Zdarzenia z dziennika dostępu zależnego od kontekstu

Jak oceniany jest dostęp użytkownika do aplikacji?

W zależności od wersji Google Workspace możesz mieć dostęp do narzędzia do analizy zagrożeń, które ma bardziej zaawansowane funkcje. Superadministratorzy mogą na przykład identyfikować i grupować problemy związane z bezpieczeństwem oraz prywatnością, a także przeciwdziałać takim problemom. Więcej informacji

Jako administrator organizacji możesz wyszukiwać zdarzenia z dziennika dostępu zależnego od kontekstu oraz podejmować odpowiednie działania na podstawie wyników. Możesz na przykład wyświetlić rejestr działań, które pomogą rozwiązać problemy, gdy użytkownikowi odmówiono lub udzielono dostępu do aplikacji. Wpisy pojawiają się zwykle w ciągu godziny od odmowy dostępu.

Więcej informacji znajdziesz w artykule Omówienie dostępu zależnego od kontekstu.

Możliwość wyszukiwania zależy od wersji usługi Google, uprawnień administratora i źródła danych. Możesz przeprowadzić wyszukiwanie dla wszystkich użytkowników, niezależnie od używanej przez nich wersji Google Workspace.

Narzędzie do kontroli i analizy zagrożeń

Aby przeszukać zdarzenia z dziennika, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 filtr wyszukiwania.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Raportowanie a potemKontrola i analiza zagrożeń a potemZdarzenia z dziennika dostępu zależnego od kontekstu.

    Wymaga uprawnień administratora Kontrola i analiza zagrożeń.

  2. Aby filtrować zdarzenia, które wystąpiły przed lub po określonej dacie, w polu Data wybierz Przed lub Po. Domyślnie wyświetlane są zdarzenia z ostatnich 7 dni. Możesz wybrać inny zakres dat lub kliknąć , aby usunąć filtr daty.

  3. Kliknij Dodaj filtr a potem wybierz atrybut. Aby na przykład filtrować według określonego typu zdarzenia, wybierz Zdarzenie.
  4. Wybierz operatora a potemwybierz wartość a potemkliknij Zastosuj.
    • (Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania, powtórz ten krok.
    • (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
  5. Kliknij Szukaj. Uwaga: na karcie Filtr możesz uwzględnić proste pary parametrów i wartości, aby przefiltrować wyniki wyszukiwania. Możesz też użyć karty Narzędzie do definiowania warunków, gdzie filtry są mają postać warunków z operatorem ORAZ i LUB.

Narzędzie do analizy zagrożeń

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

Aby przeprowadzić wyszukiwanie w narzędziu do analizy zagrożeń, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 warunek wyszukiwania. Dla każdego warunku wybierz atrybut, operator i wartość.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Bezpieczeństwo a potemCentrum bezpieczeństwa a potemNarzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. Kliknij Źródło danych i wybierz Zdarzenia z dziennika dostępu zależnego od kontekstu.
  3. Kliknij Dodaj warunek.
    Wskazówka: w wyszukiwaniu możesz uwzględnić 1 lub kilka warunków. Możesz też dostosować wyszukiwanie za pomocą zapytań zagnieżdżonych. Więcej informacji znajdziesz w artykule Dostosowywanie wyszukiwania za pomocą zapytań zagnieżdżonych.
  4. Kliknij Atrybut a potem wybierz opcję. Aby na przykład filtrować według określonego typu zdarzenia, wybierz Zdarzenie.
    Pełną listę atrybutów znajdziesz w sekcji Opisy atrybutów.
  5. Wybierz operator.
  6. Wpisz wartość lub wybierz ją z listy.
  7. (Opcjonalnie) Aby dodać więcej warunków wyszukiwania, powtórz te czynności.
  8. Kliknij Szukaj.
    Wyniki wyszukiwania z narzędzia do analizy zagrożeń możesz sprawdzić w tabeli u dołu strony.
  9. (Opcjonalnie) Aby zapisać analizę zagrożeń, kliknij Zapisz  a potem wpisz tytuł i opis a potem kliknij Zapisz.

