Logghändelser för kontextmedveten åtkomst

När en användares åtkomst till en app utvärderas

Beroende på vilken Google Workspace-utgåva du har kan du ha tillgång till säkerhetsutredningsverktyget, som har mer avancerade funktioner. Till exempel kan avancerade administratörer identifiera, prioritera och vidta åtgärder mot säkerhets- och integritetsproblem. Läs mer

Som administratör för din organisation kan du söka på händelser i loggfilen för kontextmedveten åtkomst och vidta åtgärder baserat på resultaten. Du kan till exempel visa en lista över åtgärder för att felsöka när en användare nekas eller tillåts åtkomst till en app. Poster visas vanligtvis inom en timme efter att användarens åtkomst nekats.

För mer information, gå till Översikt över kontextmedveten åtkomst .

Din möjlighet att köra en sökning beror på din Google-utgåva, dina administratörsbehörigheter och datakällan. Du kan köra en sökning på alla användare, oavsett deras Google Workspace-utgåva.

Revisions- och utredningsverktyg

För att söka efter logghändelser, välj först en datakälla. Välj sedan ett eller flera filter för din sökning.

  1. I Googles administratörskonsol, gå till Meny och sedan Rapportering och sedan Revision och utredning och sedan Logghändelser för kontextmedveten åtkomst .

    Kräver administratörsbehörighet som granskning och utredning .

  2. För att filtrera händelser som inträffade före eller efter ett specifikt datum, välj Före eller Efter för Datum . Som standard visas händelser från de senaste 7 dagarna. Du kan välja ett annat datumintervall eller klicka på för att ta bort datumfiltret.

  3. Klicka på Lägg till ett filter och sedan välj ett attribut. Om du till exempel vill filtrera efter en specifik händelsetyp väljer du Händelse .
  4. Välj en operator och sedan välj ett värde och sedan klicka på Verkställ .
    • (Valfritt) Upprepa det här steget om du vill skapa flera filter för din sökning.
    • (Valfritt) För att lägga till en sökoperator, välj OCH eller ELLER ovanför Lägg till ett filter .
  5. Klicka på Sök . Obs ! Med hjälp av fliken Filter kan du inkludera enkla parameter- och värdepar för att filtrera sökresultaten. Du kan också använda fliken Villkorsbyggare , där filtren representeras som villkor med OCH/ELLER-operatorer.

Verktyg för säkerhetsutredning

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

För att köra en sökning i säkerhetsutredningsverktyget, välj först en datakälla. Välj sedan ett eller flera villkor för din sökning. För varje villkor väljer du ett attribut , en operator och ett värde .

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Säkerhetscenter och sedan Utredningsverktyg .

    Kräver administratörsbehörighet i säkerhetscenter .

  2. Klicka på Datakälla och välj Logghändelser för kontextmedveten åtkomst .
  3. Klicka på Lägg till villkor .
    Tips : Du kan inkludera ett eller flera villkor i din sökning eller anpassa din sökning med kapslade frågor . För mer information, gå till Anpassa din sökning med kapslade frågor .
  4. Klickattribut och sedan Välj ett alternativ. Om du till exempel vill filtrera efter en specifik händelsetyp väljer du Händelse .
    För en komplett lista över attribut, gå till avsnittet Attributbeskrivningar .
  5. Välj en operator.
  6. Ange ett värde eller välj ett värde från listan.
  7. (Valfritt) Upprepa stegen om du vill lägga till fler sökvillkor.
  8. Klicka på Sök .
    Du kan granska sökresultaten från undersökningsverktyget i en tabell längst ner på sidan.
  9. (Valfritt) För att spara din undersökning, klicka på Spara och sedan ange en titel och beskrivning och sedan klicka på Spara .

Anteckningar

  • På fliken Villkorsbyggare representeras filter som villkor med OCH/ELLER-operatorer. Du kan också använda fliken Filter för att inkludera enkla parameter- och värdepar för att filtrera sökresultaten.
  • Om du ger en användare ett nytt namn kommer du inte att se frågeresultat med användarens gamla namn. Om du till exempel byter namn på GammaltNamn@example.com till NyttNamn@example.com kommer du inte att se resultat för händelser relaterade till GammaltNamn@example.com .
  • Du kan bara söka efter data i meddelanden som ännu inte har raderats från papperskorgen.

Attributbeskrivningar

För den här datakällan kan du använda följande attribut när du söker efter logghändelsedata.

Attribut Beskrivning
Åtkomstnivå tillämpad De åtkomstnivåer som administratörerna tillämpar för den specifika appen. Om en av dem är uppfylld beviljas användaren åtkomst.
Åtkomstnivå uppfylld

Alla tillämpade åtkomstnivåer som användaren framgångsrikt uppnådde under åtkomstutvärderingen. Om listan är tom beviljas inte åtkomst.

Om minst en av åtkomstnivåerna från det tillämpade attributet faller under Åtkomstnivå uppfylld , är det en händelse för åtkomstbeviljande. Denna händelse visas som Åtkomst utvärderad i granskningsloggarna för kontextkänslig åtkomst.

Åtkomstnivån är inte uppfylld

Alla tillämpade åtkomstnivåer som användaren inte uppfyllde under åtkomstutvärderingen. Om alla åtkomstnivåer från attributet Tillämpad åtkomstnivå visas i den här listan nekas användaren åtkomst.

