Eventi del log di Access Transparency

Versioni supportate per questa funzionalità: Frontline Plus; Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus. Confronta la tua versione

In qualità di amministratore della tua organizzazione, puoi utilizzare lo strumento di indagine sulla sicurezza per eseguire ricerche relative agli eventi dei log di Access Transparency, dove potrai visualizzare un registro che fornisce informazioni sulle azioni eseguite dal personale Google quando accede ai tuoi dati.

I dati sugli eventi dei log di Access Transparency includono informazioni su:

  • La risorsa e l'azione interessate
  • L'ora dell'azione
  • Il motivo dell'azione (ad esempio, il numero del caso associato a una richiesta di assistenza clienti)
  • Il membro del personale Google che svolge le operazioni sui dati (ad esempio, la sede dell'ufficio)

Per maggiori informazioni, consulta Access Transparency: visualizza i log relativi all'accesso da parte di Google ai contenuti degli utenti.

Inoltra i dati dei log a Google Cloud

Puoi attivare la condivisione dei dati dei log con Google Cloud. Se attivi la condivisione, i dati vengono inoltrati a Cloud Logging, dove puoi eseguire query sui log, visualizzarli e controllarne le modalità di routing e di archiviazione.

Esegui una ricerca di eventi dei log di Access Transparency

La possibilità di eseguire ricerche dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Puoi eseguire una ricerca su tutti gli utenti, indipendentemente dalla versione di Google Workspace in uso.

Per eseguire una ricerca nello strumento di indagine sulla sicurezza, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore.

Segui questi passaggi:

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poi Centro sicurezza e poi Strumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Nell'elenco a discesa Origine dati, scegli Eventi dei log di Access Transparency.
  3. Fai clic su Aggiungi condizione. Puoi includere una o più condizioni nella tua ricerca, nonché personalizzarla con query nidificate, ossia ricerche con condizioni su 2 o 3 livelli. Per maggiori dettagli, vedi Personalizza la ricerca con query nidificate.

  4. Scegli uno degli attributi nell'elenco a discesa Attributo, ad esempio Attore o Data. Per un elenco completo degli attributi disponibili per gli eventi dei log di Access Transparency, consulta la sezione seguente.

    Nota: se riduci l'intervallo di date della ricerca, i risultati appariranno più velocemente nello strumento di indagine sulla sicurezza. Ad esempio, se circoscrivi la ricerca agli eventi accaduti nell'ultima settimana, il risultato della query verrà restituito più rapidamente di quanto accadrebbe con un intervallo di date più ampio.

  5. Scegli un operatore, ad esempio È, Non è, Contiene o Non contiene.

  6. Scegli o inserisci un valore per l'attributo. Per alcuni attributi puoi scegliere da un elenco a discesa, mentre per altri devi digitare un valore.

  7. (Facoltativo) Per includere più condizioni di ricerca, ripeti i passaggi precedenti.

  8. Fai clic su Cerca. Nello strumento, i risultati di ricerca vengono mostrati in una tabella nella parte inferiore della pagina.

  9. (Facoltativo) Per salvare la ricerca, fai clic su Salva e inserisci un titolo e una descrizione, quindi fai clic su Salva.

Nota: nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori E/O. Puoi anche utilizzare la scheda Filtro per includere coppie di parametri e valori semplici per filtrare i risultati della ricerca.

Descrizioni degli attributi

Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi dei log:

Attributo Descrizione
Nome del gruppo dell'attore

Il nome del gruppo dell'attore. Per saperne di più, vedi Filtra i risultati in base al gruppo Google.

Per aggiungere un gruppo alla lista consentita dei gruppi filtro:

  1. Seleziona Nome del gruppo dell'attore.
  2. Fai clic su Gruppi filtro.
    Viene visualizzata la pagina Gruppi filtro.
  3. Fai clic su Aggiungi gruppi.
  4. Cerca un gruppo inserendo i primi caratteri del nome o dell'indirizzo email. Quando viene visualizzato il gruppo che stai cercando, selezionalo.
  5. (Facoltativo) Per aggiungere un altro gruppo, cercalo e selezionalo.
  6. Al termine della selezione dei gruppi, fai clic su Aggiungi.
  7. (Facoltativo) Per rimuovere un gruppo, fai clic su Rimuovi gruppo .
  8. Fai clic su Salva.
Ufficio principale dell'attore

Ufficio principale dell'attore che ha eseguito l'accesso ai dati. Mostra il codice paese/regione ISO 3166-1 alfa-2 in cui chi ha eseguito l'accesso ha un ufficio permanente.

