Gebeurtenissen in het Access Transparency-logboek

Ondersteunde versies voor deze functie: Frontline Plus, Enterprise Plus, Education Standard, Education Plus en Enterprise Essentials Plus. Versies vergelijken

Als beheerder van uw organisatie kunt u in de tool voor beveiligingsonderzoek zoekopdrachten uitvoeren naar logboekgebeurtenissen voor Access Transparency. Hier vindt u een overzicht met acties die informatie bieden over welke acties Google-medewerkers uitvoeren als ze uw gegevens openen.

De gebeurtenisgegevens van het Access Transparency-logboek bevatten de volgende informatie:

  • De betreffende bron en actie
  • De tijd van de actie
  • De reden voor de actie (bijvoorbeeld het casenummer van een supportverzoek)
  • Informatie over de Google-medewerker die de actie heeft uitgevoerd (bijvoorbeeld de kantoorlocatie)

Ga naar Access Transparency: logboeken over Google-toegang tot gebruikerscontent bekijken voor meer informatie.

Logboekgegevens doorsturen naar Google Cloud

U kunt toestaan dat logboekgegevens worden gedeeld met Google Cloud. Als u delen aanzet, worden gegevens doorgestuurd naar Cloud Logging. Hier kunt u logboeken bekijken en erin zoeken. Ook kunt u bepalen hoe logboeken worden gerouteerd en opgeslagen.

Zoeken naar logboekgebeurtenissen voor Access Transparency

Of u een zoekopdracht kunt uitvoeren, hangt af van uw Google-versie, uw beheerdersrechten en de gegevensbron. U kunt een zoekopdracht uitvoeren voor alle gebruikers, ongeacht hun Google Workspace-versie.

Als u een zoekopdracht wilt uitvoeren in de tool voor beveiligingsonderzoek, kiest u eerst een gegevensbron. Kies daarna een of meer voorwaarden voor de zoekopdracht. Kies voor elke voorwaarde een kenmerk, een operator en een waarde.

Volg deze stappen:

  1. Ga in de Google Beheerdersconsole naar Menu en dan Beveiliging en dan Beveiligingscentrum en dan Onderzoekstool.

    Hiervoor is het beheerdersrecht Beveiligingscentrum vereist.

  2. Kies in het dropdownmenu Gegevensbron de optie Gebeurtenissen in het Access Transparency-logboek.
  3. Klik op Voorwaarde toevoegen. U kunt een of meer voorwaarden toevoegen aan de zoekopdracht. U kunt een zoekopdracht ook aanpassen met geneste query's: zoekopdrachten met 2 of 3 niveaus aan voorwaarden (ga voor meer informatie naar Een zoekopdracht aanpassen met geneste query's).

  4. Kies in het dropdownmenu Kenmerk een van de kenmerken, bijvoorbeeld Handelende gebruiker of Datum. Bekijk het gedeelte hieronder voor een volledige lijst met kenmerken die beschikbaar zijn voor logboekgebeurtenissen voor Access Transparency.

    Opmerking: Als u een kortere periode instelt voor een zoekopdracht, verschijnen de resultaten sneller in de tool voor beveiligingsonderzoek. Als u bijvoorbeeld de zoekopdracht verfijnt zodat alleen gebeurtenissen van de afgelopen week worden weergegeven, krijgt u de resultaten sneller dan wanneer u zoekt zonder de zoekopdracht te beperken tot een bepaalde periode.

  5. Kies een operator, bijvoorbeeld Is, Is niet, Bevat of Bevat niet.

  6. Kies of voer een waarde in voor het kenmerk. Sommige kenmerken hebben een dropdownmenu. Voor andere kenmerken moet u een waarde typen.

  7. (Optioneel) Herhaal de stappen hierboven om meerdere zoekvoorwaarden toe te voegen.

  8. Klik op Zoeken. In de tool staan de zoekresultaten in een tabel onderaan de pagina.

  9. (Optioneel) Als u de zoekopdracht wilt opslaan, klikt u op Opslaan . Voer een titel en een beschrijving in en klik op Opslaan.

