เหตุการณ์ในบันทึกของความโปร่งใสในการเข้าถึง

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Plus, Enterprise Plus, Education Standard และ Education Plus รวมถึง Enterprise Essentials Plus เปรียบเทียบรุ่นของคุณ

ในฐานะผู้ดูแลระบบขององค์กร คุณสามารถใช้เครื่องมือตรวจสอบความปลอดภัยเพื่อทำการค้นหาที่เกี่ยวข้องกับเหตุการณ์ในบันทึกของความโปร่งใสในการเข้าถึงได้ จากจุดนี้คุณจะเห็นบันทึกที่ให้ข้อมูลเกี่ยวกับการดําเนินการของเจ้าหน้าที่ของ Google เมื่อเข้าถึงข้อมูลของคุณ

ข้อมูลเหตุการณ์ในบันทึกของความโปร่งใสในการเข้าถึงจะมีข้อมูลดังต่อไปนี้

  • ทรัพยากรและการดำเนินการที่ได้รับผลกระทบ
  • เวลาดำเนินการ
  • เหตุผลของการดำเนินการ (เช่น หมายเลขเคสที่เชื่อมโยงกับคำขอรับการสนับสนุนจากลูกค้า)
  • เจ้าหน้าที่ของ Google ที่ดำเนินการกับข้อมูลดังกล่าว (เช่น สถานที่ตั้งสำนักงาน)

โปรดดูข้อมูลเพิ่มเติมที่หัวข้อความโปร่งใสในการเข้าถึง: ดูบันทึกเหตุการณ์ที่ Google เข้าถึงเนื้อหาของผู้ใช้

ส่งต่อข้อมูลบันทึกไปยัง Google Cloud

คุณสามารถเลือกที่จะแชร์ข้อมูลบันทึกกับ Google Cloud ได้ หากคุณเปิดการแชร์ ข้อมูลจะส่งต่อไปยัง Cloud Logging ซึ่งคุณสามารถค้นหาและดูบันทึก และควบคุมการกำหนดเส้นทางและการจัดเก็บบันทึกของคุณได้

ทำการค้นหาเหตุการณ์ในบันทึกความโปร่งใสในการเข้าถึง

ความสามารถในการทำการค้นหาจะขึ้นอยู่กับรุ่นของ Google, สิทธิ์ของผู้ดูแลระบบ และแหล่งข้อมูล คุณสามารถค้นหาผู้ใช้ทุกคนได้ ไม่ว่าผู้ใช้จะใช้ Google Workspace รุ่นใดก็ตาม

หากต้องการทำการค้นหาในเครื่องมือตรวจสอบความปลอดภัย ให้เลือกแหล่งข้อมูลก่อน จากนั้นเลือกเงื่อนไขสำหรับการค้นหาอย่างน้อย 1 รายการ สำหรับเงื่อนไขแต่ละรายการ ให้เลือกแอตทริบิวต์ โอเปอเรเตอร์ และค่า

โปรดทำตามขั้นตอนต่อไปนี้

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น ศูนย์ความปลอดภัย จากนั้น เครื่องมือตรวจสอบ

    ต้องมีสิทธิ์ของผู้ดูแลระบบของศูนย์ความปลอดภัย

  2. เลือกเหตุการณ์ในบันทึกของความโปร่งใสในการเข้าถึงจากรายการแบบเลื่อนลงของแหล่งข้อมูล
  3. คลิกเพิ่มเงื่อนไข คุณจะกำหนดเงื่อนไขในการค้นหาได้มากกว่า 1 รายการ และยังเลือกปรับแต่งการค้นหาได้ด้วยการค้นหาแบบซ้อน ซึ่งคือการค้นหาที่มีเงื่อนไข 2 หรือ 3 ระดับ (โปรดดูรายละเอียดที่หัวข้อปรับแต่งการค้นหาด้วยการค้นหาแบบซ้อน)

