События в журнале прозрачного доступа

Эта функция доступна в версиях Frontline Plus, Enterprise Plus, Education Standard, Education Plus и Enterprise Essentials Plus. Сравнение версий

Как администратор организации, вы можете искать в инструменте "Анализ безопасности" события, записанные в журнал прозрачного доступа, и проверять, какие действия выполняли сотрудники Google, получив доступ к вашим данным.

Журнал прозрачного доступа содержит следующую информацию о событиях:

  • название ресурса и действие, которое с ним выполнялось;
  • время выполнения действия;
  • причину действия, например номер запроса в службу поддержки от пользователя;
  • информацию о сотруднике Google, выполнившем действие с данными, например местоположение его офиса.

Дополнительная информация приведена в статье Прозрачный доступ. Просмотр журналов доступа сотрудников Google к контенту пользователей.

Как пересылать данные журналов в Google Cloud

Вы можете предоставить Google Cloud доступ к данным журналов. В этом случае данные будут пересылаться в Cloud Logging, где можно просматривать журналы, выполнять по ним поиск, а также управлять их маршрутизацией и хранением.

Как найти события из журнала прозрачного доступа

Возможность поиска в инструменте "Анализ безопасности" зависит от версии сервиса Google, назначенных прав администратора и источника данных. Вы можете искать действия всех пользователей, независимо от того, какая у них версия Google Workspace.

Чтобы выполнить поиск в инструменте "Анализ безопасности", сначала выберите источник данных. Затем добавьте одно или несколько условий поиска. Для каждого условия выберите атрибут, оператор и значение.

Выполните указанные ниже действия.

  1. В консоли администратора Google нажмите на значок меню > Безопасность > Центр безопасности > Инструмент "Анализ безопасности".

    У вас должны быть права администратора с доступом к центру безопасности.

  2. В раскрывающемся списке Источник данных выберите События в журнале прозрачного доступа.
  3. Нажмите Добавить условие. Можно указать одно или несколько условий. Вы также можете создавать вложенные запросы с двумя или тремя уровнями условий. Подробнее о том, как использовать вложенные запросы при поиске

  4. В раскрывающемся списке Атрибут выберите один из атрибутов, например Пользователь или Дата. Полный список атрибутов, доступных для событий в журнале прозрачного доступа, приведен в разделе ниже.

    Примечание. Если вы сузите диапазон дат, результаты в инструменте "Анализ безопасности" будут получены быстрее. Например, если указать, что вам нужны данные только за последнюю неделю, поиск будет выполнен быстрее, чем без этого условия.

  5. Выберите оператор, например Равно, Не равно, Содержит или Не содержит.

  6. Выберите значение атрибута из раскрывающегося списка или введите его вручную.

  7. Если вы хотите указать несколько условий поиска, повторите шаги выше.

  8. Нажмите Поиск. Результаты поиска в инструменте показываются в таблице в нижней части страницы.

  9. Если нужно сохранить параметры поиска, нажмите на значок "Сохранить" , введите название и описание, а затем нажмите кнопку Сохранить.

Примечание. Фильтры на вкладке Конструктор условий представлены в виде условий с операторами "И/ИЛИ". На вкладке Фильтр вы можете ограничить результаты поиска с помощью простых пар параметров и значений.

Описания атрибутов

При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:

Атрибут Описание
Название группы

Название группы пользователя. Подробнее о том, как фильтровать результаты по группе Google

Чтобы добавить группу в белый список групп фильтрации, выполните следующие действия:

  1. Выберите Название группы.
  2. Выберите Группы фильтрации.
    Откроется соответствующая страница.
  3. Нажмите Добавить группы.
  4. Найдите группу: начните вводить ее название или адрес электронной почты, а затем выберите нужный вариант из списка предложений.
  5. Если вы хотите добавить ещё одну группу, найдите и выберите ее.
  6. Когда группы будут выбраны, нажмите Добавить.
  7. Если вы хотите удалить группу, нажмите на значок "Удалить группу" рядом с ней.
  8. Нажмите Сохранить.
Адрес основного офиса сотрудника

Адрес основного офиса сотрудника, выполнившего доступ к данным, с указанием кода страны или региона (в формате ISO 3166-1 alpha-2).

