В зависимости от версии Google Workspace у вас может быть доступ к инструменту расследования инцидентов безопасности, который обладает более расширенными функциями. Например, суперадминистраторы могут выявлять, анализировать и принимать меры по проблемам безопасности и конфиденциальности. Подробнее
Как администратор вашей организации, вы можете использовать события журнала оценки доступа, чтобы понять, как различные политики безопасности в Google Workspace влияют на доступ пользователей к сторонним и принадлежащим Google приложениям. Например, в организации может быть несколько политик OAuth, которые контролируют доступ к приложениям на основе различных правил. В организации также могут быть политики включения/выключения служб, которые запрещают или разрешают доступ к определенным службам. События журнала оценки доступа показывают политики, влияющие на доступ пользователей, был ли предоставлен доступ и как были приняты эти решения. Вы можете использовать эту информацию для проверки и корректировки политик безопасности и конфигурации вашей организации.
Выполните поиск событий журнала.
Возможность выполнения поиска зависит от вашей версии Google, ваших административных прав и источника данных. Вы можете выполнить поиск для всех пользователей, независимо от их версии Google Workspace.
Инструмент аудита и расследования
Для выполнения поиска событий в журнале сначала выберите источник данных. Затем выберите один или несколько фильтров для поиска.
В консоли администратора Google перейдите в меню.
Отчетность Аудит и расследование События журнала оценки доступа .Для этого требуются права администратора отчетов .
Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту.
чтобы удалить фильтр по дате.- Нажмите « Добавить фильтр». Выберите атрибут. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
- Выберите оператора выберите значение Нажмите «Применить» .
- (Необязательно) Чтобы создать несколько фильтров для поиска, повторите этот шаг.
- (Необязательно) Чтобы добавить оператор поиска, выше в разделе «Добавить фильтр» выберите «И» или «ИЛИ» .
- Нажмите «Поиск» . Примечание : На вкладке «Фильтр» можно использовать простые пары параметр-значение для фильтрации результатов поиска. Также можно использовать вкладку «Конструктор условий» , где фильтры представлены в виде условий с операторами И/ИЛИ.
Инструмент для проведения расследований в сфере безопасности
Для выполнения поиска в инструменте анализа безопасности сначала выберите источник данных. Затем выберите одно или несколько условий для поиска. Для каждого условия выберите атрибут , оператор и значение .
В консоли администратора Google перейдите в меню.
Безопасность Центр безопасности Инструмент расследования .Для этого требуются права администратора центра безопасности .
- Щелкните «Источник данных» и выберите «События журнала оценки доступа» .
Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту.
чтобы удалить фильтр по дате.- Нажмите «Добавить условие» .
Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» . - Атрибут клика Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
Полный список атрибутов см. в разделе «Описание атрибутов» . - Выберите оператора.
- Введите значение или выберите значение из списка.
- (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
- Нажмите «Поиск» .
Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы. - (Необязательно) Чтобы сохранить результаты расследования, нажмите «Сохранить».
Введите заголовок и описание. Нажмите « Сохранить ».
Примечания
- На вкладке «Конструктор условий» фильтры представлены в виде условий с операторами И/ИЛИ. Вы также можете использовать вкладку «Фильтр» для добавления простых пар параметр-значение для фильтрации результатов поиска.
- Если вы присвоите пользователю новое имя, вы не увидите результаты запросов со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .
- Поиск данных возможен только в сообщениях, которые еще не были удалены из Корзины.
Описание атрибутов
В вашей организации может быть несколько политик безопасности из разных источников, влияющих на доступ пользователей. Журналы оценки доступа помогают понять совокупное поведение этих политик и определить, какие именно политики вы, возможно, захотите изменить.
Например, если неавторизованные пользователи получают доступ к приложению для обмена сообщениями, события журнала оценки доступа помогут вам понять, какие политики используются. Если вы измените политику, события журнала покажут результат этого изменения.
Вы также можете использовать события журнала оценки доступа для исследования уровня безопасности вашей организации. Например:
- Отслеживание подозрительной активности: Вы можете использовать журналы для отслеживания подозрительной активности, например, попыток доступа к конфиденциальным данным или доступа из запрещенных мест.
- Проведите аудит уровня безопасности вашей организации: вы можете использовать журналы для аудита уровня безопасности вашей организации и обеспечения защиты ваших данных.
Запись в журнале создается для первого события в течение 24 часов. Дублирующие события с одинаковой информацией не регистрируются до истечения 24 часов. Например, если запись с User1, Client1 и IP1 появилась в момент времени X, дублирующие события с одинаковой информацией не будут регистрироваться до истечения 24 часов.
