Événements de journaux d'accès contextuel

Lors de l'évaluation de l'accès d'un utilisateur à une application

En fonction de votre édition Google Workspace, vous pouvez avoir accès à l'outil d'investigation de sécurité, qui offre des fonctionnalités plus avancées. Par exemple, les super-administrateurs peuvent identifier, trier et prendre les mesures adéquates concernant les problèmes de confidentialité et de sécurité. En savoir plus

En tant qu'administrateur de votre organisation, vous pouvez effectuer des recherches sur les événements de journaux d'accès contextuel et agir en fonction des résultats. Par exemple, vous pouvez afficher un récapitulatif des actions effectuées pour résoudre les problèmes d'accès refusé ou autorisé à une application. Les entrées apparaissent généralement dans l'heure qui suit le refus.

Pour en savoir plus, consultez Présentation de l'accès contextuel.

Votre capacité à effectuer une recherche dépend de votre édition Google, de vos droits d'administrateur et de la source de données. Vous pouvez lancer une recherche sur tous les utilisateurs, quelle que soit leur édition de Google Workspace.

Outil d'audit et d'investigation

Pour exécuter une recherche portant sur les événements de journaux, choisissez d'abord une source de données. Sélectionnez ensuite un ou plusieurs filtres pour votre recherche.

  1. Dans la console d'administration Google, accédez à Menu  puis Création de rapports puisAudit et enquête puisÉvénements de journaux d'accès contextuel.

    Vous devez disposer du droit d'administrateur Audit et enquête.

  2. Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après dans Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre plage de dates ou cliquer sur  pour supprimer le filtre de date.

  3. Cliquez sur Ajouter un filtre puis sélectionnez un attribut. Par exemple, pour filtrer par type d'événement spécifique, sélectionnez Événement.
  4. Sélectionnez un opérateur puissélectionnez une valeur puiscliquez sur Appliquer.
    • (Facultatif) Pour créer plusieurs filtres pour votre recherche, répétez cette étape.
    • (Facultatif) Pour ajouter un opérateur de recherche, sélectionnez ET ou OU au-dessus de Ajouter un filtre.
  5. Cliquez sur Rechercher. Remarque : L'onglet Filtre vous permet d'inclure des paires paramètres/valeurs simples pour filtrer les résultats de la recherche. Vous pouvez également utiliser l'onglet Générateur de conditions, dans lequel les filtres sont représentés par des conditions associées à des opérateurs AND/OR.

Outil d'investigation sur la sécurité

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Pour lancer une recherche dans l'outil d'investigation de sécurité, choisissez d'abord une source de données. Sélectionnez ensuite une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puisCentre de sécurité puisOutil d'investigation.

    Vous devez disposer du droit d'administrateur Centre de sécurité.

  2. Cliquez sur Source de données, puis sélectionnez Événements de journaux d'accès contextuel.
  3. Cliquez sur Ajouter une condition.
    Conseil : Vous pouvez inclure une ou plusieurs conditions dans votre recherche ou la personnaliser avec des requêtes imbriquées. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées.
  4. Cliquez sur Attribut puis sélectionnez une option. Par exemple, pour filtrer par type d'événement spécifique, sélectionnez Événement.
    Pour obtenir la liste complète des attributs, consultez la section Descriptions des attributs.
  5. Sélectionnez un opérateur.
  6. Saisissez une valeur ou sélectionnez-en une dans la liste.
  7. (Facultatif) Pour ajouter d'autres critères de recherche, répétez la procédure.
  8. Cliquez sur Rechercher.
    Vous pouvez consulter les résultats de recherche de l'outil d'investigation dans un tableau en bas de la page.
  9. (Facultatif) Pour enregistrer votre investigation, cliquez sur Enregistrer  puissaisissez un titre et une description puiscliquez sur Enregistrer.

Remarques

  • Dans l'onglet Générateur de conditions, les filtres sont représentés par des conditions avec des opérateurs AND/OR. L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.
  • Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendrez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous remplacez AncienNom@exemple.com par NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour les événements liés à AncienNom@exemple.com.
  • Vous ne pouvez rechercher des données que dans les messages qui n'ont pas encore été supprimés de la corbeille.

Descriptions des attributs

Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux.

Attribut Description
Niveau d'accès appliqué Niveaux d'accès appliqués par les administrateurs à l'application spécifique. Si l'un d'eux est satisfait, l'accès de l'utilisateur est accordé.
Niveau d'accès satisfait

Tous les niveaux d'accès appliqués que l'utilisateur a validés lors de l'évaluation des accès. Si cette liste est vide, l'accès n'est pas accordé.