Возможные варианты:

  • Если сотрудник Google находится в стране с небольшим населением, будет указан трехзначный идентификатор континента, например ASI, EUR, OCE, AFR, NAM, SAM или ANT.
  • Если местоположение офиса недоступно, в записи будет указано "??".
Организационное подразделение пользователя Организационное подразделение, к которому относится исполнитель.
Дата Дата и время, когда произошло событие (указывается в часовом поясе, установленном в вашем браузере по умолчанию).
Событие Сведения о действии в зарегистрированном событии, например Получен доступ к ресурсу.
Продукт Google Workspace Название продукта, к которому был выполнен доступ.

IP ASN

Добавьте этот столбец в результаты поиска. Подробнее о том, как управлять столбцами данных в результатах поиска

Номер автономной системы (ASN) IP, подразделение и регион, связанные с записью журнала.

Чтобы посмотреть ASN IP, а также подразделение и код региона, где было выполнено действие, нажмите на название в результатах поиска.
Причины Причины доступа, например Запрос в службу поддержки от клиента, номер запроса: 12345678.
Идентификатор журнала Уникальный идентификатор журнала.
От чьего имени Адреса электронной почты пользователей, чьи права использовались для функций управления доступом.
Адрес электронной почты владельца Идентификатор электронной почты или идентификатор команды, принадлежащий клиенту – владельцу ресурса.
Название ресурса Название ресурса, к которому был выполнен доступ.
Запросы Запросы, связанные с причиной доступа (при наличии).

Действия с результатами поиска

Как создавать правила активности и настраивать оповещения

  • Вы можете настроить оповещения на основе данных о событиях журнала, используя правила создания отчетов. Подробнее о том, как создавать и настраивать правила оповещения.
  • Эта функция доступна в версиях Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

    Чтобы эффективнее предотвращать, выявлять и исправлять проблемы с безопасностью, вы можете автоматизировать действия в инструменте "Анализ безопасности" и настроить оповещения с помощью правил активности. Для каждого правила нужно задать условия и указать действия, которые следует выполнять при соблюдении этих условий. Подробнее о том, как создавать правила активности

Действия с результатами поиска

Эта функция доступна в версиях Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Результаты поиска, полученные с помощью инструмента "Анализ безопасности", можно использовать для разных целей. Например, сообщения, найденные при поиске по событиям журнала Gmail, можно удалять, отправлять в карантин или помещать в папки "Входящие" пользователей. Подробнее о том, какие действия можно выполнять с результатами поиска

Общие сведения о данных журнала прозрачного доступа

Описание полей журнала

Название поля Системное название поля Описание
Дата items:id:time Дата добавления записи в журнал.
Продукт Google Workspace items:events:parameters:GSUITE_PRODUCT_NAME Продукт клиента, к которому был выполнен доступ. Название указывается прописными буквами, например:
  • GMAIL
  • CALENDAR
  • DRIVE
  • SHEETS
  • SLIDES
Адрес электронной почты владельца items:events:parameters:OWNER_EMAIL Идентификатор электронной почты или идентификатор команды, принадлежащий клиенту – владельцу ресурса.
Адрес основного офиса сотрудника items:events:parameters:ACTOR_HOME_OFFICE

Код страны или региона (в формате ISO 3166-1 alpha-2), где находится офис сотрудника Google, выполнившего доступ.

  • Если местоположение офиса недоступно, в записи будет указано "??".
  • Если сотрудник Google находится в стране с небольшим населением, будет указан трехзначный идентификатор континента, например ASI, EUR, OCE, AFR, NAM, SAM или ANT.
Причины

items:events:parameters:JUSTIFICATIONS

Причины доступа, например Запрос в службу поддержки от клиента, номер запроса: 12345678.
Запросы tickets Запросы, связанные с причиной доступа (при наличии).
Идентификатор журнала items:events:parameters:LOG_ID Уникальный идентификатор журнала.
Название ресурса items:events:parameters:RESOURCE_NAME Название ресурса, к которому был выполнен доступ. Названия ресурсов в инструменте "Анализ безопасности" помогают идентифицировать, сортировать и устранять проблемы с конфиденциальностью и безопасностью в домене.
От чьего имени items:events:parameters:ON_BEHALF_OF Пользователь, у которого возникла проблема, для решения которой потребовался доступ. Адресатом поддержки может быть не владелец документа, а пользователь, с которым этим документом поделились. Информация в поле От чьего имени помогает лучше понять, из-за чего понадобился доступ.
Правило управления доступом items:events:parameters:
ACCESS_MANAGEMENT_POLICY		 Правило управления доступом, которое было проверено перед обращением к документу (только для клиентов, у которых настроено управление доступом).

