رویدادهای لاگ دسترسی آگاه از متن

وقتی دسترسی کاربر به یک برنامه ارزیابی می‌شود

بسته به نسخه Google Workspace شما، ممکن است به ابزار بررسی امنیتی دسترسی داشته باشید که ویژگی‌های پیشرفته‌تری دارد. به عنوان مثال، مدیران ارشد می‌توانند مشکلات امنیتی و حریم خصوصی را شناسایی، اولویت‌بندی و در مورد آنها اقدام کنند. اطلاعات بیشتر

به عنوان مدیر سازمان خود، می‌توانید جستجوهایی را در رویدادهای لاگ Context-Aware Access انجام دهید و بر اساس نتایج، اقداماتی را انجام دهید. به عنوان مثال، می‌توانید سابقه‌ای از اقدامات را برای عیب‌یابی زمانی که دسترسی کاربر به یک برنامه رد یا مجاز می‌شود، مشاهده کنید. ورودی‌ها معمولاً ظرف یک ساعت پس از رد دسترسی کاربر ظاهر می‌شوند.

برای اطلاعات بیشتر، به مرور کلی دسترسی آگاه از متن مراجعه کنید.

توانایی شما برای انجام جستجو به نسخه گوگل، امتیازات مدیریتی و منبع داده شما بستگی دارد. می‌توانید جستجو را روی همه کاربران، صرف نظر از نسخه Google Workspace آنها، انجام دهید.

ابزار حسابرسی و تحقیق

برای جستجوی رویدادهای لاگ، ابتدا یک منبع داده انتخاب کنید. سپس یک یا چند فیلتر برای جستجوی خود انتخاب کنید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس گزارش‌دهی و سپس حسابرسی و تحقیق و سپس رویدادهای لاگ دسترسی آگاه از متن .

    مستلزم داشتن امتیاز مدیر حسابرسی و تحقیقات است.

  2. برای فیلتر کردن رویدادهایی که قبل یا بعد از یک تاریخ خاص رخ داده‌اند، برای تاریخ ، قبل یا بعد را انتخاب کنید. به طور پیش‌فرض، رویدادهای ۷ روز گذشته نمایش داده می‌شوند. می‌توانید محدوده تاریخ متفاوتی را انتخاب کنید یا روی برای حذف فیلتر تاریخ.

  3. روی افزودن فیلتر کلیک کنید و سپس یک ویژگی را انتخاب کنید. برای مثال، برای فیلتر کردن بر اساس یک نوع رویداد خاص، Event را انتخاب کنید.
  4. انتخاب اپراتور و سپس یک مقدار را انتخاب کنید و سپس روی اعمال کلیک کنید.
    • (اختیاری) برای ایجاد چندین فیلتر برای جستجوی خود، این مرحله را تکرار کنید.
    • (اختیاری) برای افزودن یک اپراتور جستجو، در بالای «افزودن فیلتر» ، AND یا OR را انتخاب کنید.
  5. روی جستجو کلیک کنید. با استفاده از برگه فیلتر ، می‌توانید جفت‌های پارامتر و مقدار ساده را برای فیلتر کردن نتایج جستجو وارد کنید. همچنین می‌توانید از برگه سازنده شرط استفاده کنید، جایی که فیلترها به صورت شرط‌هایی با عملگرهای AND/OR نمایش داده می‌شوند.

ابزار بررسی امنیتی

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard و Education Plus؛ Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

برای انجام جستجو در ابزار بررسی امنیتی، ابتدا یک منبع داده انتخاب کنید. سپس، یک یا چند شرط برای جستجوی خود انتخاب کنید. برای هر شرط، یک ویژگی ، یک عملگر و یک مقدار انتخاب کنید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس مرکز امنیتی و سپس ابزار تحقیق .

    نیاز به داشتن امتیاز مدیر مرکز امنیت دارد.

