Contextbewuste toegangslogboekgebeurtenissen

Wanneer de toegang van een gebruiker tot een app wordt geëvalueerd

Afhankelijk van uw Google Workspace-editie hebt u mogelijk toegang tot de tool voor beveiligingsonderzoek, die geavanceerdere functies biedt. Superbeheerders kunnen bijvoorbeeld beveiligings- en privacyproblemen identificeren, prioriteren en oplossen. Lees meer

Als beheerder van uw organisatie kunt u zoeken in gebeurtenissen in het contextbewuste toegangslogboek en actie ondernemen op basis van de resultaten. U kunt bijvoorbeeld een overzicht bekijken van acties die zijn ondernomen om problemen op te lossen wanneer een gebruiker de toegang tot een app wordt geweigerd of verleend. Deze vermeldingen verschijnen meestal binnen een uur nadat de toegang van de gebruiker is geweigerd.

Ga voor meer informatie naar het overzicht van contextbewuste toegang .

Of u een zoekopdracht kunt uitvoeren, hangt af van uw Google-editie, uw beheerdersrechten en de gegevensbron. U kunt een zoekopdracht uitvoeren voor alle gebruikers, ongeacht hun Google Workspace-editie.

Audit- en onderzoekstool

Om naar logboekgebeurtenissen te zoeken, kiest u eerst een gegevensbron. Selecteer vervolgens een of meer filters voor uw zoekopdracht.

  1. Ga in de Google Admin-console naar Menu. en dan Rapportage en dan Audit en onderzoek en dan Contextbewuste toegangslogboekgebeurtenissen .

    Hiervoor is de beheerdersbevoegdheid Audit & Onderzoek vereist.

  2. Om gebeurtenissen te filteren die vóór of na een specifieke datum hebben plaatsgevonden, selecteert u bij Datum de optie Vóór of Na . Standaard worden gebeurtenissen van de afgelopen 7 dagen weergegeven. U kunt een ander datumbereik selecteren of klikken op om het datumfilter te verwijderen.

  3. Klik op ' Een filter toevoegen'. en dan Selecteer een kenmerk. Om bijvoorbeeld te filteren op een specifiek gebeurtenistype, selecteer je Gebeurtenis .
  4. Selecteer een operator en dan selecteer een waarde en dan Klik op Toepassen .
    • (Optioneel) Om meerdere filters voor uw zoekopdracht te maken, herhaalt u deze stap.
    • (Optioneel) Om een ​​zoekoperator toe te voegen, selecteer je boven ' Een filter toevoegen ' de optie 'EN' of 'OF' .
  5. Klik op Zoeken . Opmerking : Via het tabblad Filter kunt u eenvoudige parameter-waardeparen gebruiken om de zoekresultaten te filteren. U kunt ook het tabblad Voorwaarden gebruiken, waar de filters worden weergegeven als voorwaarden met AND/OR-operatoren.

Beveiligingsonderzoekstool

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Om een ​​zoekopdracht uit te voeren in de beveiligingsonderzoekstool, kiest u eerst een gegevensbron. Kies vervolgens een of meer voorwaarden voor uw zoekopdracht. Kies voor elke voorwaarde een kenmerk , een operator en een waarde .

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Beveiligingscentrum en dan Onderzoeksinstrument .

    Hiervoor is beheerdersrechten voor het beveiligingscentrum vereist.

  2. Klik op Gegevensbron en selecteer Contextbewuste toegangslogboekgebeurtenissen .
  3. Klik op Voorwaarde toevoegen .
    Tip : U kunt een of meer voorwaarden in uw zoekopdracht opnemen of uw zoekopdracht aanpassen met geneste query's . Zie ' Uw zoekopdracht aanpassen met geneste query's' voor meer informatie.
  4. Klikkenmerk en dan Selecteer een optie. Om bijvoorbeeld te filteren op een specifiek gebeurtenistype, selecteer je Gebeurtenis .
    Voor een volledige lijst met kenmerken, ga naar het gedeelte 'Beschrijvingen van kenmerken' .
  5. Selecteer een operator.
  6. Voer een waarde in of selecteer een waarde uit de lijst.
  7. (Optioneel) Om meer zoekcriteria toe te voegen, herhaalt u de stappen.
  8. Klik op Zoeken .
    Je kunt de zoekresultaten van de onderzoekstool in een tabel onderaan de pagina bekijken.
  9. (Optioneel) Om uw onderzoek op te slaan, klikt u op Opslaan. en dan Voer een titel en beschrijving in. en dan Klik op Opslaan .