  4. จากรายการแบบเลื่อนลงของแอตทริบิวต์ ให้เลือกแอตทริบิวต์รายการใดรายการหนึ่ง เช่น ผู้ดำเนินการหรือวันที่ ดูรายการแอตทริบิวต์ทั้งหมดที่มีให้ใช้สำหรับเหตุการณ์ในบันทึกความโปร่งใสในการเข้าถึงได้ที่หัวข้อด้านล่าง

    หมายเหตุ: หากจำกัดช่วงวันที่ที่ต้องการค้นหาไว้ ผลการค้นหาจะปรากฏในเครื่องมือตรวจสอบความปลอดภัยเร็วขึ้น เช่น หากจำกัดขอบเขตการค้นหาไว้เฉพาะเหตุการณ์ที่เกิดขึ้นในสัปดาห์ที่ผ่านมา ระบบจะแสดงผลการค้นหาได้เร็วกว่าการค้นหาที่ไม่จำกัดกรอบเวลา

  5. เลือกโอเปอเรเตอร์ เช่น Is, Is not, Contains หรือ Does not contain

  6. เลือกหรือป้อนค่าสำหรับแอตทริบิวต์ สำหรับแอตทริบิวต์บางรายการ คุณสามารถเลือกได้จากรายการแบบเลื่อนลง สำหรับแอตทริบิวต์อื่นๆ ให้ใช้การพิมพ์ค่า

  7. (ไม่บังคับ) หากต้องการรวมเงื่อนไขการค้นหาหลายรายการ ให้ทำซ้ำขั้นตอนด้านบน

  8. คลิกค้นหา ผลการค้นหาในเครื่องมือจะแสดงเป็นตารางที่ด้านล่างของหน้า

  9. (ไม่บังคับ) หากต้องการบันทึกการค้นหา ให้คลิกบันทึก จากนั้นป้อนชื่อและคำอธิบาย แล้วคลิกบันทึก

หมายเหตุ: เมื่อใช้แท็บเครื่องมือสร้างเงื่อนไข ตัวกรองจะแสดงเป็นเงื่อนไขที่มีโอเปอเรเตอร์ AND/OR นอกจากนี้ คุณยังใช้แท็บตัวกรองเพื่อใส่พารามิเตอร์และคู่ค่าแบบง่ายๆ เพื่อกรองผลการค้นหาได้อีกด้วย

คำอธิบายแอตทริบิวต์

สำหรับแหล่งข้อมูลนี้ คุณจะใช้แอตทริบิวต์ต่อไปนี้เมื่อค้นหาข้อมูลเหตุการณ์ในบันทึกได้

แอตทริบิวต์ คำอธิบาย
ชื่อกลุ่มผู้ดำเนินการ

ชื่อกลุ่มของผู้ดำเนินการ โปรดดูข้อมูลเพิ่มเติมที่หัวข้อการกรองผลลัพธ์ตาม Google Group

หากต้องการเพิ่มกลุ่มไปยังรายการที่อนุญาตของกลุ่มการกรอง ให้ทำดังนี้

  1. เลือกชื่อกลุ่มผู้ดำเนินการ
  2. คลิกกลุ่มการกรอง
    หน้ากลุ่มการกรองจะปรากฏขึ้น
  3. คลิกเพิ่มกลุ่ม
  4. ค้นหากลุ่มโดยป้อนอักขระ 2-3 ตัวแรกของชื่อหรืออีเมลของกลุ่ม เมื่อเห็นกลุ่มที่ต้องการ ให้เลือกกลุ่มดังกล่าว
  5. (ไม่บังคับ) หากต้องการเพิ่มกลุ่มอื่น ให้ค้นหาและเลือกกลุ่ม
  6. คลิกเพิ่มเมื่อเลือกกลุ่มแล้ว
  7. (ไม่บังคับ) หากต้องการนำกลุ่มออก ให้คลิกนำกลุ่มออก
  8. คลิกบันทึก
โฮมออฟฟิศของผู้ดำเนินการ

