Sự kiện trong nhật ký Đánh giá quyền truy cập

Xem cách các ứng dụng khách truy cập vào dữ liệu người dùng

Tuỳ thuộc vào phiên bản Google Workspace bạn sử dụng, bạn có thể có quyền sử dụng công cụ điều tra bảo mật có nhiều tính năng nâng cao hơn. Ví dụ: quản trị viên cấp cao có thể xác định, phân loại theo thứ tự ưu tiên và xử lý các vấn đề về bảo mật và quyền riêng tư. Tìm hiểu thêm

Là quản trị viên của tổ chức, bạn có thể sử dụng các sự kiện trong nhật ký Đánh giá quyền truy cập để tìm hiểu mức độ ảnh hưởng của các chính sách bảo mật trong Google Workspace đến quyền truy cập của người dùng vào các ứng dụng bên thứ ba và ứng dụng thuộc sở hữu của Google. Ví dụ: một tổ chức có thể có nhiều chính sách OAuth để kiểm soát quyền truy cập của ứng dụng dựa trên các quy tắc khác nhau. Tổ chức cũng có thể có các chính sách bật/tắt dịch vụ để ngăn chặn hoặc cho phép truy cập vào một số dịch vụ nhất định. Các sự kiện nhật ký Đánh giá quyền truy cập cho biết những chính sách ảnh hưởng đến quyền truy cập của người dùng, liệu quyền truy cập có được cấp hay không và cách đưa ra những quyết định đó. Bạn có thể sử dụng thông tin này để xem xét và sửa đổi cấu hình cũng như chính sách bảo mật của tổ chức.

Tìm kiếm sự kiện trong nhật ký

Khả năng chạy tìm kiếm tuỳ thuộc vào phiên bản Google, đặc quyền quản trị và nguồn dữ liệu của bạn. Bạn có thể tìm kiếm tất cả người dùng, bất kể phiên bản Google Workspace mà họ sử dụng.

Công cụ kiểm tra và điều tra

Để tìm kiếm sự kiện trong nhật ký, trước tiên, hãy chọn một nguồn dữ liệu. Sau đó, hãy chọn một hoặc nhiều bộ lọc cho nội dung bạn muốn tìm.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Báo cáo sau đóKiểm tra và điều tra sau đóSự kiện trong nhật ký Đánh giá quyền truy cập.

    Bạn phải có đặc quyền của quản trị viên đối với Báo cáo.

  2. Để lọc những sự kiện xảy ra trước hoặc sau một ngày cụ thể, đối với Ngày, hãy chọn Trước hoặc Sau. Theo mặc định, các sự kiện trong 7 ngày qua sẽ xuất hiện. Bạn có thể chọn một phạm vi ngày khác hoặc nhấp vào biểu tượng để xoá bộ lọc ngày.

  3. Nhấp vào Thêm bộ lọc sau đóchọn một thuộc tính. Ví dụ: để lọc theo một loại sự kiện cụ thể, hãy chọn Sự kiện.
  4. Chọn một toán tử sau đóchọn một giá trị sau đónhấp vào Áp dụng.
    • (Không bắt buộc) Để tạo nhiều bộ lọc cho nội dung tìm kiếm, hãy lặp lại bước này.
    • (Không bắt buộc) Để thêm toán tử tìm kiếm, ở phía trên phần Thêm bộ lọc, hãy chọn AND hoặc OR.
  5. Nhấp vào Tìm kiếm. Lưu ý: Khi sử dụng thẻ Bộ lọc, bạn có thể thêm các cặp giá trị và tham số đơn giản để lọc kết quả tìm kiếm. Bạn cũng có thể sử dụng thẻ Trình tạo điều kiện, trong đó các bộ lọc được biểu thị dưới dạng điều kiện bằng toán tử AND/OR.

Công cụ điều tra bảo mật

Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

Để chạy một lượt tìm kiếm trong công cụ điều tra bảo mật, trước tiên, hãy chọn một nguồn dữ liệu. Sau đó, hãy chọn một hoặc nhiều điều kiện cho nội dung bạn muốn tìm. Đối với mỗi điều kiện, hãy chọn một thuộc tính, một toán tử và một giá trị.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Bảo mật sau đóTrung tâm bảo mật sau đóCông cụ điều tra.

