אירועים ביומן של האדמין

איך מעיינים בפעילות של אדמינים במסוף Admin

בהתאם למהדורת Google Workspace שיש לכם, יכול להיות שתהיה לכם גישה לכלי לחקירת אבטחה, שכולל תכונות מתקדמות יותר. לדוגמה, סופר-אדמינים יכולים לזהות ולתעדף בעיות אבטחה ופרטיות ולטפל בהן. מידע נוסף

חשוב: אנחנו מעדכנים את הסכימה ואת המודלים של אירועים בכמה אירועים ביומן של Google Workspace. השיפורים נועדו להפוך את היומנים למובנים, מפורטים ומדויקים יותר.

אם אתם משתמשים באירועים מדור קודם, יכול להיות שחלק מהעדכונים יחייבו שינויים בשאילתות, בהתראות ובדוחות הקיימים שלכם. האירועים החדשים והישנים ימשיכו להיות זמינים כדי שתוכלו לבצע את השינויים הנדרשים. פרטים נוספים זמינים במאמר בנושא שינויים באירועים ביומן האדמין.

אדמינים בארגונים יכולים להריץ חיפושים על בעיות אבטחה שקשורות לאירועים ביומן האדמין ולטפל בהן. לדוגמה, הם יכולים לראות במסוף Google Admin תיעוד של פעולות שבוצעו, כמו מתי אדמין הוסיף משתמש או הפעיל שירות של Google Workspace.

העברת נתוני אירועים ביומן אל Google Cloud

אתם יכולים להביע הסכמה לשיתוף נתוני אירועים ביומן עם Google Cloud. אם מפעילים את השיתוף, הנתונים מועברים אל Cloud Logging, שם אפשר לשלוח שאילתות ליומנים, להציג אותם ולקבוע איך לנתב ולאחסן אותם.

סוג הנתונים של אירועי היומן שאפשר לשתף עם Google Cloud תלוי בחשבון Google Workspace,‏ Cloud Identity או Essentials שלכם.

היכולת שלכם להריץ חיפוש תלויה במהדורת Google שלכם, בהרשאות האדמין ובמקור הנתונים. אתם יכולים להריץ חיפוש על כל המשתמשים, ללא קשר למהדורת Google Workspace שלהם.

כלי הביקורת והחקירה

כדי להריץ חיפוש לאירועים ביומן, צריך קודם לבחור מקור נתונים. ואז בוחרים מסנן אחד או יותר לחיפוש.

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווח and thenביקורת וחקירה ואזאירועים ביומן של אדמין.

    כדי לעשות את זה צריך הרשאות אדמין לביקורת וחקירה.

  2. כדי לסנן אירועים שהתרחשו לפני או אחרי תאריך מסוים, בוחרים באפשרות לפני או אחרי בקטע תאריך. כברירת מחדל, מוצגים אירועים מ-7 הימים האחרונים. אפשר לבחור טווח תאריכים אחר או ללחוץ על כדי להסיר את מסנן התאריכים.

  3. לוחצים על הוספת מסנן ואזבוחרים מאפיין. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
  4. בוחרים אופרטור ואזבוחרים ערך ואזלוחצים על אישור.
    • (אופציונלי) כדי ליצור כמה מסננים לחיפוש, חוזרים על השלב הזה.
    • (אופציונלי) כדי להוסיף סימן או מילה למיקוד החיפוש, מעל הוספת מסנן, בוחרים באפשרות וגם או או.
  5. לוחצים על חיפוש. הערה: אפשר להשתמש בכרטיסייה מסנן כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש. אפשר גם להשתמש בכרטיסייה הכלי להגדרת תנאים, שבה המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR.

הכלי לחקירת אבטחה

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

כדי להריץ חיפוש בכלי לחקירת אבטחה, צריך קודם לבחור מקור נתונים. ואז בוחרים תנאי אחד או יותר לחיפוש. לכל תנאי, בוחרים מאפיין, אופרטור וערך.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and thenמרכז האבטחה ואזכלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. לוחצים על מקור נתונים ובוחרים באפשרות אירועים ביומן של Admin.

  3. כדי לסנן אירועים שהתרחשו לפני או אחרי תאריך מסוים, בוחרים באפשרות לפני או אחרי בקטע תאריך. כברירת מחדל, מוצגים אירועים מ-7 הימים האחרונים. אפשר לבחור טווח תאריכים אחר או ללחוץ על כדי להסיר את מסנן התאריכים.

