אירועים ביומן של Access Evaluation

איך אפליקציות לקוח ניגשות לנתוני משתמשים

בהתאם למהדורת Google Workspace שיש לכם, יכול להיות שתהיה לכם גישה לכלי לחקירת אבטחה, שכולל תכונות מתקדמות יותר. לדוגמה, סופר-אדמינים יכולים לזהות ולתעדף בעיות אבטחה ופרטיות ולטפל בהן. מידע נוסף

אדמינים בארגונים יכולים להשתמש באירועים ביומן הערכת הגישה כדי להבין איך מדיניות האבטחה השונה ב-Google Workspace משפיעה על הגישה של המשתמשים לאפליקציות של צד שלישי ולאפליקציות בבעלות Google. לדוגמה, לארגון יכולות להיות כמה מדיניות OAuth ששולטות בגישה לאפליקציות על סמך כללים שונים. בארגון יכולות להיות גם מדיניות הפעלה או השבתה של שירותים, שמונעת או מאפשרת גישה לשירותים מסוימים. אירועים ביומן הערכת הגישה מציגים את המדיניות שמשפיעה על גישת המשתמשים, אם הגישה אושרה ואיך התקבלו ההחלטות האלה. אתם יכולים להשתמש במידע הזה כדי לבדוק ולשנות את מדיניות האבטחה וההגדרות של הארגון.

הרצת חיפוש לאירועים ביומן

היכולת שלכם להריץ חיפוש תלויה במהדורת Google שלכם, בהרשאות האדמין ובמקור הנתונים. אתם יכולים להריץ חיפוש על כל המשתמשים, ללא קשר למהדורת Google Workspace שלהם.

כלי הביקורת והחקירה

כדי להריץ חיפוש לאירועים ביומן, צריך קודם לבחור מקור נתונים. ואז בוחרים מסנן אחד או יותר לחיפוש.

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווח and thenביקורת וחקירה ואזאירועים ביומן של הערכת גישה.

    כדי לעשות את זה נדרשת הרשאת אדמין לדוחות.

  2. כדי לסנן אירועים שהתרחשו לפני או אחרי תאריך מסוים, בוחרים באפשרות לפני או אחרי בקטע תאריך. כברירת מחדל, מוצגים אירועים מ-7 הימים האחרונים. אפשר לבחור טווח תאריכים אחר או ללחוץ על כדי להסיר את מסנן התאריכים.

  3. לוחצים על הוספת מסנן ואזבוחרים מאפיין. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
  4. בוחרים אופרטור ואזבוחרים ערך ואזלוחצים על אישור.
    • (אופציונלי) כדי ליצור כמה מסננים לחיפוש, חוזרים על השלב הזה.
    • (אופציונלי) כדי להוסיף סימן או מילה למיקוד החיפוש, מעל הוספת מסנן, בוחרים באפשרות וגם או או.
  5. לוחצים על חיפוש. הערה: אפשר להשתמש בכרטיסייה מסנן כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש. אפשר גם להשתמש בכרטיסייה הכלי להגדרת תנאים, שבה המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR.

הכלי לחקירת אבטחה

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

כדי להריץ חיפוש בכלי לחקירת אבטחה, צריך קודם לבחור מקור נתונים. ואז בוחרים תנאי אחד או יותר לחיפוש. לכל תנאי, בוחרים מאפיין, אופרטור וערך.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and thenמרכז האבטחה ואזכלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. לוחצים על מקור נתונים ובוחרים באפשרות אירועים ביומן של הערכת גישה.

  3. כדי לסנן אירועים שהתרחשו לפני או אחרי תאריך מסוים, בוחרים באפשרות לפני או אחרי בקטע תאריך. כברירת מחדל, מוצגים אירועים מ-7 הימים האחרונים. אפשר לבחור טווח תאריכים אחר או ללחוץ על כדי להסיר את מסנן התאריכים.

  4. לוחצים על Add Condition.
    טיפ: אפשר לכלול תנאי אחד או יותר בחיפוש או להתאים אישית את החיפוש באמצעות שאילתות עם היררכיית כללים. פרטים נוספים מופיעים במאמר בנושא התאמה אישית של חיפושים באמצעות שאילתות עם היררכיית כללים.
  5. לוחצים על מאפיין ואז בוחרים באחת מהאפשרויות. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
    רשימה מלאה של המאפיינים מופיעה בקטע תיאורי מאפיינים.
  6. בוחרים אופרטור.
  7. מזינים ערך או בוחרים ערך מהרשימה.
  8. (אופציונלי) כדי להוסיף עוד תנאי חיפוש, חוזרים על השלבים.
  9. לוחצים על חיפוש.
    בטבלה שבתחתית הדף אפשר לעיין בתוצאות החיפוש מכלי החקירה.
  10. (אופציונלי) כדי לשמור את החקירה, לוחצים על סמל השמירה ואזמזינים שם ותיאור ואזלוחצים על שמירה.