Notities

  • In het tabblad 'Voorwaardenbouwer' worden filters weergegeven als voorwaarden met AND/OR-operatoren. U kunt ook het tabblad 'Filter' gebruiken om eenvoudige parameter-waardeparen op te nemen en zo de zoekresultaten te filteren.
  • Als u een gebruiker een nieuwe naam geeft, ziet u geen zoekresultaten meer met de oude naam van de gebruiker. Als u bijvoorbeeld OldName@example.com hernoemt naar NewName@example.com , ziet u geen resultaten meer voor gebeurtenissen die gerelateerd zijn aan OldName@example.com .
  • Je kunt alleen zoeken in berichten die nog niet uit de prullenbak zijn verwijderd.

Attribuutbeschrijvingen

Voor deze gegevensbron kunt u de volgende kenmerken gebruiken bij het zoeken naar logboekgebeurtenisgegevens.

Attribuut Beschrijving
Toegepast toegangsniveau De toegangsrechten die door de beheerders voor de betreffende app zijn ingesteld. Als aan een van deze rechten is voldaan, krijgt de gebruiker toegang.
Toegangsniveau voldaan

Alle aangevraagde toegangsniveaus waaraan de gebruiker tijdens de toegangsbeoordeling met succes heeft voldaan. Als deze lijst leeg is, wordt geen toegang verleend.

Als ten minste één van de toegangsniveaus van het toegepaste attribuut onder 'Toegangsniveau voldaan' valt, dan is er sprake van een toegangstoekenning. Deze gebeurtenis wordt in de contextbewuste toegangslogboeken weergegeven als 'Toegang geëvalueerd' .

Toegangsniveau niet voldaan

Alle toegepaste toegangsniveaus waaraan de gebruiker niet voldeed tijdens de toegangsbeoordeling. Als elk toegangsniveau uit het attribuut 'Toegepast toegangsniveau' in deze lijst voorkomt, wordt de toegang van de gebruiker geweigerd.

Opmerking : Alleen toegepaste toegangsniveaus worden in deze lijst weergegeven. Andere toegangsniveaus die in de beheerdersconsole zijn gedefinieerd maar niet zijn toegepast, worden niet weergegeven.

Acteur E-mailadres van de gebruiker die de actie heeft uitgevoerd
Naam van de acteursgroep

De groepsnaam van de acteur. Ga voor meer informatie naar Resultaten filteren op Google Groep .

Om een ​​groep toe te voegen aan uw lijst met toegestane groepen voor filters:

  1. Selecteer de naam van de actorgroep .
  2. Klik op Groepen filteren .
    De pagina 'Groepen filteren' verschijnt.
  3. Klik op Groepen toevoegen .
  4. Zoek een groep door de eerste paar tekens van de naam of het e-mailadres in te voeren. Selecteer de gewenste groep zodra je deze hebt gevonden.
  5. (Optioneel) Om nog een groep toe te voegen, zoek en selecteer de groep.
  6. Klik op Toevoegen zodra je klaar bent met het selecteren van groepen.
  7. (Optioneel) Om een ​​groep te verwijderen, klikt u op Groep verwijderen. .
  8. Klik op Opslaan .
Organisatorische eenheid van de actor Organisatorische eenheid van de actor
Sollicitatie Kan het volgende zijn:
  • De applicatie waartoe de gebruiker de toegang werd geweigerd.
  • De applicatie waartoe de gebruiker toegang heeft gekregen
  • (Voor API-toegang) De aanroepende applicatie die probeerde toegang te krijgen tot een geblokkeerde API
  • (Voor API-toegang) De aanroepende applicatie die toegang heeft verkregen tot een niet-geblokkeerde API
API-toegang geblokkeerd

De API van de applicatie waartoe de gebruiker geen toegang kreeg. Voor API-toegang: de API waartoe de aanvragende applicatie geen toegang kreeg.