    Bạn phải có đặc quyền của quản trị viên đối với Trung tâm bảo mật.

  2. Nhấp vào Nguồn dữ liệu rồi chọn Sự kiện trong nhật ký Đánh giá quyền truy cập.

  3. Để lọc những sự kiện xảy ra trước hoặc sau một ngày cụ thể, đối với Ngày, hãy chọn Trước hoặc Sau. Theo mặc định, các sự kiện trong 7 ngày qua sẽ xuất hiện. Bạn có thể chọn một phạm vi ngày khác hoặc nhấp vào biểu tượng để xoá bộ lọc ngày.

  4. Nhấp vào Thêm điều kiện.
    Lưu ý: Bạn có thể thêm một hoặc nhiều điều kiện vào nội dung tìm kiếm hoặc tuỳ chỉnh nội dung tìm kiếm bằng các truy vấn lồng ghép. Để biết thông tin chi tiết, hãy xem bài viết Tuỳ chỉnh nội dung tìm kiếm bằng các truy vấn lồng ghép.
  5. Nhấp vào Thuộc tính sau đóchọn một lựa chọn. Ví dụ: để lọc theo một loại sự kiện cụ thể, hãy chọn Sự kiện.
    Để xem danh sách đầy đủ các thuộc tính, hãy chuyển đến phần Nội dung mô tả thuộc tính.
  6. Chọn một toán tử.
  7. Nhập một giá trị hoặc chọn một giá trị trong danh sách.
  8. (Không bắt buộc) Để thêm các điều kiện tìm kiếm khác, hãy lặp lại các bước trên.
  9. Nhấp vào Tìm kiếm.
    Bạn có thể xem kết quả tìm kiếm từ công cụ điều tra trong một bảng ở cuối trang.
  10. (Không bắt buộc) Để lưu thông tin điều tra, hãy nhấp vào biểu tượng Lưu sau đónhập tiêu đề và nội dung mô tả sau đónhấp vào Lưu.

Lưu ý

  • Trong thẻ Trình tạo điều kiện, các bộ lọc được biểu thị dưới dạng điều kiện bằng toán tử AND/OR. Bạn cũng có thể sử dụng thẻ Bộ lọc để thêm các cặp giá trị và tham số đơn giản nhằm lọc kết quả tìm kiếm.
  • Nếu đã đổi tên cho một người dùng, bạn sẽ không thấy kết quả truy vấn theo tên cũ của người dùng đó. Ví dụ: nếu đổi tên OldName@example.com thành NewName@example.com, bạn sẽ không thấy kết quả cho các sự kiện liên quan đến OldName@example.com.
  • Bạn chỉ có thể tìm kiếm dữ liệu trong những tin nhắn chưa bị xoá khỏi Thùng rác.

Nội dung mô tả thuộc tính

Tổ chức của bạn có thể có nhiều chính sách bảo mật từ nhiều nguồn khác nhau, ảnh hưởng đến quyền truy cập của người dùng. Nhật ký đánh giá quyền truy cập giúp bạn hiểu rõ hành vi kết hợp của các chính sách đó và những chính sách cụ thể mà bạn có thể muốn thay đổi.

Ví dụ: nếu người dùng không được phép đang truy cập vào một ứng dụng nhắn tin, thì các sự kiện trong nhật ký Đánh giá quyền truy cập sẽ giúp bạn biết những chính sách đang được sử dụng. Nếu bạn thay đổi một chính sách, các sự kiện nhật ký sẽ cho thấy kết quả của thay đổi đó.

Bạn cũng có thể sử dụng sự kiện trong nhật ký Đánh giá quyền truy cập để điều tra tình trạng bảo mật của tổ chức. Ví dụ:

  • Giám sát hoạt động đáng ngờ: Bạn có thể sử dụng nhật ký để giám sát hoạt động đáng ngờ, chẳng hạn như các nỗ lực truy cập vào dữ liệu nhạy cảm hoặc truy cập từ các vị trí bị cấm.
  • Kiểm tra tình trạng bảo mật của tổ chức: Bạn có thể sử dụng nhật ký để kiểm tra tình trạng bảo mật của tổ chức và đảm bảo rằng dữ liệu của bạn được bảo vệ.