I valori includono:

  • Identificatore di 3 caratteri del continente se il membro del personale Google si trova in un paese a bassa densità di popolazione, ad esempio ASI, EUR, OCE, AFR, NAM, SAM o ANT.
  • "??" indica che la località non è disponibile.
Unità organizzativa dell'attore Unità organizzativa dell'attore.
Data Data e ora dell'evento, riportate nel fuso orario predefinito del browser.
Evento Azione evento registrata, ad esempio Accesso alla risorsa eseguito.
Prodotto Google Workspace Nome della risorsa a cui è stato eseguito l'accesso.

ASN IP

Devi aggiungere questa colonna ai risultati di ricerca. Per i passaggi, vai a Gestisci i dati delle colonne dei risultati di ricerca.

Numero di sistema autonomo (ASN) IP, sottodivisione e regione associati alla voce di log.

Per esaminare l'ASN IP, la sottodivisione e il codice regione in cui si è verificata l'attività, fai clic sul nome nei risultati di ricerca.
Motivazioni Motivazioni per l'accesso, ad esempio Assistenza richiesta dal cliente - Numero richiesta: 12345678.
ID log ID log univoco.
Per conto di Indirizzi email degli utenti la cui autorità è stata utilizzata per i controlli di Access Management.
Email proprietario ID email o identificatore del team del cliente proprietario della risorsa.
Nome della risorsa Nome della risorsa a cui è stato eseguito l'accesso.
Ticket Eventuali richieste di assistenza associate alla motivazione.

Adotta azioni basate sui risultati di ricerca

Crea regole di attività e configura avvisi

  • Puoi configurare avvisi basati sui dati sugli eventi dei log utilizzando le regole di reporting. Per le istruzioni, vai a Crea e gestisci le regole di reporting.
  • Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

    Per contribuire a prevenire, rilevare e risolvere in modo efficiente i problemi di sicurezza, puoi creare regole di attività per automatizzare azioni nello strumento di indagine sulla sicurezza e configurare avvisi. Per configurare una regola, imposta le sue condizioni e specifica quali azioni eseguire quando quelle condizioni sono soddisfatte. Per maggiori dettagli, vedi Crea e gestisci le regole di attività.

Adotta azioni basate sui risultati di ricerca

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

Dopo aver eseguito una ricerca nello strumento di indagine sulla sicurezza, puoi operare sui relativi risultati. Ad esempio, puoi eseguire una ricerca basata sugli eventi del log di Gmail e quindi utilizzare lo strumento per eliminare messaggi specifici, metterli in quarantena o inviarli nella Posta in arrivo degli utenti. Per maggiori dettagli, vedi Adotta azioni basate sui risultati di ricerca.

Comprendi i dati del log di Access Transparency

Descrizione dei campi del log

Nome del campo del log Nome del campo del sistema Descrizione
Data items:id:time L'ora in cui è stato creato il log.
Prodotto Google Workspace items:events:parameters:GSUITE_PRODUCT_NAME Il prodotto del cliente al quale è stato eseguito l'accesso. È necessario usare le maiuscole. Ad esempio:
  • GMAIL
  • CALENDAR
  • DRIVE
  • FOGLI
  • PRESENTAZIONI
Email proprietario items:events:parameters:OWNER_EMAIL ID email o identificatore del team del cliente proprietario della risorsa.
Ufficio principale dell'attore items:events:parameters:ACTOR_HOME_OFFICE

Codice paese/regione ISO 3166-1 alfa-2 in cui chi ha eseguito l'accesso ha un ufficio permanente:

  • "??" se la località non è disponibile.
  • Identificatore di 3 caratteri del continente (ASI, EUR, OCE, AFR, NAM, SAM, ANT) se il membro del personale Google si trova in un paese a bassa densità di popolazione.
Motivazioni

items:events:parameters:JUSTIFICATIONS

Motivazioni per l'accesso, ad esempio Assistenza richiesta dal cliente - Numero richiesta: 12345678.
Ticket ticket Eventuali richieste di assistenza associate alla motivazione.
ID log items:events:parameters:LOG_ID ID log univoco.
Nome della risorsa items:events:parameters:RESOURCE_NAME Nome della risorsa a cui è stato eseguito l'accesso. I nomi delle risorse possono essere utilizzati nello strumento di indagine sulla sicurezza per identificare ulteriormente i problemi di sicurezza e privacy nel tuo dominio, assegnare loro una priorità e intervenire in modo adeguato.
Per conto di items:events:parameters:ON_BEHALF_OF Il destinatario dell'accesso. La persona con cui un documento viene condiviso potrebbe essere il destinatario dell'intervento di assistenza piuttosto che il proprietario. Il parametro Per conto di fornisce informazioni aggiuntive per comprendere il contesto di un accesso.
Policy di Access Management items:events:parameters:
ACCESS_MANAGEMENT_POLICY		 La policy di Access Management convalidata prima dell'accesso. Si applica solo ai clienti per i quali è configurata la soluzione Access Management.

