Händelser i loggen för åtkomstinsyn

Utgåvor som stöds för den här funktionen: Frontline Plus, Enterprise Plus, Education Standard och Education Plus, Enterprise Essentials Plus. Jämför utgåvor

Som organisationens administratör kan du använda verktyget för säkerhetsutredningar för att köra sökningar som rör händelser i loggen för åtkomstinsyn. Där kan du se uppgifter om åtgärder som Google-anställda utför vid åtkomst till din data.

Händelsedata i loggen för åtkomstinsyn innehåller information om

  • den berörda resursen och åtgärden
  • tiden för åtgärden
  • anledningen till åtgärden (till exempel ärendenumret som är kopplat till en begäran om kundsupport)
  • den Google-medarbetare som har utfört åtgärden (till exempel kontorsplats).

Mer information finns i Åtkomstinsyn: Visa loggar med åtkomst till användarinnehåll på Google.

Vidarebefordra loggdata till Google Cloud

Du kan välja att dela loggdata med Google Cloud. Om du aktiverar delning vidarebefordras data till Cloud Logging där du kan söka i och se dina loggar samt kontrollera hur du dirigerar och lagrar dina loggar.

Kör en sökning efter händelser i loggen för åtkomstinsyn

Möjligheten att göra en sökning beror på din Google-utgåva, dina administrativa behörigheter och datakällan. Du kan söka på alla användare, oavsett vilken Google Workspace-utgåva de har.

Om du vill köra en sökning i verktyget för säkerhetsutredningar väljer du först en datakälla. Välj sedan ett eller flera villkor för sökningen. För varje villkor väljer du ett attribut, en operator och ett värde.

Gör så här:

  1. I Googles administratörskonsol går du till menyn följt av Säkerhet följt av Säkerhetscenter följt av Utredningsverktyg.

    Administratörsbehörighet för Säkerhetscenter krävs.

  2. I rullgardinsmenyn Datakälla väljer du Händelser i logg för åtkomstinsyn.
  3. Klicka på Lägg till villkor. Du kan inkludera ett eller flera villkor i din sökning. Du kan även anpassa sökningen med kapslade frågor – sökningar med två eller tre villkorsnivåer (mer information finns i Anpassa sökningen med kapslade frågor).

  4. I rullgardinsmenyn Attribut väljer du ett av attributen, till exempel Aktör eller Datum. En fullständig lista över attribut som är tillgängliga för händelser i logg för åtkomstinsyn finns i avsnittet nedan.

    Obs! Om du begränsar datumintervallet för sökningen visas resultaten snabbare i verktyget för säkerhetsutredningar. Om du till exempel begränsar sökningen till händelser från den senaste veckan visas resultatet snabbare än om du söker utan att begränsa frågan till en kortare tidsperiod.

  5. Välj en operator, till exempel Är, Är inte, Innehåller eller Innehåller inte.

  6. Välj eller ange ett värde för attributet. För vissa attribut kan du välja alternativ i en rullgardinsmeny. För andra attribut anger du ett värde.

  7. (Valfritt) Upprepa stegen ovan om du vill inkludera flera sökvillkor.

  8. Klicka på Sök. Sökresultat i verktyget visas i en tabell längst ned på sidan.

  9. (Valfritt) Om du vill spara sökningen klickar du på Spara , anger en titel och beskrivning och klickar sedan på Spara.

Obs! På fliken Villkorsverktyg visas filter som villkor med OCH/ELLER-operatorer. Du kan även använda fliken Filter för att inkludera enkla parameter- och värdepar för att filtrera sökresultaten.

Attributbeskrivningar

För denna datakälla kan du använda följande attribut när du söker efter logghändelsedata.

Attribut Beskrivning
Grupp-id

Aktörens gruppnamn. Mer information finns i Filtrera resultat efter Google-grupp.

Så här lägger du till en grupp i godkännandelistan för filtreringsgrupper:

  1. Välj Namn på aktörsgrupp.
  2. Klicka på Filtreringsgrupper.
    Sidan Filtreringsgrupper visas.
  3. Klicka på Lägg till grupper.
  4. Sök efter en grupp genom att ange de första tecknen i namnet eller e-postadressen. Markera gruppen som du vill ha.
  5. (Valfritt) Om du vill lägga till ytterligare en grupp söker du efter och väljer gruppen.
  6. När du är klar med att välja grupper klickar du på Lägg till.
  7. (Valfritt) Om du vill ta bort en grupp klickar du på Ta bort grupp .
  8. Klicka på Spara.
Användarens hemmakontor

Hemmakontor för den aktör som utförde dataåtkomsten. Visar lands-/regionkoden enligt ISO 3166-1 alpha-2 där personen som fått åtkomst har ett permanent skrivbord.