  2. روی منبع داده (Data source) کلیک کنید و رویدادهای گزارش Context Aware Access را انتخاب کنید.
  3. روی افزودن شرط کلیک کنید.
    نکته : می‌توانید یک یا چند شرط را در جستجوی خود بگنجانید یا جستجوی خود را با پرس‌وجوهای تو در تو سفارشی کنید. برای جزئیات بیشتر، به سفارشی‌سازی جستجوی خود با پرس‌وجوهای تو در تو بروید.
  4. روی ویژگی کلیک کنید و سپس یک گزینه را انتخاب کنید. برای مثال، برای فیلتر کردن بر اساس یک نوع رویداد خاص، Event را انتخاب کنید.
    برای مشاهده لیست کامل ویژگی‌ها، به بخش توضیحات ویژگی‌ها مراجعه کنید.
  5. یک اپراتور انتخاب کنید.
  6. یک مقدار وارد کنید یا یک مقدار از لیست انتخاب کنید.
  7. (اختیاری) برای افزودن شرایط جستجوی بیشتر، مراحل را تکرار کنید.
  8. روی جستجو کلیک کنید.
    می‌توانید نتایج جستجو از ابزار بررسی را در جدولی در پایین صفحه مرور کنید.
  9. (اختیاری) برای ذخیره تحقیقات خود، روی ذخیره کلیک کنید و سپس عنوان و توضیحات را وارد کنید و سپس روی ذخیره کلیک کنید.

یادداشت‌ها

  • در تب Condition builder ، فیلترها به صورت شرط‌هایی با عملگرهای AND/OR نمایش داده می‌شوند. همچنین می‌توانید از تب Filter برای اضافه کردن جفت‌های پارامتر و مقدار ساده برای فیلتر کردن نتایج جستجو استفاده کنید.
  • اگر به یک کاربر نام جدیدی بدهید، نتایج پرس‌وجو با نام قبلی کاربر را مشاهده نخواهید کرد. برای مثال، اگر OldName@example.com را به NewName@example.com تغییر نام دهید، نتایج رویدادهای مربوط به OldName@example.com را مشاهده نخواهید کرد.
  • فقط می‌توانید داده‌های موجود در پیام‌هایی را جستجو کنید که هنوز از سطل زباله حذف نشده‌اند.

توضیحات ویژگی

برای این منبع داده، می‌توانید هنگام جستجوی داده‌های رویداد لاگ از ویژگی‌های زیر استفاده کنید.

ویژگی توضیحات
سطح دسترسی اعمال شده سطوح دسترسی اعمال شده توسط مدیران برای برنامه خاص. اگر یکی از آنها رضایت داشته باشد، دسترسی کاربر اعطا می‌شود.
سطح دسترسی رضایت‌بخش

تمام سطوح دسترسی اعمال شده که کاربر با موفقیت در طول ارزیابی دسترسی به آنها دست یافته است. اگر این لیست خالی باشد، دسترسی اعطا نمی‌شود.

اگر حداقل یکی از سطوح دسترسی از ویژگی اعمال شده، در زیر سطح دسترسی راضی‌کننده قرار گیرد، آنگاه این یک رویداد اعطای دسترسی است. این رویداد در گزارش‌های حسابرسی دسترسی آگاه از متن، به عنوان دسترسی ارزیابی‌شده (Access Evaluated) نشان داده می‌شود.

سطح دسترسی رضایت‌بخش نیست

تمام سطوح دسترسی اعمال شده که کاربر در طول ارزیابی دسترسی به آنها نرسیده است. اگر هر سطح دسترسی از ویژگی Access level applied در این لیست ظاهر شود، دسترسی کاربر رد می‌شود.

توجه : فقط سطوح دسترسی اعمال شده در این لیست نمایش داده می‌شوند. سایر سطوح دسترسی تعریف شده در کنسول مدیریت که اعمال نشده‌اند، نمایش داده نمی‌شوند.