Примечание : Каждая запись в журнале может содержать часть, но не всю, из следующей информации. Например, поле «Учетная запись службы» обычно пустое, если доступ не осуществляется с помощью учетной записи службы.
| Название столбца | Комментарии | Пример |
|---|---|---|
| Событие | Название мероприятия |
|
| Описание | Описание события | Запрос на доступ к Myapp для определенных областей действия разрешен. Разрешен доступ по адресу FirstName LastName. |
| Дата | Дата и время рассмотрения запроса. | 2022-08-11T10:00:53-07:00 |
| Актер | Адрес электронной почты пользователя, для которого была запрошена и разрешена оценка. | firstlast@sample-win.info |
| Название приложения | Название приложения, к которому осуществляется доступ. | Реддит |
| IP-адрес | IP-адрес, с которого пользователь запросил оценку доступа | 2601:600:8780:19d0:925:e630:d20e:b1cc |
IP ASN Необходимо добавить этот столбец в результаты поиска. Инструкции см. в разделе «Управление данными столбцов результатов поиска» . | Номер автономной системы (ASN), подразделение и регион IP-адреса, связанные с записью в журнале. Чтобы просмотреть IP-адрес автономных систем (ASN), а также код подразделения и региона, где произошла активность, щелкните по названию в результатах поиска. | IP ASN: 12345 Код подразделения: IN-KA Код региона: IN |
| Идентификатор клиента OAuth | Идентификатор клиента приложения, для которого был проведен анализ доступа. Примечание : Этот атрибут применим только к событиям «Запрос токена доступа» и «Разрешить имитацию токена». | 705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com |
| Объем | Область, в рамках которой запрос был удовлетворен. Примечание : информация об области действия OAuth не отображается для приложений, принадлежащих Google. | https://www.googleapis.com/auth/userinfo.email, https://www.googleapis.com/auth/userinfo.profile, openid |
| Источник конфигурации | Указывает, был ли разрешен идентификатор клиента в соответствии с политикой Google Workspace, которая явно разрешала пользователю доступ к этому идентификатору приложения. Примечание : Этот атрибут применим только к событиям «Запрос токена доступа» и «Разрешить имитацию токена». | Для получения более подробной информации перейдите к разделу «Описание источников конфигурации» далее на этой странице. |
| Тип клиента | Тип приложения, для которого проводилась оценка доступа. Примечание : Этот атрибут применим только к событиям «Запрос токена доступа» и «Разрешить имитацию токена». | Веб, Android, iOS и т. д. |
| Служебный аккаунт | Адрес электронной почты служебной учетной записи, если он использовался для выдачи себя за другого пользователя. Примечание : Этот атрибут применим только к событиям «Разрешить подмену токена». | abc-alpha@gserviceaccount.com |
Описание источников конфигурации
В поле «Источник конфигурации» указывается, был ли разрешен идентификатор клиента в соответствии с политикой Google Workspace, которая явно разрешала пользователю доступ к идентификатору приложения.
Примечание : Эти сценарии применимы только к событиям доступа, связанным с запросом токена доступа OAuth или разрешением подмены токена.
| Сценарий | Описание |
|---|---|
| Нет настройки приложения | Доступ был предоставлен, поскольку администраторы не установили никаких правил с помощью API Controls, блокирующих доступ к идентификатору клиента. Чтобы добавить правила блокировки, перейдите в раздел «Управление доступом приложений к данным Google Workspace» . |
| API управляет конфигурацией | Доступ был предоставлен, поскольку приложение считалось доверенным или имело ограничения, установленные политикой с использованием API Controls. Для получения более подробной информации перейдите в раздел «Управление доступом приложений к данным Google Workspace» . |
| Настройка управления конечными точками | Доступ был предоставлен, поскольку приложение считалось доверенным или имело ограничения в соответствии с политикой, использующей Google Endpoint Management. Для получения более подробной информации перейдите в раздел «Обзор: Управление устройствами с помощью Google Endpoint Management». |
| Настройка торговой площадки рабочего пространства | Доступ был предоставлен, поскольку приложение было установлено в Google Workspace Marketplace. Для получения более подробной информации перейдите по ссылке «Найти и установить приложение в Marketplace» . |
| Конфигурация делегирования в масштабе всего домена | Доступ был предоставлен, поскольку это приложение было делегировано в рамках всего домена. Для получения более подробной информации перейдите в раздел «Управление доступом к API с помощью делегирования в масштабе всего домена». |
Управление данными событий журнала
Управление данными столбца результатов поиска
Вы можете управлять тем, какие столбцы данных будут отображаться в результатах поиска.
