دسترسی به رویدادهای گزارش ارزیابی

ببینید چگونه برنامه‌های کلاینت به داده‌های کاربر دسترسی پیدا می‌کنند

بسته به نسخه Google Workspace شما، ممکن است به ابزار بررسی امنیتی دسترسی داشته باشید که ویژگی‌های پیشرفته‌تری دارد. به عنوان مثال، مدیران ارشد می‌توانند مشکلات امنیتی و حریم خصوصی را شناسایی، اولویت‌بندی و در مورد آنها اقدام کنند. اطلاعات بیشتر

به عنوان مدیر سازمان خود، می‌توانید از رویدادهای گزارش ارزیابی دسترسی برای درک چگونگی تأثیر سیاست‌های امنیتی مختلف در Google Workspace بر دسترسی کاربر به برنامه‌های شخص ثالث و متعلق به گوگل استفاده کنید. به عنوان مثال، یک سازمان می‌تواند چندین سیاست OAuth داشته باشد که دسترسی به برنامه‌ها را بر اساس قوانین مختلف کنترل می‌کند. یک سازمان همچنین می‌تواند سیاست‌های روشن/خاموش کردن سرویس داشته باشد که دسترسی به سرویس‌های خاص را مسدود یا مجاز می‌کند. رویدادهای گزارش ارزیابی دسترسی، سیاست‌هایی را که بر دسترسی کاربر تأثیر می‌گذارند، اینکه آیا دسترسی اعطا شده است یا خیر و نحوه اتخاذ این تصمیمات را نشان می‌دهد. می‌توانید از این اطلاعات برای بررسی و اصلاح سیاست‌ها و پیکربندی امنیتی سازمان خود استفاده کنید.

جستجوی رویدادهای ثبت‌شده را اجرا کنید

توانایی شما برای انجام جستجو به نسخه گوگل، امتیازات مدیریتی و منبع داده شما بستگی دارد. می‌توانید جستجو را روی همه کاربران، صرف نظر از نسخه Google Workspace آنها، انجام دهید.

ابزار حسابرسی و تحقیق

برای جستجوی رویدادهای لاگ، ابتدا یک منبع داده انتخاب کنید. سپس یک یا چند فیلتر برای جستجوی خود انتخاب کنید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس گزارش‌دهی و سپس حسابرسی و تحقیق و سپس به رویدادهای گزارش ارزیابی دسترسی پیدا کنید .

    نیاز به داشتن امتیاز مدیر گزارش‌ها دارد.

  2. برای فیلتر کردن رویدادهایی که قبل یا بعد از یک تاریخ خاص رخ داده‌اند، برای تاریخ ، قبل یا بعد را انتخاب کنید. به طور پیش‌فرض، رویدادهای ۷ روز گذشته نمایش داده می‌شوند. می‌توانید محدوده تاریخ متفاوتی را انتخاب کنید یا روی برای حذف فیلتر تاریخ.

  3. روی افزودن فیلتر کلیک کنید و سپس یک ویژگی را انتخاب کنید. برای مثال، برای فیلتر کردن بر اساس یک نوع رویداد خاص، Event را انتخاب کنید.
  4. انتخاب اپراتور و سپس یک مقدار را انتخاب کنید و سپس روی اعمال کلیک کنید.
    • (اختیاری) برای ایجاد چندین فیلتر برای جستجوی خود، این مرحله را تکرار کنید.
    • (اختیاری) برای افزودن یک اپراتور جستجو، در بالای «افزودن فیلتر» ، AND یا OR را انتخاب کنید.
  5. روی جستجو کلیک کنید. با استفاده از برگه فیلتر ، می‌توانید جفت‌های پارامتر و مقدار ساده را برای فیلتر کردن نتایج جستجو وارد کنید. همچنین می‌توانید از برگه سازنده شرط استفاده کنید، جایی که فیلترها به صورت شرط‌هایی با عملگرهای AND/OR نمایش داده می‌شوند.

ابزار بررسی امنیتی

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard و Education Plus؛ Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

برای انجام جستجو در ابزار بررسی امنیتی، ابتدا یک منبع داده انتخاب کنید. سپس، یک یا چند شرط برای جستجوی خود انتخاب کنید. برای هر شرط، یک ویژگی ، یک عملگر و یک مقدار انتخاب کنید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس مرکز امنیتی و سپس ابزار تحقیق .