הערות

  • בכרטיסייה של הכלי להגדרת תנאים, המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR. אפשר גם להשתמש בכרטיסייה של המסננים כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש.
  • אם תתנו למשתמש שם חדש, לא תראו תוצאות לשאילתות עם השם הישן שלו. לדוגמה, אם אתם משנים את השם של OldName@example.com ל-NewName@example.com, לא תראו תוצאות לאירועים שקשורים ל-OldName@example.com.
  • אתם יכולים לחפש נתונים רק בהודעות שעדיין לא נמחקו מהאשפה.

תיאורים של מאפיינים

לארגון שלכם יכולים להיות כמה כללי אבטחה ממקורות שונים שמשפיעים על הגישה של המשתמשים. יומני הערכת הגישה עוזרים להבין את ההתנהגות המשולבת של כללי המדיניות האלה, ואילו כללי מדיניות ספציפיים כדאי לשנות.

לדוגמה, אם משתמשים לא מורשים ניגשים לאפליקציית הודעות, אירועים ביומן של Access Evaluation עוזרים להבין באילו מדיניות נעשה שימוש. אם משנים מדיניות, אירועי היומן יציגו את התוצאה של השינוי הזה.

אפשר גם להשתמש באירועים ביומן של Access Evaluation כדי לחקור את מצב האבטחה של הארגון. לדוגמה:

  • מעקב אחרי פעילות חשודה: אפשר להשתמש ביומנים כדי לעקוב אחרי פעילות חשודה, כמו ניסיונות גישה לנתונים רגישים או גישה ממיקומים אסורים.
  • ביקורת על מצב האבטחה של הארגון: אפשר להשתמש ביומנים כדי לבצע ביקורת על מצב האבטחה של הארגון ולוודא שהנתונים מוגנים.

רשומה ביומן נוצרת לאירוע הראשון בטווח של 24 שעות. אירועים כפולים עם אותו מידע לא נרשמים עד שעוברות 24 שעות. לדוגמה, אם רשומה עם User1, ‏ Client1 ו-IP1 מתרחשת בזמן X, אירועים כפולים עם אותם פרטים לא נרשמים עד שעוברות 24 שעות.

הערה: כל רשומה ביומן יכולה לכלול חלק מהפרטים הבאים, אבל לא את כולם. לדוגמה, השדה של חשבון השירות בדרך כלל ריק, אלא אם הגישה מתבצעת על ידי חשבון שירות.

שם העמודה תגובות דוגמה
אירוע שם האירוע
  • בקשה לטוקן גישה (כשטוקן OAuth מונפק בהצלחה)
  • אישור לביצוע התחזות לטוקן (כשהגישה היא דרך חשבון שירות)
  • אישור הבקשה לאימות של קובצי Cookie (כאשר פרטי הכניסה שמשויכים לקובץ Cookie מאומתים בהצלחה מול מדיניות האבטחה במהלך הגישה לאפליקציה)
תיאור תיאור האירוע הבקשה של FirstName LastName לקבל גישה ל-Myapp לטווחים מסוימים אושרה
תאריך התאריך והשעה שבהם הבקשה הוערכה 2022-08-11T10:00:53-07:00
המשתמש/ת כתובת האימייל של המשתמש שעבורו נדרשה והותרה ההערכה firstlast@sample-win.info
שם האפליקציה שם האפליקציה שאליה ניגשים Reddit
כתובת IP כתובת ה-IP שממנה המשתמש ביקש הערכת גישה 2601:600:8780:19d0:925:e630:d20e:b1cc

כתובת IP של ASN

צריך להוסיף את העמודה הזו לתוצאות החיפוש. ההוראות מפורטות במאמר בנושא ניהול עמודות הנתונים של תוצאות החיפוש.

מספר מערכת אוטונומית (ASN) של כתובת ה-IP, חלוקת המשנה והאזור שמשויכים לרשומה ביומן.

כדי לבדוק את ה-ASN של כתובת ה-IP, את חלוקת המשנה ואת קוד האזור שבו התרחשה הפעילות, לוחצים על השם בתוצאות החיפוש.

