Eventi dei log di valutazione dell'accesso

Scopri in che modo le applicazioni client accedono ai dati utente

A seconda della versione di Google Workspace che utilizzi, potresti avere accesso allo strumento di indagine sulla sicurezza, che offre funzionalità più avanzate. Ad esempio, i super amministratori possono identificare, assegnare una priorità e intervenire in caso di problemi di sicurezza e privacy. Scopri di più

In qualità di amministratore della tua organizzazione, puoi utilizzare gli eventi del log di valutazione dell'accesso per capire in che modo le diverse policy di sicurezza di Google Workspace influiscono sull'accesso degli utenti alle app di terze parti e di proprietà di Google. Ad esempio, un'organizzazione può avere più policy OAuth che controllano l'accesso alle app in base a regole diverse. Un'organizzazione può anche avere policy di attivazione/disattivazione dei servizi che impediscono o consentono l'accesso a determinati servizi. Gli eventi del log di valutazione dell'accesso mostrano le policy che influiscono sull'accesso degli utenti, se l'accesso è stato concesso e in che modo sono state prese queste decisioni. Puoi utilizzare queste informazioni per esaminare e rivedere le policy e la configurazione di sicurezza della tua organizzazione.

Esegui una ricerca di eventi dei log

La possibilità di eseguire ricerche dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Puoi eseguire una ricerca su tutti gli utenti, indipendentemente dalla versione di Google Workspace in uso.

Strumento di controllo e indagine

Per eseguire una ricerca degli eventi dei log, scegli innanzitutto un'origine dati. Poi scegli uno o più filtri per la ricerca.

  1. Nella Console di amministrazione Google, vai a Menu e poi Report e poiControllo e indagine e poiEventi del log di valutazione dell'accesso.

    È necessario disporre del privilegio di amministratore Report.

  2. Per filtrare gli eventi che si sono verificati prima o dopo una data specifica, seleziona Prima o Dopo per Data. Per impostazione predefinita, vengono mostrati gli eventi degli ultimi 7 giorni. Puoi selezionare un intervallo di date diverso o fare clic su per rimuovere il filtro della data.

  3. Fai clic su Aggiungi un filtro e poiseleziona un attributo. Ad esempio, per filtrare in base a un tipo di evento specifico, seleziona Evento.
  4. Seleziona un operatore e poiseleziona un valore e poifai clic su Applica.
    • (Facoltativo) Per creare più filtri per la ricerca, ripeti questo passaggio.
    • (Facoltativo) Per aggiungere un operatore di ricerca, sopra Aggiungi un filtro, seleziona AND oppure OR.
  5. Fai clic su Cerca. Nota: utilizzando la scheda Filtro, puoi includere semplici coppie di parametri e valori per filtrare i risultati di ricerca. Puoi anche utilizzare la scheda Generatore di condizioni, in cui i filtri sono rappresentati come condizioni con gli operatori E/O.

Strumento di indagine sulla sicurezza

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

Per eseguire una ricerca nello strumento di indagine sulla sicurezza, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poiCentro sicurezza e poiStrumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Fai clic su Origine dati e seleziona Eventi del log di valutazione dell'accesso.

  3. Per filtrare gli eventi che si sono verificati prima o dopo una data specifica, seleziona Prima o Dopo per Data. Per impostazione predefinita, vengono mostrati gli eventi degli ultimi 7 giorni. Puoi selezionare un intervallo di date diverso o fare clic su per rimuovere il filtro della data.

  4. Fai clic su Aggiungi condizione.
    Suggerimento: puoi includere una o più condizioni nella ricerca oppure personalizzarla con query nidificate. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate.
  5. Fai clic su Attributo e poi seleziona un'opzione. Ad esempio, per filtrare in base a un tipo di evento specifico, seleziona Evento.
    Per un elenco completo degli attributi, consulta la sezione Descrizioni degli attributi.
  6. Seleziona un operatore.
  7. Inserisci un valore o selezionane uno dall'elenco.
  8. (Facoltativo) Per aggiungere altre condizioni di ricerca, ripeti i passaggi.
  9. Fai clic su Cerca.
    Puoi esaminare i risultati di ricerca dello strumento di indagine in una tabella nella parte inferiore della pagina.
  10. (Facoltativo) Per salvare la tua indagine, fai clic su Salva e poiinserisci un titolo e una descrizione e poifai clic su Salva.

Note

  • Nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori AND/OR. Puoi anche utilizzare la scheda Filtro per includere coppie di parametri e valori semplici per filtrare i risultati della ricerca.
  • Se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.
  • Puoi cercare dati solo nei messaggi che non sono ancora stati eliminati dal cestino.

Descrizioni degli attributi

La tua organizzazione può avere più policy di sicurezza provenienti da origini diverse che influiscono sull'accesso degli utenti. I log di valutazione dell'accesso ti aiutano a comprendere il comportamento combinato di queste policy e quali policy specifiche potresti voler modificare.

Ad esempio, se utenti non autorizzati accedono a un'app di messaggistica, gli eventi del log di valutazione dell'accesso ti aiutano a capire quali policy vengono utilizzate. Se modifichi una policy, gli eventi di log mostreranno il risultato della modifica.