Một mục nhật ký sẽ được tạo cho sự kiện đầu tiên trong khoảng thời gian 24 giờ. Các sự kiện trùng lặp có cùng thông tin sẽ không được ghi nhật ký cho đến khi 24 giờ trôi qua. Ví dụ: nếu một mục nhập có User1, Client1 và IP1 xuất hiện tại thời điểm X, thì các sự kiện trùng lặp có cùng thông tin sẽ không được ghi nhật ký cho đến khi 24 giờ trôi qua.

Lưu ý: Mỗi mục nhập nhật ký có thể bao gồm một số (nhưng không phải tất cả) thông tin sau. Ví dụ: trường tài khoản dịch vụ thường trống, trừ phi quyền truy cập được thực hiện bằng tài khoản dịch vụ.

Tên cột Nhận xét Ví dụ
Sự kiện Tên sự kiện
  • Yêu cầu mã truy cập (khi mã thông báo OAuth được phát hành thành công)
  • Cho phép mạo danh mã truy cập (khi truy cập thông qua tài khoản dịch vụ)
  • Cho phép yêu cầu xác thực cookie (khi thông tin đăng nhập liên kết với cookie được xác thực thành công theo các chính sách bảo mật trong quá trình truy cập vào ứng dụng)
Nội dung mô tả Nội dung mô tả sự kiện FirstName LastName được phép yêu cầu quyền truy cập vào Myapp cho một số phạm vi nhất định
Ngày Ngày và giờ đánh giá yêu cầu 2022-08-11T10:00:53-07:00
Actor Địa chỉ email của người dùng mà bạn đã yêu cầu và được phép đánh giá firstlast@sample-win.info
Tên ứng dụng Tên của ứng dụng đang được truy cập Reddit
Địa chỉ IP Địa chỉ IP mà người dùng đã yêu cầu đánh giá quyền truy cập 2601:600:8780:19d0:925:e630:d20e:b1cc

ASN của IP

Bạn cần thêm cột này vào phần kết quả tìm kiếm. Để nắm các bước, hãy xem phần Quản lý dữ liệu cột trong kết quả tìm kiếm.

Số hiệu hệ thống tự trị (ASN), phân vùng và khu vực của IP được liên kết với mục nhập nhật ký.

Để xem ASN, phân vùng và mã khu vực của IP nơi hoạt động diễn ra, hãy nhấp vào tên đó trong phần kết quả tìm kiếm.

ASN của IP: 12345

Mã phân vùng: IN-KA

Mã vùng: IN
Mã ứng dụng OAuth

Mã ứng dụng của ứng dụng mà quyền truy cập đã được đánh giá

Lưu ý: Thuộc tính này chỉ áp dụng cho các sự kiện Yêu cầu mã truy cập và Cho phép mạo danh mã thông báo.

 705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com
Phạm vi

Phạm vi mà yêu cầu được cấp

Lưu ý: Thông tin về phạm vi OAuth không xuất hiện đối với các ứng dụng thuộc sở hữu của Google.

 https://www.googleapis.com/auth/userinfo.email, https://www.googleapis.com/auth/userinfo.profile, openid
Nguồn của cấu hình

Mô tả việc một mã ứng dụng có được phép hay không do chính sách của Google Workspace cho phép rõ ràng người dùng truy cập vào mã ứng dụng này

Lưu ý: Thuộc tính này chỉ áp dụng cho các sự kiện Yêu cầu mã truy cập và Cho phép mạo danh mã thông báo.

 Để biết thông tin chi tiết, hãy xem phần Nội dung mô tả nguồn cấu hình ở phần sau của trang này.
Loại ứng dụng

Loại ứng dụng đã được đánh giá quyền truy cập

Lưu ý: Thuộc tính này chỉ áp dụng cho các sự kiện Yêu cầu mã truy cập và Cho phép mạo danh mã thông báo.