Si au moins un des niveaux d'accès de l'attribut appliqué correspond à Niveau d'accès satisfait, il s'agit d'un événement d'octroi d'accès. Cet événement est indiqué comme Accès évalué dans les journaux d'audit de l'accès contextuel.
Niveau d'accès non satisfait

Tous les niveaux d'accès appliqués que l'utilisateur n'a pas validés lors de l'évaluation des accès. Si tous les niveaux d'accès de l'attribut Niveau d'accès appliqué apparaissent dans cette liste, l'accès de l'utilisateur est refusé.

Remarque : Seuls les niveaux d'accès appliqués apparaissent dans cette liste. Les autres niveaux d'accès définis dans la console d'administration qui ne sont pas appliqués n'apparaissent pas.
Acteur Adresse e-mail de l'utilisateur ayant réalisé l'action
Nom du groupe de l'acteur

Nom du groupe auquel appartient l'acteur. Pour en savoir plus, consultez Filtrer les résultats par groupe Google.

Pour ajouter un groupe à la liste d'autorisation des groupes de filtrage :

  1. Sélectionnez Nom du groupe de l'acteur.
  2. Cliquez sur Groupes de filtrage.
    La page "Groupes de filtrage" s'affiche.
  3. Cliquez sur Ajouter des groupes.
  4. Recherchez un groupe en saisissant les premiers caractères de son nom ou de son adresse e-mail. Lorsque vous avez trouvé le groupe, sélectionnez-le.
  5. (Facultatif) Pour ajouter un autre groupe, recherchez-le et sélectionnez-le.
  6. Une fois les groupes sélectionnés, cliquez sur Ajouter.
  7. (Facultatif) Pour supprimer un groupe, cliquez sur Supprimer le groupe .
  8. Cliquez sur Enregistrer.
Unité organisationnelle de l'acteur Unité organisationnelle de l'acteur
Application Peut être soit :
  • L'application à laquelle l'utilisateur s'est vu refuser l'accès
  • L'application à laquelle l'utilisateur s'est vu accorder l'accès
  • (Pour l'accès à l'API) L'application appelante qui a tenté d'accéder à une API bloquée
  • (Pour l'accès à l'API) L'application appelante qui a accédé à une API débloquée
Accès à l'API bloqué

L'API de l'application à laquelle l'utilisateur s'est vu refuser l'accès. Pour l'accès à l'API, l'API à laquelle l'application appelante s'est vu refuser l'accès.

(Applicable uniquement aux audits de refus en mode Actif et Moniteur)
Date Date et heure auxquelles l'événement s'est produit (affichées dans le fuseau horaire par défaut de votre navigateur)
ID de l'appareil

ID de l'appareil, tel qu'indiqué sur la page d'accueil de la console d'administration puisAppareils puisMobiles et points de terminaison puisAppareils.

Si l'appareil n'a pas pu être détecté, cette valeur peut être inconnue.
État de l'appareil

État de l'appareil utilisé pour effectuer cet accès, par exemple "Normal", "Non synchronisé" (obsolète ou ancien), "Inter-organisation" (l'appareil n'appartient pas à votre organisation) ou "Aucun signal de l'appareil" (impossible de détecter l'appareil).

Lorsque l'ID de l'appareil est inconnu et que l'attribut "État de l'appareil" indique "Aucun signal de l'appareil", l'appareil de l'utilisateur ne dispose pas d'agents de reporting, tels que la validation des points de terminaison ou la gestion des appareils mobiles (MDM).
Risques liés à l'appareil Risques de sécurité sur l'appareil qui ont entraîné l'avertissement ou le blocage de l'utilisateur en raison d'une règle du conseiller en sécurité pour protéger l'accès aux applications.
Événement Action consignée pour l'événement :
  • Accès refusé : l'accès a été refusé à l'utilisateur indiqué (acteur) pour l'application répertoriée.
  • Accès refusé (mode Moniteur) : indique quand l'accès serait refusé, si le niveau d'accès était en mode Actif. Pour en savoir plus, consultez Déployer l'accès contextuel.
  • Accès refusé/Utilisateur averti (conseiller en sécurité) : l'accès a été refusé ou un utilisateur a été averti en raison d'une règle du conseiller en sécurité pour protéger l'accès aux applications.
  • Accès refusé – erreur interne : échec de l'application de la règle (accès refusé) en raison d'un problème avec le serveur d'application.
  • Accès évalué : l'accès contextuel a accordé l'accès à l'utilisateur indiqué (acteur) pour l'application listée.
  • Accès évalué (mode Moniteur) : indique quand l'accès contextuel pourrait accorder l'accès si le niveau d'accès était en mode Actif. Pour en savoir plus, consultez Déployer l'accès contextuel.
Adresse IP Adresse IP de l'acteur

ASN de l'adresse IP

Vous devez ajouter cette colonne aux résultats de recherche. Pour savoir comment procéder, consultez Gérer les données des colonnes de résultats de recherche.