    نیاز به داشتن امتیاز مدیر مرکز امنیت دارد.

  2. روی منبع داده کلیک کنید و رویدادهای گزارش ارزیابی دسترسی را انتخاب کنید.

  3. برای فیلتر کردن رویدادهایی که قبل یا بعد از یک تاریخ خاص رخ داده‌اند، برای تاریخ ، قبل یا بعد را انتخاب کنید. به طور پیش‌فرض، رویدادهای ۷ روز گذشته نمایش داده می‌شوند. می‌توانید محدوده تاریخ متفاوتی را انتخاب کنید یا روی برای حذف فیلتر تاریخ.

  4. روی افزودن شرط کلیک کنید.
    نکته : می‌توانید یک یا چند شرط را در جستجوی خود بگنجانید یا جستجوی خود را با پرس‌وجوهای تو در تو سفارشی کنید. برای جزئیات بیشتر، به سفارشی‌سازی جستجوی خود با پرس‌وجوهای تو در تو بروید.
  5. روی ویژگی کلیک کنید و سپس یک گزینه را انتخاب کنید. برای مثال، برای فیلتر کردن بر اساس یک نوع رویداد خاص، Event را انتخاب کنید.
    برای مشاهده لیست کامل ویژگی‌ها، به بخش توضیحات ویژگی‌ها مراجعه کنید.
  6. یک اپراتور انتخاب کنید.
  7. یک مقدار وارد کنید یا یک مقدار از لیست انتخاب کنید.
  8. (اختیاری) برای افزودن شرایط جستجوی بیشتر، مراحل را تکرار کنید.
  9. روی جستجو کلیک کنید.
    می‌توانید نتایج جستجو از ابزار بررسی را در جدولی در پایین صفحه مرور کنید.
  10. (اختیاری) برای ذخیره تحقیقات خود، روی ذخیره کلیک کنید و سپس عنوان و توضیحات را وارد کنید و سپس روی ذخیره کلیک کنید.

یادداشت‌ها

  • در تب Condition builder ، فیلترها به صورت شرط‌هایی با عملگرهای AND/OR نمایش داده می‌شوند. همچنین می‌توانید از تب Filter برای اضافه کردن جفت‌های پارامتر و مقدار ساده برای فیلتر کردن نتایج جستجو استفاده کنید.
  • اگر به یک کاربر نام جدیدی بدهید، نتایج پرس‌وجو با نام قبلی کاربر را مشاهده نخواهید کرد. برای مثال، اگر OldName@example.com را به NewName@example.com تغییر نام دهید، نتایج رویدادهای مربوط به OldName@example.com را مشاهده نخواهید کرد.
  • فقط می‌توانید داده‌های موجود در پیام‌هایی را جستجو کنید که هنوز از سطل زباله حذف نشده‌اند.

توضیحات ویژگی

سازمان شما می‌تواند چندین سیاست امنیتی از منابع مختلف داشته باشد که بر دسترسی کاربر تأثیر می‌گذارند. گزارش‌های ارزیابی دسترسی به شما کمک می‌کنند تا رفتار ترکیبی آن سیاست‌ها و سیاست‌های خاصی را که ممکن است بخواهید تغییر دهید، درک کنید.

برای مثال، اگر کاربران غیرمجاز به یک برنامه پیام‌رسان دسترسی داشته باشند، رویدادهای گزارش ارزیابی دسترسی به شما کمک می‌کنند تا بفهمید از کدام خط‌مشی‌ها استفاده می‌شود. اگر یک خط‌مشی را تغییر دهید، رویدادهای گزارش نتیجه آن تغییر را نشان می‌دهند.

همچنین می‌توانید از رویدادهای گزارش ارزیابی دسترسی برای بررسی وضعیت امنیتی سازمان خود استفاده کنید. برای مثال:

  • نظارت بر فعالیت‌های مشکوک: می‌توانید از گزارش‌ها برای نظارت بر فعالیت‌های مشکوک، مانند تلاش برای دسترسی به داده‌های حساس یا دسترسی از مکان‌های ممنوعه، استفاده کنید.
  • بررسی وضعیت امنیتی سازمان: می‌توانید از گزارش‌ها برای بررسی وضعیت امنیتی سازمان خود و اطمینان از محافظت از داده‌هایتان استفاده کنید.