Uwagi

  • Na karcie Narzędzie do definiowania warunków filtry mają postać warunków z operatorami AND/OR. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.
  • Jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dotyczących zdarzeń powiązanych z nazwą stara_nazwa@example.com.
  • Możesz wyszukiwać dane tylko w wiadomościach, które nie zostały jeszcze usunięte z Kosza.

Opisy atrybutów

W przypadku tego źródła danych podczas wyszukiwania danych zdarzenia z dziennika możesz użyć tych atrybutów:

Atrybut Opis
Poziom dostępu zastosowany Poziomy dostępu zastosowane przez administratorów w przypadku konkretnej aplikacji. Po osiągnięciu jednego z nich użytkownikowi zostanie przyznany dostęp.
Wystarczający poziom dostępu

Wszystkie zastosowane poziomy dostępu, które użytkownik osiągnął podczas oceny dostępu. Jeśli ta lista jest pusta, dostęp nie został przyznany.

Jeśli co najmniej jeden z poziomów dostępu z zastosowanego atrybutu mieści się w zakresie Wystarczający poziom dostępu, wtedy ma miejsce zdarzenie przyznania dostępu. To zdarzenie jest wyświetlane w dziennikach kontrolnych dostępu zależnego od kontekstu jako Dostęp oceniony.
Brak odpowiedniego poziomu dostępu

Wszystkie zastosowane poziomy dostępu, których użytkownik nie osiągnął podczas oceny dostępu. Jeśli na tej liście znajdują się wszystkie poziomy dostępu z atrybutu Poziom dostępu zastosowany, następuje odmowa dostępu.

Uwaga: na tej liście pojawią się tylko zastosowane poziomy dostępu. Nie są wyświetlane inne poziomy dostępu zdefiniowane w konsoli administracyjnej, które nie są stosowane.
Użytkownik, który wykonał czynność Adres e-mail użytkownika, który wykonał czynność
Nazwa grupy

Nazwa grupy użytkownika, który wykonał czynność. Więcej informacji znajdziesz w artykule Filtrowanie wyników za pomocą grup dyskusyjnych Google.

Aby dodać grupę do listy dozwolonych grup filtrowania:

  1. Kliknij Nazwa grupy.
  2. Kliknij Grupy filtrowania.
    Pojawi się strona Grupy filtrowania.
  3. Kliknij Dodawanie grup.
  4. Wyszukaj grupę, wpisując kilka pierwszych znaków jej nazwy lub adresu e-mail. Gdy zobaczysz odpowiednią grupę, wybierz ją.
  5. (Opcjonalnie) Aby dodać kolejną grupę, wyszukaj ją i wybierz.
  6. Gdy wybierzesz odpowiednie grupy, kliknij Dodaj.
  7. (Opcjonalnie) Aby usunąć grupę, kliknij Usuń grupę .
  8. Kliknij Zapisz.
Jednostka organizacyjna użytkownika, który wykonał czynność Jednostka organizacyjna użytkownika, który wykonał czynność.
Aplikacja Może to być:
  • aplikacja, do której użytkownikowi odmówiono dostępu;
  • aplikacja, do której użytkownikowi przyznano dostęp;
  • (w przypadku dostępu do interfejsu API) aplikacja wywołująca, która próbowała uzyskać dostęp do zablokowanego interfejsu API.
  • (w przypadku dostępu do interfejsu API) aplikacja wywołująca, która uzyskała dostęp do odblokowanego interfejsu API.
Zablokowany dostęp do interfejsu API

Interfejs API aplikacji, do której użytkownikowi odmówiono dostępu. W przypadku dostępu do interfejsu API – interfejs API, do którego aplikacji wywołującej zablokowano dostęp.

(Dotyczy tylko audytów odmowy w trybie aktywnym i trybie monitorowania)
Data Data i godzina wystąpienia zdarzenia (według domyślnej strefy czasowej ustawionej w przeglądarce).
Identyfikator urządzenia

Identyfikator urządzenia widoczny na stronie głównej w konsoli administracyjnej a potemUrządzenia a potemUrządzenia mobilne i punkty końcowe a potemUrządzenia.

