「資料存取透明化控管機制」記錄事件

支援這項功能的版本:Frontline Plus;Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus。版本比較

組織管理員可以使用安全調查工具,執行與「資料存取透明化控管機制」記錄事件相關的搜尋。且只要查詢動作記錄,即可瞭解 Google 員工在存取您的資料時採取了哪些動作。

「資料存取透明化控管機制」記錄事件資料包含下列資訊:

  • 受影響的資源與動作
  • 動作的時間
  • 動作的原因 (例如:與客戶服務要求有關的客服案件編號)
  • Google 員工對資料執行動作時的相關資訊 (例如辦公地點)

詳情請參閱「資料存取透明化控管機制:查看 Google 存取使用者內容的記錄」。

將記錄資料轉送至 Google Cloud

您可以選擇與 Google Cloud 共用記錄資料。如果您開啟共用設定,系統會將資料轉送至 Cloud Logging;您可以透過這項服務查詢和查看記錄,以及控管記錄的轉送和儲存方式。

針對「資料存取透明化控管機制」記錄事件執行搜尋

能否執行搜尋,取決於您的 Google 版本、管理員權限和資料來源。不過,無論使用者的 Google Workspace 版本為何,皆可納入搜尋範圍。

如要使用安全調查工具執行搜尋,請先選擇「資料來源」,再加入一或多個搜尋「條件」,並逐一設定每個條件的「屬性」、「運算子」和「值」

步驟如下:

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「安全中心」接下來「調查工具」

    必須具備安全中心管理員權限。

  2. 在「資料來源」下拉式選單中,選擇「資料存取透明化控管機制記錄事件」
  3. 按一下「新增條件」。 您可以加入一或多個搜尋條件,也可以使用「巢狀查詢」自訂搜尋方式,也就是使用 2 或 3 層條件執行搜尋 (詳情請參閱「使用巢狀查詢自訂搜尋方式」)。

  4. 在「屬性」下拉式選單中選擇任一屬性,例如「操作者」或「日期」。如要查看可用於「資料存取透明化控管機制」記錄事件的完整屬性清單,請參閱下一節說明。

    注意:如果縮小搜尋的日期範圍,就能更快在安全調查工具中看到結果。舉例來說,如果您只搜尋上週發生的事件,則相較於不限制時間範圍的搜尋,前者的查詢傳回速度會較快。

  5. 選擇運算子,例如「是」、「不是」、「包含」或「不包含」

  6. 選擇或輸入屬性的值。有些屬性的值可以直接從下拉式選單中選取,有些則需要自行輸入。

  7. (選用) 如要加入多個搜尋條件,請重複以上步驟。

  8. 按一下「搜尋」。 搜尋結果會顯示在頁面底部的表格中。

  9. (選用) 如要儲存搜尋項目,請按一下「儲存」圖示 ,輸入標題與說明後,再按一下「儲存」。

注意:使用「條件建構工具」分頁時,篩選器會以 AND/OR 運算子表示條件。您也可以使用「篩選器」分頁加入簡單的參數和值組合,篩選搜尋結果。

屬性說明

搜尋此資料來源的記錄事件資料時,您可以利用下列屬性設定搜尋條件。

屬性 說明
操作者群組名稱

操作者的群組名稱。詳情請參閱「依 Google 群組篩選結果」。

如要將群組新增至篩選條件群組許可清單,請按照下列步驟操作:

  1. 選取「操作者群組名稱」
  2. 按一下「篩選條件群組」
    系統會顯示「篩選條件群組」頁面。
  3. 按一下「新增群組」
  4. 搜尋群組 (輸入群組名稱/群組電子郵件地址的前幾個字元),並在找到後選取該群組。
  5. (選用) 若要新增其他群組,請搜尋並選取群組。
  6. 選好群組後,按一下「新增」
  7. (選用) 如要移除群組,請按一下「移除群組」圖示
  8. 按一下「儲存」
操作者主要辦公地點