یک ورودی لاگ برای اولین رویداد در یک بازه زمانی ۲۴ ساعته ایجاد می‌شود. رویدادهای تکراری با اطلاعات یکسان تا ۲۴ ساعت پس از آن ثبت نمی‌شوند. به عنوان مثال، اگر یک ورودی با User1، Client1 و IP1 در زمان X رخ دهد، رویدادهای تکراری با اطلاعات یکسان تا ۲۴ ساعت پس از آن ثبت نمی‌شوند.

نکته : هر ورودی لاگ ممکن است شامل برخی از اطلاعات زیر باشد، اما نه همه آنها. برای مثال، فیلد حساب سرویس معمولاً خالی است مگر اینکه دسترسی توسط یک حساب سرویس انجام شود.

نام ستون نظرات مثال
رویداد نام رویداد
  • درخواست توکن دسترسی (زمانی که توکن OAuth با موفقیت صادر می‌شود)
  • اجازه جعل هویت توکن (هنگامی که دسترسی از طریق یک حساب سرویس است)
  • درخواست اعتبارسنجی کوکی را مجاز کنید (وقتی اعتبارنامه‌های مرتبط با یک کوکی در طول دسترسی به برنامه با موفقیت در برابر سیاست‌های امنیتی اعتبارسنجی می‌شوند)
توضیحات شرح رویداد درخواست دسترسی FirstName LastName به Myapp برای محدوده‌های خاص مجاز است.
تاریخ تاریخ و زمان ارزیابی درخواست ‎2022-08-11T10:00:53-07:00‎
بازیگر آدرس ایمیل کاربری که ارزیابی برای آن درخواست و مجاز شده است firstlast@sample-win.info
نام برنامه نام برنامه‌ای که به آن دسترسی پیدا می‌شود ردیت
آدرس آی‌پی آدرس IP که کاربر از آن درخواست ارزیابی دسترسی کرده است ۲۶۰۱:۶۰۰:۸۷۸۰:۱۹d۰:۹۲۵:e۶۳۰:d۲۰e:b۱cc

آی‌پی ASN

شما باید این ستون را به نتایج جستجو اضافه کنید. برای مراحل، به مدیریت داده‌های ستون نتایج جستجو بروید .

شماره سامانه خودمختار IP (ASN)، زیربخش و منطقه مرتبط با ورودی گزارش.

برای بررسی IP ASN و کد منطقه و زیرمجموعه‌ای که فعالیت در آن رخ داده است، روی نام در نتایج جستجو کلیک کنید.

آی‌پی ASN: ۱۲۳۴۵

کد تقسیمات کشوری: IN-KA

کد منطقه: IN

شناسه کلاینت OAuth

شناسه کلاینت برنامه‌ای که دسترسی برای آن ارزیابی شده است

نکته : این ویژگی فقط برای رویدادهای Access Token Request و Allow Token Impersonation قابل استفاده است.

 ‎705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com‎‏
دامنه

محدوده‌ای که درخواست برای آن پذیرفته شده است

توجه : اطلاعات مربوط به دامنه OAuth برای برنامه‌های متعلق به گوگل نمایش داده نمی‌شود.

 https://www.googleapis.com/auth/userinfo.email، https://www.googleapis.com/auth/userinfo.profile، شناسه باز
منبع پیکربندی

توضیح می‌دهد که آیا شناسه کلاینت به دلیل خط‌مشی Google Workspace که صراحتاً به کاربر اجازه دسترسی به این شناسه برنامه را می‌داد، مجاز بوده است یا خیر.

نکته : این ویژگی فقط برای رویدادهای Access Token Request و Allow Token Impersonation قابل استفاده است.

 برای جزئیات بیشتر، بعداً در همین صفحه به توضیحات منبع پیکربندی مراجعه کنید.
نوع مشتری

نوع برنامه‌ای که دسترسی برای آن ارزیابی شده است

نکته : این ویژگی فقط برای رویدادهای Access Token Request و Allow Token Impersonation قابل استفاده است.