بازیگر آدرس ایمیل کاربری که اقدام را انجام داده است
نام گروه بازیگران

نام گروه بازیگر. برای اطلاعات بیشتر، به فیلتر کردن نتایج بر اساس گروه گوگل مراجعه کنید.

برای افزودن یک گروه به لیست مجاز گروه‌های فیلترینگ خود:

  1. نام گروه بازیگر را انتخاب کنید.
  2. روی فیلتر کردن گروه‌ها کلیک کنید.
    صفحه فیلتر کردن گروه‌ها نمایش داده می‌شود.
  3. روی افزودن گروه‌ها کلیک کنید.
  4. با وارد کردن چند کاراکتر اول نام یا آدرس ایمیل یک گروه، آن را جستجو کنید. وقتی گروه مورد نظر خود را مشاهده کردید، آن را انتخاب کنید.
  5. (اختیاری) برای افزودن گروه دیگر، گروه را جستجو و انتخاب کنید.
  6. وقتی انتخاب گروه‌ها تمام شد، روی «افزودن» کلیک کنید.
  7. (اختیاری) برای حذف گروه، روی «حذف گروه» کلیک کنید .
  8. روی ذخیره کلیک کنید.
واحد سازمانی بازیگر واحد سازمانی بازیگر
کاربرد می‌تواند هر کدام باشد:
  • برنامه‌ای که دسترسی کاربر به آن قطع شده است
  • برنامه‌ای که به کاربر اجازه دسترسی به آن داده شده است
  • (برای دسترسی به API) برنامه فراخوانی که سعی در دسترسی به یک API مسدود شده داشته است
  • (برای دسترسی به API) برنامه فراخوانی که به یک API مسدود نشده دسترسی داشته است
دسترسی به API مسدود شده

API برنامه‌ای که دسترسی کاربر به آن مسدود شده است. برای دسترسی به API، API که برنامه فراخوانی‌کننده از دسترسی به آن منع شده است.

(فقط برای حالت فعال و مانیتور که ممیزی‌ها را رد می‌کند، قابل اجرا است)

تاریخ تاریخ و زمان رویداد (در منطقه زمانی پیش‌فرض مرورگر شما نمایش داده می‌شود)
شناسه دستگاه

شناسه دستگاه، همانطور که در صفحه اصلی کنسول مدیریت نشان داده شده است و سپس دستگاه‌ها و سپس موبایل و نقاط پایانی و سپس دستگاه‌ها .

اگر دستگاه قابل شناسایی نباشد، این مقدار می‌تواند ناشناخته باشد.

وضعیت دستگاه

وضعیت دستگاهی که برای انجام این دسترسی استفاده می‌شود - برای مثال، عادی، خارج از همگام‌سازی (قدیمی یا قدیمی)، بین سازمانی (دستگاه متعلق به سازمان شما نیست) یا بدون سیگنال دستگاه (دستگاه قابل شناسایی نیست).

وقتی شناسه دستگاه ناشناخته است و ویژگی وضعیت دستگاه عبارت «بدون سیگنال دستگاه» را نشان می‌دهد، دستگاه کاربر فاقد عوامل گزارش‌دهی مانند تأیید نقطه پایانی یا مدیریت دستگاه تلفن همراه (MDM) است.