執行資料存取者的主要辦公地點。這會顯示存取者常駐辦公地點所在國家/地區的 ISO 3166-1 alpha-2 代碼。

相關的值包括:

  • 如果 Google 員工位於人口較少的國家/地區,則為 3 個字元的洲別 ID。例如「ASI」、「EUR」、「OCE」、「AFR」、「NAM」、「SAM」或「ANT」
  • 「??」表示無法取得地點資訊
操作者組織單位 操作者的組織單位
日期 事件發生的日期和時間 (以您的瀏覽器預設時區為準)
事件 系統記錄的事件動作,例如「存取資源」
Google Workspace 產品 Google 員工所存取產品的名稱

IP ASN

您需要在搜尋結果加入這個資料欄,相關步驟請參閱「管理搜尋結果資料欄」。

與記錄項目相關聯的 IP 自治系統編號 (ASN)、行政分區和區域。

如要查看活動發生的 IP ASN、行政分區和區域代碼,請在搜尋結果中點選名稱。
理由 存取資料的理由,例如「客戶發起的客服要求 - 客服案件編號:12345678」
記錄 ID 不重複的記錄 ID
代表 執行存取管理控制時,所用授權帳戶的電子郵件地址
擁有者電子郵件 擁有資源的客戶電子郵件 ID 或團隊 ID
資源名稱 Google 員工存取的資源名稱
支援單 與理由相關聯的支援單 (如有)

依據搜尋結果採取行動

建立活動規則及設定快訊

  • 您可以透過報告規則,根據記錄事件資料設定快訊。如需操作說明,請參閱「建立及管理報告規則」。
  • 支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。版本比較

    為了有效預防、偵測及修正安全問題,您可以建立「活動規則」,讓安全調查工具依此自動作業及傳送快訊。設定規則時,需要先決定觸發條件,再指定符合條件時要執行的動作。詳情請參閱「建立及管理活動規則」。

依據搜尋結果採取行動

支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。版本比較

使用安全調查工具執行搜尋後,您可以對搜尋結果採取行動。例如,先根據 Gmail 記錄事件執行搜尋,再透過調查工具刪除特定郵件,或將郵件送至隔離區/使用者的收件匣。詳情請參閱「依據搜尋結果採取行動」。

瞭解「資料存取透明化控管機制」記錄資料

記錄欄位說明

記錄欄位名稱 系統欄位名稱 說明
日期 items:id:time 寫入記錄的時間
Google Workspace 產品 items:events:parameters:GSUITE_PRODUCT_NAME 存取的客戶產品;必須全部大寫。可能的值如下:
  • GMAIL
  • CALENDAR
  • DRIVE
  • SHEETS
  • SLIDES
擁有者電子郵件 items:events:parameters:OWNER_EMAIL 擁有資源的客戶電子郵件 ID 或團隊 ID
操作者主要辦公地點 items:events:parameters:ACTOR_HOME_OFFICE

存取者常駐辦公地點所在國家/地區的 ISO 3166-1 alpha-2 代碼:

  • 如果無法取得地點資訊,則顯示「??」
  • 如果 Google 員工位於人口較少的國家/地區,則為 3 個字元的洲別 ID (ASI、EUR、OCE、AFR、NAM、SAM、ANT)
理由

items:events:parameters:JUSTIFICATIONS

存取資料的理由,例如「客戶發起的客服要求 - 客服案件編號:12345678」
支援單 tickets 與理由相關聯的支援單 (如有)
記錄 ID items:events:parameters:LOG_ID 不重複的記錄 ID
資源名稱 items:events:parameters:RESOURCE_NAME Google 員工存取的資源名稱。您可以在安全調查工具中透過資源名稱進一步找出網域中的安全性和隱私權問題,然後加以分類並採取適當行動。
代表 items:events:parameters:ON_BEHALF_OF 存取動作的目標對象。支援的目標對象可能是文件共用者,而非擁有者。「代表」提供額外資訊,以便您瞭解存取情境。
存取管理政策 items:events:parameters:
ACCESS_MANAGEMENT_POLICY		 存取前驗證的存取管理政策。僅適用於已設定存取管理的客戶。

