Zdarzenia z dziennika Access Transparency

Ta funkcja jest dostępna w tych wersjach: Frontline Plus, Enterprise Plus, Education Standard i Education Plus oraz Enterprise Essentials Plus. Porównaj wersje

Jako administrator organizacji możesz za pomocą narzędzia do analizy zagrożeń uruchamiać wyszukiwania związane ze zdarzeniami z dziennika Access Transparency. W ten sposób możesz wyświetlić rejestr działań pracowników Google podejmowanych podczas uzyskiwania dostępu do Twoich danych.

Dane zdarzeń z dziennika Access Transparency zawierają:

  • informacje na temat zasobu, do którego uzyskano dostęp, i wykonanych czynności;
  • informacje na temat czasu wykonania czynności;
  • informacje na temat przyczyny wykonania czynności (na przykład numer zgłoszenia do obsługi klienta);
  • informacje na temat pracownika Google używającego danych (na przykład lokalizację biura).

Więcej informacji znajdziesz w artykule Access Transparency: wyświetlanie dzienników dostępu Google do treści użytkowników.

Przekazywanie danych dziennika do Google Cloud

Możesz wyrazić zgodę na udostępnianie danych z dziennika usłudze Google Cloud. Jeśli włączysz udostępnianie, dane będą przekazywane usłudze Cloud Logging, w której możesz przeglądać logi i tworzyć dotyczące ich zapytania oraz decydować, jak chcesz kierować ruchem logów i jak je przechowywać.

Przeszukiwanie zdarzeń z dziennika Access Transparency

Możliwość wyszukiwania zależy od wersji usługi Google, uprawnień administratora i źródła danych. Możesz przeprowadzić wyszukiwanie dotyczące wszystkich użytkowników, niezależnie od używanej przez nich wersji Google Workspace.

Aby przeprowadzić wyszukiwanie w narzędziu do analizy zagrożeń, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 warunek wyszukiwania. Dla każdego warunku wybierz atrybut, operatorwartość.

Aby to zrobić:

  1. W konsoli administracyjnej Google otwórz Menu  a potem  Zabezpieczenia a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. Na liście Źródło danych wybierz Zdarzenia z dziennika Access Transparency.
  3. Kliknij Dodaj warunek. Wyszukiwanie może zawierać kilka warunków. Możesz też dostosować wyszukiwanie za pomocą zapytań zagnieżdżonych, czyli wyszukiwań z 2 lub 3 poziomami warunków (szczegóły znajdziesz w artykule Dostosowywanie wyszukiwania za pomocą zapytań zagnieżdżonych).

  4. Z listy Atrybut wybierz jeden z atrybutów, na przykład Użytkownik, który wykonał czynność lub Data. Pełną listę atrybutów dostępnych w przypadku zdarzeń z dziennika Access Transparency znajdziesz w sekcji poniżej.

    Uwaga: jeśli zawęzisz zakres dat wyszukiwania, wyniki w narzędziu do analizy zagrożeń pojawią się szybciej. Na przykład wyszukiwanie zdarzeń z ostatniego tygodnia potrwa krócej niż wyświetlenie wyników wyszukiwania bez ograniczania okresu.

  5. Wybierz operator, na przykład Równe, Różne od, Zawiera lub Nie zawiera.

  6. Wybierz lub wpisz wartość atrybutu. W przypadku niektórych atrybutów możesz wybrać opcję z listy. W przypadku innych atrybutów wpisz wartość.

  7. (Opcjonalnie) Aby uwzględnić kilka warunków wyszukiwania, powtórz kroki opisane powyżej.

  8. Kliknij Szukaj. W narzędziu wyniki wyszukiwania są wyświetlane w tabeli u dołu strony.

  9. (Opcjonalnie) Aby zapisać wyszukiwanie, kliknij Zapisz , wpisz tytuł i opis, a następnie ponownie kliknij Zapisz.

Uwaga: na karcie Narzędzie do definiowania warunków filtry mają postać warunków z operatorami I oraz LUB. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.

Opisy atrybutów

W przypadku tego źródła danych podczas wyszukiwania danych zdarzenia z dziennika możesz użyć tych atrybutów:

Atrybut Opis
Nazwa grupy

Nazwa grupy użytkownika, który wykonał czynność. Więcej informacji znajdziesz w artykule Filtrowanie wyników za pomocą grup dyskusyjnych Google.