โฮมออฟฟิศของผู้ดำเนินการที่เข้าถึงข้อมูล แสดงรหัสประเทศ/ภูมิภาคตามสถานที่ทำงานประจำของผู้เข้าถึงข้อมูลในรูปแบบ ISO 3166-1 alpha-2

ซึ่งค่าต่างๆ ประกอบด้วย

  • ตัวย่อชื่อทวีป 3 ตัวอักษรหากเจ้าหน้าที่ของ Google อยู่ในประเทศที่มีประชากรน้อย เช่น ASI, EUR, OCE, AFR, NAM, SAM หรือ ANT
  • "??" หมายความว่าไม่ทราบสถานที่ตั้ง
หน่วยองค์กรของผู้ดำเนินการ หน่วยขององค์กรที่ผู้ดำเนินการอยู่
วันที่ วันที่และเวลาของเหตุการณ์ (ตามที่แสดงในเขตเวลาเริ่มต้นของเบราว์เซอร์)
กิจกรรม การดำเนินการของเหตุการณ์ที่บันทึกไว้ เช่น เข้าถึงทรัพยากร
ผลิตภัณฑ์ Google Workspace ชื่อของผลิตภัณฑ์ที่มีการเข้าถึง

IP ASN

คุณต้องเพิ่มคอลัมน์นี้ลงในผลการค้นหา โปรดดูขั้นตอนที่หัวข้อจัดการข้อมูลคอลัมน์ผลการค้นหา

หมายเลขระบบเครือข่ายอัตโนมัติ (ASN), เขตย่อย และภูมิภาคของ IP ที่เชื่อมโยงกับรายการบันทึก

หากต้องการตรวจสอบ ASN ของ IP รวมถึงรหัสเขตย่อยและรหัสภูมิภาคที่เกิดเหตุการณ์ ให้คลิกชื่อในผลการค้นหา
เหตุผลรองรับ เหตุผลรองรับการเข้าถึง เช่น การสนับสนุนที่ลูกค้าขอ - หมายเลขเคส: 12345678
รหัสบันทึก รหัสบันทึกที่ไม่ซ้ำกัน
ในนามของ อีเมลของผู้ใช้ที่เป็นเจ้าของสิทธิ์ในการควบคุมการจัดการการเข้าถึง
อีเมลเจ้าของ รหัสอีเมลหรือตัวระบุทีมของลูกค้าที่เป็นเจ้าของทรัพยากร
ชื่อทรัพยากร ชื่อของทรัพยากรที่มีการเข้าถึง
คำขอแจ้งปัญหา คำขอแจ้งปัญหาที่เชื่อมโยงกับเหตุผลรองรับ หากมี

ดำเนินการตามผลการค้นหา

สร้างกฎกิจกรรมและตั้งค่าการแจ้งเตือน

  • คุณสามารถตั้งค่าการแจ้งเตือนตามข้อมูลเหตุการณ์ในบันทึกได้โดยใช้กฎการรายงาน โปรดดูวิธีการที่หัวข้อสร้างและจัดการกฎการรายงาน
  • รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard และ Frontline Plus, Enterprise Standard และ Enterprise Plus, Education Standard และ Education Plus, Enterprise Essentials Plus, Cloud Identity Premium เปรียบเทียบรุ่นของคุณ

    คุณสามารถปรับเครื่องมือตรวจสอบความปลอดภัยให้ดำเนินการเองโดยอัตโนมัติและตั้งค่าการแจ้งเตือนได้โดยการสร้างกฎกิจกรรม ซึ่งจะช่วยป้องกัน ตรวจจับ และแก้ไขปัญหาด้านความปลอดภัยได้อย่างมีประสิทธิภาพมากขึ้น หากต้องการตั้งค่ากฎ ให้กำหนดเงื่อนไขสำหรับกฎ จากนั้นระบุการดำเนินการที่จะเกิดขึ้นเมื่อตรงตามเงื่อนไข โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อสร้างและจัดการกฎกิจกรรม