 وب، اندروید، آی‌او‌اس و غیره
حساب کاربری خدمات

شناسه ایمیل حساب سرویس در صورتی که برای جعل هویت هر کاربری استفاده شده باشد

نکته : این ویژگی فقط برای رویدادهای Allow Token Impersonation قابل استفاده است.

 abc-alpha@gserviceaccount.com

توضیحات منبع پیکربندی

منبع پیکربندی توضیح می‌دهد که آیا شناسه کلاینت به دلیل خط‌مشی Google Workspace که صراحتاً به کاربر اجازه دسترسی به شناسه برنامه را می‌دهد، مجاز بوده است یا خیر.

توجه : این سناریوها فقط برای رویدادهای دسترسی Access Token Request یا Allow Token Impersonation مرتبط با OAuth اعمال می‌شوند.

سناریو توضیحات
بدون پیکربندی برنامه

دسترسی مجاز بود زیرا مدیران هیچ سیاستی را با استفاده از کنترل‌های API که دسترسی به شناسه کلاینت را مسدود می‌کند، تنظیم نکرده‌اند.

برای افزودن سیاست‌های مسدودسازی، به «کنترل دسترسی برنامه‌ها به داده‌های Google Workspace» بروید.

پیکربندی کنترل‌های API

دسترسی مجاز بود زیرا برنامه در یک سیاست با استفاده از کنترل‌های API مورد اعتماد یا محدود شده بود.

برای جزئیات بیشتر، به «کنترل دسترسی برنامه‌ها به داده‌های Google Workspace» بروید.

پیکربندی مدیریت نقطه پایانی

دسترسی مجاز بود زیرا برنامه در یک خط‌مشی با استفاده از مدیریت نقطه پایانی گوگل، مورد اعتماد یا محدود شده بود.

برای جزئیات بیشتر، به مرور کلی بروید: مدیریت دستگاه‌ها با مدیریت نقطه پایانی گوگل

پیکربندی بازار فضای کاری

دسترسی مجاز بود زیرا برنامه در Google Workspace Marketplace نصب شده بود.

برای جزئیات بیشتر، به «یافتن و نصب برنامه در بازار» بروید.

پیکربندی واگذاری اختیارات در سطح دامنه

دسترسی مجاز بود زیرا این برنامه به صورت دامنه‌ای واگذار شده بود.

برای جزئیات بیشتر، به کنترل دسترسی API با واگذاری اختیارات در سطح دامنه مراجعه کنید.

مدیریت داده‌های رویداد لاگ

مدیریت داده‌های ستون نتایج جستجو

شما می‌توانید کنترل کنید که کدام ستون‌های داده در نتایج جستجوی شما نمایش داده شوند.

  1. در بالا سمت راست جدول نتایج جستجو، روی مدیریت ستون‌ها کلیک کنید .
  2. (اختیاری) برای حذف ستون‌های فعلی، روی «حذف» کلیک کنید .
  3. (اختیاری) برای افزودن ستون‌ها، در کنار «افزودن ستون جدید» ، روی پیکان رو به پایین کلیک کنید. و ستون داده را انتخاب کنید.
    در صورت نیاز تکرار کنید.
  4. (اختیاری) برای تغییر ترتیب ستون‌ها، نام ستون‌های داده را بکشید.
  5. روی ذخیره کلیک کنید.

خروجی گرفتن از داده‌های نتایج جستجو

می‌توانید نتایج جستجو را به Sheets یا به یک فایل CSV صادر کنید.

  1. در بالای جدول نتایج جستجو، روی «صادر کردن همه» کلیک کنید.
  2. یک نام وارد کنید و سپس روی «صادر کردن» کلیک کنید.
    خروجی زیر جدول نتایج جستجو و در قسمت «خروجی نتایج عملیات» نمایش داده می‌شود.
  3. برای مشاهده داده‌ها، روی نام خروجی خود کلیک کنید.
    خروجی در Sheets باز می‌شود.

محدودیت‌های صادرات متفاوت است:

  • کل نتایج صادرات به ۱۰۰۰۰۰ ردیف محدود می‌شود.
  • نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard و Education Plus؛ Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

    اگر ابزار بررسی امنیتی را داشته باشید، کل نتایج خروجی به 30 میلیون ردیف محدود می‌شود.

