אירועים ביומן של בקרת גישה מבוססת-הקשר

כדי להריץ חיפוש לאירועים ביומן, צריך קודם לבחור מקור נתונים. ואז בוחרים מסנן אחד או יותר לחיפוש.

1. במסוף Google Admin, נכנסים לתפריט דיווח ביקורת וחקירה אירועים ביומן של גישה מודעת-הקשר.

   מעבר לאירועים ביומן של בקרת גישה מבוססת-הקשר

   כדי לעשות את זה צריך הרשאות אדמין לביקורת וחקירה.

2. כדי לסנן אירועים שהתרחשו לפני או אחרי תאריך מסוים, בוחרים באפשרות לפני או אחרי בקטע תאריך. כברירת מחדל, מוצגים אירועים מ-7 הימים האחרונים. אפשר לבחור טווח תאריכים אחר או ללחוץ על כדי להסיר את מסנן התאריכים.

3. לוחצים על הוספת מסנן בוחרים מאפיין. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
4. בוחרים אופרטור בוחרים ערך לוחצים על אישור.
   • (אופציונלי) כדי ליצור כמה מסננים לחיפוש, חוזרים על השלב הזה.
   • (אופציונלי) כדי להוסיף סימן או מילה למיקוד החיפוש, מעל הוספת מסנן, בוחרים באפשרות וגם או או.
5. לוחצים על חיפוש. הערה: אפשר להשתמש בכרטיסייה מסנן כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש. אפשר גם להשתמש בכרטיסייה הכלי להגדרת תנאים, שבה המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR.

כדי להריץ חיפוש בכלי לחקירת אבטחה, צריך קודם לבחור מקור נתונים. ואז בוחרים תנאי אחד או יותר לחיפוש. לכל תנאי, בוחרים מאפיין, אופרטור וערך.

1. במסוף Google Admin, נכנסים לתפריט אבטחה מרכז האבטחה כלי חקירה.

   כניסה לכלי החקירה

   כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

2. לוחצים על מקור נתונים ובוחרים באפשרות אירועים ביומן של בקרת גישה מבוססת-הקשר.
3. לוחצים על Add Condition.
   טיפ: אפשר לכלול תנאי אחד או יותר בחיפוש, או להתאים אישית את החיפוש באמצעות שאילתות עם היררכיית כללים. פרטים נוספים מופיעים במאמר בנושא התאמה אישית של חיפושים באמצעות שאילתות עם היררכיית כללים.
4. לוחצים על מאפיין בוחרים באחת מהאפשרויות. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
   רשימה מלאה של המאפיינים מופיעה בקטע תיאורי מאפיינים.
5. בוחרים אופרטור.
6. מזינים ערך או בוחרים ערך מהרשימה.
7. (אופציונלי) כדי להוסיף עוד תנאי חיפוש, חוזרים על השלבים.
8. לוחצים על חיפוש.
   בטבלה שבתחתית הדף אפשר לעיין בתוצאות החיפוש מכלי החקירה.
9. (אופציונלי) כדי לשמור את החקירה, לוחצים על סמל השמירה מזינים שם ותיאור לוחצים על שמירה.

הערות

• בכרטיסייה של הכלי להגדרת תנאים, המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR. אפשר גם להשתמש בכרטיסייה של המסננים כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש.
• אם תתנו למשתמש שם חדש, לא תראו תוצאות לשאילתות עם השם הישן שלו. לדוגמה, אם אתם משנים את השם של OldName@example.com ל-NewName@example.com, לא תראו תוצאות לאירועים שקשורים ל-OldName@example.com.
• אתם יכולים לחפש נתונים רק בהודעות שעדיין לא נמחקו מהאשפה.

לפעמים יכול להיות שיופיע ביומן האירועים של בקרת הגישה מבוססת-הקשר של משתמש ערך של הגישה נדחתה, גם אם הוא לא דיווח על כך שהוצג לו דף עם ההודעה הגישה נדחתה.

