אירועים ביומן של Chrome

איך מעיינים באירועים מ-Chrome במסוף Google Admin

בהתאם למהדורת Google Workspace שיש לכם, יכול להיות שתהיה לכם גישה לכלי לחקירת אבטחה, שכולל תכונות מתקדמות יותר. לדוגמה, סופר-אדמינים יכולים לזהות ולתעדף בעיות אבטחה ופרטיות ולטפל בהן. מידע נוסף

אדמינים בארגונים יכולים להריץ חיפושים על בעיות אבטחה שקשורות לאירועים ביומן של Chrome ולטפל בהן. לדוגמה, הם יכולים לראות תיעוד של פעולות שיעזרו להם לעקוב אחרי אירועים שקשורים לדפדפני Chrome ולמכשירי ChromeOS מנוהלים. הם יכולים גם לראות מתי היה ביקור באתר לא בטוח.

לפני שמתחילים

כדי לראות את כל האירועים ב-Chrome:

היכולת שלכם להריץ חיפוש תלויה במהדורת Google שלכם, בהרשאות האדמין ובמקור הנתונים. אתם יכולים להריץ חיפוש על כל המשתמשים, ללא קשר למהדורת Google Workspace שלהם.

כלי הביקורת והחקירה

כדי להריץ חיפוש לאירועים ביומן, צריך קודם לבחור מקור נתונים. ואז בוחרים מסנן אחד או יותר לחיפוש.

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווח and thenביקורת וחקירה ואזאירועים ביומן של Chrome.

    כדי לעשות את זה צריך הרשאות אדמין לביקורת וחקירה.

  2. כדי לסנן אירועים שהתרחשו לפני או אחרי תאריך מסוים, בוחרים באפשרות לפני או אחרי בקטע תאריך. כברירת מחדל, מוצגים אירועים מ-7 הימים האחרונים. אפשר לבחור טווח תאריכים אחר או ללחוץ על כדי להסיר את מסנן התאריכים.

  3. לוחצים על הכרטיסייה סינון.
  4. לוחצים על הוספת מסנן ואזבוחרים מאפיין. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
  5. בוחרים אופרטור ואזבוחרים ערך ואזלוחצים על אישור.
  6. (אופציונלי) כדי ליצור כמה מסננים לחיפוש, חוזרים על השלבים 3 עד 5.
  7. לוחצים על חיפוש. הערה: אפשר להשתמש בכרטיסייה מסנן כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש. אפשר גם להשתמש בכרטיסייה הכלי להגדרת תנאים, שבה המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR.

הכלי לחקירת אבטחה

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

כדי להריץ חיפוש בכלי לחקירת אבטחה, צריך קודם לבחור מקור נתונים. ואז בוחרים תנאי אחד או יותר לחיפוש. לכל תנאי, בוחרים מאפיין, אופרטור וערך.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and thenמרכז האבטחה ואזכלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. לוחצים על מקור נתונים ובוחרים באפשרות אירועים ביומן של Chrome.

  3. כדי לסנן אירועים שהתרחשו לפני או אחרי תאריך מסוים, בוחרים באפשרות לפני או אחרי בקטע תאריך. כברירת מחדל, מוצגים אירועים מ-7 הימים האחרונים. אפשר לבחור טווח תאריכים אחר או ללחוץ על כדי להסיר את מסנן התאריכים.

  4. לוחצים על Add Condition.
    טיפ: אפשר לכלול תנאי אחד או יותר בחיפוש, או להתאים אישית את החיפוש באמצעות שאילתות עם היררכיית כללים. פרטים נוספים מופיעים במאמר בנושא התאמה אישית של חיפושים באמצעות שאילתות עם היררכיית כללים.
  5. לוחצים על מאפיין ואז בוחרים באחת מהאפשרויות. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
    רשימה מלאה של המאפיינים מופיעה בקטע תיאורי מאפיינים.
  6. בוחרים אופרטור.
  7. מזינים ערך או בוחרים ערך מהרשימה.
  8. (אופציונלי) כדי להוסיף עוד תנאי חיפוש, חוזרים על השלבים.
  9. לוחצים על חיפוש.
    בטבלה שבתחתית הדף אפשר לעיין בתוצאות החיפוש מכלי החקירה.
  10. (אופציונלי) כדי לשמור את החקירה, לוחצים על סמל השמירה ואזמזינים שם ותיאור ואזלוחצים על שמירה.

