אירועים ביומנים של Access Transparency

התכונה הזאת נתמכת במהדורות הבאות: Frontline Plus‏; Enterprise Plus‏; Education Standard ו-Education Plus‏; Enterprise Essentials Plus. השוואה בין המהדורות

בתור אדמינים בארגון, אתם יכולים להשתמש בכלי לחקירת אבטחה כדי להריץ חיפושים שקשורים לאירועים מהיומנים של Access Transparency. כך אתם יכולים לראות תיעוד של הפעולות שצוות Google מבצע כשהוא ניגש לנתונים שלכם.

נתוני האירועים ביומנים של Access Transparency כוללים את:

  • המשאב והפעולה שהושפעו
  • מועד ביצוע הפעולה
  • הסיבה לפעולה (לדוגמה, מספר הפנייה לתמיכת לקוחות)
  • מי בצוות Google ביצע את הפעולה בנתונים (לדוגמה, מיקום המשרד)

מידע נוסף זמין במאמר Access Transparency: צפייה במידע ביומנים על גישה של צוות Google לתוכן של משתמשים.

העברת נתוני יומנים ל-Google Cloud

אתם יכולים להביע הסכמה לשתף נתוני יומנים עם Google Cloud. כשאתם מפעילים את השיתוף, הנתונים מועברים אל Cloud Logging. שם אתם יכולים לשלוח שאילתות, לעיין ביומנים ולקבוע איך לנתב ולאחסן אותם.

חיפוש אירועים מתוך יומנים של Access Transparency

יכולת החיפוש תלויה במהדורת Google, הרשאות האדמין שלכם ומקור הנתונים. אתם יכולים להריץ חיפוש על כל המשתמשים, לא משנה איזו מהדורת Google Workspace יש להם.

כדי להריץ חיפוש בכלי לחקירת אבטחה, צריך קודם לבחור מקור נתונים. אחרי כן צריך לבחור תנאי אחד או יותר לחיפוש. לכל תנאי בוחרים מאפיין, אופרטור וערך.

מבצעים את הפעולות הבאות:

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז מרכז האבטחה ואז כלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. מהרשימה הנפתחת מקור נתונים, בוחרים אירועים ביומני Access Transparency.
  3. לוחצים על הוספת תנאי. אפשר לכלול בחיפוש תנאי אחד או יותר. יש לכם גם אפשרות להתאים אישית את החיפוש באמצעות שאילתות עם היררכיית כללים – חיפושים עם שתיים או שלוש רמות של תנאים (פרטים נוספים זמינים במאמר בנושא התאמה אישית של חיפושים באמצעות שאילתות עם היררכיית כללים).

  4. מהרשימה הנפתחת מאפיין, בוחרים את אחד מהמאפיינים – לדוגמה, משתמש או תאריך. למטה מופיעה רשימה מלאה של המאפיינים שזמינים לאירועים ביומני Access Transparency.

    הערה: אם מצמצמים את טווח התאריכים בחיפוש, התוצאות מופיעות מהר יותר בכלי לחקירת האבטחה. לדוגמה, אם מצמצמים את החיפוש לאירועים שהתרחשו בשבוע האחרון, השאילתה מחזירה תוצאות מהר יותר מאשר בחיפוש שלא מוגבל לתקופה קצרה יותר.

  5. בוחרים אופרטור, לדוגמה Is‏, Is not‏, Contains או Does not contain.

  6. בוחרים או כותבים ערך למאפיין. לחלק מהמאפיינים יש רשימה נפתחת עם ערכים. במאפיינים אחרים אתם צריכים לציין ערך משלכם.

  7. (אופציונלי) כדי לכלול כמה תנאי חיפוש, חוזרים על השלבים שלמעלה.

  8. לוחצים על חיפוש. תוצאות החיפוש של כלי החקירה יופיעו בטבלה בתחתית העמוד.

  9. (אופציונלי) כדי לשמור את החיפוש, לוחצים על סמל השמירה , כותבים שם ותיאור ולוחצים על שמירה.