(Alleen van toepassing op audits die worden geweigerd in de actieve modus en de monitormodus)

Datum Datum en tijd van het evenement (weergegeven in de standaard tijdzone van uw browser)
Apparaat-ID

Apparaat-ID, zoals weergegeven op de startpagina van de beheerdersconsole en dan Apparaten en dan Mobiel en eindpunten en dan Apparaten .

Als het apparaat niet kon worden gedetecteerd, zou deze waarde onbekend kunnen zijn.

Apparaatstatus

Status van het apparaat dat wordt gebruikt voor deze toegang, bijvoorbeeld Normaal, Niet gesynchroniseerd (verouderd), Buiten uw organisatie (apparaat behoort niet tot uw organisatie) of Geen apparaatsignalen (apparaat kan niet worden gedetecteerd).

Als de apparaat-ID onbekend is en het attribuut 'Apparaatstatus' 'Geen apparaatsignalen' aangeeft, beschikt het apparaat van de gebruiker niet over rapportageagents, zoals endpointverificatie of mobiel apparaatbeheer (MDM).

Apparaatrisico's De beveiligingsrisico's op het apparaat die ertoe hebben geleid dat de gebruiker een waarschuwing heeft ontvangen of is geblokkeerd, zijn het gevolg van een beveiligingsadvies voor het beschermen van de toegang tot apps .
Evenement De geregistreerde gebeurtenisactie:
  • Toegang geweigerd—De vermelde gebruiker (actor) heeft geen toegang gekregen tot de vermelde applicatie.
  • Toegang geweigerd (monitoringsmodus) — Geeft aan wanneer de toegang zou worden geweigerd als het toegangsniveau in de actieve modus zou staan. Zie Contextbewuste toegang implementeren voor meer informatie.
  • Toegang geweigerd/Gebruiker gewaarschuwd (Beveiligingsadviseur)—De toegang is geweigerd of een gebruiker is gewaarschuwd vanwege een beveiligingsadviseur in verband met het toegangsbeveiligingsbeleid voor apps .
  • Interne fout: Toegang geweigerd—Het afdwingen van het beleid is mislukt (toegang is geweigerd) vanwege een probleem met de handhavingsserver.
  • Toegang geëvalueerd—Contextbewuste toegang verleend aan de vermelde gebruiker (actor) voor de vermelde applicatie.
  • Toegang geëvalueerd (monitoringsmodus) — Geeft aan wanneer contextbewuste toegang toegang zou verlenen als het toegangsniveau in de actieve modus stond. Zie Contextbewuste toegang implementeren voor meer informatie.
IP-adres IP-adres van de actor

IP ASN

Je moet deze kolom toevoegen aan de zoekresultaten. Zie 'Kolomgegevens van zoekresultaten beheren' voor de stappen .

Het IP-autonoom systeemnummer (ASN), de onderverdeling en de regio die aan de logboekvermelding zijn gekoppeld.

Om het IP-adres, het ASN en de regiocode (subdivisie en regio) te bekijken waar de activiteit plaatsvond, klikt u op de naam in de zoekresultaten.

Beveiligde API-toegang

De API van de applicatie waartoe de gebruiker toegang heeft gekregen via contextbewuste toegang.

Voor API-toegang geldt de API waartoe de aanroepende applicatie toegang heeft gekregen via Context-Aware Access.

Beheer logboekgebeurtenisgegevens

Inzicht in logboekgebeurtenissen 'Toegang geweigerd'

Soms kan er een melding 'Toegang geweigerd' in het contextbewuste toegangslogboek verschijnen voor een gebruiker, zelfs als die gebruiker geen melding heeft gemaakt van een pagina met de melding 'Toegang geweigerd' .