Aby dodać grupę do listy dozwolonych grup filtrowania:

  1. Kliknij Nazwa grupy.
  2. Kliknij Grupy filtrowania.
    Pojawi się strona Grupy filtrowania.
  3. Kliknij Dodaj grupy.
  4. Wyszukaj grupę, wpisując kilka pierwszych znaków jej nazwy lub adresu e-mail. Gdy zobaczysz odpowiednią grupę, wybierz ją.
  5. (Opcjonalnie) Aby dodać kolejną grupę, wyszukaj ją i wybierz.
  6. Gdy wybierzesz odpowiednie grupy, kliknij Dodaj.
  7. (Opcjonalnie) Aby usunąć grupę, kliknij Usuń grupę .
  8. Kliknij Zapisz.
Główne biuro pracownika, który wykonał czynność

Biuro użytkownika, który uzyskał dostęp do danych. Wyświetla kod kraju lub regionu zgodnie ze standardem ISO 3166-1 alfa-2, w którym osoba uzyskująca dostęp ma stałą siedzibę.

Dostępne wartości:

  • 3-znakowy identyfikator kontynentu, jeśli pracownik Google znajduje się w kraju o małej liczbie ludności, np. ASI, EUR, OCE, AFR, NAM, SAM lub ANT.
  • „??” oznacza, że lokalizacja jest niedostępna.
Jednostka organizacyjna użytkownika, który wykonał czynność Jednostka organizacyjna użytkownika, który wykonał czynność.
Data Data i godzina wystąpienia zdarzenia (według domyślnej strefy czasowej ustawionej w przeglądarce).
Zdarzenie Zarejestrowane zdarzenie, na przykład Dostęp do zasobu.
Usługa Google Workspace Nazwa usługi, do której uzyskano dostęp.

Identyfikator ASN adresu IP

Musisz dodać tę kolumnę do wyników wyszukiwania. Instrukcje znajdziesz w sekcji Zarządzanie danymi w kolumnie wyników wyszukiwania.

Numer systemu autonomicznego adresu IP (identyfikator ASN), pododdział i region powiązane z wpisem logu.

Aby sprawdzić identyfikator ASN adresu IP oraz kod pododdziału i regionu, w którym wystąpiła aktywność, kliknij nazwę w wynikach wyszukiwania.
Uzasadnienia Uzasadnienie uzyskania dostępu do danych, na przykład Pomoc zainicjowana przez klienta – numer zgłoszenia: 12345678.
Identyfikator dziennika Unikalny identyfikator dziennika.
W imieniu Adresy e-mail użytkowników, których uprawnienia zostały użyte do kontroli Zarządzania dostępem
Adres e-mail właściciela Identyfikator e-mail lub identyfikator zespołu klienta, do którego należy zasób.
Nazwa zasobu Nazwa zasobu, do którego uzyskano dostęp.
Zgłoszenia Zgłoszenia powiązane z uzasadnieniem (w stosownych przypadkach).

Podejmowanie działań na podstawie wyników wyszukiwania

Tworzenie reguł związanych z aktywnością i konfigurowanie alertów

  • Alerty na podstawie danych zdarzeń z dziennika możesz konfigurować za pomocą reguł raportowania. Instrukcje znajdziesz w artykule Tworzenie reguł raportowania i zarządzanie nimi.
  • Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus, Enterprise Standard i Enterprise Plus, Education Standard i Education Plus, Enterprise Essentials Plus; Cloud Identity Premium. Porównaj wersje

    Aby skutecznie zapobiegać problemom z zabezpieczeniami, wykrywać je i rozwiązywać, możesz zautomatyzować działanie narzędzia do analizy zagrożeń i skonfigurować alerty, tworząc reguły związane z aktywnością. Aby skonfigurować regułę, określ jej warunki, a następnie wskaż czynności, które mają być wykonywane po ich spełnieniu. Więcej informacji znajdziesz w artykule Tworzenie reguł związanych z aktywnością i zarządzanie nimi.