Описания причин доступа

Причина Описание
Запрос в службу поддержки от клиента Доступ для оказания поддержки по инициативе клиента (например, с указанием определенного номера запроса).
Проверка на наличие нарушений по внешнему запросу Такие проверки проводятся, когда в Google поступают жалобы на контент.
  • Пользователи могут сообщать о том, что контент нарушает Условия использования.
  • С помощью инструмента "Анализ безопасности" суперадминистратор может изучать подробную информацию, связанную с документом, например название, владельца, тип документа и события журнала за последние 180 дней. Для этого необходимо выполнить следующие действия:
  1. В инструменте "Анализ безопасности" выберите источник данных События журнала Диска.
  2. В разделе Условия нажмите Идентификатор документа.
  3. Скопируйте идентификатор документа из журнала прозрачного доступа и вставьте его в поле Идентификатор документа в инструменте "Анализ безопасности".
  4. Нажмите Поиск.

Подробнее о том, как выполнить поиск в инструменте "Анализ безопасности"

Подробнее о том, как сообщить о нарушении
Реагирование Google на сбой в работе Доступ по инициативе Google для поддержания надежности систем в связи с возможным сбоем, например:
  • чтобы узнать, затронул ли сбой определенного клиента;
  • чтобы выполнить резервное копирование и восстановление после сбоев и ошибок системы.
Проверка, инициированная Google Доступ по инициативе Google в связи с обеспечением безопасности, предотвращением мошенничества или других нарушений или в целях соблюдения законодательства. Возможны следующие причины:
  • обеспечение безопасности аккаунтов и данных клиентов;
  • проверка того, повлияло ли на данные событие, которое могло нарушить безопасность аккаунта (например, установка вредоносного ПО);
  • подтверждение того, что клиент работает с сервисами Google в соответствии с Условиями использования;
  • анализ жалоб других пользователей и клиентов или прочих сообщений о нарушениях;
  • проверка того, соблюдаются ли нормативные требования (например, законы о противодействии отмыванию денег) при использовании сервисов Google.

Обслуживание, инициированное Google

Доступ по инициативе Google в рамках стандартного обслуживания и обеспечения работы сервисов Google Cloud. Например:

  • при устранении ошибок, обнаруженных в ходе рассмотрения обращения в службу поддержки или при анализе работы системы;
  • при устранении технических неполадок, таких как сбой в работе отдельного хранилища или повреждение данных.
Запрос данных третьими лицами Доступ по инициативе Google для реагирования на официальный запрос или требование в рамках судебного процесса, включая случаи, когда процесс инициирован самим клиентом и для получения нужной информации требуется доступ к его данным.

Если компания Google не имеет права уведомлять вас о таком запросе или процессе, информация об обращении к данным может не показываться в журнале прозрачного доступа.

Как настроить отправку оповещений для журналов прозрачного доступа

Вы можете настроить оповещения по электронной почте для одного или нескольких фильтров журнала, например "Электронная почта владельца" или "Адрес основного офиса сотрудника". Можно также настроить отправку оповещений для всех журналов тех продуктов, которые поддерживают прозрачный доступ.

  1. В консоли администратора Google нажмите на значок меню > Безопасность > Центр безопасности > Инструмент "Анализ безопасности".

    У вас должны быть права администратора с доступом к центру безопасности.

  2. В раскрывающемся списке Источник данных выберите События в журнале прозрачного доступа.
  3. Нажмите + Добавить фильтр.
  4. Выберите один или несколько фильтров и нажмите Применить.
  5. Если вы хотите включить отправку оповещений для всех журналов тех продуктов, которые поддерживают прозрачный доступ, выберите Название события > Доступ. Будет создан фильтр Название события: Доступ.
  6. Нажмите на значок Создать правило , введите название правила, а затем укажите адреса электронной почты получателей оповещения.
  7. Нажмите Создать.

Как интегрировать данные журнала прозрачного доступа со сторонними инструментами

Чтобы интегрировать журналы прозрачного доступа с существующими инструментами управления информацией и событиями безопасности (SIEM), воспользуйтесь Reports API. Подробнее о событиях журнала прозрачного доступа

Когда данные становятся доступны и как долго они хранятся?

Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.