  4. לוחצים על Add Condition.
    טיפ: אפשר לכלול תנאי אחד או יותר בחיפוש, או להתאים אישית את החיפוש באמצעות שאילתות עם היררכיית כללים. פרטים נוספים מופיעים במאמר בנושא התאמה אישית של חיפושים באמצעות שאילתות עם היררכיית כללים.
  5. לוחצים על מאפיין ואז בוחרים באחת מהאפשרויות. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
    רשימה מלאה של המאפיינים מופיעה בקטע תיאורי מאפיינים.
  6. בוחרים אופרטור.
  7. מזינים ערך או בוחרים ערך מהרשימה.
  8. (אופציונלי) כדי להוסיף עוד תנאי חיפוש, חוזרים על השלבים.
  9. לוחצים על חיפוש.
    בטבלה שבתחתית הדף אפשר לעיין בתוצאות החיפוש מכלי החקירה.
  10. (אופציונלי) כדי לשמור את החקירה, לוחצים על סמל השמירה ואזמזינים שם ותיאור ואזלוחצים על שמירה.

הערות

  • בכרטיסייה של הכלי להגדרת תנאים, המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR. אפשר גם להשתמש בכרטיסייה של המסננים כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש.
  • אם תתנו למשתמש שם חדש, לא תראו תוצאות לשאילתות עם השם הישן שלו. לדוגמה, אם אתם משנים את השם של OldName@example.com ל-NewName@example.com, לא תראו תוצאות לאירועים שקשורים ל-OldName@example.com.
  • אתם יכולים לחפש נתונים רק בהודעות שעדיין לא נמחקו מהאשפה.

תיאורים של המאפיינים

במקור הנתונים הזה, אתם יכולים להשתמש במאפיינים הבאים כשאתם מחפשים נתונים של אירועים ביומן:

מאפיין תיאור
פעולה(Action) פעולות שהאדמין ביצע באמצעות הכלי לחקירת אבטחה או באמצעות כלל פעילות. פרטים על הפעולות שאדמינים יכולים לבצע מפורטים במאמר טיפול באירועים על סמך תוצאות החיפוש.
המשתמש/ת

כתובת האימייל של המשתמש שביצע את הפעולה. במקום כתובת אימייל, יכול להיות שיופיעו:

  • מנהל הרישיונות – אם פעולת אדמין גורמת לשינוי ברישיון של משתמש
  • חשבון שירות – אם הפעולה בוצעה על ידי אדמין של חשבון שירות
  • אנונימי – אם הפעולה בוצעה על ידי אדמין של חשבון שירות

שם האפליקציה של המשתמש

צריך להוסיף את העמודה הזו לתוצאות החיפוש. ההוראות מפורטות במאמר בנושא ניהול עמודות הנתונים של תוצאות החיפוש.

פרטים על האפליקציה שמשמשת לביצוע הפעולה. כדי לבדוק את הפרטים הבאים, לוחצים על השם בתוצאות החיפוש:

  • שם האפליקציה של המשתמש – השם של האפליקציה ששימשה לביצוע הפעולה (מאוכלס לאפליקציות צד שלישי ולחלק מהאפליקציות מבית Google, כמו Gmail)
  • מזהה לקוח OAuth של המשתמש – המזהה של אפליקציית הצד השלישי ששימשה לביצוע הפעולה
  • התחזות – אם האפליקציה התחזתה למשתמש

אם מייצאים את המידע לקובץ CSV (ערכים מופרדים בפסיק) או לגיליון אלקטרוני ב-Google Sheets, המידע נשמר כתבנית טקסט אחת בתוך תא.
שם קבוצת המשתמשים

שם הקבוצה של המשתמש. מידע נוסף זמין במאמר בנושא סינון תוצאות לפי קבוצה ב-Google.