Puoi anche utilizzare gli eventi del log di valutazione dell'accesso per esaminare la security posture della tua organizzazione. Ad esempio:

  • Monitoraggio delle attività sospette: puoi utilizzare i log per monitorare le attività sospette, ad esempio i tentativi di accesso a dati sensibili o l'accesso da località vietate.
  • Controlla la security posture della tua organizzazione: puoi utilizzare i log per controllare la security posture della tua organizzazione e assicurarti che i tuoi dati siano protetti.

Viene creata una voce di log per il primo evento entro un intervallo di 24 ore. Gli eventi duplicati con le stesse informazioni non vengono registrati fino a quando non sono trascorse 24 ore. Ad esempio, se una voce con Utente1, Cliente1 e IP1 si verifica all'ora X, gli eventi duplicati con le stesse informazioni non vengono registrati fino a quando non sono trascorse 24 ore.

Nota: ogni voce del log può includere alcune, ma non tutte, delle seguenti informazioni. Ad esempio, il campo del service account è in genere vuoto, a meno che l'accesso non venga eseguito da un service account.

Nome colonna Commenti Esempio
Evento Nome evento
  • Richiesta di token di accesso (quando viene emesso correttamente un token OAuth)
  • Consenti simulazione dell'identità token (se l'accesso avviene tramite un service account)
  • Consenti richiesta di convalida dei cookie (quando le credenziali associate a un cookie vengono convalidate correttamente in base alle norme di sicurezza durante l'accesso all'applicazione)
Descrizione Descrizione dell'evento La richiesta di accesso di FirstName LastName a Myapp per determinati ambiti è consentita
Data Data e ora in cui è stata valutata la richiesta 2022-08-11T10:00:53-07:00
Actor Indirizzo email dell'utente per il quale è stata richiesta e consentita la valutazione firstlast@sample-win.info
Nome dell'applicazione Nome dell'applicazione a cui si sta accedendo Reddit
Indirizzo IP Indirizzo IP da cui l'utente ha richiesto la valutazione dell'accesso 2601:600:8780:19d0:925:e630:d20e:b1cc

ASN IP

Devi aggiungere questa colonna ai risultati di ricerca. Per i passaggi, vai a Gestire i dati delle colonne dei risultati di ricerca.

Numero di sistema autonomo (ASN) IP, sottodivisione e regione associati alla voce di log.

Per esaminare l'ASN IP, la sottodivisione e il codice regione in cui si è verificata l'attività, fai clic sul nome nei risultati di ricerca.

ASN IP: 12345

Codice sottodivisione: IN-KA

Codice regione: IN
ID client OAuth

ID client dell'applicazione per cui è stato valutato l'accesso

Nota: questo attributo è applicabile solo agli eventi Richiesta di token di accesso e Consenti simulazione dell'identità token.

 705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com
Ambito

Ambito per cui è stata concessa la richiesta

Nota: le informazioni sull'ambito OAuth non vengono mostrate per le app di proprietà di Google.

 https://www.googleapis.com/auth/userinfo.email, https://www.googleapis.com/auth/userinfo.profile, openid
Origine configurazione

Descrive se un ID cliente è stato consentito a causa di una policy di Google Workspace che consentiva esplicitamente l'accesso dell'utente a questo ID applicazione

Nota: questo attributo è applicabile solo agli eventi Richiesta di token di accesso e Consenti simulazione dell'identità token.

 Per maggiori dettagli, vedi Descrizioni dell'origine della configurazione più avanti in questa pagina.
Tipo di client

Tipo di applicazione per cui è stato valutato l'accesso

Nota: questo attributo è applicabile solo agli eventi Richiesta di token di accesso e Consenti simulazione dell'identità token.

 Web, Android, iOS e così via.
Account di servizio

ID dell'indirizzo email del service account se è stato utilizzato per simulare l'identità di un utente

Nota: questo attributo è applicabile solo agli eventi Consenti simulazione dell'identità token.

 abc-alpha@gserviceaccount.com

Descrizioni dell'origine della configurazione

L'origine della configurazione descrive se un ID cliente è stato consentito a causa di una policy di Google Workspace che consentiva esplicitamente l'accesso dell'utente all'ID applicazione.

Nota: questi scenari si applicano solo agli eventi di richiesta di token di accesso o di autorizzazione della simulazione dell'identità del token correlati a OAuth.

Scenario Descrizione
Nessuna configurazione dell'app

L'accesso è stato consentito perché gli amministratori non hanno impostato policy che utilizzano i controlli API per bloccare l'accesso all'ID cliente.

Per aggiungere policy di blocco, vedi Specificare quali app possono accedere ai dati di Google Workspace.
Configurazione dei controlli API

L'accesso è stato consentito perché l'applicazione era attendibile o limitata in una policy che utilizza i controlli API.

Per maggiori dettagli, vedi Specificare quali app possono accedere ai dati di Google Workspace.
Configurazione della gestione degli endpoint

L'accesso è stato consentito perché l'applicazione era attendibile o limitata in una policy che utilizza la gestione degli endpoint Google.