Opmerking: Het tabblad Voorwaardenbuilder bevat filters als voorwaarden met AND/OR-operatoren. U kunt ook het tabblad Filter gebruiken en eenvoudige parameter- en waardeparen toevoegen om de zoekresultaten te filteren.

Beschrijvingen van kenmerken

Voor deze gegevensbron kunt u de volgende kenmerken gebruiken als u in gebeurtenisgegevens in een logboek zoekt.

Kenmerk Beschrijving
Naam van handelende groep

De groepsnaam van de handelende gebruiker. Ga naar Resultaten filteren op Google-groep voor meer informatie.

Zo voegt u een groep toe op de toelatingslijst voor filtergroepen:

  1. Selecteer Naam van handelende groep.
  2. Klik op Filtergroepen.
    De pagina Filtergroepen verschijnt.
  3. Klik op Groepen toevoegen.
  4. Zoek een groep door de eerste tekens van de naam of het e-mailadres in te voeren. Selecteer de juiste groep wanneer deze verschijnt.
  5. (Optioneel) Als u nog een groep wilt toevoegen, zoekt u deze groep en selecteert u deze.
  6. Klik op Toevoegen als u de juiste groepen heeft geselecteerd.
  7. (Optioneel) Als u een groep wilt verwijderen, klikt u op Groep verwijderen .
  8. Klik op Opslaan.
Thuiskantoor handelende gebruiker

Het primaire kantoor van de handelende gebruiker die de gegevenstoegang heeft uitgevoerd. Toont de ISO 3166-1 alpha-2-landcode/regiocode waarin de gebruiker die de gegevenstoegang heeft uitgevoerd, een permanent bureau heeft.

De volgende waarden zijn beschikbaar:

  • Continent-ID van 3 tekens als de Google-medewerker zich in een land met weinig inwoners bevindt, bijvoorbeeld ASI, EUR, OCE, AFR, NAM, SAM of ANT.
  • ?? betekent dat de locatie niet beschikbaar is
Handelende organisatie-eenheid Organisatie-eenheid van de handelende gebruiker
Datum De datum en tijd van de gebeurtenis (weergegeven in de standaard tijdzone van uw browser).
Gebeurtenis De actie in de geregistreerde gebeurtenis, zoals Geopende faciliteit.
Google Workspace-product De naam van het product dat is geopend.

IP-ASN

U moet deze kolom aan de zoekresultaten toevoegen. Ga naar Kolomgegevens in de zoekresultaten beheren voor de stappen.

IP-nummer van het autonome systeem (ASN), onderafdeling en regio die aan het logboekitem zijn gekoppeld.

Als u het IP-nummer van het autonome systeem (ASN), de onderafdeling en de regiocode wilt controleren waar de activiteit heeft plaatsgevonden, klikt u op de naam in de zoekresultaten.
Redenen Redenen voor toegang, zoals: Door klant gestarte support, casenummer: 12345678.
Logboek-ID De unieke logboek-ID.
Namens E-mailadres(sen) van de gebruikers van wie de autorisatie is gebruikt voor Access Management-functies
E-mailadres eigenaar De e-mail-ID of team-ID van de klant die eigenaar is van de bron.
Naam faciliteit De naam van de faciliteit die is geopend.
Tickets Eventuele tickets die te maken hebben met de reden.

Acties uitvoeren op basis van zoekresultaten

Activiteitsregels maken en meldingen instellen

  • U kunt met rapportregels meldingen instellen op basis van logboekgebeurtenisgegevens. Ga naar Rapportregels maken en beheren voor instructies.
  • Ondersteunde versies voor deze functie: Frontline Standard en Frontline Plus, Enterprise Standard en Enterprise Plus, Education Standard en Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Versies vergelijken

    U kunt acties in de tool voor beveiligingsonderzoekautomatiseren en meldingen instellen door activiteitsregels te maken. Zo kunt u beveiligingsproblemen efficiënter voorkomen, opsporen en oplossen. Als u een regel wilt instellen, stelt u voorwaarden in voor de regel en voert u in welke acties er moeten worden uitgevoerd als aan de voorwaarden wordt voldaan. Ga voor meer informatie naar Activiteitsregels maken en beheren.