הערות

  • בכרטיסייה של הכלי להגדרת תנאים, המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR. אפשר גם להשתמש בכרטיסייה של המסננים כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש.
  • אם תתנו למשתמש שם חדש, לא תראו תוצאות לשאילתות עם השם הישן שלו. לדוגמה, אם אתם משנים את השם של OldName@example.com ל-NewName@example.com, לא תראו תוצאות לאירועים שקשורים ל-OldName@example.com.
  • אתם יכולים לחפש נתונים רק בהודעות שעדיין לא נמחקו מהאשפה.

תיאורים של המאפיינים

במקור הנתונים הזה, אתם יכולים להשתמש במאפיינים הבאים כשאתם מחפשים נתונים של אירועים ביומן:

מאפיין תיאור
שם קבוצת המשתמשים

שם הקבוצה של המשתמש. מידע נוסף זמין במאמר בנושא סינון תוצאות לפי קבוצה ב-Google.

כדי להוסיף קבוצה לרשימת ההיתרים של קבוצות הסינון:

  1. בוחרים באפשרות שם הקבוצה של המשתמש.
  2. לוחצים על קבוצות סינון.
    מופיע הדף של קבוצות הסינון.
  3. לוחצים על הוספת קבוצות.
  4. כדי לחפש קבוצה, מזינים את התווים הראשונים של השם או כתובת האימייל של הקבוצה. אם רואים את הקבוצה שרוצים, בוחרים אותה.
  5. (אופציונלי) כדי להוסיף עוד קבוצה, מחפשים את הקבוצה ובוחרים אותה.
  6. כשמסיימים לבחור קבוצות, לוחצים על הוספה.
  7. (אופציונלי) כדי להסיר קבוצה, לוחצים על סמל הסרת הקבוצה .
  8. לוחצים על שמירה.
היחידה הארגונית של המשתמש היחידה הארגונית של המשתמש.
שם האפליקציה השם של התוסף מחנות האינטרנט של Chrome.
גרסת הדפדפן המספר שהוקצה לגרסה של דפדפן Chrome, למשל 123.0.6312.59.
סוג הלקוח

פלטפורמת Chrome מנוהלת שהתרחש בה האירוע.
גיבוב (Hash) של התוכן גיבוב SHA256 של התוכן.
שם התוכן השם של התוכן שהורד, למשל שם של קובץ.
רמת הסיכון של התוכן רמת הסיכון הכוללת של התוכן, שמבוססת על גלישה בטוחה של Google.
גודל התוכן* גודל התוכן שהורד בבייט.
סוג התוכן סוג המדיה (MIME) של התוכן שהורד, למשל טקסט או HTML.
תאריך התאריך והשעה של האירוע, שמוצגים באזור הזמן שמוגדר בדפדפן כברירת מחדל.
יעד מערכת הקבצים שמוגדרת כיעד לאירועים של העברת קבצים. לאירועים של בקרת נתונים – מערכת הקבצים שמוגדרת כיעד או כתובת היעד להעלאות קבצים או לפעולות של העתקה והדבקה.
שם המכשיר השם של המכשיר.
פלטפורמת המכשיר מערכת ההפעלה של הדפדפן.
המשתמש של המכשיר השם של המשתמש כפי שהוא מופיע במערכת ההפעלה.
מזהה ב-Directory API מזהה המכשיר שמחזיר ה-Directory API.
דומיין* הדומיין שבו התרחשה הפעולה.
סוג פעולת התוסף סוג הפעולה של התוסף ל-Chrome שמפעיל את האירוע. פעולות אפשריות: התקנה, הסרה או עדכון.
מקור התוסף המקור שממנו הותקן התוסף ל-Chrome. מקורות אפשריים: חנות האינטרנט של Chrome, חיצוני, רכיב או לא צוין.
גרסת התוסף הגרסה של התוסף.
אירוע פעולת האירוע שנרשמה, כמו תוכן שלא נסרק, ביקור באתר לא בטוח, שימוש חוזר בסיסמה, העברת מידע אישי רגיש, העברת תוכנה זדונית או העברת תוכן.
הסיבה לאירוע* פרטים לגבי הפעולה, למשל הקובץ מוגן באמצעות סיסמה.
תוצאת האירוע התוצאה של האירוע על סמך מערך הכללים והמדיניות. התוצאות האפשריות: בוצעה עקיפה, בוצעה חסימה, הוצגה אזהרה, התקבל אישור או בוצע זיהוי.
כתובת URL של iframe כתובות ה-URL של iframe שתועדו כשהאירוע התרחש. בעזרת כללי DLP אפשר להשתמש בהן כדי לעמוד בתנאים של כתובות ה-URL.
הערה: תכונת ה-DLP ב-iframe לא תומכת בטריגר כתובת ה-URL שביקרו בה ולכן כללי DLP ששולטים בניווט באתר (לדוגמה, חסימה או אישור של ביקורים באתר) לא משתמשים במאפיין הזה.
קטגוריה של כתובת URL ב-iframe קטגוריות התוכן של כתובות ה-URL של iframe. יכולות להיות כמה קטגוריות שיצרו את האירוע. משמשת כללי DLP להתאמה לתנאים שהקטגוריה של כתובת ה-URL צריכה לעמוד בהם.
הערה: תכונת ה-DLP ב-iframe לא תומכת בטריגר כתובת ה-URL שביקרו בה ולכן כללי DLP ששולטים בניווט באתר (לדוגמה, חסימה או אישור של ביקורים באתר) לא משתמשים במאפיין הזה.