- В правом верхнем углу таблицы результатов поиска нажмите «Управление столбцами».
. - (Необязательно) Чтобы удалить текущие столбцы, нажмите «Удалить». .
- (Необязательно) Чтобы добавить столбцы, рядом с кнопкой «Добавить новый столбец » нажмите стрелку вниз.
и выберите столбец с данными.
Повторять по мере необходимости. - (Необязательно) Чтобы изменить порядок столбцов, перетащите названия столбцов данных.
- Нажмите « Сохранить ».
Экспорт данных результатов поиска
Результаты поиска можно экспортировать в Google Sheets или в CSV-файл.
- В верхней части таблицы результатов поиска нажмите кнопку «Экспорт всех» .
- Введите имя Нажмите «Экспорт» .
Результаты экспорта отображаются под таблицей результатов поиска в разделе «Результаты действия экспорта» . - Для просмотра данных щелкните по названию экспортируемого файла.
Экспорт открывается в Google Sheets.
Ограничения на экспорт различаются:
- Общий объем результатов экспорта ограничен 100 000 строками.
- Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.
Если у вас установлен инструмент для проведения анализа безопасности, общий объем результатов экспорта ограничен 30 миллионами строк.
Для получения более подробной информации перейдите в раздел «Экспорт результатов поиска» .
Когда и как долго доступны данные?
Перейдите в раздел «Сохранение данных и задержки» .
Принимайте меры на основе результатов поиска.
Создавайте правила действий и настраивайте оповещения.
- Вы можете настроить оповещения на основе данных событий журнала с помощью правил формирования отчетов. Инструкции см. в разделе «Создание и управление правилами формирования отчетов» .
- Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.
Для эффективного предотвращения, обнаружения и устранения проблем безопасности вы можете автоматизировать действия в инструменте расследования инцидентов безопасности и настроить оповещения, создав правила действий . Чтобы настроить правило, задайте для него условия, а затем укажите действия, которые должны быть выполнены при выполнении этих условий. Для получения более подробной информации перейдите в раздел «Создание и управление правилами действий» .
Принимайте меры на основе результатов поиска.
Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.
После выполнения поиска в инструменте расследования инцидентов безопасности вы можете предпринять действия на основе результатов поиска. Например, вы можете выполнить поиск на основе событий журнала Gmail, а затем использовать инструмент для удаления определенных сообщений, отправки сообщений в карантин или отправки сообщений в почтовые ящики пользователей. Для получения более подробной информации перейдите в раздел «Действия на основе результатов поиска» .
Управляйте своими расследованиями
Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.
Просмотрите список ваших расследований
Чтобы просмотреть список расследований, которые принадлежат вам и которые были предоставлены вам, нажмите «Просмотреть расследования». 
Список расследований включает имена, описания и ответственных за расследования, а также дату последнего изменения.
Из этого списка вы можете выполнить действия с любыми принадлежащими вам расследованиями, например, удалить расследование. Установите флажок напротив нужного расследования, а затем нажмите «Действия» .
Примечание : Вы можете просмотреть сохраненные расследования в разделе «Быстрый доступ» , непосредственно над списком расследований.
Настройте параметры для ваших расследований.
От имени суперадминистратора нажмите «Настройки». 
к:
- Измените часовой пояс для ваших исследований. Часовой пояс применяется к условиям поиска и результатам.
- Включите или выключите параметр «Требовать рецензентов» . Для получения более подробной информации перейдите в раздел «Требовать рецензентов для массовых действий» .
- Включить или выключить отображение содержимого . Этот параметр позволяет администраторам с соответствующими правами просматривать содержимое.
- Включить или выключить обоснование действий .
Для получения более подробной информации перейдите в раздел «Настройка параметров расследования» .
Сохраняйте, делитесь, удаляйте и дублируйте расследования.
Чтобы сохранить критерии поиска или поделиться ими с другими, вы можете создать и сохранить расследование, а затем поделиться им, скопировать или удалить его.
Для получения более подробной информации перейдите в раздел «Сохранение, предоставление доступа, удаление и дублирование расследований» .
Связанные темы
- Начните расследование на основе диаграммы на панели управления.
- Создайте пользовательскую диаграмму на основе проведенного исследования.
- Начните расследование из центра оповещения.
- Расследуйте сообщения о вредоносных электронных письмах.
- Изучите вопрос обмена файлами.
- Проведите исследование пользователей по различным источникам данных.