Värdena innefattar:

  • Kontinent-id med tre tecken om Google-medarbetaren finns i ett land med liten befolkning, till exempel ASI, EUR, OCE, AFR, NAM, SAM eller ANT
  • ”??” betyder att platsen inte är tillgänglig
Organisationsenhet för aktör Organisationsenheten som aktören tillhör
Datum Datum och tid då händelsen inträffade (visas i webbläsarens standardtidszon)
Händelse Den loggade händelseåtgärden, till exempel Resursen har öppnats
Google Workspace-produkt Namn på produkten som nåtts

IP ASN

Du måste lägga till den här kolumnen i sökresultaten. Anvisningar finns i Hantera kolumndata för sökresultat.

IP-nummer för autonomt system (ASN), underavdelning och region som är kopplade till loggposten.

Om du vill granska IP-adressens ASN, underavdelning och regionskod där aktiviteten inträffade kan du klicka på namnet i sökresultaten.
Motiveringar Få åtkomst till motiveringar, till exempel Kundinitierad support – ärendenummer: 12345678
Logg-id Unikt logg-id
På uppdrag av E-postadress(er) till de användare vars behörighet har använts för kontroller för åtkomsthantering
Ägarens e-post E-postadress eller teamidentifierare för den kund som äger resursen
Resursnamn Resursnamn för den resurs som nåtts
Ärenden Ärenden som är kopplade till eventuella motiveringar

Vidta åtgärder baserat på sökresultat

Skapa aktivitetsregler och konfigurera varningar

  • Du kan konfigurera varningar baserat på logghändelsedata med hjälp av rapporteringsregler. Anvisningar finns i Skapa och hantera rapporteringsregler.
  • Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus, Enterprise Standard och Enterprise Plus, Education Standard och Education Plus, Enterprise Essentials Plus, premiumversionen av Cloud Identity. Jämför utgåvor

    Förebygg, identifiera och åtgärda säkerhetsproblem effektivt genom att automatisera åtgärder i verktyget för säkerhetsutredningar och konfigurera varningar genom att skapa aktivitetsregler. Om du vill konfigurera en regel, ange villkor för regeln och ange vilka åtgärder som ska utföras när villkoren är uppfyllda. Mer information finns i Skapa och hantera aktivitetsregler.

Vidta åtgärder baserat på sökresultat

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus, Enterprise Standard och Enterprise Plus, Education Standard och Education Plus, Enterprise Essentials Plus, premiumversionen av Cloud Identity. Jämför utgåvor

När du har gjort en sökning i verktyget för säkerhetsutredningar kan du agera på sökresultaten. Du kan till exempel köra en sökning baserat på logghändelser i Gmail och använda verktyget för att radera specifika meddelanden, sätta meddelanden i karantän eller skicka meddelanden till användarnas inkorgar. Mer information finns i Vidta åtgärder baserat på sökresultat.

Tolka loggdata för åtkomstinsyn

Loggfältbeskrivningar

Loggfältnamn Systemfältnamn Beskrivning
Datum items:id:time Tid då loggen skrevs
Google Workspace-produkt items:events:parameters:GSUITE_PRODUCT_NAME Kundens produkt som nåtts. Versaler krävs. Kan vara:
  • GMAIL
  • KALENDER
  • DRIVE
  • KALKYLARK
  • PRESENTATIONER
Ägarens e-post items:events:parameters:OWNER_EMAIL E-postadress eller teamidentifierare för den kund som äger resursen
Användarens hemmakontor items:events:parameters:ACTOR_HOME_OFFICE

Lands-/regionkod enligt ISO 3166-1 alfa-2 där personen som fått åtkomst har ett permanent skrivbord:

  • ?? om platsen inte är tillgänglig
  • Kontinent-id med tre tecken (ASI, EUR, OCE, AFR, NAM, SAM, ANT) om Google-medarbetaren finns i ett land med liten befolkning
Motiveringar

items:events:parameters:JUSTIFICATIONS

Få åtkomst till motiveringar, till exempel Kundinitierad support – ärendenummer: 12345678
Ärenden ärenden Ärenden som är kopplade till eventuella motiveringar
Logg-id items:events:parameters:LOG_ID Unikt logg-id
Resursnamn items:events:parameters:RESOURCE_NAME Namn på resursen som nåtts. Resursnamn kan användas i verktyget för säkerhetsutredningar för att identifiera, utvärdera och agera på säkerhets- och integritetsfrågor på domänen.
På uppdrag av items:events:parameters:ON_BEHALF_OF Målet för åtkomsten. Den som delar ett dokument kan vara målet för support snarare än ägaren. På uppdrag av ger extra information om sammanhanget för en viss åtkomst.
Policy för åtkomsthantering items:events:parameters:
ACCESS_MANAGEMENT_POLICY		 Den policy för åtkomsthantering som validerats före åtkomst. Gäller endast kunder som har konfigurerat åtkomsthantering.