כתובת IP של ASN

צריך להוסיף את העמודה הזו לתוצאות החיפוש. ההוראות מפורטות במאמר בנושא ניהול עמודות הנתונים של תוצאות החיפוש.

מספר מערכת אוטונומית (ASN) של כתובת ה-IP, חלוקת המשנה והאזור שמשויכים לרשומה ביומן.

כדי לבדוק את ה-ASN של כתובת ה-IP, את חלוקת המשנה ואת קוד האזור שבו התרחשה הפעילות, לוחצים על השם בתוצאות החיפוש.
מוצפן אם התוכן מוצפן.
כתובת IP מקומית כתובת ה-IP של המכשיר.
Pehash Sha256 גיבוב SHA-256 של PEdata על סמך peHash של הגלישה הבטוחה של Google.
פרופיל משתמש שם המשתמש של הפרופיל בדפדפן Chrome.
כתובות URL של הפניות רשימה של כתובות URL של הפניות שהובילו להפעלת האירוע.
כתובת IP מרוחקת כתובת ה-IP הציבורית של השרת שאיתו המכשיר מקיים אינטראקציה.
מזהה סריקה מזהה הסריקה של סריקת ניתוח התוכן שהפעיל את האירוע.
מקור

המקור שקשור לאירוע:

  • אירועים של העברת קבצים – מערכת הקבצים של המקור.
  • אירועים של בקרת נתונים – כתובת ה-URL של המקור להעלאות קבצים או לפעולות של העתקה והדבקה.
  • אירועים של העלאת תוכן מהאינטרנט – המקור שממנו הועתקו הנתונים. אלה יכולים להיות כתובת URL או סוג המקור, כמו מצב פרטי, פרופיל אחר ב-Chrome או לוח עריכה במחשב.
חשבון המקור של אפליקציית האינטרנט שנכנסה לחשבון כתובת האימייל של המשתמש שמחובר לאפליקציית האינטרנט שמכילה את מקור התוכן (האפליקציה שממנה המשתמש העתיק את התוכן). ההגדרה הזו חלה רק על אירועים של הדבקת תוכן. כרגע יש תמיכה רק בחשבונות Google אישיים ובחשבונות Google מנוהלים.
כתובת ה-URL של הכרטיסייה

כתובת ה-URL שאליה מפנה הכרטיסייה כשמורידים קובץ.

כתובת ה-URL הזו יכולה להפעיל את הכלל למניעת אובדן נתונים (DLP) הקובץ שהורד. לדוגמה, כשמשתמש מוריד קובץ מ-Google Drive, כתובת ה-URL של הכרטיסייה (drive.google.com) או כתובת ה-URL להורדה (googleusercontent.com) יכולות להפעיל את הכלל.