خطرات دستگاه خطرات امنیتی موجود در دستگاه که باعث شده کاربر به دلیل سیاست محافظت از دسترسی به برنامه، هشدار دریافت کند یا مسدود شود.
رویداد اقدام رویداد ثبت شده:
  • دسترسی رد شد—دسترسی به کاربر (بازیگر) فهرست‌شده برای برنامه‌ی فهرست‌شده رد شد.
  • دسترسی رد شد (حالت نظارت) - نشان می‌دهد که اگر سطح دسترسی در حالت فعال باشد، چه زمانی دسترسی رد می‌شود. برای جزئیات بیشتر، به Deploy Context-Aware Access مراجعه کنید.
  • دسترسی رد شد/به کاربر هشدار داده شد (مشاور امنیتی)—به دلیل سیاست محافظت از دسترسی برنامه توسط مشاور امنیتی ، دسترسی رد شد یا به کاربر هشدار داده شد.
  • خطای داخلی عدم دسترسی - به دلیل مشکلی در سرور اجرا، اجرای سیاست با شکست مواجه شد (دسترسی رد شد).
  • دسترسی ارزیابی شد - دسترسی آگاه از متن به کاربر (عامل) ذکر شده برای برنامه ذکر شده دسترسی اعطا شد.
  • دسترسی ارزیابی‌شده (حالت نظارت) - نشان می‌دهد که اگر سطح دسترسی در حالت فعال باشد، دسترسی Context-Aware Access چه زمانی اعطا می‌شود. برای جزئیات بیشتر، به Deploy Context-Aware Access مراجعه کنید.
آدرس آی‌پی آدرس IP بازیگر

آی‌پی ASN

شما باید این ستون را به نتایج جستجو اضافه کنید. برای مراحل، به مدیریت داده‌های ستون نتایج جستجو بروید .

شماره سامانه خودمختار IP (ASN)، زیربخش و منطقه مرتبط با ورودی گزارش.

برای بررسی IP ASN و کد منطقه و زیرمجموعه‌ای که فعالیت در آن رخ داده است، روی نام در نتایج جستجو کلیک کنید.

دسترسی API محافظت‌شده

API برنامه‌ای که کاربر از طریق Context-Aware Access به آن دسترسی پیدا کرده است.

برای دسترسی به API، APIای که برنامه‌ی فراخوانی‌کننده از طریق Context-Aware Access به آن دسترسی پیدا کرده است.

مدیریت داده‌های رویداد لاگ

رویدادهای گزارش عدم دسترسی (Access Denied) را درک کنید

گاهی اوقات ممکن است در رویدادهای لاگ Context-Aware Access برای یک کاربر، ورودی Access Denied دریافت کنید، حتی اگر او دریافت صفحه Access Denied را گزارش نکرده باشد.

چرا این اتفاق می‌افتد؟

  • ورود به سیستم از طریق چندین دستگاه : این مشکل می‌تواند زمانی رخ دهد که کاربر از طریق چندین دستگاه به حساب کاربری خود وارد شده باشد. این احتمال به ویژه زمانی بیشتر می‌شود که یکی از این دستگاه‌ها فاقد تأیید هویت نقطه پایانی باشد یا با حساب کاربری دیگری مرتبط باشد. به عنوان مثال، ممکن است از طریق یک دستگاه شخصی یا یک پروفایل مرورگر کروم متفاوت وارد سیستم شده باشد.
  • ورود به حساب کاربری ثانویه : سناریوی دیگر مربوط به کاربرانی است که به عنوان یک حساب کاربری ثانویه در دستگاه دیگری وارد حساب کاربری شرکتی خود شده‌اند. در این حالت، ممکن است صفحه « دسترسی ممنوع» در دستگاه اصلی آنها ظاهر نشود. با این حال، رویدادهای ثبت‌شده، تلاش دسترسی رد شده در دستگاه ثانویه را ثبت می‌کنند. برای جزئیات بیشتر، به «ورود همزمان به چندین حساب کاربری» مراجعه کنید.

چه باید کرد؟

  • بررسی کنید که آیا کاربر در دستگاه دیگری به حساب شرکتی خود وارد شده است یا خیر.
  • اطمینان حاصل کنید که تأیید هویت نقطه پایانی به درستی روی تمام دستگاه‌هایی که کاربر از طریق آنها به حساب شرکتی خود دسترسی پیدا می‌کند، نصب و پیکربندی شده است.
  • برای شناسایی منبع تلاش برای دسترسی رد شده، رویداد گزارش را برای اطلاعات دستگاه و آدرس‌های IP بررسی کنید.