ดำเนินการตามผลการค้นหา

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard และ Frontline Plus, Enterprise Standard และ Enterprise Plus, Education Standard และ Education Plus, Enterprise Essentials Plus, Cloud Identity Premium เปรียบเทียบรุ่นของคุณ

หลังจากทำการค้นหาในเครื่องมือตรวจสอบความปลอดภัยแล้ว คุณจะดำเนินการกับผลการค้นหาได้ เช่น คุณสามารถค้นหาตามเหตุการณ์ในบันทึกของ Gmail แล้วใช้เครื่องมือเพื่อลบข้อความที่ต้องการ ส่งข้อความไปยังเขตกักเก็บ หรือส่งข้อความไปยังกล่องจดหมายของผู้ใช้ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อดำเนินการตามผลการค้นหา

ทำความเข้าใจข้อมูลบันทึกความโปร่งใสในการเข้าถึง

คำอธิบายฟิลด์ในบันทึก

ชื่อฟิลด์ในบันทึก ชื่อฟิลด์ในระบบ คำอธิบาย
วันที่ items:id:time เวลาที่มีการลงบันทึก
ผลิตภัณฑ์ Google Workspace items:events:parameters:GSUITE_PRODUCT_NAME ผลิตภัณฑ์ของลูกค้าที่มีการเข้าถึง ต้องใช้ตัวพิมพ์ใหญ่ ดังนี้
  • GMAIL
  • CALENDAR
  • DRIVE
  • SHEETS
  • SLIDES
อีเมลเจ้าของ items:events:parameters:OWNER_EMAIL รหัสอีเมลหรือตัวระบุทีมของลูกค้าที่เป็นเจ้าของทรัพยากร
โฮมออฟฟิศของผู้ดำเนินการ items:events:parameters:ACTOR_HOME_OFFICE

รหัสประเทศ/ภูมิภาคตามสถานที่ทำงานประจำของผู้เข้าถึงข้อมูลในรูปแบบ ISO 3166-1 alpha-2

  • "??" หากไม่ทราบสถานที่ตั้ง
  • ตัวย่อชื่อทวีป 3 ตัวอักษร (ASI, EUR, OCE, AFR, NAM, SAM, ANT) หากทีมงาน Google อยู่ในประเทศที่มีประชากรน้อย
เหตุผลรองรับ

items:events:parameters:JUSTIFICATIONS

เหตุผลรองรับการเข้าถึง เช่น การสนับสนุนที่ลูกค้าขอ - หมายเลขเคส: 12345678
คำขอแจ้งปัญหา tickets คำขอแจ้งปัญหาที่เชื่อมโยงกับเหตุผลรองรับ หากมี
รหัสบันทึก items:events:parameters:LOG_ID รหัสบันทึกที่ไม่ซ้ำกัน
ชื่อทรัพยากร items:events:parameters:RESOURCE_NAME ชื่อของทรัพยากรที่มีการเข้าถึง โดยชื่อทรัพยากรสามารถนำไปใช้ในเครื่องมือตรวจสอบความปลอดภัยเพื่อระบุ ตรวจสอบ และดำเนินการกับปัญหาด้านความปลอดภัยและความเป็นส่วนตัวในโดเมนได้
ในนามของ items:events:parameters:ON_BEHALF_OF เป้าหมายของการเข้าถึง ฝ่ายสนับสนุนอาจกำหนดเป้าหมายไปที่ผู้ได้รับแชร์เอกสารแทนเจ้าของ ส่วนในนามของจะให้ข้อมูลเพิ่มเติมเพื่อทําความเข้าใจบริบทของการเข้าถึง
นโยบายการจัดการการเข้าถึง items:events:parameters:
ACCESS_MANAGEMENT_POLICY		 นโยบายการจัดการการเข้าถึงที่ได้รับการตรวจสอบก่อนการเข้าถึง ใช้ได้เฉพาะกับลูกค้าที่กําหนดค่าการจัดการการเข้าถึงไว้เท่านั้น