הערה: הכרטיסייה של הכלי להגדרת תנאים כוללת מסננים שמופיעים בתור תנאים עם אופרטורים של AND/OR. אפשר גם להשתמש בכרטיסייה של המסננים כדי לכלול זוגות פשוטים של פרמטר וערך, ולסנן לפיהם את תוצאות החיפוש.

תיאורי המאפיינים

במקור הנתונים הזה, אתם יכולים להשתמש במאפיינים הבאים כשאתם מחפשים נתונים של אירועי יומנים:

מאפיין תיאור
שם קבוצת המשתמש

שם הקבוצה של המשתמש. מידע נוסף זמין במאמר סינון תוצאות לפי קבוצה ב-Google.

כדי להוסיף קבוצה לרשימת ההיתרים של הקבוצות לסינון:

  1. בוחרים את שם הקבוצה של המשתמש.
  2. לוחצים על קבוצות סינון.
    מופיע הדף של קבוצות הסינון.
  3. לוחצים על הוספת קבוצות.
  4. כדי לחפש קבוצה, כותבים את התווים הראשונים של השם או כתובת האימייל של הקבוצה. אם רואים את הקבוצה שרוצים, בוחרים אותה.
  5. (אופציונלי) אפשר לחפש ולהוסיף עוד קבוצה.
  6. כשמסיימים לבחור קבוצות, לוחצים על הוספה.
  7. (אופציונלי) אם רוצים להסיר קבוצה, לוחצים על סמל הסרת הקבוצה .
  8. לוחצים על שמירה.
המשרד הביתי של מבצע הפעולה

המשרד הביתי של המשתמש שנכנס לנתונים. קוד בפורמט ISO 3166-1 alpha-2 של המדינה או האזור שבהם יש לבעל הגישה שולחן עבודה קבוע.

הערכים כוללים:

  • מזהה יבשת בן שלושה תווים אם העובד של Google נמצא במדינה עם אוכלוסייה קטנה – לדוגמה, ASI,‏ EUR,‏ OCE,‏ AFR,‏ NAM,‏ SAM או ANT
  • ‫"??" מציין שהמיקום לא זמין
היחידה הארגונית של המשתמש היחידה הארגונית שאליה המשתמש שייך
תאריך התאריך והשעה של האירוע (מוצגים באזור הזמן שמוגדר בדפדפן כברירת מחדל)
אירוע הפעולה שנרשמה, למשל בוצעה גישה למשאב
מוצר של Google Workspace שם המוצר שנכנסו אליו

כתובת IP של ASN

צריך להוסיף את העמודה הזאת לתוצאות החיפוש. השלבים מפורטים בקטע על ניהול עמודות הנתונים של תוצאות החיפוש.

מספר המערכת האוטונומית (ASN) של כתובת ה-IP, חלוקת המשנה והאזור שמשויכים לרשומה ביומן.

כדי לבדוק את ה-ASN של כתובת ה-IP, את חלוקת המשנה ואת קוד האזור שהפעילות התרחשה בו, לוחצים על השם בתוצאות החיפוש.
נימוקים הצדקות לגישה, כמו לקוח פתח בקשת תמיכה מספר: 12345678
מזהה יומן מזהה יומן ייחודי
בשם כתובות האימייל של המשתמשים שנתנו רשות לשימוש באמצעי הבקרה של ניהול הרשאות הגישה
כתובת אימייל של הבעלים מזהה האימייל או מזהה הצוות של הלקוח שהמשאב בבעלותו
שם משאב שם המשאב שנכנסו אליו
כרטיסים כרטיסים שקשורים להצדקה, אם יש

המשך פעולה על סמך תוצאות החיפוש

יצירת כללי פעילות והגדרת התראות

  • אתם יכולים להגדיר התראות על סמך נתוני האירועים ביומנים באמצעות כללי דיווח. הוראות מופיעות במאמר יצירה וניהול של כללי דיווח.
  • התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

    כדי לסייע במניעה, זיהוי ותיקון יעילים של בעיות אבטחה, אפשר לקבוע פעולות אוטומטיות בכלי לחקירת האבטחה ולהגדיר התראות באמצעות כללי פעילות. כדי להגדיר כלל, קובעים את התנאים לכלל ואז מציינים את הפעולות שצריכות להתבצע כשהתנאים מתקיימים. פרטים נוספים מופיעים במאמר יצירה וניהול של כללי פעילות.