הערה: כתובת ה-URL של הכרטיסייה ו-כתובת ה-URL זהות תמיד, חוץ מבמקרה של הורדת קבצים.
סוג הטריגר הפעולה של המשתמש שהפעילה את האירוע, למשל לא ידוע, הדפסת דף, העלאת קובץ, הורדת קובץ, העלאת תוכן מהאינטרנט או העברת קובץ.
משתמש הגורם המפעיל שם המשתמש שקשור לאירוע:
  • שימוש חוזר בסיסמה – שם המשתמש שהסיסמה שייכת לו
  • איפוס סיסמה – שם המשתמש שבשבילו הסיסמה מאופסת
כתובת URL כתובת ה-URL שיצרה את האירוע.
קטגוריית כתובת URL קטגוריית התוכן של כתובת ה-URL שיצרה את האירוע.
רמת הסיכון של כתובת ה-URL רמת הסיכון הכוללת של כתובת ה-URL, שמבוססת על הגלישה הבטוחה של Google.
סוכן משתמש מחרוזת סוכן המשתמש של הדפדפן ששימשה כדי לגשת לתוכן. לדוגמה, Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4140.0 Safari/537.36.
מזהה מכשיר וירטואלי* המזהה של המכשיר. הערך הוא ספציפי לפלטפורמה.
אפליקציית האינטרנט שנכנסה לחשבון כתובת האימייל של חשבון המשתמש שמחובר באופן פעיל לאפליקציית האינטרנט, כמו Gmail או Drive, בזמן אירוע המשתמש. זה רלוונטי לאירועים הדבקה, ביקור בכתובת URL, הורדת קובץ, העלאת קובץ והדפסה. כרגע יש תמיכה רק בחשבונות Google אישיים ובחשבונות Google מנוהלים
* אי אפשר ליצור כללי דיווח עם המסננים האלה. מידע נוסף על כללי דיווח לעומת כללי פעילות

סינון הנתונים לפי אירועים של איומים או של הגנה על נתונים

  1. פותחים את האירועים ביומן כמו שמתואר למעלה בקטע כלי הביקורות והחקירה.
  2. לוחצים על הכרטיסייה סינון.
  3. לוחצים על הוספת מסנן ואזאירוע.
  4. בחלון הקופץ, בוחרים אופרטור ואזבוחרים אירוע ואזלוחצים על אישור.
  5. (אופציונלי) כדי ליצור כמה מסננים, חוזרים על השלבים 2 עד 4.

תיאור אירועים של איומים ב-Chrome

ערך האירוע תיאור תמיכה במחבר הדיווח
אירועי קריסה זוהתה קריסה של כרטיסייה או של הדפדפן. נתמך בדפדפן Chrome בגרסה 112 ואילך
התקנת תוסף משתמש או אדמין התקינו תוסף לדפדפן. נתמך בדפדפן Chrome בגרסה 110 ואילך
העברה של תוכנה זדונית משתמש העלה או הוריד תוכן שנחשב לתוכנה זדונית או לתוכן מסוכן או לא רצוי. נתמך בדפדפן Chrome בגרסה 104 ואילך
אירועי התחברות

הערה: כדי לקבל דיווח על האירוע הזה חייבים להפעיל את מנהל הסיסמאות.

משתמש נכנס לדומיין דרך כתובת URL שצוינה בהגדרות של מחבר הדיווח. אפשר לראות את האירוע ב-מרכז האבטחה של Google. נסיונות כניסה שנכשלו לא מדווחים.

 נתמך בדפדפן Chrome בגרסה 105 ואילך
הפרה שקשורה לסיסמה

הערה: כדי לקבל דיווח על האירוע הזה חייבים להפעיל את מנהל הסיסמאות.

דפדפן Chrome מזהיר משתמשים אם שם המשתמש והסיסמה שהם הקלידו באתר כלשהו נחשפו, בגלל פרצה באבטחת המידע באתר או באפליקציה. במאמר שינוי סיסמאות לא בטוחות בחשבון Google אפשר לקרוא פרטים נוספים.

