「存取權評估」記錄事件

查看用戶端應用程式如何存取使用者資料

視您的 Google Workspace 版本而定,您或許可以使用安全調查工具,享有更多進階功能。舉例來說,超級管理員可以找出安全性和隱私權問題,然後加以分類並採取適當措施。瞭解詳情

組織管理員可透過「存取權評估」記錄事件,瞭解 Google Workspace 的各種安全性政策,如何影響使用者對第三方和 Google 自有應用程式的存取權。舉例來說,組織可設定多項 OAuth 政策,根據不同規則控管應用程式存取權。組織也可以設定服務啟用/停用政策,禁止或允許存取特定服務。存取權評估記錄事件會顯示影響使用者存取權的政策、是否授權,以及決策依據。管理員可以利用這類資訊,檢視及調整組織的安全性政策和設定。

針對記錄事件執行搜尋

能否執行搜尋取決於您的 Google 版本、管理員權限和資料來源。您可以對所有使用者進行搜尋,不論對方使用的 Google Workspace 版本為何,都是如此。

稽核與調查工具

如要搜尋記錄事件,請先選擇資料來源,然後選擇一或多個搜尋篩選器。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「報告」接下來「稽核與調查」接下來「存取權評估記錄事件」

    必須具備「報表」管理員權限。

  2. 如要篩選特定日期之前或之後發生的事件,請選取「日期」的「之前」或「之後」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍,或按一下 移除日期篩選器。

  3. 按一下「新增篩選器」 接下來選取屬性。舉例來說,如要依特定事件類型篩選,請選取「事件」
  4. 選取運算子 接下來選取值 接下來按一下「套用」
    • (選用) 如要建立多個搜尋篩選器,請重複執行這個步驟。
    • (選用) 如要新增搜尋運算子,請選取「新增篩選器」上方的「AND」或「OR」
  5. 按一下「搜尋」注意您可以在「篩選器」分頁中加入簡單的參數和值組來篩選搜尋結果。您也可以使用「條件建構工具」分頁,讓篩選器以 AND/OR 運算子表示條件。

安全調查工具

支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

如要使用安全調查工具執行搜尋,請先選擇「資料來源」,然後選擇一或多個搜尋篩選「條件」。再針對每個條件分別選擇「屬性」、「運算子」和「值」

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「安全中心」接下來「調查工具」

    必須具備安全中心管理員權限。

  2. 按一下「資料來源」,然後選取「『存取權評估』記錄事件」

  3. 如要篩選特定日期之前或之後發生的事件,請選取「日期」的「之前」或「之後」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍,或按一下 移除日期篩選器。

  4. 按一下 [Add Condition]
    提示:您可以加入一或多個搜尋條件,或是使用「巢狀查詢」自訂搜尋方式。詳情請參閱「使用巢狀查詢自訂搜尋方式」。
  5. 按一下「屬性」 接下來選取所需選項。舉例來說,如要依特定事件類型篩選,請選取「事件」
    如需完整的屬性清單,請參閱「屬性說明」一節。
  6. 選取運算子。
  7. 輸入值或從清單中選取值。
  8. (選用) 如要新增更多搜尋條件,請重複以上步驟。
  9. 按一下「搜尋」
    您可以在頁面底部的表格中,查看調查工具的搜尋結果。
  10. (選用) 如要儲存調查,請按一下「儲存」 接下來輸入標題和說明 接下來按一下「儲存」

附註

  • 在「條件建構工具」分頁中,篩選器會以 AND/OR 運算子表示條件。您也可以使用「篩選器」分頁加入簡單的參數和值組合,篩選搜尋結果。
  • 如果為使用者設定新名稱,查詢結果中不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。
  • 您只能搜尋尚未從垃圾桶刪除的郵件資料。