Podejmowanie działań na podstawie wyników wyszukiwania

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus, Enterprise Standard i Enterprise Plus, Education Standard i Education Plus, Enterprise Essentials Plus; Cloud Identity Premium. Porównaj wersje

Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń możesz wykonywać działania na wynikach wyszukiwania. Przykładowo po przeprowadzeniu wyszukiwania zdarzeń z dziennika Gmaila można za pomocą narzędzia usunąć określone wiadomości albo wysłać je do kwarantanny lub do skrzynek odbiorczych użytkowników. Więcej informacji znajdziesz w artykule Podejmowanie działań na podstawie wyników wyszukiwania.

Omówienie danych z dziennika Access Transparency

Opisy pól dziennika

Nazwa pola dziennika Nazwa pola systemowego Opis
Data items:id:time Wskazuje, kiedy do dziennika została dodana nowa pozycja
Usługa Google Workspace items:events:parameters:GSUITE_PRODUCT_NAME Usługa klienta, do której uzyskano dostęp. Należy użyć wielkich liter. Na przykład:
  • GMAIL,
  • CALENDAR,
  • DRIVE,
  • SHEETS,
  • SLIDES.
Adres e-mail właściciela items:events:parameters:OWNER_EMAIL Identyfikator e-mail lub identyfikator zespołu klienta, do którego należy zasób.
Główne biuro pracownika, który wykonał czynność items:events:parameters:ACTOR_HOME_OFFICE

Kod kraju lub regionu zgodnie z normą ISO 3166-1 alfa-2, w którym najczęściej pracuje osoba uzyskująca dostęp:

  • „??” – jeśli lokalizacja jest niedostępna;
  • 3-znakowy identyfikator kontynentu (ASI, EUR, OCE, AFR, NAM, SAM, ANT), jeśli pracownik Google znajduje się w kraju o małej liczbie ludności.
Uzasadnienia

items:events:parameters:JUSTIFICATIONS

Uzasadnienie uzyskania dostępu do danych, na przykład Pomoc zainicjowana przez klienta – numer zgłoszenia: 12345678.
Zgłoszenia tickets Zgłoszenia powiązane z uzasadnieniem (w stosownych przypadkach).
Identyfikator dziennika items:events:parameters:LOG_ID Unikalny identyfikator dziennika.
Nazwa zasobu items:events:parameters:RESOURCE_NAME Nazwa zasobu, do którego uzyskano dostęp. Nazwy zasobów mogą być używane w narzędziu do analizy zagrożeń w celu identyfikowania oraz grupowania problemów związanych z bezpieczeństwem i prywatnością w domenie oraz przeciwdziałania takim problemom.
W imieniu items:events:parameters:ON_BEHALF_OF Docelowy użytkownik z dostępem. Osoba, której dokument został udostępniony, może być dodatkowym użytkownikiem, a nie właścicielem. Pole W imieniu zawiera dodatkowe informacje ułatwiające określenie kontekstu dostępu.
Zasady zarządzania dostępem items:events:parameters:
ACCESS_MANAGEMENT_POLICY		 Zasada zarządzania dostępem, która została sprawdzona przed uzyskaniem dostępu. Dotyczy tylko klientów ze skonfigurowanym Zarządzaniem dostępem.

Opisy uzasadnień

Przyczyna Opis
Pomoc zainicjowana przez klienta Pomoc zainicjowana przez klienta, na przykład numer zgłoszenia.
Zainicjowana z zewnątrz kontrola nadużyć Zainicjowane z zewnątrz kontrole nadużyć są wywoływane po zgłoszeniu treści do sprawdzenia przez Google.
  • Użytkownicy mogą zgłaszać treści jako naruszające Warunki korzystania z usług Google.
  • Jako superadministrator możesz używać narzędzia do analizy zagrożeń, aby wyświetlać szczegółowe informacje powiązane z dokumentami – na przykład tytuł, właściciela i typ dokumentu oraz dotyczące go zdarzenia z dziennika, które miały miejsce w ciągu ostatnich 180 dni:
  1. W narzędziu do analizy zagrożeń przeprowadź wyszukiwanie za pomocą źródła danych Zdarzenia z dziennika Dysku.
  2. W sekcji Warunki kliknij Identyfikator dokumentu.
  3. Skopiuj identyfikator zasobu z dziennika Access Transparency i wklej go w polu Identyfikator dokumentu w narzędziu do analizy zagrożeń.
  4. Kliknij Szukaj.