דפדפן Chrome גם מציע למשתמש לשנות את הסיסמה בכל אתר או אפליקציה. אם הסיסמה נשמרה במנהל הסיסמאות, אפשר לעיין בכתובות ה-URL במרכז האבטחה בדוח הסיכום בנושא הגנה מפני האיומים ב-Chrome. כל כתובת URL מוצגת כרשומה נפרדת.

 נתמך בדפדפן Chrome בגרסה 105 ואילך
הסיסמה שונתה

המשתמש איפס את הסיסמה שניתנה לו בשביל הכניסה הראשונה לחשבון שלו.

 נתמך בדפדפן Chrome בגרסה 104 ואילך
שימוש חוזר בסיסמאות המשתמש הזין סיסמה בכתובת URL שלא מופיעה ברשימה של כתובות ה-URL המאושרות לכניסה של הארגון. נתמך בדפדפן Chrome בגרסה 104 ואילך
אירועים של כתובות URL חשודות המשתמש ביקר בכתובת URL שנחשבת לבעלת רמת סיכון בינונית או גבוהה יותר. נתמך בדפדפן Chrome בגרסה 138 ואילך
ביקור באתרים לא בטוחים המשתמש ביקר בכתובת URL שנחשבת למטעה או זדונית. נתמך בדפדפן Chrome בגרסה 104 ואילך

תיאור אירועים של הגנה על נתונים ב-Chrome

אירועים של הגנה על נתונים ב-Chrome זמינים רק ללקוחות Chrome Enterprise Premium.

למידע נוסף על Chrome Enterprise Premium ואיך להגדיר אותו, אפשר לקרוא את המאמר הגנה על משתמשי Chrome בעזרת הגנה על נתונים מפני איומים של Chrome Enterprise Premium.

ערך האירוע תיאור תמיכה במחבר הדיווח
העברת תוכן תוכן הועלה, הורד או הודפס מ-Chrome ונשלח לסריקה שתאתר תוכנות זדוניות או מידע רגיש

נתמך בדפדפן Chrome בגרסה 104 ואילך

נדרש מינוי ל-Chrome Enterprise Premium
תוכן שלא נסרק יכולות להיות כמה סיבות לכך שקובץ לא נסרק, ביניהן:
  • הקובץ מוגן בסיסמה
  • הקובץ גדול מדי
  • סריקת DLP נכשלה
  • סריקה לזיהוי תוכנות זדוניות נכשלה
  • סריקת תוכנות זדוניות לא נתמכת עבור סוג הקובץ
  • השירות לא זמין

נתמך בדפדפן Chrome בגרסה 104 ואילך

נדרש מינוי ל-Chrome Enterprise Premium
העברה של מידע אישי רגיש כללי ההגנה על נתונים זיהו שהמשתמש העלה, הוריד, הדפיס או הדביק תוכן שנחשב לתוכן שכולל מידע אישי רגיש.

נתמך בדפדפן Chrome בגרסה 104 ואילך

נדרש מינוי ל-Chrome Enterprise Premium
סינון כתובות URL המשתמש ניסה להיכנס לכתובת URL שתואמת לכלל ההגנה על הנתונים שהאדמין הגדיר.

נתמך בדפדפן Chrome בגרסה 113 ואילך

נדרש מינוי ל-Chrome Enterprise Premium
חשוב: אירועים של הגנה על נתונים ב-Chrome מתעדים ניסיונות להעלות תוכן, ולא העלאות שהושלמו. יכול להיות שההעלאות לא יצליחו בגלל כשלים בשרת, שגיאות ברשת, ביטול ההעלאה על ידי המשתמש או אתרים שלא תומכים בהעלאה של קבצים או תיקיות.

