События журнала доступа с учетом контекста

Когда оценивается доступ пользователя к приложению

В зависимости от версии Google Workspace у вас может быть доступ к инструменту расследования инцидентов безопасности, который обладает более расширенными функциями. Например, суперадминистраторы могут выявлять, анализировать и принимать меры по проблемам безопасности и конфиденциальности. Подробнее

Как администратор вашей организации, вы можете выполнять поиск по событиям журнала доступа с учетом контекста и принимать меры на основе результатов. Например, вы можете просмотреть запись действий по устранению неполадок, когда пользователю запрещен или разрешен доступ к приложению. Записи обычно появляются в течение часа после того, как пользователю был запрещен доступ.

For more information, go to Context-Aware Access overview .

Возможность выполнения поиска зависит от вашей версии Google, ваших административных прав и источника данных. Вы можете выполнить поиск для всех пользователей, независимо от их версии Google Workspace.

Инструмент аудита и расследования

Для выполнения поиска событий в журналах сначала выберите источник данных. Затем выберите один или несколько фильтров для поиска.

  1. В консоли администратора Google перейдите в меню. а потом Отчетностьа потомАудит и расследованиеа потомСобытия журнала доступа с учетом контекста .

    Для этого необходимы права администратора по аудиту и расследованиям .

  2. Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту. чтобы удалить фильтр по дате.

  3. Нажмите « Добавить фильтр».а потом Выберите атрибут. Например, чтобы отфильтровать по определенному типу события, выберите «Событие» .
  4. Выберите оператораа потом выберите значениеа потом Нажмите «Применить» .
    • (Необязательно) Чтобы создать несколько фильтров для поиска, повторите этот шаг.
    • (Необязательно) Чтобы добавить оператор поиска, выше в разделе «Добавить фильтр» выберите «И» или «ИЛИ» .
  5. Нажмите «Поиск» . Примечание : Using the Filter tab, you can include simple parameter and value pairs to filter the search results. You can also use the Condition builder tab, where the filters are represented as conditions with AND/OR operators.

Инструмент для проведения расследований в сфере безопасности

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Для выполнения поиска в инструменте анализа безопасности сначала выберите источник данных. Затем выберите одно или несколько условий для поиска. Для каждого условия выберите атрибут , оператор и значение .

  1. В консоли администратора Google перейдите в меню. а потом Безопасностьа потомЦентр безопасностиа затемИнструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. Click Data source and select Context Aware Access log events .
  3. Нажмите «Добавить условие» .
    Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» .
  4. Атрибут кликаа потом Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
    Полный список атрибутов см. в разделе «Описание атрибутов» .
  5. Выберите оператора.
  6. Введите значение или выберите значение из списка.
  7. (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
  8. Нажмите «Поиск» .
    Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы.
  9. (Необязательно) Чтобы сохранить результаты расследования, нажмите «Сохранить». а потом Введите заголовок и описание.а потом Нажмите « Сохранить ».

Примечания

  • На вкладке «Конструктор условий» фильтры представлены в виде условий с операторами И/ИЛИ. Вы также можете использовать вкладку «Фильтр» для добавления простых пар параметр-значение для фильтрации результатов поиска.
  • Если вы присвоите пользователю новое имя, вы не увидите результаты запросов со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .
  • Поиск данных возможен только в сообщениях, которые еще не были удалены из Корзины.

Описание атрибутов

Для этого источника данных при поиске данных о событиях журнала можно использовать следующие атрибуты.

Атрибут Описание
Применен уровень доступа The access levels applied by the admins for the specific app. If one of them is satisfied, the user's access will be granted.
Уровень доступа удовлетворен

All the applied access levels that the user successfully met during access evaluation. If this list is empty, then access isn't granted.

Если хотя бы один из уровней доступа, заданных в атрибуте, соответствует уровню «Уровень доступа удовлетворен» , то это событие предоставления доступа. В журналах аудита доступа с учетом контекста это событие отображается как «Доступ оценен» .

Уровень доступа не удовлетворен

Все уровни доступа, которым пользователь не соответствовал в ходе оценки доступа. Если в этом списке присутствуют все уровни доступа из атрибута «Уровень доступа» , доступ пользователя будет запрещен.

Note : Only applied access levels will appear in this list. Other access levels defined in the Admin console that are not applied do not appear.

Актер Email address of the user who performed the action
Название актёрской группы

Название группы, к которой принадлежит актёр. Для получения дополнительной информации перейдите в раздел «Фильтрация результатов по группам Google» .

Чтобы добавить группу в список разрешенных групп фильтрации:

  1. Выберите название группы акторов .
  2. Нажмите «Группы фильтрации» .
    Открывается страница «Группы фильтрации».
  3. Нажмите «Добавить группы» .
  4. Найдите группу, введя первые несколько символов ее названия или адреса электронной почты. Когда вы увидите нужную группу, выберите ее.
  5. (Необязательно) Чтобы добавить еще одну группу, найдите и выберите нужную группу.
  6. После выбора групп нажмите кнопку «Добавить» .
  7. (Необязательно) Чтобы удалить группу, нажмите «Удалить группу». .
  8. Нажмите « Сохранить ».
Организационное подразделение актёра Организационная единица актёра
Приложение Может быть любым из следующих вариантов:
  • The application that the user was denied access to
  • The application that the user was granted access to
  • (For API access) The calling application that attempted to access a blocked API
  • (For API access) The calling application that accessed an unblocked API
Заблокирован доступ к API.

The API of the application that the user was denied access to. For API access, the API that the calling application was blocked from accessing.

(Применимо только к аудитам, отклоняемым в активном режиме и режиме мониторинга)

Дата Date and time of the event (displayed in your browser's default time zone)
Идентификатор устройства

Идентификатор устройства, отображаемый на главной странице консоли администратора.а потом Устройстваа потом Мобильные устройства и конечные точкиа потом Устройства .