כדי להוסיף קבוצה לרשימת ההיתרים של קבוצות הסינון:

  1. בוחרים באפשרות שם הקבוצה של המשתמש.
  2. לוחצים על קבוצות סינון.
    מופיע הדף של קבוצות הסינון.
  3. לוחצים על הוספת קבוצות.
  4. כדי לחפש קבוצה, מזינים את התווים הראשונים של השם או כתובת האימייל של הקבוצה. אם רואים את הקבוצה שרוצים, בוחרים אותה.
  5. (אופציונלי) כדי להוסיף עוד קבוצה, מחפשים את הקבוצה ובוחרים אותה.
  6. כשמסיימים לבחור קבוצות, לוחצים על הוספה.
  7. (אופציונלי) כדי להסיר קבוצה, לוחצים על סמל הסרת הקבוצה .
  8. לוחצים על שמירה.
היחידה הארגונית של המשתמש היחידה הארגונית של המשתמש
מידע נוסף מידע נוסף על ההקשר של האירוע
תאריך התחלה* משתמשים בתאריך התחלה ובתאריך סיום כדי לסנן אירועים שכוללים טווח ספציפי של תאריכי התחלה וסיום, כמו אירועים של מעבר לפרטים בתרשים. הערה: כדי לחפש אירועים בטווח תאריכים, משתמשים במאפיין Date (תאריך).
מקור נתונים* מקור הנתונים בכלי החקירה או מקור ההתראה במרכז ההתראות
תאריך התאריך והשעה של האירוע (מוצגים באזור הזמן שמוגדר בדפדפן כברירת מחדל)
מזהה מכשיר* מזהה המכשיר שהושפע מהאירוע שמצריך בדיקה. לדוגמה, אם אדמין מוחק את כל הנתונים ממכשיר שנמצא בבעלות החברה, מזהה המכשיר יופיע בשדה הזה.
סוג המכשיר סוג המכשיר שהושפע מהאירוע שמצריך בדיקה. לדוגמה, אם אדמין מוחק את כל הנתונים ממכשיר בבעלות החברה, סוג המכשיר יופיע בשדה הזה.
שם הדומיין הדומיין שבו התרחשה הפעולה
תאריך סיום* משתמשים בתאריך התחלה ובתאריך סיום כדי לסנן אירועים שכוללים טווח ספציפי של תאריכי התחלה וסיום, כמו אירועים של מעבר לפרטים בתרשים. הערה: כדי לחפש אירועים בטווח תאריכים, משתמשים במאפיין Date (תאריך).
אירוע

פעולת האירוע שנרשמה, למשל שאילתת חקירה או יצירת כלל פעילות.

בקטע ערך האירוע, האירועים מקובצים לפי סוג, כמו הגדרות משתמש או הגדרות דומיין. רוב ערכי האירועים מובנים מאליהם. לדוגמה, הוספת אפליקציה בקטע הגדרות הדומיין הוא ערך חיפוש של אפליקציה שנוספה לדומיין. אפשר לחפש אירועים בתיבת החיפוש.

טיפ: אם יש ערכי אירועים שאתם משתמשים בהם הרבה, כדאי להצמיד את האירועים האלה לחלק העליון של התפריט הנפתח.
מהדורת Google Workspace* מהדורת Google Workspace של האדמין (הגורם הפועל) שביצע את הפעולה

קיבוץ אימיילים

 כתובת האימייל של קבוצת Google שהושפעה מהפעילות הזו
כתובת IP כתובת פרוטוקול האינטרנט (IP) שמשויכת לפעולה שנרשמה ביומן. בדרך כלל מראה את המיקום הפיזי של המשתמש, אבל יכולה להיות גם כתובת של שרת proxy או של רשת וירטואלית פרטית (VPN).

כתובת IP של ASN

צריך להוסיף את העמודה הזו לתוצאות החיפוש. ההוראות מפורטות במאמר בנושא ניהול עמודות הנתונים של תוצאות החיפוש.

מספר מערכת אוטונומית (ASN) של כתובת ה-IP, חלוקת המשנה והאזור שמשויכים לרשומה ביומן.

כדי לבדוק את ה-ASN של כתובת ה-IP, את חלוקת המשנה ואת קוד האזור שבו התרחשה הפעילות, לוחצים על השם בתוצאות החיפוש.
הצדקה* אם נדרש טקסט הסבר לפעולה, ההסבר שסיפק האדמין
מזהה ההודעה* מזהה ההודעה של הודעת האימייל שהושפעה מהאירוע שמצריך בדיקה
ערך חדש* הערך החדש של ההגדרה במקרה שהיא עודכנה
הערך הקודם* הערך הישן של ההגדרה במקרה שהיא מתעדכנת
מזהה או מזהי המשאב* מזהה אחד או יותר של משאבים שהושפעו מאירוע הביקורת
שם משאב* שם המשאב שהושפע מאירוע הביקורת
סוג המשאב* סוג המשאב שהושפע מאירוע הביקורת
מקורות מידע