คำอธิบายเหตุผลรองรับ

เหตุผล คำอธิบาย
การสนับสนุนที่ลูกค้าขอ การสนับสนุนที่ลูกค้าขอ เช่น หมายเลขเคส
การตรวจสอบการละเมิดที่ดำเนินการจากภายนอก เราจะทำการตรวจสอบการละเมิดที่ดำเนินการจากภายนอกเมื่อมีการรายงานให้ Google ตรวจสอบเนื้อหา
  • ผู้ใช้จะรายงานเนื้อหาที่ละเมิดข้อกำหนดในการให้บริการของ Google ได้
  • ในฐานะผู้ดูแลระบบขั้นสูง คุณสามารถใช้เครื่องมือตรวจสอบความปลอดภัยเพื่อดูรายละเอียดที่เกี่ยวข้องกับเอกสารได้ ซึ่งรวมถึงชื่อเอกสาร เจ้าของ ประเภทเอกสาร และเหตุการณ์ในบันทึกที่เกิดขึ้นกับเอกสารภายใน 180 วันที่ผ่านมา โดยทำดังนี้
  1. จากเครื่องมือตรวจสอบ ให้ทำการค้นหาโดยใช้แหล่งข้อมูลเหตุการณ์ในบันทึกของไดรฟ์
  2. คลิกรหัสเอกสารในส่วนเงื่อนไข
  3. คัดลอกรหัสทรัพยากรจากบันทึกความโปร่งใสในการเข้าถึง แล้ววางลงในช่องรหัสเอกสารในเครื่องมือตรวจสอบ
  4. คลิกค้นหา

โปรดดูรายละเอียดเพิ่มเติมและวิธีการที่หัวข้อทำการค้นหาในเครื่องมือตรวจสอบความปลอดภัย

ดูข้อมูลเพิ่มเติมเกี่ยวกับการรายงานการละเมิด
การตอบสนองของ Google ต่อการแจ้งเตือนใน Production การเข้าถึงที่ Google เป็นผู้เริ่มดำเนินการเองเพื่อรักษาความน่าเชื่อถือของระบบเมื่อสงสัยว่าอาจมีการหยุดทำงาน เช่น
  • การตรวจสอบเพื่อยืนยันว่าลูกค้าไม่ได้รับผลกระทบจากการที่บริการอาจหยุดทำงาน
  • การสำรองและการกู้คืนข้อมูลหลังการหยุดทำงานหรือระบบล้มเหลว
การตรวจสอบที่ Google เป็นผู้เริ่ม การเข้าถึงที่ Google เป็นผู้เริ่มต้นเองเพื่อวัตถุประสงค์ในด้านความปลอดภัย การตรวจสอบการฉ้อโกง การละเมิด หรือการปฏิบัติตามข้อกำหนด ซึ่งรวมถึงการดำเนินการต่อไปนี้
  • การสร้างความมั่นใจด้านความปลอดภัยของบัญชีและข้อมูลของลูกค้า
  • การยืนยันว่าข้อมูลได้รับผลกระทบจากเหตุการณ์ที่มีผลกับความปลอดภัยของบัญชีหรือไม่ (เช่น การติดมัลแวร์)
  • การยืนยันว่าการใช้บริการต่างๆ ของลูกค้าเป็นไปตามข้อกำหนดในการให้บริการของ Google
  • การตรวจสอบข้อร้องเรียนที่ได้รับจากผู้ใช้หรือลูกค้าคนอื่นๆ หรือกิจกรรมใดๆ ซึ่งสื่อว่าจะเป็นการละเมิด
  • การตรวจสอบว่ามีการใช้บริการต่างๆ ของ Google ตามข้อกำหนดที่เกี่ยวข้อง (เช่น กฎระเบียบป้องกันการฟอกเงิน)