המשך פעולה על סמך תוצאות החיפוש

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

אחרי שמריצים חיפוש בכלי לחקירת אבטחה, אפשר לבצע פעולות על סמך תוצאות החיפוש. לדוגמה, אתם יכולים להריץ חיפוש שמבוסס על אירועים ביומן של Gmail, ואז להשתמש בכלי כדי למחוק הודעות ספציפיות, להעביר אותן להסגר או לשלוח אותן לתיבות הדואר הנכנס של המשתמשים. פרטים נוספים זמינים במאמר טיפול באירועים על סמך תוצאות החיפוש.

הסבר על נתוני היומנים ב-Access Transparency

תיאורי השדות ביומן

שם השדה ביומן שם השדה במערכת תיאור
תאריך items:id:time זמן כתיבת היומן
מוצר של Google Workspace items:events:parameters:GSUITE_PRODUCT_NAME המוצר של הלקוח שנכנסו אליו. חובה להשתמש באותיות רישיות. יכול להיות:
  • GMAIL
  • CALENDAR
  • DRIVE
  • SHEETS
  • SLIDES
כתובת אימייל של הבעלים items:events:parameters:OWNER_EMAIL מזהה האימייל או מזהה הצוות של הלקוח שהמשאב בבעלותו
המשרד הביתי של מבצע הפעולה items:events:parameters:ACTOR_HOME_OFFICE

קוד בפורמט ISO 3166-1 alpha-2 של המדינה או האזור שבהם יש לבעל הגישה שולחן עבודה קבוע:

  • ‫"??" אם המיקום לא זמין
  • מזהה יבשת בן שלושה תווים (ASI,‏ EUR,‏ OCE,‏ AFR,‏ NAM,‏ SAM,‏ ANT) אם העובד של Google נמצא במדינה עם אוכלוסייה קטנה
נימוקים

items:events:parameters:JUSTIFICATIONS

הצדקות לגישה, כמו לקוח פתח בקשת תמיכה מספר: 12345678
כרטיסים כרטיסים כרטיסים שקשורים להצדקה, אם יש
מזהה יומן items:events:parameters:LOG_ID מזהה יומן ייחודי
שם משאב items:events:parameters:RESOURCE_NAME השם של המשאב שנכנסו אליו. אפשר להשתמש בשמות משאבים בכלי לחקירת אבטחה כדי לזהות, למיין ולטפל בבעיות אבטחה ופרטיות בדומיין באופן ממוקד יותר.
בשם items:events:parameters:ON_BEHALF_OF האדם שבשמו התבצעה הגישה. מי ששיתף גישה למסמך מסוים עם צוות התמיכה הוא לא בהכרח הבעלים של אותו מסמך. בשם מספק הקשר נוסף לגבי הגישה לנתונים.
המדיניות לניהול הרשאות גישה items:events:parameters:
ACCESS_MANAGEMENT_POLICY		 המדיניות של ניהול הרשאות הגישה שאומתה לפני שבוצעה כניסה. רלוונטי רק ללקוחות שהוגדר לגביהם ניהול הרשאות גישה.

תיאורי הנימוקים

סיבה תיאור
בקשה לתמיכה ביוזמת הלקוח בקשת תמיכה שהלקוח הגיש, לדוגמה מספר הפנייה
בדיקת ניצול לרעה בעקבות בקשה של גורם חיצוני בדיקות של ניצול לרעה נערכות כשמתקבל אצל Google דיווח על תוכן מגורם חיצוני שאינו הלקוח.
  • משתמשים יכולים לדווח על תוכן שמהווה ניצול לרעה לפי התנאים וההגבלות של Google.
  • סופר-אדמינים יכולים להשתמש בכלי לחקירת אבטחה כדי לראות את הפרטים של המסמך – כולל שם המסמך, הבעלים, סוג המסמך ואירועים ביומן מ-180 הימים האחרונים:
  1. בכלי החקירה, מריצים חיפוש באמצעות מקור הנתונים אירועים ביומן של Drive.
  2. בקטע תנאים, לוחצים על מזהה מסמך.
  3. מעתיקים את מזהה המשאב מיומן Access Transparency ומדביקים אותו בשדה מזהה המסמך בכלי החקירה.
  4. לוחצים על חיפוש.

פרטים נוספים והוראות מופיעים במאמר הרצת חיפוש בכלי לחקירת אבטחה.

מידע נוסף על דיווח על ניצול לרעה
תשובה מ-Google להתראות בסביבת הייצור גישה ביוזמת Google במטרה לשמור על אמינות המערכת בעקבות חשד להפסקה זמנית בשירות, כולל לדוגמה:
  • ביצוע חקירה כדי לאשר שהלקוח לא הושפע מהפסקה זמנית בשירות
  • גיבוי ושחזור במקרה של הפסקות זמניות בשירות וכשלים במערכת
בדיקה ביוזמת Google גישה ביוזמת Google למטרות אבטחה, עמידה בתנאים שונים ומניעת הונאה ושימוש לרעה, כולל:
  • שמירה על הבטיחות והאבטחה של חשבונות ונתונים של לקוחות
  • בדיקה אם הנתונים מושפעים מאירוע שעשוי לפגוע באבטחת החשבון (כמו פגיעה מתוכנות זדוניות)
  • בדיקה אם הלקוח משתמש בשירותי Google בהתאם לתנאים ולהגבלות של Google
  • חקירת תלונות של משתמשים ולקוחות אחרים, או סימנים אחרים להתנהלות פוגעת
  • בדיקה שהשימוש בשירותי Google עומד בדרישות הרלוונטיות (כגון תקנות איסור הלבנת הון)

שירות ביוזמת Google

גישה ש-Google יוזמת לצורך אספקה ותחזוקה שוטפת של שירותי Google Cloud, כולל למשל:

  • ניפוי באגים טכניים כחלק מבקשת תמיכה או חקירה מורכבות
  • תיקון בעיות טכניות, כמו כשל ספציפי באחסון או פגם כלשהו בנתונים
בקשה לנתונים מטעם צד שלישי ‫Google עשויה לגשת לנתוני הלקוחות בעקבות בקשה משפטית או במסגרת הליך משפטי. זה כולל הליכים משפטיים מצד הלקוח שבמסגרתם אנחנו צריכים לגשת לנתונים שלו.

במקרים כאלה, אם Google לא יכולה ליידע אתכם באופן חוקי על הבקשה או ההליך, יכול להיות שיומני Access Transparency לא יהיו זמינים.

הגדרה של התראת Access Transparency

אפשר להגדיר התראה באימייל למסנן יומנים אחד או יותר, כמו כתובת האימייל של הבעלים או המשרד הביתי של מבצע הפעולה. אתם גם יכולים להפעיל התראה לכל היומנים בכל המוצרים שתומכים ב-Access Transparency.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז מרכז האבטחה ואז כלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. מהרשימה הנפתחת מקור נתונים, בוחרים אירועים ביומני Access Transparency.
  3. לוחצים על + הוספת מסנן.
  4. בוחרים מסנן אחד או יותר ולוחצים על אישור.
  5. (אופציונלי) כדי להפעיל התראה לכל היומנים בכל המוצרים הנתמכים, לוחצים על שם אירוע ואז גישה. הפעולה הזו יוצרת מסנן שנקרא שם אירוע: גישה.
  6. לוחצים על יצירת כלל דיווח , מוסיפים שם כלל ואת כתובות האימייל של כל הנמענים הנוספים של ההתראות.
  7. לוחצים על יצירה.

שילוב נתונים מיומני Access Transparency בכלים של צד שלישי

אתם יכולים להשתמש ב-Reports API כדי לשלב את יומני Access Transparency בכלים הקיימים שלכם לניהול אבטחת מידע ואירועים (SIEM). מידע נוסף מופיע במאמר אירועים ביומני Access Transparency.

מתי הנתונים הופכים לזמינים ולמשך כמה זמן הם נשמרים?

כדאי לעיין במאמר שמירת נתונים וזמני השהיה.