 Web, Android, iOS, v.v.
Tài khoản dịch vụ

Mã nhận dạng email của tài khoản dịch vụ nếu được dùng để mạo danh người dùng

Lưu ý: Thuộc tính này chỉ áp dụng cho các sự kiện Cho phép mạo danh mã thông báo.

 abc-alpha@gserviceaccount.com

Nội dung mô tả về Nguồn của cấu hình

Nguồn cấu hình mô tả việc một mã ứng dụng có được phép hay không là do chính sách của Google Workspace cho phép rõ ràng người dùng truy cập vào mã ứng dụng.

Lưu ý: Các trường hợp này chỉ áp dụng cho các sự kiện Yêu cầu mã truy cập liên quan đến OAuth hoặc Cho phép mạo danh mã thông báo.

Trường hợp Mô tả
Không có cấu hình ứng dụng

Quyền truy cập được cho phép vì quản trị viên chưa đặt chính sách nào bằng cách sử dụng chế độ Kiểm soát API để chặn quyền truy cập vào mã ứng dụng khách.

Để thêm chính sách chặn, hãy xem bài viết Kiểm soát ứng dụng nào truy cập vào dữ liệu trong Google Workspace.
Cấu hình chế độ kiểm soát API

Quyền truy cập được cho phép vì ứng dụng đó là ứng dụng đáng tin cậy hoặc bị hạn chế trong một chính sách sử dụng chế độ Kiểm soát API.

Để biết thông tin chi tiết, hãy xem bài viết Kiểm soát ứng dụng nào có quyền truy cập vào dữ liệu trong Google Workspace.
Cấu hình Quản lý thiết bị đầu cuối

Quyền truy cập được cho phép vì ứng dụng này đáng tin cậy hoặc bị hạn chế trong một chính sách sử dụng phần mềm Quản lý thiết bị đầu cuối của Google.

Để biết thông tin chi tiết, hãy xem bài viết Tổng quan: Quản lý thiết bị bằng giải pháp quản lý thiết bị đầu cuối của Google
Cấu hình của Workspace Marketplace

Quyền truy cập được cấp vì ứng dụng được cài đặt trong Google Workspace Marketplace.

Để biết thông tin chi tiết, hãy xem bài viết Tìm và cài đặt ứng dụng trong Marketplace.
Cấu hình uỷ quyền trên toàn miền

Quyền truy cập được cấp vì ứng dụng này được uỷ quyền trên toàn miền.

Để biết thông tin chi tiết, hãy xem bài viết Kiểm soát quyền truy cập vào API bằng tính năng uỷ quyền trên toàn miền

Quản lý dữ liệu sự kiện trong nhật ký

Quản lý dữ liệu của cột kết quả tìm kiếm

Bạn có thể kiểm soát những cột dữ liệu sẽ xuất hiện trong phần kết quả tìm kiếm.

  1. Ở góc trên cùng bên phải của bảng kết quả tìm kiếm, hãy nhấp vào biểu tượng Quản lý cột .
  2. (Không bắt buộc) Để xoá các cột hiện tại, hãy nhấp vào biểu tượng Xoá .
  3. (Không bắt buộc) Để thêm cột, bên cạnh phần Thêm cột mới, hãy nhấp vào biểu tượng Mũi tên xuống rồi chọn cột dữ liệu.
    Lặp lại bước trên nếu cần.
  4. (Không bắt buộc) Để thay đổi thứ tự của các cột, hãy kéo tên của cột dữ liệu.
  5. Nhấp vào Lưu.

Xuất dữ liệu về kết quả tìm kiếm

Bạn có thể xuất kết quả tìm kiếm sang Trang tính hoặc sang một tệp CSV.

  1. Ở phía trên cùng của bảng kết quả tìm kiếm, hãy nhấp vào Xuất tất cả.
  2. Nhập tên sau đó nhấp vào Xuất.
    Bản dữ liệu xuất ra sẽ hiển thị bên dưới bảng kết quả tìm kiếm trong phần Kết quả của hành động xuất.
  3. Để xem dữ liệu, hãy nhấp vào tên của bản dữ liệu xuất ra.
    Bản này sẽ được mở trong Trang tính.

Giới hạn xuất có thể khác nhau:

  • Tổng số kết quả xuất tối đa là 100.000 hàng.
  • Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

    Nếu bạn có công cụ điều tra bảo mật, thì tổng số kết quả xuất ra có giới hạn là 30 triệu hàng.

