie Aktivitätsregeln. Sie richten Bedingungen für eine Regel ein und geben dann an, welche Aktionen ausgeführt werden sollen, wenn die Bedingungen erfüllt sind. Weitere Informationen finden Sie im Hilfeartikel Aktivitätsregeln erstellen und verwalten.

Auf Grundlage von Suchergebnissen Aktionen durchführen

Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Enterprise Standard und Enterprise Plus; Education Standard und Education Plus; Enterprise Essentials Plus; Cloud Identity Premiumversion. Versionen vergleichen

Nachdem Sie im Sicherheitsprüftool eine Suche ausgeführt haben, können Sie anhand der Suchergebnisse entsprechende Maßnahmen ergreifen. Beispiel: Wenn Sie in den Gmail-Protokollereignissen suchen, können Sie anschließend mit dem Tool bestimmte Nachrichten löschen, unter Quarantäne stellen oder an die Posteingänge von Nutzern senden. Weitere Informationen finden Sie unter Auf Grundlage von Suchergebnissen Aktionen durchführen.

Prüfungen verwalten

Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Enterprise Standard und Enterprise Plus; Education Standard und Education Plus; Enterprise Essentials Plus; Cloud Identity Premiumversion. Versionen vergleichen

Prüfungsliste aufrufen

Wenn Sie eine Liste der Prüfungen aufrufen möchten, deren Inhaber Sie sind und die für Sie freigegeben wurden, klicken Sie auf „Prüfungen ansehen“ . Die Liste enthält die Namen, Beschreibungen und Inhaber der Prüfungen sowie das Datum der letzten Änderung.

Dort können Sie Aktionen für alle Prüfungen ausführen, deren Inhaber Sie sind, z. B. Prüfungen löschen. Klicken Sie einfach auf das Kästchen neben einer Prüfung und dann auf Aktionen.

Hinweis: Ihre gespeicherten Prüfungen können Sie direkt über der Liste unter Schnellzugriff aufrufen.

Einstellungen für Prüfungen konfigurieren

Klicken Sie als Super Admin auf „Einstellungen“ , um Folgendes zu tun:

  • Die Zeitzone für Ihre Prüfungen ändern. Sie gilt für Suchbedingungen und ‑ergebnisse.
  • Aktivieren oder deaktivieren Sie die Option Prüfer erforderlich. Weitere Informationen finden Sie unter Prüfer für Bulk-Aktionen anfordern.
  • Aktivieren oder deaktivieren Sie die Option Inhalt ansehen. Mit dieser Einstellung können sich Administratoren mit den entsprechenden Berechtigungen Inhalte ansehen.
  • Aktivieren oder deaktivieren Sie Begründung für die Aktion aktivieren.

Weitere Informationen finden Sie unter Einstellungen für Prüfungen konfigurieren.

Prüfungen speichern, freigeben, löschen und duplizieren

Wenn Sie Ihre Suchkriterien speichern oder sie mit anderen teilen möchten, können Sie eine Prüfung erstellen und speichern und sie dann freigeben, duplizieren oder löschen.

Weitere Informationen finden Sie unter Prüfungen speichern, freigeben, löschen und duplizieren.