רשימת המשאבים שמשויכים לפעולה. לוחצים על משאב כדי לצפות בפרטים הבאים:

  • מזהה המשאב – המזהה של המשאב
  • שם המשאב – השם של המשאב
  • סוג המשאב – פריט ב-Google Drive, אימייל, התראה, כלל וכו'
  • יחס המשאב – הקשר שבין המשאב לאירוע

  • תווית המשאב – רשימה של תוויות סיווג למשאב, כולל מזהה התווית של המשאב, שם התווית של המשאב ושדה התווית של המשאב.

    שדה התווית של המשאב מכיל את:

    • מזהה שדה התווית
    • שם שדה התווית
    • סוג שדה התווית – סוג הנתונים של שדה התווית, למשל:
      • טקסט
      • מספר
      • בחירה – כולל: מזהה, שם לתצוגה, אם יש תג
      • רשימת הבחירה
      • משתמש – כולל: אימייל
      • רשימת משתמשים
      • תאריך

אם מייצאים את המידע לקובץ CSV (ערכים מופרדים בפסיק) או לגיליון אלקטרוני ב-Google Sheets, המידע נשמר כתבנית טקסט אחת בתוך תא.
שאילתת חיפוש שאילתה שמשמשת לאחזור או לעיבוד נתונים. לדוגמה, השאילתה שבה נעשה שימוש בחיפוש בכלי לחקירה, כשיוצרים כללי פעילות או כשיוצרים dump של אימייל.
קטגוריית הגדרה הקטגוריה של ההגדרה המעודכנת
שם ההגדרה שם ההגדרה שעודכנה
הגדרת שם היחידה הארגונית אפשר להגדיר את ההגדרות במסוף Admin כך שיחולו על יחידה ארגונית. כשמעדכנים הגדרה שההיקף שלה הוא יחידה ארגונית, שם היחידה הארגונית מוצג בשדה הזה.
טירגוט* כתובת האימייל של היעד של האירוע. לדוגמה, כתובת האימייל של היעד כשיוצרים כלי למעקב אחרי אימיילים, או כתובת האימייל של המאמת כשמבצעים פעולה בכמות גדולה בכלי החקירה.
סך הכול שהושפעו* המספר הכולל של הישויות שהושפעו מהאירוע שמצריך בדיקה. לדוגמה, מספר המשתמשים שהועלו כשמעלים משתמשים בכמות גדולה לקבוצה, או מספר הפעולות שהופעלו כחלק מהפעלה של כלל פעילות. זהו שדה הקשרי שתלוי באירוע.
סך הכול שנכשלו* המספר הכולל של פעולות שנכשלו. לדוגמה, מספר המשתמשים שההעלאה שלהם נכשלה כשמעלים משתמשים לקבוצה בכמות גדולה, או מספר הפעולות שנכשלו כחלק מהפעלה של כלל פעילות. זהו שדה הקשרי שתלוי באירוע.
כתובת האימייל של המשתמש כתובת האימייל של המשתמש שביצע את הפעולה
* אי אפשר ליצור כללי דיווח עם המסננים האלה. מידע נוסף על כללי דיווח לעומת כללי פעילות

הערה: אם נתתם למשתמש שם חדש, לא יוצגו תוצאות של שאילתות עם השם הישן שלו. לדוגמה, אם אתם משנים את השם של OldName@example.com ל-NewName@example.com, לא תראו תוצאות לאירועים שקשורים ל-OldName@example.com.

ניהול נתוני האירועים ביומן

ניהול עמודות הנתונים של תוצאות החיפוש

אתם יכולים לקבוע אילו עמודות נתונים יופיעו בתוצאות החיפוש.

  1. בפינה השמאלית העליונה של טבלת תוצאות החיפוש, לוחצים על הסמל לניהול העמודות .
  2. (אופציונלי) כדי להסיר עמודות שמוצגות כרגע, לוחצים על סמל ההסרה .
  3. (אופציונלי) כדי להוסיף עמודות, לצד הוספת עמודה חדשה לוחצים על החץ למטה ובוחרים את עמודת הנתונים.
    חוזרים על הפעולה לפי הצורך.
  4. (אופציונלי) כדי לשנות את סדר העמודות, גוררים את השמות של עמודות הנתונים.
  5. לוחצים על שמירה.