屬性說明

貴機構可能在不同地方,設定了多項會影響使用者存取權的安全性政策。存取權評估記錄有助您瞭解這些政策共同作用的效果,找出可能需要修改的政策。

舉例來說,如果使用者未經授權存取了訊息應用程式,您可以從存取權評估記錄事件得知正在使用的政策。如果您修改了政策,記錄事件會顯示修改後的結果。

您也可以使用存取權評估記錄事件,調查貴機構的資安態勢。例如:

  • 監控可疑活動:您可以透過記錄監控可疑活動,例如嘗試存取機密資料,或從禁止存取的位置存取。
  • 稽核貴機構的安全防護機制:您可以透過記錄稽核貴機構的安全防護機制,確保資料安全無虞。

每 24 小時內,只有首次發生的事件會建立記錄項目。具有相同資訊的事件需間隔 24 小時才會再次記錄。舉例來說,如果在 X 時刻發生了涉及使用者 1、用戶端 1 和 IP 位址 1 的事件,則在接下來 24 小時內,系統不會記錄包含相同資訊的事件。

注意:記錄項目不一定包含以下所有資訊。舉例來說,除非執行存取的是服務帳戶,否則服務帳戶欄位一般為空值。

資料欄名稱 留言 範例
活動 事件名稱
  • 存取權杖要求 (成功核發 OAuth 權杖時)
  • 允許權杖模擬 (透過服務帳戶存取時)
  • 允許 Cookie 驗證要求 (當應用程式存取期間,與 Cookie 相關聯的憑證成功通過安全性政策驗證時)
說明 事件說明 允許 FirstName LastName 提出存取 Myapp 特定範圍的要求
日期 要求受評估的日期和時間 2022-08-11T10:00:53-07:00
Actor 提出評估要求並獲准的使用者電子郵件地址 firstlast@sample-win.info
應用程式名稱 存取的應用程式名稱 Reddit
IP 位址 使用者提出存取權評估要求的 IP 位址 2601:600:8780:19d0:925:e630:d20e:b1cc

IP ASN

您需要在搜尋結果加入這個資料欄,相關步驟請參閱「管理搜尋結果資料欄」。

與記錄項目相關聯的 IP 自治系統編號 (ASN)、行政分區和區域。

如要查看活動發生的 IP ASN、行政分區和區域代碼,請在搜尋結果中點選名稱。

IP ASN:12345

子行政區代碼:IN-KA

區域代碼:IN
OAuth 用戶端 ID

存取權受評估的應用程式用戶端 ID

注意:這項屬性僅適用於「存取權杖要求」和「允許權杖模擬」事件。

 705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com
範圍

授予要求的範圍

注意:Google 自有的應用程式不會顯示 OAuth 範圍資訊。

 https://www.googleapis.com/auth/userinfo.email、https://www.googleapis.com/auth/userinfo.profile、openid
設定來源