理由說明

原因 說明
客戶發起客服要求 客戶發起的客服要求,例如客服案件編號
外部發起濫用行為審查 如果有人向 Google 提出檢舉,要求審查特定內容,便會啟動外部發起的濫用行為審查。
  • 使用者可以檢舉違反《Google 服務條款》的濫用行為。
  • 超級管理員可以使用安全調查工具,查看文件相關詳細資料,包括文件標題、擁有者、文件類型,以及過去 180 天內該文件發生的記錄事件,步驟如下:
  1. 在調查工具中使用雲端硬碟記錄事件的資料來源執行搜尋。
  2. 按一下「條件」下方的「文件 ID」
  3. 複製「資料存取透明化控管機制」記錄中的資源 ID,並貼到調查工具的「文件 ID」欄位中。
  4. 按一下「搜尋」

如需詳細資訊和操作說明,請參閱「使用安全調查工具執行搜尋作業」。

進一步瞭解如何檢舉濫用行為
Google 回應服務中斷警示 當服務疑似中斷時,Google 為了維持系統穩定而發起的存取行動,例如:
  • 調查客戶是否因服務疑似中斷而受到影響
  • 在服務中斷和系統故障時,備份並復原資料
Google 發起審查 Google 基於安全、詐欺、濫用或法規遵循等方面的考量而發起的存取行動,包括:
  • 確保客戶帳戶與資料的安全
  • 在發生可能影響帳戶安全性的事件時 (例如遭到惡意軟體感染),確認資料是否也受到影響
  • 確認客戶使用 Google 服務時是否符合《Google 服務條款》規範
  • 調查其他使用者與客戶的申訴,或其他濫用活動的徵兆
  • 檢查使用 Google 服務的方式是否符合相關法規遵循規範 (例如洗錢防制法規等)

Google 發起服務

Google 為了持續維護並提供 Google Cloud 服務而發起的存取行動,例如:

  • 針對複雜的支援要求或調查進行必要的技術偵錯
  • 修復隔離儲存空間故障或資料損毀等技術問題
第三方資料要求 為了回應法律案件申請或法律函狀,Google 會存取客戶資料。這也包含客戶自行啟動法律程序,要求 Google 存取其資料的情況。

在此情況下,若法律禁止 Google 通知您有此類申請或程序,您可能無法取得「資料存取透明化控管機制」記錄。

設定「資料存取透明化控管機制」快訊

您可以為一或多個記錄篩選器 (例如「擁有者電子郵件」和「操作者主要辦公地點」) 設定電子郵件快訊,也可以針對支援「資料存取透明化控管機制」的所有產品,統一啟用記錄快訊功能。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「安全中心」接下來「調查工具」

    必須具備安全中心管理員權限。

  2. 在「資料來源」下拉式選單中,選擇「資料存取透明化控管機制記錄事件」
  3. 按一下「+ 新增篩選器」
  4. 選取一或多個篩選器,然後按一下「套用」
  5. (選用) 如要針對所有支援產品的記錄啟用快訊,請依序點選「事件名稱」接下來「存取」,建立名為「事件名稱:存取」的篩選器。
  6. 按一下「建立報告規則」圖示 ,輸入規則名稱,然後輸入其他快訊收件者的電子郵件地址。
  7. 按一下「建立」

將「資料存取透明化控管機制」記錄資料與第三方工具整合

您可以使用 Reports API,將「資料存取透明化控管機制」記錄與現有的安全資訊與事件管理 (SIEM) 工具整合。詳情請參閱「資料存取透明化控管機制活動事件」。

資料可用期間

請參閱資料保留和延遲時間