Motiveringar

Orsak Beskrivning
Kundinitierad support Kundinitierad support, exempelvis ett ärendenummer
Externt initierad granskning av otillåten användning Externt initierade granskningar av otillåten användning startas när innehållet anmäls till Google för granskning.
  • Användarna kan flagga innehåll för att det bryter mot Googles användarvillkor.
  • Som avancerad administratör kan du använda verktyget för säkerhetsutredningar för att visa detaljer som är kopplade till ett dokument – inklusive dokumenttitel, ägare, dokumenttyp och logghändelser som har inträffat under de senaste 180 dagarna:
  1. Från utredningsverktyget kör du en sökning med hjälp av datakällan för Drive-logghändelser.
  2. Klicka på Dokument-id under Villkor.
  3. Kopiera resurs-id:t från granskningsloggen och klistra in det i fältet Dokument-id i utredningsverktyget.
  4. Klicka på Sök.

Mer information och anvisningar finns i Köra en sökning i verktyget för säkerhetsutredningar.

Läs mer om att anmäla otillåten användning.
Googles svar på produktionsvarning Google-initierad åtkomst för att bibehålla systemtillförlitligheten vid ett misstänkt avbrott, inklusive:
  • Utredning för att bekräfta att en kund inte berörs av ett misstänkt avbrott i tjänsten
  • Säkerhetskopiera och återställa efter störningar och systemfel.
Google-initierad granskning Google-initierad åtkomst av säkerhets-, bedrägeri-, övergrepps- eller efterlevnadsskäl, inklusive:
  • Garantera säkerheten för kundkonton och data
  • Bekräfta om data berörs av en händelse som kan påverka kontosäkerheten (exempelvis skadlig kod)
  • Bekräfta om kunden använder Googles tjänster i enlighet med Googles användarvillkor
  • Undersöka klagomål från andra användare och kunder eller andra signaler om otillåten användning
  • Kontrollera att Googles tjänster används konsekvent i enlighet med relevanta efterlevnadsregler (exempelvis regler för bekämpning av penningtvätt).

Google-initerad tjänst

Google-initierad åtkomst för det löpande underhållet och leveransen av Google Cloud-tjänster, däribland:

  • teknisk felsökning som krävs för en komplex supportbegäran eller utredning
  • avhjälpande av tekniska problem, exempelvis ett isolerat lagringsfel eller datakorruption.
Databegäran från tredje part Google får åtkomst till kunddata för att svara på en juridisk begäran eller juridisk process. Detta inkluderar när vi svarar på en juridisk process från kunden som kräver att vi får åtkomst till kundens egna uppgifter.

I det här fallet är loggar för åtkomstinsyn kanske inte tillgängliga om Google inte juridiskt kan informera dig om en sådan begäran eller process.

Konfigurera en varning för åtkomstinsyn

Du kan konfigurera en e-postvarning för ett eller flera loggfilter, till exempel ägarens e-post och användarens hemmakontor. Du kan även aktivera en varning för alla loggar i alla produkter som stöder åtkomstinsyn.

  1. I Googles administratörskonsol går du till menyn följt av Säkerhet följt av Säkerhetscenter följt av Utredningsverktyg.

    Administratörsbehörighet för Säkerhetscenter krävs.

  2. I rullgardinsmenyn Datakälla väljer du Händelser i logg för åtkomstinsyn.
  3. Klicka på + Lägg till ett filter.
  4. Välj ett eller flera filter och klicka på Tillämpa.
  5. (Valfritt) Om du vill aktivera en varning för alla loggar över alla produkter som stöds klickar du på Händelsenamn följt av Åtkomst. Detta skapar ett filter som heter Händelsenamn: Åtkomst.
  6. Klicka på Skapa rapporteringsregel , ange ett regelnamn och ange e-postadresserna för ytterligare varningsmottagare.
  7. Klicka på Skapa.

Integrera data från loggen för åtkomstinsyn med verktyg från tredje part

Du kan använda Reports API för att integrera loggar för åtkomstinsyn med dina befintliga verktyg för säkerhetsinformation och händelseshantering (SIEM). Mer information finns i Aktivitetshändelser för åtkomstinsyn.

När och hur länge är data tillgänglig?

Öppna Datalagring och fördröjning.