Descrizioni delle motivazioni

Motivo Descrizione
Richiesta di supporto inviata dal cliente Assistenza richiesta dal cliente, ad esempio un numero di richiesta.
Revisione di un abuso avviata dall'esterno Le revisioni degli abusi avviate dall'esterno sono attivate quando i contenuti vengono segnalati a Google per la revisione.
  • Gli utenti possono segnalare contenuti come illeciti rispetto ai Termini di servizio di Google.
  • In qualità di super amministratore, puoi utilizzare lo strumento di indagine sulla sicurezza per visualizzare i dettagli associati a un documento, tra cui il titolo, il proprietario, il tipo e gli eventi di log relativi che si sono verificati negli ultimi 180 giorni:
  1. Nello strumento di indagine, esegui una ricerca utilizzando l'origine dati Eventi del log di Drive.
  2. In Condizioni, fai clic su ID documento.
  3. Copia l'ID risorsa dal log di Access Transparency e incollalo nel campo ID documento dello strumento di indagine.
  4. Fai clic su Cerca.

Per maggiori dettagli e istruzioni, vedi Esegui una ricerca nello strumento di indagine sulla sicurezza.

Scopri di più sulle segnalazioni di abuso.
Risposta di Google a un avviso relativo alla produzione Accesso avviato da Google per garantire l'affidabilità del sistema quando viene rilevata un'interruzione sospetta, ad esempio:
  • Indagini mirate a verificare che un cliente non sia interessato da una sospetta interruzione del servizio.
  • Backup e ripristino da interruzioni del servizio e malfunzionamenti del sistema.
Revisione avviata da Google Accesso avviato da Google per motivi legati a sicurezza, attività fraudolenta, abuso o conformità, come ad esempio:
  • Per garantire la sicurezza degli account e dei dati dei clienti.
  • Per verificare se i dati sono stati interessati da un evento che potrebbe influenzare la sicurezza dell'account (ad esempio infezioni da malware).
  • Per verificare se il cliente utilizza i servizi Google in conformità con i Termini di servizio di Google.
  • Per esaminare reclami di altri utenti e clienti o altri segnali di attività illecite.
  • Per verificare che i servizi Google vengano utilizzati in modo coerente con i relativi regimi di conformità (ad esempio norme antiriciclaggio).

Servizio avviato da Google

Accesso avviato da Google per la manutenzione e l'erogazione continue dei servizi Google Cloud, tra cui ad esempio:

  • Debug tecnico necessario per una richiesta di assistenza o un'indagine complessa.
  • Correzione di problemi tecnici, ad esempio malfunzionamenti isolati nello spazio di archiviazione o problemi di integrità dei dati.
Richiesta di dati di terze parti Accessi ai dati dei clienti da parte di Google per rispondere a una richiesta di tipo legale o a un procedimento giudiziario. Sono inclusi i casi in cui il nostro accesso ai dati di un cliente è necessario per rispondere a un procedimento giudiziario avviato da quest'ultimo.

In questo caso, se Google non può informare legalmente il cliente della richiesta o del procedimento, i log di Access Transparency potrebbero non essere disponibili.

Configura un avviso di Access Transparency

Puoi configurare un avviso via email per uno o più filtri di log, ad esempio Email proprietario e Ufficio principale dell'attore. Puoi anche attivare un avviso per tutti i log di tutti i prodotti che supportano Access Transparency.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poi Centro sicurezza e poi Strumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Nell'elenco a discesa Origine dati, scegli Eventi dei log di Access Transparency.
  3. Fai clic su + Aggiungi un filtro.
  4. Seleziona uno o più filtri e fai clic su Applica.
  5. (Facoltativo) Per attivare un avviso per tutti i log di tutti i prodotti supportati, fai clic su Nome evento e poi Accesso. Viene creato un filtro denominato Nome evento: Accesso.
  6. Fai clic su Crea regola per i report e inserisci il nome della regola, quindi immetti gli indirizzi email degli eventuali altri destinatari dell'avviso.
  7. Fai clic su Crea.

Integra i dati del log di Access Transparency con strumenti di terze parti

Puoi utilizzare l'API Reports per integrare i log di Access Transparency con i tuoi strumenti SIEM (security information and event management) esistenti. Per maggiori informazioni, vai all'articolo sugli eventi relativi alle attività di Access Transparency.

Quando sono disponibili i dati? Per quanto tempo?

Vai a Conservazione dei dati e tempi di attesa.