Eventi dei log di accesso sensibile al contesto

Quando viene valutato l'accesso di un utente a un'app

A seconda della versione di Google Workspace che utilizzi, potresti avere accesso allo strumento di indagine sulla sicurezza, che offre funzionalità più avanzate. Ad esempio, i super amministratori possono identificare, assegnare una priorità e intervenire in caso di problemi di sicurezza e privacy. Scopri di più

In qualità di amministratore della tua organizzazione, puoi eseguire ricerche sugli eventi dei log di accesso sensibile al contesto e intervenire in base ai risultati. Ad esempio, puoi visualizzare un registro delle azioni per risolvere i problemi di negazione o concessione dell'accesso a un'app. Le voci vengono generalmente visualizzate entro un'ora dal momento in cui l'accesso viene negato.

Per saperne di più, vedi Panoramica dell'accesso sensibile al contesto.

La possibilità di eseguire ricerche dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Puoi eseguire una ricerca su tutti gli utenti, indipendentemente dalla versione di Google Workspace in uso.

Strumento di controllo e indagine

Per eseguire una ricerca degli eventi dei log, scegli innanzitutto un'origine dati. Poi scegli uno o più filtri per la ricerca.

  1. Nella Console di amministrazione Google, vai a Menu e poi Report e poiControllo e indagine e poiEventi dei log di accesso sensibile al contesto.

    È necessario disporre del privilegio amministrativo Controllo e indagine.

  2. Per filtrare gli eventi che si sono verificati prima o dopo una data specifica, seleziona Prima o Dopo per Data. Per impostazione predefinita, vengono mostrati gli eventi degli ultimi 7 giorni. Puoi selezionare un intervallo di date diverso o fare clic su per rimuovere il filtro della data.

  3. Fai clic su Aggiungi un filtro e poiseleziona un attributo. Ad esempio, per filtrare in base a un tipo di evento specifico, seleziona Evento.
  4. Seleziona un operatore e poiseleziona un valore e poifai clic su Applica.
    • (Facoltativo) Per creare più filtri per la ricerca, ripeti questo passaggio.
    • (Facoltativo) Per aggiungere un operatore di ricerca, sopra Aggiungi un filtro, seleziona AND oppure OR.
  5. Fai clic su Cerca. Nota: utilizzando la scheda Filtro, puoi includere semplici coppie di parametri e valori per filtrare i risultati di ricerca. Puoi anche utilizzare la scheda Generatore di condizioni, in cui i filtri sono rappresentati come condizioni con gli operatori E/O.

Strumento di indagine sulla sicurezza

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

Per eseguire una ricerca nello strumento di indagine sulla sicurezza, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poiCentro sicurezza e poiStrumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Fai clic su Origine dati e seleziona Eventi dei log di Accesso sensibile al contesto.
  3. Fai clic su Aggiungi condizione.
    Suggerimento: puoi includere una o più condizioni nella ricerca oppure personalizzarla con query nidificate. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate.
  4. Fai clic su Attributo e poi seleziona un'opzione. Ad esempio, per filtrare in base a un tipo di evento specifico, seleziona Evento.
    Per un elenco completo degli attributi, consulta la sezione Descrizioni degli attributi.
  5. Seleziona un operatore.
  6. Inserisci un valore o selezionane uno dall'elenco.
  7. (Facoltativo) Per aggiungere altre condizioni di ricerca, ripeti i passaggi.
  8. Fai clic su Cerca.
    Puoi esaminare i risultati di ricerca dello strumento di indagine in una tabella nella parte inferiore della pagina.
  9. (Facoltativo) Per salvare la tua indagine, fai clic su Salva e poiinserisci un titolo e una descrizione e poifai clic su Salva.

Note

  • Nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori AND/OR. Puoi anche utilizzare la scheda Filtro per includere coppie di parametri e valori semplici per filtrare i risultati della ricerca.
  • Se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.
  • Puoi cercare dati solo nei messaggi che non sono ancora stati eliminati dal cestino.

Descrizioni degli attributi

Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi dei log.

Attributo Descrizione
Livello di accesso applicato I livelli di accesso applicati dagli amministratori per l'app specifica. Se uno di questi è soddisfatto, l'accesso dell'utente verrà concesso.
Livello di accesso soddisfatto

Tutti i livelli di accesso applicati che l'utente ha soddisfatto durante la valutazione dell'accesso. Se questo elenco è vuoto, l'accesso non viene concesso.

Se almeno uno dei livelli di accesso dell'attributo applicato rientra in Livello di accesso soddisfatto, si tratta di un evento di concessione dell'accesso. Questo evento viene visualizzato come Accesso valutato nei log di controllo di Accesso sensibile al contesto.
Livello di accesso non soddisfatto

Tutti i livelli di accesso applicati che l'utente non ha soddisfatto durante la valutazione dell'accesso. Se in questo elenco sono presenti tutti i livelli di accesso dell'attributo Livello di accesso applicato, l'accesso dell'utente viene negato.

Nota: in questo elenco vengono visualizzati solo i livelli di accesso applicati. Gli altri livelli di accesso definiti nella Console di amministrazione che non vengono applicati non vengono visualizzati.
Actor Indirizzo email dell'utente che ha eseguito l'azione.
Nome del gruppo dell'attore

Il nome del gruppo dell'attore. Per saperne di più, vedi Filtrare i risultati in base a Google Gruppi.

Per aggiungere un gruppo alla lista consentita dei gruppi filtro:

  1. Seleziona Nome del gruppo dell'attore.
  2. Fai clic su Gruppi filtro.
    Viene visualizzata la pagina Gruppi filtro.
  3. Fai clic su Aggiungi gruppi.
  4. Cerca un gruppo inserendo i primi caratteri del nome o dell'indirizzo email. Quando viene visualizzato il gruppo che stai cercando, selezionalo.
  5. (Facoltativo) Per aggiungere un altro gruppo, cercalo e selezionalo.
  6. Al termine della selezione dei gruppi, fai clic su Aggiungi.
  7. (Facoltativo) Per rimuovere un gruppo, fai clic su Rimuovi gruppo .
  8. Fai clic su Salva.
Unità organizzativa dell'attore Unità organizzativa dell'attore
Applicazione Può essere:
  • L'applicazione per cui è stato negato l'accesso all'utente.
  • L'applicazione per cui è stato concesso l'accesso all'utente
  • (Per l'accesso API) L'applicazione chiamante che ha tentato di accedere a un'API bloccata
  • (Per l'accesso API) L'applicazione chiamante che ha eseguito l'accesso a un'API sbloccata
Accesso API bloccato

L'API dell'applicazione per cui è stato negato l'accesso all'utente. Per l'accesso API, l'API a cui è stato bloccato l'accesso da parte dell'applicazione chiamante.

(Applicabile solo agli audit di negazione in modalità attiva e di monitoraggio)
Data Data e ora dell'evento (nel fuso orario predefinito del browser).
ID dispositivo

L'ID dispositivo, indicato nella home page della Console di amministrazione e poiDispositivi e poiDispositivi mobili ed endpoint e poiDispositivi.

Se non è stato possibile rilevare il dispositivo, questo valore potrebbe essere sconosciuto.
Stato del dispositivo

Stato del dispositivo utilizzato per eseguire l'accesso, ad esempio Normale, Non sincronizzato (obsoleto o precedente), Tra più organizzazioni (il dispositivo non appartiene alla tua organizzazione) o Nessun segnale del dispositivo (il dispositivo non può essere rilevato).

Quando l'ID dispositivo è sconosciuto e l'attributo Stato del dispositivo indica Nessun indicatore del dispositivo, il dispositivo dell'utente non dispone di agenti di generazione di report, come la verifica degli endpoint o la gestione dei dispositivi mobili (MDM).
Rischi del dispositivo I rischi per la sicurezza sul dispositivo che hanno causato l'avviso o il blocco dell'utente a causa di una policy Consigli di sicurezza per la protezione dell'accesso alle app.
Evento L'azione registrata associata all'evento:
  • Accesso negato: l'accesso è stato negato all'utente (attore) elencato per l'applicazione elencata.
  • Accesso negato (modalità di monitoraggio): indica quando l'accesso verrà negato se il livello di accesso fosse in modalità attiva. Per maggiori dettagli, vai a Esegui il deployment dell'accesso sensibile al contesto.
  • Accesso negato/Avviso per l'utente (consigli di sicurezza): l'accesso è stato negato o un utente è stato avvisato a causa di una policy Consigli di sicurezza per la protezione dell'accesso alle app.
  • Errore interno: accesso negato: applicazione forzata del criterio non riuscita (accesso negato) a causa di un problema con il server di applicazione.
  • Accesso valutato: l'accesso sensibile al contesto ha concesso l'accesso all'utente (attore) elencato per l'applicazione elencata.
  • Accesso valutato (modalità di monitoraggio): indica quando l'accesso sensibile al contesto concederebbe l'accesso se il livello di accesso fosse in modalità attiva. Per maggiori dettagli, vai a Esegui il deployment dell'accesso sensibile al contesto.
Indirizzo IP Indirizzo IP dell'attore

ASN IP

Devi aggiungere questa colonna ai risultati di ricerca. Per i passaggi, vai a Gestire i dati delle colonne dei risultati di ricerca.

Numero di sistema autonomo (ASN) IP, sottodivisione e regione associati alla voce di log.

Per esaminare l'ASN IP, la sottodivisione e il codice regione in cui si è verificata l'attività, fai clic sul nome nei risultati di ricerca.
Accesso API protetto

L'API dell'applicazione a cui l'utente ha ottenuto l'accesso tramite l'accesso sensibile al contesto.

Per l'accesso API, l'API a cui è stato concesso l'accesso da parte dell'accesso sensibile al contesto all'applicazione chiamante.

Gestire i dati sugli eventi del log

Comprendere gli eventi dei log relativi all'accesso negato

A volte potresti visualizzare una voce Accesso negato negli eventi dei log di accesso sensibile al contesto per un utente, anche se non ha segnalato di aver visualizzato una pagina Accesso negato.

Perché succede

  • Accessi da più dispositivi: questo problema può verificarsi quando un utente ha eseguito l'accesso al proprio account su più dispositivi. Ciò è particolarmente probabile se uno di questi dispositivi non dispone della verifica degli endpoint o è associato a un altro account. Ad esempio, l'utente potrebbe aver eseguito l'accesso su un dispositivo personale o su un profilo del browser Chrome diverso.
  • Accesso all'account secondario: un altro scenario riguarda gli utenti che hanno eseguito l'accesso al proprio account aziendale come account secondario su un altro dispositivo. In questo caso, la pagina Accesso negato potrebbe non essere visualizzata sul dispositivo principale. Tuttavia, gli eventi dei log registreranno il tentativo di accesso negato sul dispositivo secondario. Per maggiori dettagli, vai ad Accedere simultaneamente a più account.

Cosa fare

  • Controlla se l'utente ha eseguito l'accesso al proprio account aziendale su un altro dispositivo.
  • Assicurati che la verifica degli endpoint sia installata e configurata correttamente su tutti i dispositivi su cui l'utente accede al proprio account aziendale.
  • Per identificare l'origine del tentativo di accesso negato, esamina l'evento di log per trovare informazioni sul dispositivo e indirizzi IP.

Intervenire in funzione dei risultati di ricerca

Creare regole di attività e configurare avvisi

  • Puoi configurare avvisi in base ai dati sugli eventi dei log utilizzando le regole di reporting. Per le istruzioni, vai a Creare e gestire le regole di reporting.
  • Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

    Per contribuire a prevenire, rilevare e risolvere in modo efficiente i problemi di sicurezza, puoi creare regole di attività per automatizzare azioni nello strumento di indagine sulla sicurezza e configurare avvisi. Per configurare una regola, imposta le sue condizioni e specifica quali azioni eseguire quando queste condizioni sono soddisfatte. Per maggiori dettagli, vedi Creare e gestire le regole di attività.

Intervenire in funzione dei risultati di ricerca

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

Dopo aver eseguito una ricerca nello strumento di indagine sulla sicurezza, puoi operare sui relativi risultati. Ad esempio, puoi eseguire una ricerca basata sugli eventi del log di Gmail e quindi utilizzare lo strumento per eliminare messaggi specifici, metterli in quarantena o inviarli nella Posta in arrivo degli utenti. Per maggiori dettagli, vedi Adottare azioni basate sui risultati di ricerca.

Gestire le indagini

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

Visualizzare l'elenco delle indagini

Per visualizzare un elenco delle indagini di tua proprietà e di quelle che sono state condivise con te, fai clic su Visualizza indagini . L'elenco delle indagini ne include i nomi, le descrizioni e i proprietari, nonché la data dell'ultima modifica.

Da questo elenco puoi eseguire azioni sulle indagini di tua proprietà, ad esempio eliminare un'indagine. Seleziona la casella in corrispondenza di un'indagine, quindi fai clic su Azioni.

Nota: puoi visualizzare le indagini salvate nella sezione Accesso rapido, direttamente sopra l'elenco delle indagini.

Configurare le impostazioni per le indagini

Come super amministratore, fai clic su Impostazioni per:

  • Modificare il fuso orario per le indagini. Il fuso orario si applica alle condizioni e ai risultati di ricerca.
  • Attivare o disattivare l'opzione Richiedi revisore. Per maggiori dettagli, vedi Richiedere revisori per azioni collettive.
  • Attiva o disattiva l'opzione Visualizza i contenuti. Questa impostazione consente agli amministratori con i privilegi appropriati di visualizzare i contenuti.
  • Attiva o disattiva l'opzione Abilita motivazione azione.

Per ulteriori dettagli, vedi Configurare le impostazioni per le indagini.

Salvare, condividere, eliminare e duplicare le indagini

Per condividere una ricerca con altri utenti o salvarne i criteri, puoi creare e salvare un'indagine e, successivamente, condividerla, duplicarla o eliminarla.

Per maggiori dettagli, vedi Salvare, condividere, eliminare e duplicare le indagini.