למה זה קורה

• כניסה לחשבון מכמה מכשירים: הבעיה הזו יכולה להתרחש כשמשתמש מחובר לחשבון שלו בכמה מכשירים. הסיכוי לכך גבוה במיוחד אם באחד מהמכשירים האלה אין אימות נקודות קצה או שהוא משויך לחשבון אחר. לדוגמה, הם עשויים להיות מחוברים במכשיר אישי או בפרופיל אחר בדפדפן Chrome.
• כניסה לחשבון משני: תרחיש נוסף הוא משתמשים שמחוברים לחשבון העסקי שלהם כחשבון משני במכשיר אחר. במקרה כזה, יכול להיות שהדף הגישה נדחתה לא יופיע במכשיר הראשי שלהם. עם זאת, אירועים ביומן יתעדו את ניסיון הגישה שנדחה במכשיר המשני. פרטים נוספים זמינים במאמר כניסה למספר חשבונות בו-זמנית.

מה לעשות

• בודקים אם המשתמש מחובר לחשבון העסקי שלו במכשיר אחר.
• חשוב לוודא שאימות נקודות הקצה מותקן ומוגדר בצורה נכונה בכל המכשירים שדרכם המשתמש ניגש לחשבון הארגוני שלו.
• בודקים את אירוע היומן כדי לראות את פרטי המכשיר וכתובות ה-IP, וכך לזהות את המקור של הניסיון הכושל לגשת לחשבון.

• אפשר להגדיר התראות על סמך נתוני אירועים ביומן באמצעות כללי דיווח. הוראות מפורטות זמינות במאמר יצירה וניהול של כללי דיווח.
• התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

  כדי למנוע בעיות אבטחה, לזהות אותן ולתקן אותן ביעילות, אתם יכולים להגדיר כללי פעילות להפעלה אוטומטית של פעולות בכלי לחקירת אבטחה, ולקבל התראות. כדי להגדיר כלל, צריך להגדיר את התנאים של הכלל ואז לציין את הפעולות שיש לבצע כשהתנאים מתקיימים. פרטים נוספים זמינים במאמר יצירה וניהול של כללי פעילות.

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. השוואה בין מהדורות

אחרי שמריצים חיפוש בכלי לחקירת אבטחה, אפשר לבצע פעולות על תוצאות החיפוש. לדוגמה, אפשר להריץ חיפוש על סמך אירועים ביומן של Gmail, ואז להשתמש בכלי כדי למחוק הודעות ספציפיות, לשלוח הודעות להסגר או לשלוח הודעות לתיבות הדואר הנכנס של המשתמשים. פרטים נוספים זמינים במאמר טיפול באירועים על סמך תוצאות החיפוש.

כדי לראות רשימה של החקירות שבבעלותכם ושל החקירות ששותפו איתכם, לוחצים על סמל הצגת החקירות . רשימת החקירות כוללת את השמות, התיאורים והבעלים של החקירות, ואת התאריך שבו בוצע השינוי האחרון.

מהרשימה הזו אפשר לבצע פעולות בחקירות שבבעלותכם, למשל למחוק חקירה. מסמנים את התיבה של החקירה ולוחצים על פעולות.

הערה: אפשר לראות את החקירות השמורות בקטע גישה מהירה, ממש מעל רשימת החקירות.

בתור סופר-אדמין, לוחצים על סמל ההגדרות כדי:

• שינוי אזור הזמן של החקירות. אזור הזמן חל על תנאי החיפוש ועל התוצאות.
• מפעילים או משביתים את האפשרות דרוש בודק. פרטים נוספים זמינים במאמר דרישת בודקים לפעולות בכמות גדולה.
• מפעילים או משביתים את האפשרות View content (הצגת תוכן). ההגדרה הזו מאפשרת לאדמינים עם ההרשאות המתאימות לצפות בתוכן.
• מפעילים או משביתים את ההגדרה יש להזין נימוק לפעולות לפני ביצוע.

פרטים נוספים זמינים במאמר בנושא הגדרת ההגדרות של החקירות.

כדי לשמור את קריטריוני החיפוש או לשתף אותם עם אחרים, אתם יכולים ליצור ולשמור חקירה, ואז לשתף, לשכפל או למחוק אותה.

פרטים נוספים זמינים במאמר בנושא שמירה, שיתוף, מחיקה ושכפול של חקירות.