Waarom dit gebeurt

  • Aanmelden op meerdere apparaten : Dit probleem kan zich voordoen wanneer een gebruiker op meerdere apparaten is aangemeld bij zijn of haar account. Dit is met name waarschijnlijk als een van deze apparaten geen eindpuntverificatie heeft of is gekoppeld aan een ander account. De gebruiker kan bijvoorbeeld zijn aangemeld op een persoonlijk apparaat of met een ander Chrome-browserprofiel.
  • Aanmelden met een secundair account : Een ander scenario betreft gebruikers die zijn aangemeld bij hun bedrijfsaccount als secundair account op een ander apparaat. In dit geval verschijnt de pagina ' Toegang geweigerd' mogelijk niet op hun primaire apparaat. Logboekgebeurtenissen registreren echter wel de geweigerde toegangspoging op het secundaire apparaat. Zie Aanmelden bij meerdere accounts tegelijk voor meer informatie.

Wat te doen

  • Controleer of de gebruiker op een ander apparaat is aangemeld bij zijn of haar zakelijke account.
  • Zorg ervoor dat eindpuntverificatie correct is geïnstalleerd en geconfigureerd op alle apparaten waarmee de gebruiker toegang krijgt tot zijn of haar bedrijfsaccount.
  • Bekijk het logboek voor apparaatinformatie en IP-adressen om de bron van de geweigerde toegangspoging te achterhalen.

Onderneem actie op basis van de zoekresultaten.

Maak activiteitsregels aan en stel waarschuwingen in.

  • U kunt waarschuwingen instellen op basis van logboekgebeurtenisgegevens met behulp van rapportageregels. Zie Rapportageregels maken en beheren voor instructies.
  • Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

    Om beveiligingsproblemen efficiënt te voorkomen, op te sporen en op te lossen, kunt u acties in de tool voor beveiligingsonderzoek automatiseren en waarschuwingen instellen door activiteitsregels te maken. Om een ​​regel in te stellen, definieert u de voorwaarden voor de regel en specificeert u vervolgens de acties die moeten worden uitgevoerd wanneer aan de voorwaarden is voldaan. Ga voor meer informatie naar Activiteitsregels maken en beheren .

Onderneem actie op basis van de zoekresultaten.

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Nadat u een zoekopdracht hebt uitgevoerd in de tool voor beveiligingsonderzoek, kunt u actie ondernemen op basis van de zoekresultaten. U kunt bijvoorbeeld een zoekopdracht uitvoeren op basis van gebeurtenissen in het Gmail-logboek en vervolgens de tool gebruiken om specifieke berichten te verwijderen, berichten in quarantaine te plaatsen of berichten naar de inbox van gebruikers te sturen. Ga naar Actie ondernemen op basis van zoekresultaten voor meer informatie.

Beheer uw onderzoeken

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Bekijk uw lijst met onderzoeken

Om een ​​lijst te bekijken van de onderzoeken die u bezit en die met u zijn gedeeld, klikt u op 'Onderzoeken bekijken'. De lijst met onderzoeken bevat de namen, beschrijvingen en eigenaren van de onderzoeken, en de datum van de laatste wijziging.

Vanuit deze lijst kunt u acties uitvoeren op alle onderzoeken die u beheert, bijvoorbeeld een onderzoek verwijderen. Vink het vakje van een onderzoek aan en klik vervolgens op Acties .

Opmerking : U kunt uw opgeslagen onderzoeken bekijken onder Snelle toegang , direct boven uw lijst met onderzoeken.

Configureer de instellingen voor uw onderzoeken.

Als superbeheerder klikt u op Instellingen. naar:

  • Wijzig de tijdzone voor uw zoekopdrachten. De tijdzone is van invloed op de zoekvoorwaarden en -resultaten.
  • Schakel de optie 'Reviewer vereisen' in of uit. Ga naar 'Reviewers vereisen voor bulkacties' voor meer informatie.
  • Schakel 'Inhoud weergeven' in of uit. Met deze instelling kunnen beheerders met de juiste rechten de inhoud bekijken.
  • Schakel de actierechtvaardiging in of uit.

Ga voor meer informatie naar Instellingen configureren voor uw onderzoeken .

Onderzoeken opslaan, delen, verwijderen en dupliceren

Om je zoekcriteria op te slaan of met anderen te delen, kun je een zoekopdracht aanmaken en opslaan, en deze vervolgens delen, dupliceren of verwijderen.

Ga voor meer informatie naar Onderzoeken opslaan, delen, verwijderen en dupliceren .