برای اطلاعات بیشتر، به خروجی گرفتن از نتایج جستجو بروید.

داده‌ها چه زمانی و تا چه مدت در دسترس هستند؟

بر اساس نتایج جستجو اقدام کنید

ایجاد قوانین فعالیت و تنظیم هشدارها

  • شما می‌توانید با استفاده از قوانین گزارش‌دهی، هشدارها را بر اساس داده‌های رویداد گزارش تنظیم کنید. برای دستورالعمل‌ها، به «ایجاد و مدیریت قوانین گزارش‌دهی» بروید.
  • نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard و Education Plus؛ Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

    برای کمک به پیشگیری، شناسایی و رفع مؤثر مشکلات امنیتی، می‌توانید اقدامات را در ابزار بررسی امنیتی خودکار کنید و با ایجاد قوانین فعالیت ، هشدارهایی تنظیم کنید. برای تنظیم یک قانون، شرایطی را برای آن قانون تعیین کنید و سپس اقداماتی را که باید در صورت برآورده شدن شرایط انجام شوند، مشخص کنید. برای جزئیات بیشتر، به ایجاد و مدیریت قوانین فعالیت بروید.

بر اساس نتایج جستجو اقدام کنید

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard و Education Plus؛ Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

پس از انجام جستجو در ابزار بررسی امنیتی، می‌توانید بر اساس نتایج جستجو، اقداماتی انجام دهید. برای مثال، می‌توانید بر اساس رویدادهای گزارش جیمیل، جستجو انجام دهید و سپس از این ابزار برای حذف پیام‌های خاص، ارسال پیام به قرنطینه یا ارسال پیام به صندوق ورودی کاربران استفاده کنید. برای جزئیات بیشتر، به «اقدام بر اساس نتایج جستجو» بروید.

تحقیقات خود را مدیریت کنید

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard و Education Plus؛ Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

فهرست تحقیقات خود را مشاهده کنید

برای مشاهده فهرستی از تحقیقاتی که متعلق به شماست و با شما به اشتراک گذاشته شده است، روی «مشاهده تحقیقات» کلیک کنید. فهرست تحقیقات شامل نام‌ها، توضیحات و صاحبان تحقیقات و تاریخ آخرین اصلاح است.

از این لیست، می‌توانید در مورد هر تحقیقی که متعلق به شماست، اقداماتی انجام دهید، مثلاً یک تحقیق را حذف کنید. کادر مربوط به تحقیق را علامت بزنید و سپس روی «اقدامات» کلیک کنید.

توجه : می‌توانید تحقیقات ذخیره‌شده خود را در بخش دسترسی سریع ، مستقیماً بالای فهرست تحقیقات خود، مشاهده کنید.

تنظیمات مربوط به تحقیقات خود را پیکربندی کنید

به عنوان مدیر ارشد ، روی تنظیمات کلیک کنید به:

  • منطقه زمانی تحقیقات خود را تغییر دهید. منطقه زمانی برای شرایط و نتایج جستجو اعمال می‌شود.
  • روشن یا خاموش کردن «نیاز به بررسی‌کننده» . برای جزئیات بیشتر، به «نیاز به بررسی‌کننده برای اقدامات انبوه» بروید.
  • فعال یا غیرفعال کردن مشاهده محتوا . این تنظیم به مدیرانی که دارای امتیازات مربوطه هستند اجازه می‌دهد محتوا را مشاهده کنند.
  • فعال یا غیرفعال کردن توجیه عمل .

برای جزئیات بیشتر، به پیکربندی تنظیمات برای تحقیقات خود بروید.

ذخیره، اشتراک‌گذاری، حذف و کپی کردن تحقیقات

برای ذخیره معیارهای جستجوی خود یا به اشتراک گذاری آن با دیگران، می‌توانید یک تحقیق ایجاد و ذخیره کنید و سپس آن را به اشتراک بگذارید، کپی کنید یا حذف کنید.

برای جزئیات بیشتر، به ذخیره، اشتراک‌گذاری، حذف و کپی کردن تحقیقات بروید.