Per maggiori dettagli, vedi Panoramica: gestisci i dispositivi con la gestione degli endpoint Google.
Configurazione di Workspace Marketplace

L'accesso è stato consentito perché l'applicazione è stata installata in Google Workspace Marketplace.

Per informazioni dettagliate, vedi Trovare e installare un'app nel Marketplace.
Configurazione della delega a livello di dominio

L'accesso è stato consentito perché questa applicazione è stata delegata a livello di dominio.

Per maggiori dettagli, consulta Controllare l'accesso all'API con la delega a livello di dominio.

Gestire i dati sugli eventi del log

Gestire i dati delle colonne dei risultati di ricerca

Puoi stabilire quali colonne di dati visualizzare nei risultati di ricerca.

  1. Nell'angolo in alto a destra della tabella dei risultati di ricerca, fai clic su Gestisci colonne .
  2. (Facoltativo) Per rimuovere le colonne attualmente visualizzate, fai clic su Rimuovi .
  3. (Facoltativo) Per aggiungere colonne, fai clic sulla Freccia giù in corrispondenza di Aggiungi nuova colonna e seleziona la colonna di dati che ti interessa.
    Ripeti questa operazione in base alle necessità.
  4. (Facoltativo) Per modificare l'ordine delle colonne, trascina i nomi delle colonne di dati.
  5. Fai clic su Salva.

Esportare i dati dei risultati di ricerca

Puoi esportare i risultati di ricerca in Fogli o in un file CSV.

  1. Nella parte superiore della tabella dei risultati di ricerca, fai clic su Esporta tutto.
  2. Inserisci un nome e poi fai clic su Esporta.
    L'esportazione viene visualizzata al di sotto della tabella dei risultati di ricerca, in Risultati dell'azione Esporta.
  3. Per visualizzare i dati, fai clic sul nome dell'esportazione.
    L'esportazione si apre in Fogli.

I limiti di esportazione possono variare:

  • I risultati complessivi dell'esportazione sono limitati a 100.000 righe.
  • Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

    Se utilizzi lo strumento di indagine sulla sicurezza, i risultati totali dell'esportazione sono limitati a 30 milioni di righe.

Per saperne di più, consulta Esportare i risultati di ricerca.

Quando sono disponibili i dati? Per quanto tempo?

Intervenire in funzione dei risultati di ricerca

Creare regole di attività e configurare avvisi

  • Puoi configurare avvisi in base ai dati sugli eventi dei log utilizzando le regole di reporting. Per le istruzioni, vai a Creare e gestire le regole di reporting.
  • Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

    Per contribuire a prevenire, rilevare e risolvere in modo efficiente i problemi di sicurezza, puoi creare regole di attività per automatizzare azioni nello strumento di indagine sulla sicurezza e configurare avvisi. Per configurare una regola, imposta le sue condizioni e specifica quali azioni eseguire quando queste condizioni sono soddisfatte. Per maggiori dettagli, vedi Creare e gestire le regole di attività.

Intervenire in funzione dei risultati di ricerca

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

Dopo aver eseguito una ricerca nello strumento di indagine sulla sicurezza, puoi operare sui relativi risultati. Ad esempio, puoi eseguire una ricerca basata sugli eventi del log di Gmail e quindi utilizzare lo strumento per eliminare messaggi specifici, metterli in quarantena o inviarli nella Posta in arrivo degli utenti. Per maggiori dettagli, vedi Adottare azioni basate sui risultati di ricerca.

Gestire le indagini

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

Visualizzare l'elenco delle indagini

Per visualizzare un elenco delle indagini di tua proprietà e di quelle che sono state condivise con te, fai clic su Visualizza indagini . L'elenco delle indagini ne include i nomi, le descrizioni e i proprietari, nonché la data dell'ultima modifica.

Da questo elenco puoi eseguire azioni sulle indagini di tua proprietà, ad esempio eliminare un'indagine. Seleziona la casella in corrispondenza di un'indagine, quindi fai clic su Azioni.

Nota: puoi visualizzare le indagini salvate nella sezione Accesso rapido, direttamente sopra l'elenco delle indagini.

Configurare le impostazioni per le indagini

Come super amministratore, fai clic su Impostazioni per:

  • Modificare il fuso orario per le indagini. Il fuso orario si applica alle condizioni e ai risultati di ricerca.
  • Attivare o disattivare l'opzione Richiedi revisore. Per maggiori dettagli, vedi Richiedere revisori per azioni collettive.
  • Attiva o disattiva l'opzione Visualizza i contenuti. Questa impostazione consente agli amministratori con i privilegi appropriati di visualizzare i contenuti.
  • Attiva o disattiva l'opzione Abilita motivazione azione.

Per ulteriori dettagli, vedi Configurare le impostazioni per le indagini.

Salvare, condividere, eliminare e duplicare le indagini

Per condividere una ricerca con altri utenti o salvarne i criteri, puoi creare e salvare un'indagine e, successivamente, condividerla, duplicarla o eliminarla.

Per maggiori dettagli, vedi Salvare, condividere, eliminare e duplicare le indagini.