כתובת IP של ASN: ‏ 12345

קוד חלוקת משנה: IN-KA

קוד אזור: IN
מזהה לקוח ב-OAuth

מזהה הלקוח של האפליקציה שהגישה אליה נבדקה

הערה: המאפיין הזה רלוונטי רק לאירועים מסוג Access Token Request (בקשה לטוקן גישה) ו-Allow Token Impersonation (אישור התחזות לטוקן).

 705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com
היקף

ההיקף שעבורו אושרה הבקשה

הערה: מידע על היקף ההרשאה של OAuth לא מוצג לאפליקציות בבעלות Google.

 https://www.googleapis.com/auth/userinfo.email, https://www.googleapis.com/auth/userinfo.profile, openid
מקור ההגדרות

האם מזהה הלקוח אושר בגלל מדיניות Google Workspace שאישרה במפורש את גישת המשתמש למזהה האפליקציה הזה

הערה: המאפיין הזה רלוונטי רק לאירועים מסוג Access Token Request (בקשה לטוקן גישה) ו-Allow Token Impersonation (אישור התחזות לטוקן).

 פרטים נוספים מופיעים בהמשך הדף בקטע תיאורים של מקורות הגדרות.
סוג הלקוח

סוג האפליקציה שעבורה בוצעה הערכת הגישה

הערה: המאפיין הזה רלוונטי רק לאירועים מסוג Access Token Request (בקשה לטוקן גישה) ו-Allow Token Impersonation (אישור התחזות לטוקן).

 אינטרנט, Android,‏ iOS וכו'.
חשבון שירות

מזהה האימייל של חשבון השירות אם הוא שימש להתחזות למשתמש כלשהו

הערה: המאפיין הזה רלוונטי רק לאירועים מסוג Allow Token Impersonation.

 abc-alpha@gserviceaccount.com

תיאורים של מקורות הגדרות

מקור ההגדרה מתאר אם מזהה הלקוח אושר בגלל מדיניות Google Workspace שאפשרה במפורש למשתמש גישה למזהה האפליקציה.

הערה: התרחישים האלה רלוונטיים רק לאירועי גישה שקשורים ל-OAuth, כמו בקשה לטוקן גישה או אישור התחזות לטוקן.

תרחיש תיאור
אין הגדרה לאפליקציה

הגישה אושרה כי האדמינים לא הגדירו מדיניות באמצעות אמצעי בקרה על API שחוסמת את הגישה למזהה הלקוח.

כדי להוסיף מדיניות חסימה, אפשר לעבור אל קביעה לאילו אפליקציות תהיה גישה לנתונים של Google Workspace.
הגדרת אמצעי בקרה ל-API

הגישה אושרה כי האפליקציה הייתה מהימנה או מוגבלת במדיניות באמצעות אמצעי בקרה על ממשקי API.

פרטים נוספים מופיעים במאמר שליטה בגישה של אפליקציות לנתונים ב-Google Workspace.
הגדרת ניהול נקודות קצה

הגישה אושרה כי האפליקציה הייתה מהימנה או מוגבלת במדיניות באמצעות ניהול נקודות קצה (Endpoint) של Google.

פרטים נוספים מופיעים במאמר סקירה כללית: ניהול מכשירים באמצעות ניהול נקודות קצה ב-Google
הגדרה של Workspace Marketplace

הגישה אושרה כי האפליקציה הותקנה ב-Google Workspace Marketplace.

פרטים נוספים זמינים במאמר בנושא חיפוש אפליקציה ב-Marketplace והתקנה שלה.
הגדרת הענקת גישה ברמת הדומיין

הגישה אושרה כי לאפליקציה הזו הוקצתה גישה ברמת הדומיין.

פרטים נוספים זמינים במאמר בנושא שליטה בהרשאות הגישה ל-API באמצעות הענקת גישה ברמת הדומיין.

ניהול נתוני האירועים ביומן

ניהול עמודות הנתונים של תוצאות החיפוש

אתם יכולים לקבוע אילו עמודות נתונים יופיעו בתוצאות החיפוש.

  1. בפינה השמאלית העליונה של טבלת תוצאות החיפוש, לוחצים על הסמל לניהול העמודות .
  2. (אופציונלי) כדי להסיר עמודות שמוצגות כרגע, לוחצים על סמל ההסרה .
  3. (אופציונלי) כדי להוסיף עמודות, לצד הוספת עמודה חדשה לוחצים על החץ למטה ובוחרים את עמודת הנתונים.
    חוזרים על הפעולה לפי הצורך.
  4. (אופציונלי) כדי לשנות את סדר העמודות, גוררים את השמות של עמודות הנתונים.
  5. לוחצים על שמירה.