Więcej informacji oraz instrukcje znajdziesz w artykule Przeprowadzanie wyszukiwania w narzędziu do analizy zagrożeń.

Dowiedz się więcej o zgłaszaniu nadużyć.
Odpowiedź Google na alert dotyczący produkcji Dostęp zainicjowany przez Google w celu zapewnienia niezawodności systemu w związku z potencjalną przerwą w działaniu usługi, na przykład:
  • zbadanie, czy ewentualne przerwy w działaniu usługi nie wpływają na klienta;
  • utworzenie kopii zapasowej i przywrócenie danych po przerwach w działaniu i awariach systemu.
Weryfikacja zainicjowana przez Google Dostęp zainicjowany przez Google w celu wykonania czynności związanych z bezpieczeństwem, zgodnością albo oszustwem lub nadużyciem, w tym:
  • zapewnienie bezpieczeństwa kont i danych klientów;
  • sprawdzenie, czy zdarzenie, które mogło wpłynąć na bezpieczeństwo konta (np. infekcja złośliwym oprogramowaniem), miało wpływ na dane;
  • sprawdzenie, czy klient używa usług Google zgodnie z Warunkami korzystania z usług Google;
  • zbadanie skarg innych użytkowników i klientów albo innych sygnałów świadczących o nadużyciach;
  • sprawdzenie, czy usługi Google są używane zgodnie z przepisami (na przykład o przeciwdziałaniu praniu pieniędzy).

Usługa zainicjowana przez Google

Dostęp zainicjowany przez Google na potrzeby bieżącej konserwacji i świadczenia usług Google Cloud, w tym:

  • debugowanie techniczne potrzebne do przesłania prośby o pomoc lub analizy zagrożeń;
  • rozwiązywanie problemów technicznych, na przykład pojedynczych awarii urządzeń przechowujących dane lub przypadków uszkodzenia danych.
Żądanie innej firmy dotyczące danych Google uzyskuje dostęp do danych klienta, aby odpowiedzieć na wniosek prawny lub proces prawny. Dotyczy to też sytuacji, gdy Google odpowiada na proces prawny ze strony klienta, co wymaga dostępu do jego danych.

W takim przypadku dzienniki Access Transparency mogą być niedostępne, jeśli Google nie może bez naruszania prawa poinformować o wniosku lub procesie.

Konfigurowanie alertu dotyczącego Access Transparency

Możesz skonfigurować alert e-mail dotyczący 1 lub kilku filtrów dziennika, takich jak Adres e-mail właściciela czy Główne biuro pracownika, który wykonał czynność. Możesz też włączyć alert dotyczący wszystkich dzienników we wszystkich usługach, które obsługują Access Transparency.

  1. W konsoli administracyjnej Google otwórz Menu  a potem  Zabezpieczenia a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. Na liście Źródło danych wybierz Zdarzenia z dziennika Access Transparency.
  3. Kliknij + Dodaj filtr.
  4. Wybierz co najmniej 1 filtr i kliknij Zastosuj.
  5. (Opcjonalnie) Aby włączyć alert dotyczący wszystkich dzienników we wszystkich obsługiwanych usługach, kliknij Nazwa zdarzenia a potem Dostęp. Spowoduje to utworzenie filtra Nazwa zdarzenia: Dostęp.
  6. Kliknij Utwórz regułę raportowania , nadaj jej nazwę, a następnie wpisz adresy e-mail wszystkich dodatkowych odbiorców alertów.
  7. Kliknij Utwórz.

Integrowanie danych z dziennika Access Transparency z narzędziami innych firm

Przy użyciu interfejsu Reports API możesz zintegrować dzienniki Access Transparency z dotychczas używanymi narzędziami do zarządzania informacjami i zdarzeniami związanymi z bezpieczeństwem. Więcej informacji znajdziesz w artykule na temat działań rejestrowanych w dzienniku Access Transparency.

Kiedy i jak długo dane są dostępne?

Przeczytaj artykuł Czas przechowywania danych i opóźnienia.