說明是否因 Google Workspace 政策明確允許使用者存取此應用程式 ID,而允許存取相應的用戶端 ID

注意:這項屬性僅適用於「存取權杖要求」和「允許權杖模擬」事件。

 詳情請參閱本頁下方的「設定來源說明」。
用戶端類型

存取權受評估的應用程式類型

注意:這項屬性僅適用於「存取權杖要求」和「允許權杖模擬」事件。

 網頁、Android、iOS 等。
服務帳戶

如有人使用服務帳戶模擬任何使用者的身分,即顯示該服務帳戶的電子郵件 ID

注意:這項屬性僅適用於「允許權杖模擬」事件。

 abc-alpha@gserviceaccount.com

設定來源說明

「設定來源」會說明是否因 Google Workspace 政策明確允許使用者存取應用程式 ID,而允許存取相應的用戶端 ID。

注意:這些情境僅適用於與 OAuth 相關的「存取權杖要求」或「允許權杖模擬」存取事件。

情境 說明
無應用程式設定

允許存取的原因,是管理員尚未使用 API 控制項,設定封鎖用戶端 ID 存取權的政策。

如要新增封鎖政策,請參閱「控管哪些應用程式可存取 Google Workspace 資料」。
API 控制項設定

允許存取的原因,是使用 API 控制項的政策已將應用程式設為「可信任」或「受限制」。

詳情請參閱「控管哪些應用程式可存取 Google Workspace 資料」。
端點管理設定

允許存取的原因,是使用 Google 端點管理服務的政策已將應用程式設為「可信任」或「受限制」。

詳情請參閱「使用 Google 端點管理服務管理裝置」。
Workspace Marketplace 設定

允許存取的原因,是已從 Google Workspace Marketplace 安裝應用程式。

詳情請參閱「尋找及安裝 Marketplace 中的應用程式」。
全網域委派設定

允許存取的原因,是應用程式已全網域委派。

詳情請參閱「使用全網域委派功能控管 API 存取權」。

管理記錄事件資料

管理搜尋結果資料欄

您可以控制搜尋結果中要顯示哪些資料欄。

  1. 按一下搜尋結果表格右上方的「管理資料欄」圖示
  2. (選用) 如要移除目前的資料欄,請按一下「移除」圖示
  3. (選用) 如要新增資料欄,請按一下「新增資料欄」旁邊的向下箭頭 ,然後選取資料欄。
    視需要重複上述步驟。
  4. (選用) 如要變更資料欄的順序,請拖曳資料欄名稱。
  5. 按一下 [儲存]

匯出搜尋結果資料

您可以將搜尋結果匯出為 Google 試算表或 CSV 檔案。

  1. 按一下搜尋結果表格頂端的「全部匯出」
  2. 輸入名稱 接下來 按一下「匯出」
    匯出結果會顯示在搜尋結果表格的「匯出動作執行結果」下方。
  3. 如要查看資料,請按一下匯出項目的名稱。
    匯出項目會在試算表中開啟。

匯出上限因情況而異:

  • 匯出結果總上限為 100,000 列。
  • 支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

    如果您使用安全調查工具,匯出結果總上限為 3, 000 萬列。

詳情請參閱「匯出搜尋結果」。

資料要處理多久?保留時間有多長?

請參閱「資料保留和延遲時間」。

依據搜尋結果採取行動

建立活動規則及設定快訊

  • 您可以透過報告規則,根據記錄事件資料設定快訊。如需操作說明,請參閱「建立及管理報告規則」。
  • 支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

    為了有效地預防、偵測及修正安全問題,您可以建立「活動規則」,讓安全調查工具依此自動執行作業及傳送快訊。設定規則時,您需要先設定觸發規則的條件,再指定符合條件時要執行的動作。詳情請參閱「建立及管理活動規則」。

依據搜尋結果採取行動

支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

使用安全調查工具執行搜尋後,您可以對搜尋結果採取行動,舉例來說,您可以根據 Gmail 記錄事件執行搜尋,然後透過工具刪除特定郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。詳情請參閱「根據搜尋結果執行動作」。

管理調查項目

支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

查看調查清單

如要查看調查清單,一覽您本身擁有及接受他人共用的調查項目,請按一下「查看調查」圖示 。這份清單會列出調查項目的名稱、說明、擁有者和上次修改日期。

您可以在這份清單中對自己擁有的調查項目執行動作 (例如刪除調查項目),方法是勾選調查項目旁的方塊,然後按一下「動作」

注意:您可以在「快速存取」下方 (調查清單正上方) 查看已儲存的調查項目。

配置調查設定

超級管理員可以點選「設定」圖示 ,執行下列操作:

  • 變更調查項目的時區。搜尋條件和結果會套用這項時區設定。
  • 開啟或關閉「需要審查者」。詳情請參閱「要求為大量動作指派審查者」。
  • 開啟或關閉「查看內容」。這項設定可讓具備適當權限的管理員查看內容。
  • 開啟或關閉「請啟用動作執行原因」設定。

詳情請參閱「進行調查設定」。

儲存、共用、刪除及複製調查項目

如要儲存搜尋條件或與他人共用,您可以選擇建立並儲存調查項目,接著即可共用、複製或刪除這個調查項目。

詳情請參閱「儲存、共用、刪除及複製調查項目」。