بر اساس نتایج جستجو اقدام کنید

ایجاد قوانین فعالیت و تنظیم هشدارها

  • شما می‌توانید با استفاده از قوانین گزارش‌دهی، هشدارها را بر اساس داده‌های رویداد گزارش تنظیم کنید. برای دستورالعمل‌ها، به «ایجاد و مدیریت قوانین گزارش‌دهی» بروید.
  • نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard و Education Plus؛ Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

    برای کمک به پیشگیری، شناسایی و رفع مؤثر مشکلات امنیتی، می‌توانید اقدامات را در ابزار بررسی امنیتی خودکار کنید و با ایجاد قوانین فعالیت ، هشدارهایی تنظیم کنید. برای تنظیم یک قانون، شرایطی را برای آن قانون تعیین کنید و سپس اقداماتی را که باید در صورت برآورده شدن شرایط انجام شوند، مشخص کنید. برای جزئیات بیشتر، به ایجاد و مدیریت قوانین فعالیت بروید.

بر اساس نتایج جستجو اقدام کنید

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard و Education Plus؛ Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

پس از انجام جستجو در ابزار بررسی امنیتی، می‌توانید بر اساس نتایج جستجو، اقداماتی انجام دهید. برای مثال، می‌توانید بر اساس رویدادهای گزارش جیمیل، جستجو انجام دهید و سپس از این ابزار برای حذف پیام‌های خاص، ارسال پیام به قرنطینه یا ارسال پیام به صندوق ورودی کاربران استفاده کنید. برای جزئیات بیشتر، به «اقدام بر اساس نتایج جستجو» بروید.

تحقیقات خود را مدیریت کنید

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard و Education Plus؛ Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

فهرست تحقیقات خود را مشاهده کنید

برای مشاهده فهرستی از تحقیقاتی که متعلق به شماست و با شما به اشتراک گذاشته شده است، روی «مشاهده تحقیقات» کلیک کنید. فهرست تحقیقات شامل نام‌ها، توضیحات و صاحبان تحقیقات و تاریخ آخرین اصلاح است.

از این لیست، می‌توانید در مورد هر تحقیقی که متعلق به شماست، اقداماتی انجام دهید، مثلاً یک تحقیق را حذف کنید. کادر مربوط به تحقیق را علامت بزنید و سپس روی «اقدامات» کلیک کنید.

توجه : می‌توانید تحقیقات ذخیره‌شده خود را در بخش دسترسی سریع ، مستقیماً بالای فهرست تحقیقات خود، مشاهده کنید.

تنظیمات مربوط به تحقیقات خود را پیکربندی کنید

به عنوان مدیر ارشد ، روی تنظیمات کلیک کنید به:

  • منطقه زمانی تحقیقات خود را تغییر دهید. منطقه زمانی برای شرایط و نتایج جستجو اعمال می‌شود.
  • روشن یا خاموش کردن «نیاز به بررسی‌کننده» . برای جزئیات بیشتر، به «نیاز به بررسی‌کننده برای اقدامات انبوه» بروید.
  • فعال یا غیرفعال کردن مشاهده محتوا . این تنظیم به مدیرانی که دارای امتیازات مربوطه هستند اجازه می‌دهد محتوا را مشاهده کنند.
  • فعال یا غیرفعال کردن توجیه عمل .

برای جزئیات بیشتر، به پیکربندی تنظیمات برای تحقیقات خود بروید.

ذخیره، اشتراک‌گذاری، حذف و کپی کردن تحقیقات

برای ذخیره معیارهای جستجوی خود یا به اشتراک گذاری آن با دیگران، می‌توانید یک تحقیق ایجاد و ذخیره کنید و سپس آن را به اشتراک بگذارید، کپی کنید یا حذف کنید.

برای جزئیات بیشتر، به ذخیره، اشتراک‌گذاری، حذف و کپی کردن تحقیقات بروید.