Acties uitvoeren op basis van zoekresultaten

Ondersteunde versies voor deze functie: Frontline Standard en Frontline Plus, Enterprise Standard en Enterprise Plus, Education Standard en Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Versies vergelijken

Nadat u een zoekopdracht heeft uitgevoerd in de tool voor beveiligingsonderzoek, kunt u acties uitvoeren op de zoekresultaten. U kunt bijvoorbeeld een zoekopdracht uitvoeren op Gmail-logboekgebeurtenissen en daarna de tool gebruiken om specifieke berichten te verwijderen, berichten in de quarantaine te plaatsen of berichten naar de inbox van gebruikers te sturen. Ga voor meer informatie naar Acties uitvoeren op basis van zoekresultaten.

De gegevens in het Access Transparency-logboek begrijpen

Beschrijvingen van logboekvelden

Naam logboekveld Naam systeemveld Beschrijving
Date items:id:time De datum waarop het logboek is gemaakt.
Google Workspace-product items:events:parameters:GSUITE_PRODUCT_NAME Het product van de klant dat is geopend. Dit moet in hoofdletters staan. Dit kan het volgende zijn:
  • GMAIL
  • AGENDA
  • DRIVE
  • SPREADSHEETS
  • PRESENTATIES
E-mailadres eigenaar items:events:parameters:OWNER_EMAIL De e-mail-ID of team-ID van de klant die eigenaar is van de bron.
Thuiskantoor handelende gebruiker items:events:parameters:ACTOR_HOME_OFFICE

De ISO 3166-1 alpha-2-landcode/-regiocode waarin de gebruiker die de gegevens heeft geopend een permanent bureau heeft:

  • '??' als er geen locatie beschikbaar is.
  • Continent-ID van 3 tekens (ASI, EUR, OCE, AFR, NAM, SAM, ANT) als de Google-medewerker zich in een land met weinig inwoners bevindt.
Redenen

items:events:parameters:JUSTIFICATIONS

Redenen voor toegang, zoals: Door klant gestarte support, casenummer: 12345678.
Tickets tickets Eventuele tickets die te maken hebben met de reden.
Logboek-ID items:events:parameters:LOG_ID De unieke logboek-ID.
Naam faciliteit items:events:parameters:RESOURCE_NAME De naam van de faciliteit die is geopend. U kunt bronnamen gebruiken in de tool voor beveiligingsonderzoek om beveiligings- en privacyproblemen in uw domein vast te stellen, verder te onderzoeken en acties te ondernemen.
Namens items:events:parameters:ON_BEHALF_OF Het doel van de toegang. Degene met wie het document is gedeeld kan het doel van de support zijn, in plaats van de eigenaar. Namens biedt extra informatie over de context van de toegang.
Access Management-beleid items:events:parameters:
ACCESS_MANAGEMENT_POLICY		 Het Access Management-beleid dat is gevalideerd voor toegang. Geldt alleen voor klanten die Access Management hebben ingesteld.

Beschrijvingen van redenen

Reden Beschrijving
Door klant gestarte support Door klant gestarte support, zoals een casenummer.
Extern gestarte misbruikbeoordeling Extern gestarte misbruikbeoordelingen worden aangeroepen als gebruikers content melden bij Google voor beoordeling.
  • Gebruikers kunnen markeren dat content misbruik maakt van de Servicevoorwaarden van Google.
  • Als hoofdbeheerder kunt u de tool voor beveiligingsonderzoek gebruiken om informatie over een document te bekijken, zoals de titel, de eigenaar, het type en de logboekgebeurtenissen over het document van de afgelopen 180 dagen:
  1. Voer in de onderzoekstool een zoekopdracht uit met de gegevensbron Drive-logboekgebeurtenissen.
  2. Klik onder Voorwaarden op Document-ID.
  3. Kopieer de bron-ID uit het Access Transparency-logboek en plak deze in het veld Document-ID in de onderzoekstool.
  4. Klik op Zoeken.