תיאור אירועי אבטחה ב-ChromeOS

ערך האירוע תיאור תמיכה במחבר הדיווח מדיניות נדרשת
ההתחברות ל-ChromeOS נכשלה המשתמש לא הצליח להיכנס למכשיר ChromeOS. נתמך דיווח על נתוני הטלמטריה של המכשירים ואזסטטוס התחברות/התנתקות
בוצעה התחברות ל-ChromeOS המשתמש הצליח להיכנס למכשיר ChromeOS. נתמך
יציאה מ-ChromeOS המשתמש הצליח לצאת ממכשיר ChromeOS. נתמך
נוסף משתמש ל-ChromeOS נוסף חשבון משתמש למכשיר ChromeOS. נתמך
הוסר משתמש מ-ChromeOS הוסר חשבון משתמש ממכשיר ChromeOS. נתמך
ChromeOS ננעלה הופעלה נעילת המסך של מכשיר ChromeOS. לא נתמך
הנעילה של ChromeOS בוטלה בוטלה נעילת המסך של מכשיר ChromeOS. לא נתמך
ביטול הנעילה של ChromeOS נכשל ניסיון לבטל את נעילת המסך במכשיר ChromeOS נכשל. לא נתמך
שינוי מצב הפעלה של מכשיר ChromeOS

מצב ההפעלה של מכשיר ChromeOS השתנה למצב פיתוח או למצב הפעלה מאומתת.

  • כדי ליצור אירוע של שינוי מצב הפעלה צריך לרשום את המכשיר בדומיין מנוהל גם לפני וגם אחרי שינוי מצב ההפעלה.
 לא נתמך דיווח מידע על מערכת ההפעלה של המכשירים ואזמצב ההפעלה של מערכת ההפעלה
נוסף התקן USB ב-ChromeOS

נוסף התקן USB למכשיר ChromeOS. האירוע הזה מדווח רק למשתמשים משויכים.

 נתמך דיווח מידע על מערכת ההפעלה של המכשירים ואזהמצב של הציוד ההיקפי שמחובר ליציאת USB
הוסר התקן USB ב-ChromeOS הוסר התקן USB ממכשיר ChromeOS. האירוע הזה מדווח רק למשתמשים משויכים. נתמך
שינוי בסטטוס של ה-USB ב-ChromeOS כשמשתמש משויך נכנס למכשיר, כל חיבורי ה-USB הקיימים מדווחים. נתמך
הופעל מארח CRD ב-ChromeOS משתמש משויך הפעיל סשן של מארח ל-Chrome Report Desktop ‏ (CRD) במכשיר מנוהל. נתמך דיווח מידע על מערכת ההפעלה של המכשירים ואזסשנים של CRD
לקוח CRD ב-ChromeOS מחובר

משתמש התחבר לסשן של Chrome Report Desktop ‏ (CRD).

 נתמך
לקוח CRD ב-ChromeOS התנתק משתמש התנתק מסשן של Chrome Report Desktop ‏ (CRD). נתמך
מארח CRD ב-ChromeOS הופסק משתמש משויך הפסיק סשן של מארח ל-Chrome Report Desktop ‏ (CRD) במכשיר מנוהל נתמך
מערכת ChromeOS הוחזרה למצב הקודם בוצעה החזרה של מערכת ההפעלה למצב הקודם במכשיר ChromeOS. לא נתמך דיווח מידע על מערכת ההפעלה של המכשירים ואזדיווח על הסטטוס של עדכון מערכת ההפעלה
בוצע עדכון של גרסת ChromeOS משתמש השלים עדכון של מכשיר ChromeOS לגרסת היעד של ChromeOS. לא נתמך
העדכון של גרסת ChromeOS נכשל העדכון של מכשיר ChromeOS לגרסת היעד של ChromeOS נכשל. לא נתמך
הופעל Powerwash במכשיר ChromeOS הופעל תהליך Powerwash במכשיר ChromeOS. לא נתמך
בקרת גישה לנתונים משתמש הפעיל כללים של אמצעי בקרה ב-ChromeOS שהאדמין החיל. נתמך דיווח על אמצעי הבקרה על נתונים

ניהול נתוני האירועים ביומן

ניהול עמודות הנתונים של תוצאות החיפוש

אתם יכולים לקבוע אילו עמודות נתונים יופיעו בתוצאות החיפוש.

  1. בפינה השמאלית העליונה של טבלת תוצאות החיפוש, לוחצים על הסמל לניהול העמודות .
  2. (אופציונלי) כדי להסיר עמודות שמוצגות כרגע, לוחצים על סמל ההסרה .
  3. (אופציונלי) כדי להוסיף עמודות, לצד הוספת עמודה חדשה לוחצים על החץ למטה ובוחרים את עמודת הנתונים.
    חוזרים על הפעולה לפי הצורך.
  4. (אופציונלי) כדי לשנות את סדר העמודות, גוררים את השמות של עמודות הנתונים.
  5. לוחצים על שמירה.

