События журнала доступа с учетом контекста

Когда оценивается доступ пользователя к приложению

В зависимости от версии Google Workspace у вас может быть доступ к инструменту расследования инцидентов безопасности, который обладает более расширенными функциями. Например, суперадминистраторы могут выявлять, анализировать и принимать меры по проблемам безопасности и конфиденциальности. Подробнее

Как администратор вашей организации, вы можете выполнять поиск по событиям журнала доступа с учетом контекста и принимать меры на основе результатов. Например, вы можете просмотреть запись действий по устранению неполадок, когда пользователю запрещен или разрешен доступ к приложению. Записи обычно появляются в течение часа после того, как пользователю был запрещен доступ.

Для получения более подробной информации перейдите к обзору контекстно-зависимого доступа .

Возможность выполнения поиска зависит от вашей версии Google, ваших административных прав и источника данных. Вы можете выполнить поиск для всех пользователей, независимо от их версии Google Workspace.

Инструмент аудита и расследования

Для выполнения поиска событий в журнале сначала выберите источник данных. Затем выберите один или несколько фильтров для поиска.

  1. В консоли администратора Google перейдите в меню. а потом Отчетность а потом Аудит и расследование а потом События журнала доступа с учетом контекста .

    Для этого необходимы права администратора по аудиту и расследованиям .

  2. Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту. чтобы удалить фильтр по дате.

  3. Нажмите « Добавить фильтр». а потом Выберите атрибут. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
  4. Выберите оператора а потом выберите значение а потом Нажмите «Применить» .
    • (Необязательно) Чтобы создать несколько фильтров для поиска, повторите этот шаг.
    • (Необязательно) Чтобы добавить оператор поиска, выше в разделе «Добавить фильтр» выберите «И» или «ИЛИ» .
  5. Нажмите «Поиск» . Примечание : На вкладке «Фильтр» можно использовать простые пары параметр-значение для фильтрации результатов поиска. Также можно использовать вкладку «Конструктор условий» , где фильтры представлены в виде условий с операторами И/ИЛИ.

Инструмент для проведения расследований в сфере безопасности

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Для выполнения поиска в инструменте анализа безопасности сначала выберите источник данных. Затем выберите одно или несколько условий для поиска. Для каждого условия выберите атрибут , оператор и значение .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. Щелкните «Источник данных» и выберите «События журнала доступа с учетом контекста» .
  3. Нажмите «Добавить условие» .
    Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» .
  4. Атрибут клика а потом Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
    Полный список атрибутов см. в разделе «Описание атрибутов» .
  5. Выберите оператора.
  6. Введите значение или выберите значение из списка.
  7. (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
  8. Нажмите «Поиск» .
    Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы.
  9. (Необязательно) Чтобы сохранить результаты расследования, нажмите «Сохранить». а потом Введите заголовок и описание. а потом Нажмите « Сохранить ».

Примечания

  • На вкладке «Конструктор условий» фильтры представлены в виде условий с операторами И/ИЛИ. Вы также можете использовать вкладку «Фильтр» для добавления простых пар параметр-значение для фильтрации результатов поиска.
  • Если вы присвоите пользователю новое имя, вы не увидите результаты запросов со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .
  • Поиск данных возможен только в сообщениях, которые еще не были удалены из Корзины.

Описание атрибутов

Для этого источника данных при поиске данных о событиях журнала можно использовать следующие атрибуты.

Атрибут Описание
Применен уровень доступа Уровни доступа, присвоенные администраторами конкретному приложению. Если хотя бы один из уровней выполнен, пользователю будет предоставлен доступ.
Уровень доступа удовлетворен

Все уровни доступа, которым пользователь успешно соответствовал в ходе оценки прав доступа. Если этот список пуст, доступ не предоставляется.

Если хотя бы один из уровней доступа, заданных в атрибуте, соответствует уровню «Уровень доступа удовлетворен» , то это событие предоставления доступа. В журналах аудита доступа с учетом контекста это событие отображается как «Доступ оценен» .

Уровень доступа не удовлетворен

Все уровни доступа, которым пользователь не соответствовал в ходе оценки доступа. Если в этом списке присутствуют все уровни доступа из атрибута «Уровень доступа» , доступ пользователя будет запрещен.

Примечание : В этом списке отображаются только примененные уровни доступа . Другие уровни доступа, определенные в консоли администратора, но не примененные, не отображаются.