Để biết thêm thông tin, hãy xem bài viết Xuất kết quả tìm kiếm.

Khi nào sẽ có dữ liệu và dữ liệu sẽ xem được trong bao lâu?

Xử lý dựa trên kết quả tìm kiếm

Tạo quy tắc hoạt động và thiết lập cảnh báo

  • Bạn có thể thiết lập cảnh báo dựa trên dữ liệu sự kiện trong nhật ký bằng cách sử dụng quy tắc báo cáo. Để xem hướng dẫn, hãy chuyển đến phần Tạo và quản lý quy tắc báo cáo.
  • Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

    Để ngăn chặn, phát hiện và khắc phục các vấn đề bảo mật một cách hiệu quả, bạn có thể tự động hoá các hành động trong công cụ điều tra bảo mật và thiết lập cảnh báo bằng cách tạo quy tắc hoạt động. Để thiết lập một quy tắc, hãy thiết lập các điều kiện cho quy tắc đó, rồi chỉ định những hành động cần thực hiện khi các điều kiện được đáp ứng. Để biết thêm thông tin chi tiết, hãy xem bài viết Tạo và quản lý quy tắc hoạt động.

Xử lý dựa trên kết quả tìm kiếm

Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

Sau khi chạy một cụm từ tìm kiếm trong công cụ điều tra bảo mật, bạn có thể thực hiện hành động đối với kết quả tìm kiếm. Ví dụ: bạn có thể chạy một tìm kiếm dựa trên các sự kiện trong nhật ký Gmail, sau đó dùng công cụ này để xoá thư cụ thể, gửi thư đến vùng cách ly hoặc gửi thư đến hộp thư đến của người dùng. Để biết thêm thông tin chi tiết, hãy xem bài viết Xử lý dựa trên kết quả tìm kiếm.

Quản lý các cuộc điều tra

Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

Xem danh sách các cuộc điều tra

Để xem danh sách các cuộc điều tra mà bạn sở hữu và các cuộc điều tra được chia sẻ với bạn, hãy nhấp vào biểu tượng Xem các cuộc điều tra . Danh sách điều tra bao gồm tên, nội dung mô tả, chủ sở hữu của các cuộc điều tra và ngày sửa đổi gần đây nhất.

Trong danh sách này, bạn có thể thực hiện hành động đối với bất kỳ cuộc điều tra nào mà bạn sở hữu, chẳng hạn như xoá một cuộc điều tra. Đánh dấu vào hộp cho một cuộc điều tra rồi nhấp vào Thao tác.

Lưu ý: Bạn có thể xem các thông tin điều tra đã lưu trong phần Truy cập nhanh, ngay phía trên danh sách thông tin điều tra.

Định cấu hình chế độ cài đặt cho các hoạt động điều tra

Là một quản trị viên cấp cao, hãy nhấp vào biểu tượng Cài đặt để:

  • Thay đổi múi giờ cho các cuộc điều tra. Múi giờ áp dụng cho các điều kiện và kết quả tìm kiếm.
  • Bật hoặc tắt chế độ Yêu cầu người đánh giá. Để biết thêm thông tin chi tiết, hãy xem bài viết Yêu cầu người đánh giá cho các thao tác hàng loạt.
  • Bật hoặc tắt chế độ Xem nội dung. Chế độ cài đặt này cho phép những quản trị viên có đặc quyền thích hợp xem nội dung.
  • Bật hoặc tắt chế độ Bật lý do thực hiện hành động.

Để biết thêm thông tin chi tiết, hãy xem bài viết Định cấu hình chế độ cài đặt cho hoạt động điều tra.

Lưu, chia sẻ, xoá và sao chép các cuộc điều tra

Để lưu tiêu chí tìm kiếm hoặc chia sẻ tiêu chí đó với người khác, bạn có thể tạo và lưu một cuộc điều tra, sau đó chia sẻ, sao chép hoặc xoá cuộc điều tra đó.

Để biết thông tin chi tiết, hãy xem bài viết Lưu, chia sẻ, xoá và sao chép các cuộc điều tra.