Ga naar Een zoekopdracht uitvoeren in de tool voor beveiligingsonderzoek voor meer informatie en instructies.

Meer informatie over misbruik melden.
Google-reactie op productiemelding Door Google gestarte toegang om de systeembetrouwbaarheid rond een vermoedelijke uitval te controleren, zoals het volgende:
  • Onderzoeken of een vermoedelijke service-uitval wel of geen problemen heeft opgeleverd voor een klant.
  • Back-ups maken en gegevens herstellen na storingen en systeemfouten.
Door Google gestarte beoordeling Door Google gestarte toegang voor beveiligings-, fraude-, misbruik- of nalevingsdoeleinden, zoals het volgende:
  • Klantaccounts en -gegevens veilig houden.
  • Checken of gegevens zijn getroffen door een gebeurtenis die invloed kan hebben gehad op de accountbeveiliging (zoals infecties met malware).
  • Controleren of de klant Google-services gebruikt volgens de Servicevoorwaarden van Google.
  • Onderzoeken van klachten van andere gebruikers en klanten of andere signalen van misbruik makende activiteit.
  • Controleren of Google-services worden gebruikt volgens relevante nalevingsvereisten (zoals wetten tegen witwassen).

Door Google gestart: service

Door Google gestarte toegang voor het doorlopende onderhoud en de levering van Google Cloud-services, zoals:

  • Technische foutopsporing die nodig is voor een complex supportverzoek of onderzoek.
  • Oplossen van technische problemen, zoals geïsoleerde opslagfouten of gegevensbeschadiging.
Gegevensverzoek van derden Google analyseert klantgegevens waar nodig om te voldoen aan een juridisch verzoek of juridische procedure. Dit geldt ook wanneer we reageren op een juridische procedure van de klant waarvoor we toegang nodig hebben tot de eigen gegevens van de klant.

In dit geval zijn de Access Transparency-logboeken waarschijnlijk niet beschikbaar als Google u wettelijk niet mag informeren over een dergelijk verzoek of procedure.

Een Access Transparency-melding instellen

U kunt een e-mailmelding instellen voor een of meer logboekfilters, zoals E-mailadres eigenaar of Thuiskantoor handelende gebruiker. U kunt ook een melding aanzetten voor alle logboeken van alle producten die Access Transparency ondersteunen.

  1. Ga in de Google Beheerdersconsole naar Menu en dan Beveiliging en dan Beveiligingscentrum en dan Onderzoekstool.

    Hiervoor is het beheerdersrecht Beveiligingscentrum vereist.

  2. Kies in het dropdownmenu Gegevensbron de optie Gebeurtenissen in het Access Transparency-logboek.
  3. Klik op + Filter toevoegen.
  4. Selecteer een of meer filters en klik op Toepassen.
  5. (Optioneel) Als u voor alle logboeken van alle ondersteunde producten een melding wilt aanzetten, klikt u op Naam gebeurtenis en dan Toegang. Er wordt een filter gemaakt met de naam Naam gebeurtenis: toegang.
  6. Klik op Rapportregel maken . Voer de naam in van een regel en voer daarna eventueel de e-mailadressen in van andere mensen die de melding moeten krijgen.
  7. Klik op Maken.

Access Transparency-logboekgegevens integreren met tools van derden

Met de Reports API kunt u Access Transparency-logboeken integreren met uw bestaande tools voor beveiligingsinformatie- en -gebeurtenisbeheer (Security Information and Event Management, SIEM). Ga naar Access Transparency Activity Events (Activiteitsgebeurtenissen in Access Transparency) voor meer informatie.

Wanneer en hoelang zijn gegevens beschikbaar?

Ga naar Bewaartijden van gegevens en vertragingstijden.