บริการที่ Google เป็นผู้เริ่ม

การเข้าถึงที่ Google เป็นผู้เริ่มดำเนินการเองสำหรับการบำรุงรักษาและให้บริการ Google Cloud อย่างต่อเนื่อง เช่น

  • จำเป็นต้องมีการแก้ไขข้อบกพร่องทางเทคนิคสำหรับคำขอการสนับสนุนที่ซับซ้อนหรือการตรวจสอบ
  • การแก้ไขปัญหาทางเทคนิค เช่น ความล้มเหลวในการจัดเก็บข้อมูลแยกต่างหากหรือความเสียหายของข้อมูล
คำขอเกี่ยวกับข้อมูลของบุคคลที่สาม Google เข้าถึงข้อมูลของลูกค้าเพื่อดำเนินการตามคำขอทางกฎหมายหรือกระบวนการทางกฎหมาย โดยรวมถึงกรณีที่เราต้องดำเนินการตามกระบวนการทางกฎหมายในกรณีที่ลูกค้ากำหนดให้เราเข้าถึงข้อมูลของลูกค้าเอง

ในกรณีนี้ หาก Google ไม่มีคำขอหรือกระบวนการที่จะแจ้งให้คุณทราบได้ทางกฎหมาย ก็อาจไม่มีข้อมูลในบันทึกความโปร่งใสในการเข้าถึง

ตั้งค่าการแจ้งเตือนเกี่ยวกับความโปร่งใสในการเข้าถึง

คุณจะตั้งการแจ้งเตือนทางอีเมลสำหรับตัวกรองบันทึกได้อย่างน้อย 1 รายการ เช่น อีเมลเจ้าของและโฮมออฟฟิศของผู้ดำเนินการ นอกจากนี้ยังเปิดใช้การแจ้งเตือนสำหรับบันทึกทั้งหมดจากทุกผลิตภัณฑ์ที่รองรับฟีเจอร์ความโปร่งใสในการเข้าถึงได้อีกด้วย

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น ศูนย์ความปลอดภัย จากนั้น เครื่องมือตรวจสอบ

    ต้องมีสิทธิ์ของผู้ดูแลระบบของศูนย์ความปลอดภัย

  2. เลือกเหตุการณ์ในบันทึกของความโปร่งใสในการเข้าถึงจากรายการแบบเลื่อนลงของแหล่งข้อมูล
  3. คลิก + เพิ่มตัวกรอง
  4. เลือกตัวกรองอย่างน้อย 1 รายการแล้วคลิกใช้
  5. (ไม่บังคับ) หากต้องการเปิดการแจ้งเตือนสำหรับบันทึกทั้งหมดจากทุกผลิตภัณฑ์ที่รองรับ ให้คลิกชื่อเหตุการณ์ จากนั้น การเข้าถึง ซึ่งจะสร้างตัวกรองที่มีชื่อว่าชื่อเหตุการณ์: การเข้าถึง
  6. คลิกสร้างกฎการรายงาน ป้อนชื่อกฎ แล้วจึงป้อนอีเมลของผู้รับการแจ้งเตือนรายอื่นๆ
  7. คลิกสร้าง

ใช้ข้อมูลจากบันทึกความโปร่งใสในการเข้าถึงร่วมกับเครื่องมือของบุคคลที่สาม

คุณจะใช้ Reports API เพื่อนำบันทึกความโปร่งใสในการเข้าถึงไปใช้กับเครื่องมือการจัดการกิจกรรมและข้อมูลความปลอดภัย (SIEM) ที่มีอยู่ได้ โปรดดูข้อมูลเพิ่มเติมที่หัวข้อเหตุการณ์ของกิจกรรมเกี่ยวกับความโปร่งใสในการเข้าถึง

ข้อมูลจะใช้ได้เมื่อใดและใช้ได้นานเพียงใด

ไปที่หัวข้อการเก็บรักษาข้อมูลและเวลาล่าช้า