ייצוא נתונים של תוצאות חיפוש

אתם יכולים לייצא את תוצאות החיפוש ל-Sheets או לקובץ CSV.

  1. בחלק העליון של טבלת תוצאות החיפוש, לוחצים על ייצוא של הכול.
  2. מזינים שם ואז לוחצים על ייצוא.
    קובץ הייצוא מוצג מתחת לטבלת תוצאות החיפוש בקטע ייצוא התוצאות של פעולה.
  3. כדי להציג את הנתונים, לוחצים על שם הייצוא.
    קובץ הייצוא נפתח ב-Sheets.

מגבלות הייצוא משתנות לפי:

  • מספר השורות הכולל של התוצאות שאתם יכולים לייצא מוגבל ל-100,000 שורות.
  • התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

    אם אתם משתמשים בכלי לחקירת אבטחה, אתם יכולים לייצא עד 30 מיליון שורות של תוצאות סה"כ.

מידע נוסף זמין במאמר בנושא ייצוא תוצאות חיפוש.

מתי הנתונים נעשים זמינים ולמשך כמה זמן הם נשמרים?

טיפול באירועים על סמך תוצאות החיפוש

יצירת כללי פעילות והגדרת התראות

  • אפשר להגדיר התראות על סמך נתוני אירועים ביומן באמצעות כללי דיווח. הוראות מפורטות זמינות במאמר יצירה וניהול של כללי דיווח.
  • התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

    כדי למנוע בעיות אבטחה, לזהות אותן ולתקן אותן ביעילות, אתם יכולים להגדיר כללי פעילות להפעלה אוטומטית של פעולות בכלי לחקירת אבטחה, ולקבל התראות. כדי להגדיר כלל, צריך להגדיר את התנאים של הכלל ואז לציין את הפעולות שיש לבצע כשהתנאים מתקיימים. פרטים נוספים זמינים במאמר יצירה וניהול של כללי פעילות.

טיפול באירועים על סמך תוצאות החיפוש

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

אחרי שמריצים חיפוש בכלי לחקירת אבטחה, אפשר לבצע פעולות על תוצאות החיפוש. לדוגמה, אפשר להריץ חיפוש על סמך אירועים ביומן של Gmail, ואז להשתמש בכלי כדי למחוק הודעות ספציפיות, לשלוח הודעות להסגר או לשלוח הודעות לתיבות הדואר הנכנס של המשתמשים. פרטים נוספים זמינים במאמר טיפול באירועים על סמך תוצאות החיפוש.

ניהול החקירות

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

צפייה ברשימת החקירות

כדי לראות רשימה של החקירות שבבעלותכם ושל החקירות ששותפו איתכם, לוחצים על סמל הצגת החקירות . רשימת החקירות כוללת את השמות, התיאורים והבעלים של החקירות, ואת התאריך שבו בוצע השינוי האחרון.

מהרשימה הזו אפשר לבצע פעולות בחקירות שבבעלותכם, למשל למחוק חקירה. מסמנים את התיבה של החקירה ולוחצים על פעולות.

הערה: אפשר לראות את החקירות השמורות בקטע גישה מהירה, ממש מעל רשימת החקירות.

הגדרת ההגדרות של החקירות

בתור סופר-אדמין, לוחצים על סמל ההגדרות כדי:

  • שינוי אזור הזמן של החקירות. אזור הזמן חל על תנאי החיפוש ועל התוצאות.
  • מפעילים או משביתים את האפשרות דרוש בודק. פרטים נוספים זמינים במאמר דרישת בודקים לפעולות בכמות גדולה.
  • מפעילים או משביתים את האפשרות View content (הצגת תוכן). ההגדרה הזו מאפשרת לאדמינים עם ההרשאות המתאימות לצפות בתוכן.
  • מפעילים או משביתים את ההגדרה יש להזין נימוק לפעולות לפני ביצוע.

פרטים נוספים זמינים במאמר בנושא הגדרת ההגדרות של החקירות.