Актер Адрес электронной почты пользователя, выполнившего действие
Название актёрской группы

Название группы, к которой принадлежит актёр. Для получения дополнительной информации перейдите в раздел «Фильтрация результатов по группам Google» .

Чтобы добавить группу в список разрешенных групп фильтрации:

  1. Выберите название группы акторов .
  2. Нажмите «Группы фильтрации» .
    Открывается страница «Группы фильтрации».
  3. Нажмите «Добавить группы» .
  4. Найдите группу, введя первые несколько символов ее названия или адреса электронной почты. Когда вы увидите нужную группу, выберите ее.
  5. (Необязательно) Чтобы добавить еще одну группу, найдите и выберите нужную группу.
  6. После выбора групп нажмите кнопку «Добавить» .
  7. (Необязательно) Чтобы удалить группу, нажмите «Удалить группу». .
  8. Нажмите « Сохранить ».
Организационное подразделение актёра Организационная единица актёра
Приложение Может быть любым из следующих вариантов:
  • Приложение, к которому пользователю был запрещен доступ.
  • Приложение, к которому пользователю был предоставлен доступ.
  • (Для доступа к API) Приложение, попытавшееся получить доступ к заблокированному API.
  • (Для доступа к API) Приложение, вызвавшее API и обратившееся к незаблокированному API.
Заблокирован доступ к API.

API приложения, к которому пользователю был запрещен доступ. В случае доступа к API, это API, к которому вызывающему приложению был заблокирован доступ.

(Применимо только к аудитам, отклоняемым в активном режиме и режиме мониторинга)

Дата Дата и время мероприятия (отображаются в часовом поясе по умолчанию вашего браузера)
Идентификатор устройства

Идентификатор устройства, отображаемый на главной странице консоли администратора. а потом Устройства а потом Мобильные устройства и конечные точки а потом Устройства .

Если устройство не удалось обнаружить, это значение могло быть неизвестным.

Состояние устройства

Состояние устройства, используемого для выполнения этого доступа, — например, «Нормальное», «Рассинхронизация (устаревшее)», «Внутри организации (устройство не принадлежит вашей организации)» или «Нет сигналов устройства (устройство не может быть обнаружено)».

Если идентификатор устройства неизвестен, а атрибут состояния устройства указывает на отсутствие сигналов от устройства, то устройство пользователя не имеет агентов отчетности, таких как проверка конечных точек или управление мобильными устройствами (MDM).

Риски, связанные с устройством Угрозы безопасности на устройстве, из-за которых пользователь получил предупреждение или был заблокирован консультантом по безопасности в рамках политики защиты доступа к приложению .
Событие Действие, зарегистрированное в журнале:
  • Доступ запрещен — доступ указанному пользователю (действующему лицу) к указанному приложению был запрещен.
  • Доступ запрещен (режим мониторинга) — указывает, когда доступ был бы запрещен, если бы уровень доступа находился в активном режиме. Для получения подробной информации см. раздел «Развертывание контекстно-зависимого доступа» .
  • Доступ запрещен/Пользователь получил предупреждение (от консультанта по безопасности) — Доступ был запрещен или пользователь получил предупреждение в связи с политикой защиты доступа к приложению, разработанной консультантом по безопасности .
  • Отказано в доступе. Внутренняя ошибка — Сбой применения политики (доступ запрещен) из-за проблемы с сервером применения политики.
  • Проверка доступа выполнена — доступ с учетом контекста предоставлен указанному пользователю (действующему лицу) для указанного приложения.
  • Доступ проверен (режим мониторинга) — указывает, когда контекстно-зависимый доступ предоставит доступ, если уровень доступа находится в активном режиме. Для получения подробной информации см. раздел «Развертывание контекстно-зависимого доступа» .
IP-адрес IP-адрес актора

IP ASN

Необходимо добавить этот столбец в результаты поиска. Инструкции см. в разделе «Управление данными столбцов результатов поиска» .

Номер автономной системы (ASN), подразделение и регион IP-адреса, связанные с записью в журнале.

Чтобы просмотреть IP-адрес автономных систем (ASN), а также код подразделения и региона, где произошла активность, щелкните по названию в результатах поиска.

Защищенный доступ к API

API приложения, к которому пользователь получил доступ посредством контекстно-зависимого доступа.