Numéro ASN (Autonomous System Number), subdivision et région de l'adresse IP associés à l'entrée de journal.

Pour examiner l'ASN et le code de subdivision et de région de l'adresse IP où l'activité a eu lieu, cliquez sur le nom dans les résultats de recherche.
Accès protégé aux API

L'API de l'application à laquelle l'utilisateur s'est vu accorder l'accès par l'accès contextuel.

Pour l'accès à l'API, l'API à laquelle l'application appelante s'est vu accorder l'accès par l'accès contextuel.

Gérer les données d'événement des journaux

Comprendre les événements de journaux "Accès refusé"

Il peut arriver que vous trouviez une entrée Accès refusé dans les événements de journaux d'accès contextuel pour un utilisateur, même s'il n'a pas signalé avoir vu une page Accès refusé.

Pourquoi ce problème se produit-il ?

  • Connexion à plusieurs appareils : ce problème peut survenir lorsqu'un utilisateur est connecté à son compte sur plusieurs appareils. Cela est particulièrement probable si l'un de ces appareils ne dispose pas de la validation des points de terminaison ou est associé à un autre compte. Par exemple, il est possible que l'utilisateur soit connecté sur un appareil personnel ou sur un autre profil de navigateur Chrome.
  • Connexion à un compte secondaire : un autre scénario concerne les utilisateurs connectés à leur compte professionnel en tant que compte secondaire sur un autre appareil. Dans ce cas, il est possible que la page Accès refusé ne s'affiche pas sur leur appareil principal. Toutefois, les événements de journaux enregistrent la tentative d'accès refusée sur l'appareil secondaire. Pour en savoir plus, consultez Se connecter à plusieurs comptes en même temps.

Ce qu'il faut faire

  • Vérifiez si l'utilisateur est connecté à son compte professionnel sur un autre appareil.
  • Assurez-vous que la validation des points de terminaison est correctement installée et configurée sur tous les appareils sur lesquels l'utilisateur accède à son compte d'entreprise.
  • Consultez l'événement de journal pour obtenir des informations sur l'appareil et les adresses IP afin d'identifier la source de la tentative d'accès refusée.

Effectuer des actions en fonction des résultats de recherche

Créer des règles d'activité et configurer des alertes

  • Vous pouvez configurer des alertes en fonction des données des événements de journaux à l'aide de règles de reporting. Pour savoir comment procéder, consultez Créer et gérer des règles de reporting.
  • Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

    Afin de prévenir, de détecter et de résoudre les problèmes de sécurité de façon efficace, vous pouvez automatiser les actions de l'outil d'investigation de sécurité et configurer des alertes en créant des règles d'activité. Pour définir une règle, vous devez configurer ses conditions, puis spécifier les actions à effectuer lorsque les conditions sont remplies. Pour en savoir plus, consultez Créer et gérer des règles d'activité.

Effectuer des actions en fonction des résultats de recherche

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Après avoir effectué une recherche dans l'outil d'investigation de sécurité, vous pouvez agir sur les résultats. Vous pouvez par exemple effectuer une recherche basée sur des événements de journaux Gmail, puis, à l'aide de l'outil, supprimer des messages spécifiques, envoyer des messages en zone de quarantaine, ou envoyer des messages vers la boîte de réception de certains utilisateurs. Pour en savoir plus, consultez Effectuer des actions en fonction des résultats de recherche.

Gérer vos investigations

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Afficher la liste des investigations

Pour afficher la liste des investigations dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations . La liste des investigations inclut leur nom, leur description et leur propriétaire, ainsi que la date de la dernière modification.

Cette liste vous permet d'intervenir sur les investigations dont vous êtes le propriétaire, par exemple pour en supprimer une. Cochez la case correspondant à une investigation, puis cliquez sur Actions.

Remarque : Vous pouvez afficher vos enquêtes enregistrées sous Accès rapide, juste au-dessus de votre liste d'enquêtes.

Configurer les paramètres de vos investigations

En tant que super-administrateur, cliquez sur Paramètres  pour effectuer les actions suivantes :

  • Modifier le fuseau horaire de vos investigations. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
  • Activez ou désactivez l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
  • Activez ou désactivez Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
  • Activez ou désactivez l'option Activer la justification des actions.

Pour en savoir plus, consultez Configurer les paramètres de vos investigations.

Enregistrer, partager, supprimer et dupliquer des enquêtes

Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une enquête, puis la partager, la dupliquer ou la supprimer.

Pour en savoir plus, consultez Enregistrer, partager, supprimer et dupliquer des enquêtes.