ייצוא נתונים של תוצאות חיפוש

אתם יכולים לייצא את תוצאות החיפוש ל-Sheets או לקובץ CSV.

  1. בחלק העליון של טבלת תוצאות החיפוש, לוחצים על ייצוא של הכול.
  2. מזינים שם ואז לוחצים על ייצוא.
    קובץ הייצוא מוצג מתחת לטבלת תוצאות החיפוש בקטע ייצוא התוצאות של פעולה.
  3. כדי להציג את הנתונים, לוחצים על שם הייצוא.
    קובץ הייצוא נפתח ב-Sheets.

מגבלות הייצוא משתנות לפי:

  • מספר השורות הכולל של התוצאות שאתם יכולים לייצא מוגבל ל-100,000 שורות.
  • התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

    אם אתם משתמשים בכלי לחקירת אבטחה, אתם יכולים לייצא עד 30 מיליון שורות של תוצאות סה"כ.

מידע נוסף זמין במאמר בנושא ייצוא תוצאות חיפוש.

מתי הנתונים נעשים זמינים ולמשך כמה זמן הם נשמרים?

טיפול באירועים על סמך תוצאות החיפוש

יצירת כללי פעילות והגדרת התראות

  • אפשר להגדיר התראות על סמך נתוני אירועים ביומן באמצעות כללי דיווח. הוראות מפורטות זמינות במאמר יצירה וניהול של כללי דיווח.
  • התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

    כדי למנוע בעיות אבטחה, לזהות אותן ולתקן אותן ביעילות, אתם יכולים להגדיר כללי פעילות להפעלה אוטומטית של פעולות בכלי לחקירת אבטחה, ולקבל התראות. כדי להגדיר כלל, צריך להגדיר את התנאים של הכלל ואז לציין את הפעולות שיש לבצע כשהתנאים מתקיימים. פרטים נוספים זמינים במאמר יצירה וניהול של כללי פעילות.

טיפול באירועים על סמך תוצאות החיפוש

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

אחרי שמריצים חיפוש בכלי לחקירת אבטחה, אפשר לבצע פעולות על תוצאות החיפוש. לדוגמה, אפשר להריץ חיפוש על סמך אירועים ביומן של Gmail, ואז להשתמש בכלי כדי למחוק הודעות ספציפיות, לשלוח הודעות להסגר או לשלוח הודעות לתיבות הדואר הנכנס של המשתמשים. פרטים נוספים זמינים במאמר טיפול באירועים על סמך תוצאות החיפוש.

ניהול החקירות

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

צפייה ברשימת החקירות

כדי לראות רשימה של החקירות שבבעלותכם ושל החקירות ששותפו איתכם, לוחצים על סמל הצגת החקירות . רשימת החקירות כוללת את השמות, התיאורים והבעלים של החקירות, ואת התאריך שבו בוצע השינוי האחרון.

מהרשימה הזו אפשר לבצע פעולות בחקירות שבבעלותכם, למשל למחוק חקירה. מסמנים את התיבה של החקירה ולוחצים על פעולות.

הערה: אפשר לראות את החקירות השמורות בקטע גישה מהירה, ממש מעל רשימת החקירות.

הגדרת ההגדרות של החקירות

בתור סופר-אדמין, לוחצים על סמל ההגדרות כדי:

  • שינוי אזור הזמן של החקירות. אזור הזמן חל על תנאי החיפוש ועל התוצאות.
  • מפעילים או משביתים את האפשרות דרוש בודק. פרטים נוספים זמינים במאמר דרישת בודקים לפעולות בכמות גדולה.
  • מפעילים או משביתים את האפשרות View content (הצגת תוכן). ההגדרה הזו מאפשרת לאדמינים עם ההרשאות המתאימות לצפות בתוכן.
  • מפעילים או משביתים את ההגדרה יש להזין נימוק לפעולות לפני ביצוע.

פרטים נוספים זמינים במאמר בנושא הגדרת ההגדרות של החקירות.

שמירה, שיתוף, מחיקה ושכפול של חקירות

כדי לשמור את קריטריוני החיפוש או לשתף אותם עם אחרים, אתם יכולים ליצור ולשמור חקירה, ואז לשתף, לשכפל או למחוק אותה.

פרטים נוספים זמינים במאמר בנושא שמירה, שיתוף, מחיקה ושכפול של חקירות.