If the device could not be detected, this value could be unknown.

Состояние устройства

Состояние устройства, используемого для выполнения этого доступа, — например, «Нормальное», «Рассинхронизация (устаревшее)», «Внутри организации (устройство не принадлежит вашей организации)» или «Нет сигналов устройства (устройство не может быть обнаружено)».

When the device ID is unknown and the Device state attribute says No device signals, the user's device doesn't have reporting agents, such as endpoint verification or mobile device management (MDM).

Device risks The security risks on the device that caused the user to be warned or blocked, due to a Security advisor for app access protection policy.
Событие Действие, зарегистрированное в журнале:
  • Access Denied—Access was denied to the listed user (actor) for the listed application.
  • Access Denied (Monitor mode)—Indicates when access would be denied, if the access level were in active mode. For details, go to Deploy Context-Aware Access .
  • Access Denied/User Warned (Security advisor)—Access was denied, or a user warned, due to a Security advisor for app access protection policy.
  • Access Denied Internal Error—Policy enforcement failed (access was denied) due to an issue with the enforcement server.
  • Access Evaluated—Context-Aware Access granted access to the listed user (actor) for the listed application.
  • Access Evaluated (Monitor mode)—Indicates when Context-Aware Access would grant access if the access level were in Active mode. For details, go to Deploy Context-Aware Access .
IP-адрес IP-адрес актора

IP ASN

Необходимо добавить этот столбец в результаты поиска. Инструкции см. в разделе «Управление данными столбцов результатов поиска» .

Номер автономной системы IP (ASN), подразделение и регион, связанные с записью в журнале.

Чтобы просмотреть IP-адрес автономных систем (ASN), а также код подразделения и региона, где произошла активность, щелкните по названию в результатах поиска.

Защищенный доступ к API

The API of the application that the user was granted access to by Context-Aware Access.

For API access, the API that the calling application was granted access to by Context-Aware Access.

Управление данными событий журнала

Анализ событий журнала «Доступ запрещен»

Sometimes you might get an Access Denied entry in the Context-Aware Access log events for a user even though they didn't report getting an Access Denied page.

Почему это происходит

  • Multiple device sign ins : This issue can arise when a user is signed in to their account on several devices. It's particularly likely if one of these devices lacks endpoint verification or is associated with another account. For instance, they might be signed in on a personal device or a different Chrome browser profile.
  • Secondary account sign in : Another scenario involves users who are signed in to their corporate account as a secondary account on another device. In this case, the Access Denied page might not appear on their primary device. However, log events will capture the access attempt that was denied on the secondary device. For details, go to Sign in to multiple accounts at once .

Что делать

  • Check if the user is signed in to their corporate account on another device.
  • Ensure endpoint verification is correctly installed and configured on all devices where the user accesses their corporate account.
  • Просмотрите журнал событий, чтобы получить информацию об устройстве и IP-адресах, которые помогут определить источник попытки отказа в доступе.

Принимайте меры на основе результатов поиска.

Создавайте правила действий и настраивайте оповещения.

  • Вы можете настроить оповещения на основе данных событий журнала с помощью правил формирования отчетов. Инструкции см. в разделе «Создание и управление правилами формирования отчетов» .
  • Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

    Для эффективного предотвращения, обнаружения и устранения проблем безопасности вы можете автоматизировать действия в инструменте расследования инцидентов безопасности и настроить оповещения, создав правила действий . Чтобы настроить правило, задайте для него условия, а затем укажите действия, которые должны быть выполнены при выполнении этих условий. Для получения более подробной информации перейдите в раздел «Создание и управление правилами действий» .

Принимайте меры на основе результатов поиска.

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

После выполнения поиска в инструменте расследования инцидентов безопасности вы можете предпринять действия на основе результатов поиска. Например, вы можете выполнить поиск на основе событий журнала Gmail, а затем использовать инструмент для удаления определенных сообщений, отправки сообщений в карантин или отправки сообщений в почтовые ящики пользователей. Для получения более подробной информации перейдите в раздел «Действия на основе результатов поиска» .

Управляйте своими расследованиями

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Просмотрите список ваших расследований

Чтобы просмотреть список расследований, которые принадлежат вам и которые были предоставлены вам, нажмите «Просмотреть расследования». Список расследований включает имена, описания и ответственных за расследования, а также дату последнего изменения.

Из этого списка вы можете выполнить действия с любыми принадлежащими вам расследованиями, например, удалить расследование. Установите флажок напротив нужного расследования, а затем нажмите «Действия» .

Примечание : Вы можете просмотреть сохраненные расследования в разделе «Быстрый доступ» , непосредственно над списком расследований.

Настройте параметры для ваших расследований.

От имени суперадминистратора нажмите «Настройки». к:

  • Измените часовой пояс для ваших исследований. Часовой пояс применяется к условиям поиска и результатам.
  • Включите или выключите параметр «Требовать рецензентов» . Для получения более подробной информации перейдите в раздел «Требовать рецензентов для массовых действий» .
  • Включить или выключить отображение содержимого . Этот параметр позволяет администраторам с соответствующими правами просматривать содержимое.
  • Включить или выключить обоснование действий .

Для получения более подробной информации перейдите в раздел «Настройка параметров расследования» .

Сохраняйте, делитесь, удаляйте и дублируйте расследования.

Чтобы сохранить критерии поиска или поделиться ими с другими, вы можете создать и сохранить расследование, а затем поделиться им, скопировать или удалить его.

Для получения более подробной информации перейдите в раздел «Сохранение, предоставление доступа, удаление и дублирование расследований» .