Jeśli nie udało się wykryć urządzenia, ta wartość może być nieznana.
Stan urządzenia

Stan urządzenia użytego do uzyskania dostępu – na przykład Normalny, Brak synchronizacji (nieaktualne lub stare), W wielu organizacjach (urządzenie nie należy do Twojej organizacji) lub Brak sygnałów z urządzenia (urządzenie nie zostało wykryte).

Jeśli identyfikator urządzenia jest nieznany, a atrybut stanu urządzenia ma wartość „Brak sygnałów z urządzenia”, oznacza to, że na urządzeniu użytkownika nie ma agentów raportowania, takich jak weryfikacja punktów końcowych czy zarządzanie urządzeniami mobilnymi (MDM).
Zagrożenia związane z urządzeniami Zagrożenia związane z bezpieczeństwem na urządzeniu, które wywołały ostrzeżenie lub spowodowały zablokowanie użytkownika zgodnie z zasadami ochrony dostępu do aplikacji przy pomocy doradcy ds. bezpieczeństwa.
Wydarzenie Działanie zarejestrowanego zdarzenia:
  • Odmowa dostępu – zablokowano dostęp wymienionemu użytkownikowi (który wykonał czynność) w wymienionej aplikacji.
  • Odmowa dostępu (tryb monitorowania) – wskazuje, kiedy dostęp zostałby zablokowany, gdyby poziom dostępu był w trybie aktywnym. Szczegółowe informacje znajdziesz w artykule Wdrażanie dostępu zależnego od kontekstu.
  • Odmowa dostępu/Ostrzeżenie dla użytkownika (doradca ds. bezpieczeństwa) – zablokowano dostęp użytkownikowi lub użytkownik otrzymał ostrzeżenie zgodnie z zasadami ochrony dostępu do aplikacji przy pomocy doradcy ds. bezpieczeństwa.
  • Błąd wewnętrzny odmowy dostępu – nie udało się wyegzekwować zasady (zablokowano dostęp) z powodu problemu z serwerem wymuszania.
  • Dostęp oceniony – przyznano dostęp wymienionemu użytkownikowi (który wykonał czynność) za pomocą dostępu zależnego od kontekstu w wymienionej aplikacji.
  • Dostęp oceniony (tryb monitorowania) – wskazuje, kiedy funkcja dostępu zależnego od kontekstu przyznałaby dostęp, gdyby poziom dostępu był w trybie aktywnym. Szczegółowe informacje znajdziesz w artykule Wdrażanie dostępu zależnego od kontekstu.
Adres IP Adres IP użytkownika, który wykonał działanie

ASN IP

Musisz dodać tę kolumnę do wyników wyszukiwania. Instrukcje znajdziesz w sekcji Zarządzanie danymi w kolumnie wyników wyszukiwania artykułu Zdarzenia z dziennika administratora.

Numer systemu autonomicznego adresu IP (ASN), pododdział i region powiązane z wpisem logu.

Aby sprawdzić identyfikator ASN adresu IP oraz kod pododdziału i regionu, w którym wystąpiła aktywność, kliknij nazwę w wynikach wyszukiwania.
Chroniony dostęp do interfejsu API

Interfejs API aplikacji, do której użytkownikowi przyznano dostęp dzięki dostępowi zależnemu od kontekstu.

W przypadku dostępu do interfejsu API – interfejs API, do którego aplikacja wywołująca uzyskała dostęp dzięki dostępowi zależnemu od kontekstu.

Zarządzanie danymi zdarzenia z dziennika

Wyjaśnienie zdarzeń „Odmowa dostępu” w dzienniku

Czasami w zdarzeniach z dziennika dostępu zależnego od kontekstu możesz zobaczyć wpis Odmowa dostępu dotyczący użytkownika, mimo że nie zgłosił on, że wyświetliła się mu strona Odmowa dostępu.