שמירה, שיתוף, מחיקה ושכפול של חקירות

כדי לשמור את קריטריוני החיפוש או לשתף אותם עם אחרים, אתם יכולים ליצור ולשמור חקירה, ואז לשתף, לשכפל או למחוק אותה.

פרטים נוספים זמינים במאמר בנושא שמירה, שיתוף, מחיקה ושכפול של חקירות.

נתוני טלמטריה של תוסף ל-Chrome

האפשרות זמינה רק ללקוחות שרכשו רישיון ל-Google Security Operations.

אתם יכולים לתעד נתוני טלמטריה של תוסף ל-Chrome ב-Google Security Operations. אפשר לאסוף נתוני טלמטריה מתוך Chrome ולשלוח אותם ל-Google Security Operations כדי לספק ניתוח מידי והקשר לפעילות מסוכנת.

  1. פותחים את התפריט ואז דפדפן Chrome > הגדרות. הדף הגדרות לגבי משתמשים ודפדפנים נפתח כברירת מחדל.

    כדי לעשות את זה צריך הרשאת אדמין לניהול מכשירים ניידים.

  2. נכנסים אל דיווח בדפדפן.
  3. לוחצים על דיווח על אירועים ובוחרים באפשרות הפעלת דיווח על אירועים.
  4. לוחצים על הגדרות נוספות ומסמנים את התיבה דוחות טלמטריה של תוספים.
  5. לוחצים על שמירה.
  6. פותחים את התפריט ואז דפדפן Chrome > מחברים.

    כדי לעשות את זה צריך הרשאת אדמין ל-Chrome.

  7. פותחים הגדרה של Google Security Operations ואזלוחצים על פרטים ואזעריכה.
  8. עוברים אל אירועים שקשורים למשתמשים ולדפדפנים, ובקטע סוגי אירועים אופציונליים מסמנים את התיבה דוחות טלמטריה של תוספים. לחלופין, לוחצים על הגדרה של ספק חדש ויוצרים הגדרה חדשה למיקום שבו רוצים לקבל את אירועי טלמטריה של התוספים.
  9. לוחצים על שמירה.

כדי לקבל מידע נוסף על Google Security Operations ואיך להגדיר את הפלטפורמה אפשר לפנות אל Google Cloud Security.

נתוני טלמטריה של תוספים לדפדפן Chrome

לכל ערכי התוספים בטבלה הבאה:

  • הקריאה ל-API נתמכת בדפדפן Chrome בגרסה 129 ואילך.
  • נדרש רישיון ל-Google Security Operations כדי לראות את נתוני הטלמטריה.
ערך התוסף לדפדפן Chrome תיאור
chrome.cookies.get

אחזור מידע על קובץ Cookie יחיד.

‫API שמאפשר שינוי של קובצי Cookie. שירות הטלמטריה עוקב אחרי ארגומנטים וקריאות ל-API כדי לחשוף גניבות של קובצי Cookie.
chrome.cookies.get(All)

אות טלמטריה של תוסף ל-Chrome. מאחזר את כל קובצי ה-Cookie משמירה אחת של קובצי Cookie, שתואמים למידע מסוים.

‫API שמאפשר שינוי של קובצי Cookie. שירות הטלמטריה עוקב אחרי ארגומנטים וקריאות ל-API כדי לחשוף גניבות של קובצי Cookie.
chrome.tabs אות טלמטריה של תוסף ל-Chrome. ‫API שמספק אמצעי בקרה על כרטיסיות. שירות הטלמטריה עוקב אחרי שימוש בשיטות API ליצירה, עדכון והסרה כדי לחשוף מקרי פריצה בחיפוש או בדפדפן.
נשלחה קריאה למארחים שמאפשרים גישה מרחוק אות טלמטריה של תוסף ל-Chrome. שירות הטלמטריה מתעד רשימה של מארחים לגישה מרחוק שנשלחו אליהם קריאות בפרוטוקולים HTTP(S) או WebSocket(s).
תוספים שלא מופיעים בחנות אות טלמטריה של תוסף ל-Chrome. שירות הטלמטריה עוקב אחרי שמות קבצים ופעולות גיבוב (hash) מתוספים שלא הותקנו מחנות האינטרנט של Chrome.