Для доступа к API используется тот API, к которому вызывающему приложению был предоставлен доступ посредством контекстно-зависимого доступа.

Управление данными событий журнала

Анализ событий журнала «Доступ запрещен»

Иногда в журнале событий контекстно-зависимого доступа для пользователя может появиться запись «Доступ запрещен», даже если он не сообщал о появлении страницы «Доступ запрещен» .

Почему это происходит

  • Вход в систему с нескольких устройств : Эта проблема может возникнуть, когда пользователь входит в свою учетную запись на нескольких устройствах. Это особенно вероятно, если на одном из этих устройств отсутствует проверка конечной точки или оно связано с другой учетной записью. Например, пользователь может войти в систему на личном устройстве или с другого профиля браузера Chrome.
  • Вход через дополнительную учетную запись : Другой сценарий включает пользователей, которые вошли в свою корпоративную учетную запись как в дополнительную учетную запись на другом устройстве. В этом случае страница « Доступ запрещен» может не отображаться на их основном устройстве. Однако события журнала зафиксируют попытку доступа, которая была отклонена на дополнительном устройстве. Подробнее см. раздел «Вход в несколько учетных записей одновременно» .

Что делать

  • Проверьте, вошел ли пользователь в свою корпоративную учетную запись на другом устройстве.
  • Убедитесь, что проверка конечных точек корректно установлена ​​и настроена на всех устройствах, с которых пользователь получает доступ к своей корпоративной учетной записи.
  • Просмотрите журнал событий, чтобы получить информацию об устройстве и IP-адресах, которые помогут определить источник попытки отказа в доступе.

Принимайте меры на основе результатов поиска.

Создавайте правила действий и настраивайте оповещения.

  • Вы можете настроить оповещения на основе данных событий журнала с помощью правил формирования отчетов. Инструкции см. в разделе «Создание и управление правилами формирования отчетов» .
  • Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

    Для эффективного предотвращения, обнаружения и устранения проблем безопасности вы можете автоматизировать действия в инструменте расследования инцидентов безопасности и настроить оповещения, создав правила действий . Чтобы настроить правило, задайте для него условия, а затем укажите действия, которые должны быть выполнены при выполнении этих условий. Для получения более подробной информации перейдите в раздел «Создание и управление правилами действий» .

Принимайте меры на основе результатов поиска.

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

После выполнения поиска в инструменте расследования инцидентов безопасности вы можете предпринять действия на основе результатов поиска. Например, вы можете выполнить поиск на основе событий журнала Gmail, а затем использовать инструмент для удаления определенных сообщений, отправки сообщений в карантин или отправки сообщений в почтовые ящики пользователей. Для получения более подробной информации перейдите в раздел «Действия на основе результатов поиска» .

Управляйте своими расследованиями

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Просмотрите список ваших расследований

Чтобы просмотреть список расследований, которые принадлежат вам и которые были предоставлены вам, нажмите «Просмотреть расследования». Список расследований включает имена, описания и ответственных за расследования, а также дату последнего изменения.

Из этого списка вы можете выполнить действия с любыми принадлежащими вам расследованиями, например, удалить расследование. Установите флажок напротив нужного расследования, а затем нажмите «Действия» .

Примечание : Вы можете просмотреть сохраненные расследования в разделе «Быстрый доступ» , непосредственно над списком расследований.

Настройте параметры для ваших расследований.

От имени суперадминистратора нажмите «Настройки». к:

  • Измените часовой пояс для ваших исследований. Часовой пояс применяется к условиям поиска и результатам.
  • Включите или выключите параметр «Требовать рецензентов» . Для получения более подробной информации перейдите в раздел «Требовать рецензентов для массовых действий» .
  • Включить или выключить отображение содержимого . Этот параметр позволяет администраторам с соответствующими правами просматривать содержимое.
  • Включить или выключить обоснование действий .

Для получения более подробной информации перейдите в раздел «Настройка параметров расследования» .

Сохраняйте, делитесь, удаляйте и дублируйте расследования.

Чтобы сохранить критерии поиска или поделиться ими с другими, вы можете создать и сохранить расследование, а затем поделиться им, скопировать или удалить его.

Для получения более подробной информации перейдите в раздел «Сохранение, предоставление доступа, удаление и дублирование расследований» .