Dlaczego tak się dzieje

  • Logowanie na wielu urządzeniach: ten problem może wystąpić, gdy użytkownik jest zalogowany na swoim koncie na kilku urządzeniach. Może się pojawić, zwłaszcza jeśli na jednym z tych urządzeń nie skonfigurowano weryfikacji punktów końcowych lub jeśli jest ono powiązane z innym kontem. Użytkownik może na przykład być zalogowany na urządzeniu osobistym lub w innym profilu przeglądarki Chrome.
  • Logowanie się na konto dodatkowe: użytkownik mógł też zalogować się na swoje konto firmowe na innym urządzeniu, żeby używać go jako konta dodatkowego. W takim przypadku strona Odmowa dostępu może nie wyświetlić się na urządzeniu głównym. Nieudana próba uzyskania dostępu na urządzeniu dodatkowym zostanie jednak zarejestrowana w zdarzeniach w dzienniku. Więcej informacji znajdziesz w artykule Logowanie się na wiele kont jednocześnie.

Co zrobić

  • Sprawdź, czy użytkownik jest zalogowany na swoim koncie firmowym na innym urządzeniu.
  • Sprawdź, czy weryfikacja punktów końcowych została prawidłowo zainstalowana i skonfigurowana na wszystkich urządzeniach, na których użytkownik uzyskuje dostęp do konta firmowego.
  • Sprawdź zdarzenie w dzienniku, aby uzyskać informacje o urządzeniu i adresach IP, które pomogą Ci ustalić, gdzie miała miejsce nieudana próba uzyskania dostępu.

Podejmowanie działań na podstawie wyników wyszukiwania

Tworzenie reguł związanych z aktywnością i konfigurowanie alertów

  • Alerty na podstawie danych zdarzeń z dziennika możesz konfigurować za pomocą reguł raportowania. Instrukcje znajdziesz w artykule Tworzenie reguł raportowania i zarządzanie nimi.
  • Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

    Aby skutecznie zapobiegać problemom z zabezpieczeniami, wykrywać je i rozwiązywać, możesz zautomatyzować działanie narzędzia do analizy zagrożeń i skonfigurować alerty, tworząc reguły związane z aktywnością. Aby skonfigurować regułę, określ warunki reguły, a następnie wskaż czynności, które mają być wykonywane po spełnieniu tych warunków. Więcej informacji znajdziesz w artykule Tworzenie reguł związanych z aktywnością i zarządzanie nimi.

Podejmowanie działań na podstawie wyników wyszukiwania

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń możesz wykonywać działania na wynikach wyszukiwania. Na przykład po przeprowadzeniu wyszukiwania zdarzeń z dziennika Gmaila za pomocą narzędzia można usunąć określone wiadomości, wysłać je do kwarantanny lub do skrzynek odbiorczych użytkowników. Więcej informacji znajdziesz w artykule Podejmowanie działań na podstawie wyników wyszukiwania.

Zarządzanie analizami zagrożeń

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

Wyświetlanie listy szablonów analizy zagrożeń

Aby wyświetlić listę analiz zagrożeń, które należą do Ciebie lub zostały Ci udostępnione, kliknij Wyświetl operacje analizy zagrożeń . Na tej liście znajdują się nazwy, opisy i właściciele analiz zagrożeń oraz daty ostatniej modyfikacji.

Na tej liście możesz też wykonywać czynności na swoich szablonach analizy zagrożeń – na przykład usuwać je. Zaznacz pole obok analizy zagrożeń i kliknij Czynności.

Uwaga: zapisane analizy zagrożeń możesz wyświetlić w sekcji Szybki dostęp, bezpośrednio nad listą analiz zagrożeń.

Konfigurowanie ustawień analizy zagrożeń

Jako superadministrator kliknij Ustawienia , aby:

  • zmienić strefę czasową analizy zagrożeń używaną w warunkach i wynikach wyszukiwania.
  • Włącz lub wyłącz opcję Wymagaj analizy. Więcej informacji znajdziesz w artykule Wymaganie zatwierdzania działań zbiorczych.
  • Włącz lub wyłącz opcję Wyświetl treść. To ustawienie pozwala administratorom z odpowiednimi uprawnieniami na wyświetlanie treści.
  • Włącz lub wyłącz opcję Włącz uzasadnianie działań.

Więcej informacji znajdziesz w artykule Konfigurowanie ustawień analizy zagrożeń.

Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń

Aby zapisać kryteria wyszukiwania lub udostępnić je innym osobom, możesz utworzyć i zapisać szablon analizy zagrożeń, a następnie udostępnić go, zduplikować lub usunąć.

Więcej informacji znajdziesz w artykule Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń.