Événements de journaux Access Transparency

Éditions compatibles avec cette fonctionnalité : Frontline Plus ; Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus. Comparer votre édition

En tant qu'administrateur de votre organisation, vous pouvez effectuer des recherches liées aux événements de journaux Access Transparency à l'aide de l'outil d'investigation sur la sécurité. Vous pouvez y consulter un récapitulatif des actions effectuées par les équipes Google lorsqu'elles accèdent à vos données.

Les données des événements de journaux Access Transparency contiennent des informations sur :

  • la ressource et l'action affectées ;
  • le moment où l'action a été effectuée ;
  • le motif de l'action (par exemple, le numéro de dossier associé à une demande auprès du service client) ;
  • l'employé Google qui agit sur les données (par exemple, son adresse professionnelle).

Pour en savoir plus, accédez à Access Transparency : Afficher les journaux sur l'accès de Google au contenu des utilisateurs.

Transférer les données de journaux vers Google Cloud

Vous pouvez accepter de partager les données de journaux avec Google Cloud. Si vous activez le partage, les données sont transférées vers Cloud Logging, où vous pouvez interroger et consulter vos journaux, et contrôler comment ils sont acheminés et stockés.

Rechercher des événements de journaux Access Transparency

Votre capacité à effectuer une recherche dépend de votre édition Google, de vos droits d'administrateur et de la source des données. Vous pouvez effectuer une recherche portant sur tous les utilisateurs, quelle que soit leur édition de Google Workspace.

Pour lancer une recherche dans l'outil d'investigation sur la sécurité, sélectionnez d'abord une source de données. Choisissez ensuite une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.

Suivez la procédure ci-dessous :

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puis Centre de sécurité puis Outil d'investigation.

    Le droit d'administrateur Centre de sécurité est requis.

  2. Dans la liste déroulante Source de données, sélectionnez Événements de journaux Access Transparency.
  3. Cliquez sur Ajouter une condition. Vous pouvez inclure une ou plusieurs conditions dans la recherche. Vous avez également la possibilité de personnaliser votre recherche avec des requêtes imbriquées, c'est-à-dire des recherches comportant deux ou trois niveaux de conditions. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées.

  4. Dans la liste déroulante Attribut, choisissez l'un des attributs, par exemple Acteur ou Date. Pour obtenir la liste complète des attributs disponibles pour les événements de journaux Access Transparency, consultez la section ci-dessous.

    Remarque : Si vous limitez la plage de dates de votre recherche, les résultats apparaîtront plus rapidement dans l'outil d'investigation sur la sécurité. Par exemple, si vous limitez la recherche aux événements survenus au cours de la semaine passée, les résultats s'affichent plus rapidement que si vous effectuez une recherche sans restreindre la période.

  5. Sélectionnez un opérateur (par exemple, Est, N'est pas, Contient ou Ne contient pas).

  6. Choisissez ou saisissez une valeur pour l'attribut. Vous pouvez sélectionner certains attributs dans une liste déroulante. Pour les autres attributs, saisissez une valeur.

  7. (Facultatif) Pour inclure plusieurs conditions de recherche, répétez la procédure ci-dessus.

  8. Cliquez sur Rechercher. Les résultats de la recherche dans l'outil s'affichent dans un tableau en bas de la page.

  9. (Facultatif) Pour enregistrer votre recherche, cliquez sur Enregistrer , saisissez un titre et une description, puis cliquez sur Enregistrer.

Remarque : Dans l'onglet Générateur de conditions, les filtres sont représentés sous forme de conditions avec des opérateurs AND/OR. Vous pouvez également utiliser l'onglet Filtre pour inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.

Description des attributs

Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux.

Attribut Description
Nom de groupe de l'acteur

Nom du groupe auquel appartient l'utilisateur. Pour en savoir plus, consultez Filtrer les résultats par groupe Google.

Pour ajouter un groupe à la liste d'autorisation des groupes de filtrage :

  1. Sélectionnez Nom de groupe de l'acteur.
  2. Cliquez sur Groupes de filtrage.
    La page "Groupes de filtrage" s'affiche.
  3. Cliquez sur Ajouter des groupes.
  4. Recherchez un groupe en saisissant les premiers caractères de son nom ou de son adresse e-mail. Lorsque vous l'avez trouvé, sélectionnez-le.
  5. (Facultatif) Pour ajouter un autre groupe, recherchez-le et sélectionnez-le.
  6. Une fois les groupes sélectionnés, cliquez sur Ajouter.
  7. (Facultatif) Pour supprimer un groupe, cliquez sur Supprimer le groupe .
  8. Cliquez sur Enregistrer.
Bureau à domicile de l'utilisateur

Bureau à domicile de l'utilisateur ayant accédé aux données. Affiche le code ISO 3166-1 alpha-2 du pays/de la région dans lequel l'utilisateur qui accède aux données dispose d'un bureau permanent.

Voici quelques valeurs :

  • Identifiant de continent à trois caractères si l'employé Google se trouve dans un pays à faible population, par exemple ASI, EUR, OCE, AFR, NAM, SAM ou ANT
  • "??" signifie que l'emplacement n'est pas disponible
Unité organisationnelle de l'acteur Unité organisationnelle à laquelle appartient l'acteur.
Date La date et l'heure auxquelles l'événement s'est produit (selon le fuseau horaire par défaut de votre navigateur).
Événement Action consignée pour l'événement, telle que Ressource consultée.
Produit Google Workspace Nom du produit consulté.

Numéro de système autonome de l'adresse IP

Vous devez ajouter cette colonne aux résultats de recherche. Pour savoir comment procéder, consultez Gérer les données des colonnes de résultats de recherche.

Numéro de système autonome (ASN) de l'adresse IP, subdivision et région associés à l'entrée de journal.

Pour examiner le numéro de système autonome de l'adresse IP, le code correspondant à la subdivision et le code régional où l'activité a eu lieu, cliquez sur le nom dans les résultats de recherche.
Justifications Justifications de l'accès, par exemple Demande d'assistance soumise par le client – Numéro de dossier : 12345678
ID journal Identifiant unique du journal.
Pour Adresse(s) e-mail des utilisateurs dont l'autorité a été utilisée pour les contrôles Access Management.
Adresse e-mail du propriétaire ID de l'adresse e-mail ou de l'équipe du client propriétaire de la ressource.
Nom de la ressource Nom de la ressource consultée.
Demandes d'assistance Demandes d'assistance associées à la justification, le cas échéant.

Effectuer des actions en fonction des résultats de recherche

Créer des règles d'activité et configurer des alertes

  • Vous pouvez configurer des alertes en fonction des données des événements de journaux à l'aide de règles de reporting. Pour savoir comment procéder, consultez Créer et gérer des règles de reporting.
  • Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

    Afin de prévenir, de détecter et de résoudre les problèmes de sécurité de façon efficace, vous pouvez automatiser les actions de l'outil d'investigation sur la sécurité et configurer des alertes en créant des règles d'activité. Pour configurer une règle, vous devez définir ses conditions et spécifier les actions à effectuer lorsque les conditions sont remplies. Pour en savoir plus, consultez Créer et gérer des règles d'activité.

Effectuer des actions en fonction des résultats de recherche

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Après avoir effectué une recherche dans l'outil d'investigation sur la sécurité, vous pouvez intervenir en fonction des résultats. Vous pouvez, par exemple, effectuer une recherche basée sur les événements de journaux Gmail, puis, à l'aide de l'outil, supprimer des messages spécifiques, les placer en zone de quarantaine ou les envoyer vers la boîte de réception de certains utilisateurs. Pour en savoir plus, consultez Effectuer des actions en fonction des résultats de recherche.

Comprendre les données des journaux Access Transparency

Description des champs de journal

Nom du champ (journal) Nom du champ (système) Description
Date items:id:time Moment auquel l'entrée de journal a été créée.
Produit Google Workspace items:events:parameters:GSUITE_PRODUCT_NAME Produit du client consulté. Majuscules obligatoires. Valeurs autorisées :
  • GMAIL
  • AGENDA
  • DRIVE
  • SHEETS
  • SLIDES
Adresse e-mail du propriétaire items:events:parameters:OWNER_EMAIL ID de l'adresse e-mail ou de l'équipe du client propriétaire de la ressource.
Bureau à domicile de l'utilisateur items:events:parameters:ACTOR_HOME_OFFICE

Code ISO 3166-1 alpha-2 du pays/de la région où l'utilisateur qui accède aux données dispose d'un bureau permanent :

  • "??" si l'emplacement n'est pas disponible
  • Identifiant de continent à trois caractères (ASI, EUR, OCE, AFR, NAM, SAM, ANT) si l'employé Google se trouve dans un pays à faible population.
Justifications

items:events:parameters:JUSTIFICATIONS

Justifications de l'accès, par exemple Demande d'assistance soumise par le client – Numéro de dossier : 12345678
Demandes d'assistance tickets Demandes d'assistance associées à la justification, le cas échéant.
ID journal items:events:parameters:LOG_ID Identifiant unique du journal.
Nom de la ressource items:events:parameters:RESOURCE_NAME Nom de la ressource consultée. Dans l'outil d'investigation sur la sécurité, les noms des ressources peuvent servir à identifier et trier les problèmes de confidentialité et de sécurité survenant dans votre domaine, et à agir dessus.
Pour items:events:parameters:ON_BEHALF_OF Cible de l'accès : la personne avec qui un document est partagé peut être la cible de l'opération plutôt que son propriétaire. Pour fournit des informations supplémentaires pour comprendre le contexte d'un accès.
Stratégie Access Management items:events:parameters:
ACCESS_MANAGEMENT_POLICY		 Stratégie Access Management qui a été validée avant l'accès. S'applique uniquement aux clients pour lesquels Access Management est configuré.

Description des justifications

Motif Description
Demande d'assistance soumise par le client Assistance demandée par le client, par exemple un numéro de dossier.
Demande d'examen de contenu abusif soumise par l'utilisateur Lorsqu'un utilisateur signale un contenu abusif, Google procède à un examen de ce contenu.
  • Les utilisateurs peuvent signaler du contenu constituant un abus des Conditions d'utilisation de Google.
  • L'outil d'investigation sur la sécurité vous permet, en tant que super-administrateur, d'afficher les détails associés à un document, y compris son type, son titre, son propriétaire et les événements de journaux ayant eu lieu au cours des 180 derniers jours :
  1. Dans l'outil d'investigation, lancez une recherche à l'aide de la source de données Événements de journaux Drive.
  2. Sous Conditions, cliquez sur Identifiant du document.
  3. Copiez l'identifiant de ressource du journal Access Transparency et collez-le dans le champ Identifiant du document de l'outil d'investigation.
  4. Cliquez sur Rechercher.

Pour en savoir plus et obtenir des instructions, consultez Exécuter une recherche dans l'outil d'investigation sur la sécurité.

En savoir plus sur le signalement d'abus
Réponse de Google à une alerte de production Accès initié par Google pour maintenir la fiabilité du système en cas de suspicion d'indisponibilité, par exemple :
  • Investigation pour confirmer qu'un client n'est pas affecté par une suspicion d'indisponibilité du service
  • Sauvegarde et récupération à la suite d'indisponibilités et de pannes du système
Examen initié par Google Accès initié par Google à des fins de sécurité, de conformité ou de prévention des fraudes ou des abus pour, entre autres :
  • Assurer la protection et la sécurité des comptes et données client
  • Vérifier si les données sont affectées par un événement pouvant compromettre la sécurité du compte, par exemple les infections dues à des logiciels malveillants
  • Vérifier si le client utilise les services Google conformément aux Conditions d'utilisation de Google
  • Enquêter sur les réclamations d'autres utilisateurs et clients, ou sur d'autres signes d'activité abusive
  • S'assurer que les services Google sont utilisés conformément aux règles de conformité applicables, telles que les réglementations pour lutter contre le blanchiment d'argent

Service initié par Google

Accès initié par Google pour la maintenance et la disponibilité continues des services Google Cloud, y compris :

  • Débogage technique nécessaire à une demande d'assistance ou à une enquête complexe
  • Correction de problèmes techniques tels que la corruption de données ou une panne de stockage isolées
Demande de données par un tiers Google accède aux données client en réponse à une demande légale ou une réquisition judiciaire. Cela inclut toute intervention de notre part lors d'un acte de procédure initié par le client, nécessitant l'accès à ses propres données.

Dans ce cas, il se peut que les journaux Access Transparency ne soient pas disponibles si Google ne peut pas vous informer légalement d'une telle demande ou d'un tel acte.

Configurer une alerte Access Transparency

Vous pouvez configurer une alerte par e-mail pour un ou plusieurs filtres de journal ("Adresse e-mail du propriétaire", "Bureau à domicile de l'utilisateur", etc.). Vous pouvez également activer une alerte pour tous les journaux de tous les produits compatibles avec Access Transparency.

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puis Centre de sécurité puis Outil d'investigation.

    Le droit d'administrateur Centre de sécurité est requis.

  2. Dans la liste déroulante Source de données, sélectionnez Événements de journaux Access Transparency.
  3. Cliquez sur + Ajoutez un filtre.
  4. Sélectionnez un ou plusieurs filtres, puis cliquez sur Appliquer.
  5. (Facultatif) Pour activer une alerte pour tous les journaux de tous les produits compatibles, cliquez sur Nom de l'événement puis Accès. Cette action permet de créer un filtre appelé Nom de l'événement : Accès.
  6. Cliquez sur Créer une règle de reporting , saisissez le nom d'une règle, puis les adresses e-mail d'autres destinataires des alertes.
  7. Cliquez sur Créer.

Intégrer les données de journaux Access Transparency à des outils tiers

L'API Reports vous permet d'intégrer les journaux Access Transparency à vos outils de gestion des informations et des événements de sécurité (SIEM, Security information and event management) existants. Pour en savoir plus, consultez Événements liés aux activités dans Access Transparency.

Quand et pendant combien de temps les données sont-elles disponibles ?

Accédez à Conservation des données et temps de latence.