ייצוא נתונים של תוצאות חיפוש

אתם יכולים לייצא את תוצאות החיפוש ל-Sheets או לקובץ CSV.

  1. בחלק העליון של טבלת תוצאות החיפוש, לוחצים על ייצוא של הכול.
  2. מזינים שם ואז לוחצים על ייצוא.
    קובץ הייצוא מוצג מתחת לטבלת תוצאות החיפוש בקטע ייצוא התוצאות של פעולה.
  3. כדי להציג את הנתונים, לוחצים על שם הייצוא.
    קובץ הייצוא נפתח ב-Sheets.

מגבלות הייצוא משתנות לפי:

  • מספר השורות הכולל של התוצאות שאתם יכולים לייצא מוגבל ל-100,000 שורות.
  • התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

    אם אתם משתמשים בכלי לחקירת אבטחה, אתם יכולים לייצא עד 30 מיליון שורות של תוצאות סה"כ.

מידע נוסף זמין במאמר בנושא ייצוא תוצאות חיפוש.

מתי הנתונים נעשים זמינים ולמשך כמה זמן הם נשמרים?

טיפול באירועים על סמך תוצאות החיפוש

יצירת כללי פעילות והגדרת התראות

  • אפשר להגדיר התראות על סמך נתוני אירועים ביומן באמצעות כללי דיווח. הוראות מפורטות זמינות במאמר יצירה וניהול של כללי דיווח.
  • התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

    כדי למנוע בעיות אבטחה, לזהות אותן ולתקן אותן ביעילות, אתם יכולים להגדיר כללי פעילות להפעלה אוטומטית של פעולות בכלי לחקירת אבטחה, ולקבל התראות. כדי להגדיר כלל, צריך להגדיר את התנאים של הכלל ואז לציין את הפעולות שיש לבצע כשהתנאים מתקיימים. פרטים נוספים זמינים במאמר יצירה וניהול של כללי פעילות.

טיפול באירועים על סמך תוצאות החיפוש

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

אחרי שמריצים חיפוש בכלי לחקירת אבטחה, אפשר לבצע פעולות על תוצאות החיפוש. לדוגמה, אפשר להריץ חיפוש על סמך אירועים ביומן של Gmail, ואז להשתמש בכלי כדי למחוק הודעות ספציפיות, לשלוח הודעות להסגר או לשלוח הודעות לתיבות הדואר הנכנס של המשתמשים. פרטים נוספים זמינים במאמר טיפול באירועים על סמך תוצאות החיפוש.

ניהול החקירות

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

צפייה ברשימת החקירות

כדי לראות רשימה של החקירות שבבעלותכם ושל החקירות ששותפו איתכם, לוחצים על סמל הצגת החקירות . רשימת החקירות כוללת את השמות, התיאורים והבעלים של החקירות, ואת התאריך שבו בוצע השינוי האחרון.

מהרשימה הזו אפשר לבצע פעולות בחקירות שבבעלותכם, למשל למחוק חקירה. מסמנים את התיבה של החקירה ולוחצים על פעולות.

הערה: אפשר לראות את החקירות השמורות בקטע גישה מהירה, ממש מעל רשימת החקירות.

הגדרת ההגדרות של החקירות

בתור סופר-אדמין, לוחצים על סמל ההגדרות כדי:

  • שינוי אזור הזמן של החקירות. אזור הזמן חל על תנאי החיפוש ועל התוצאות.
  • מפעילים או משביתים את האפשרות דרוש בודק. פרטים נוספים זמינים במאמר דרישת בודקים לפעולות בכמות גדולה.
  • מפעילים או משביתים את האפשרות View content (הצגת תוכן). ההגדרה הזו מאפשרת לאדמינים עם ההרשאות המתאימות לצפות בתוכן.
  • מפעילים או משביתים את ההגדרה יש להזין נימוק לפעולות לפני ביצוע.

פרטים נוספים זמינים במאמר בנושא הגדרת ההגדרות של החקירות.

שמירה, שיתוף, מחיקה ושכפול של חקירות

כדי לשמור את קריטריוני החיפוש או לשתף אותם עם אחרים, אתם יכולים ליצור ולשמור חקירה, ואז לשתף, לשכפל או למחוק אותה.

פרטים נוספים זמינים במאמר בנושא שמירה, שיתוף, מחיקה ושכפול של חקירות.