Obs ! Endast tillämpade åtkomstnivåer visas i den här listan. Andra åtkomstnivåer som definierats i administratörskonsolen och som inte tillämpas visas inte.

Skådespelare E-postadressen till användaren som utförde åtgärden
Skådespelarens gruppnamn

Aktörens gruppnamn. För mer information, gå till Filtrera resultat efter Google-grupp .

Så här lägger du till en grupp i din tillåtelselista för filtreringsgrupper:

  1. Välj aktörsgruppens namn .
  2. Klicka på Filtrera grupper .
    Sidan Filtrering av grupper visas.
  3. Klicka på Lägg till grupper .
  4. Sök efter en grupp genom att ange de första tecknen i dess namn eller e-postadress. När du ser önskad grupp markerar du den.
  5. (Valfritt) För att lägga till en annan grupp, sök efter och välj gruppen.
  6. När du är klar med att välja grupper klickar du på Lägg till .
  7. (Valfritt) För att ta bort en grupp, klicka på Ta bort grupp .
  8. Klicka på Spara .
Aktörens organisatoriska enhet Aktörens organisatoriska enhet
Ansökan Kan vara antingen:
  • Applikationen som användaren nekades åtkomst till
  • Den applikation som användaren beviljades åtkomst till
  • (För API-åtkomst) Den anropande applikationen som försökte komma åt ett blockerat API
  • (För API-åtkomst) Den anropande applikationen som åtkom ett oblockerat API
Blockerad API-åtkomst

API:et för applikationen som användaren nekades åtkomst till. För API-åtkomst, det API som den anropande applikationen blockerades från att komma åt.

(Gäller endast för nekade granskningar i aktivt läge och övervakningsläge)

Datum Datum och tid för händelsen (visas i din webbläsares standardtidszon)
Enhets-ID

Enhets-ID, som visas på startsidan för administratörskonsolen och sedan Enheter och sedan Mobil och slutpunkter och sedan Enheter .

Om enheten inte kunde detekteras kan detta värde vara okänt.

Enhetsstatus

Tillstånd för enheten som används för att utföra denna åtkomst – till exempel Normal, Ej synkroniserad (gammal eller inaktuell), Över hela organisationen (enheten tillhör inte din organisation) eller Inga enhetssignaler (enheten kan inte upptäckas).

När enhets-ID:t är okänt och attributet Enhetsstatus anger Ingen enhetssignal har användarens enhet inga rapporteringsagenter, till exempel slutpunktsverifiering eller hantering av mobila enheter (MDM).

Enhetsrisker Säkerhetsriskerna på enheten som orsakade att användaren varnades eller blockerades, på grund av en säkerhetsrådgivare för appåtkomstskyddspolicy .
Händelse Den loggade händelseåtgärden:
  • Åtkomst nekad – Åtkomst nekades den listade användaren (aktören) för det listade programmet.
  • Åtkomst nekad (övervakningsläge) – Anger när åtkomst skulle nekas om åtkomstnivån var i aktivt läge. Mer information finns i Distribuera kontextmedveten åtkomst .
  • Åtkomst nekad/Användare varnad (Säkerhetsrådgivare) – Åtkomst nekades, eller en användare varnades, på grund av en säkerhetsrådgivare för appåtkomstskyddspolicy .
  • Åtkomst nekad Internt fel – Policytillämpningen misslyckades (åtkomst nekades) på grund av ett problem med tillämpningsservern.
  • Åtkomst utvärderad – Kontextmedveten åtkomst beviljad åtkomst till den listade användaren (aktören) för det listade programmet.
  • Åtkomst utvärderad (övervakningsläge) – Anger när kontextmedveten åtkomst skulle bevilja åtkomst om åtkomstnivån var i aktivt läge. Mer information finns i Distribuera kontextmedveten åtkomst .
IP-adress Aktörens IP-adress

IP-ASN

Du måste lägga till den här kolumnen i sökresultaten. För stegen, gå till Hantera kolumndata för sökresultat .

IP-nummer för autonomt system (ASN), underavdelning och region som är associerad med loggposten.

För att granska IP-ASN och underavdelnings- och regionkod där aktiviteten inträffade klickar du på namnet i sökresultaten.

Skyddad API-åtkomst

API:et för den applikation som användaren beviljades åtkomst till via kontextmedveten åtkomst.

För API-åtkomst, det API som den anropande applikationen beviljades åtkomst till av kontextmedveten åtkomst.

Hantera logghändelsedata

Förstå händelser i loggförklaringen för nekad åtkomst

Ibland kan du få en post om åtkomst nekad i loggen för kontextkänslig åtkomst för en användare trots att de inte rapporterade att de fick sidan Åtkomst nekad .

Varför detta händer

  • Inloggningar på flera enheter : Det här problemet kan uppstå när en användare är inloggad på sitt konto på flera enheter. Det är särskilt troligt om en av dessa enheter saknar slutpunktsverifiering eller är kopplad till ett annat konto. De kan till exempel vara inloggade på en personlig enhet eller en annan Chrome-webbläsarprofil.
  • Inloggning på sekundärt konto : Ett annat scenario involverar användare som är inloggade på sitt företagskonto som ett sekundärt konto på en annan enhet. I det här fallet kanske sidan Åtkomst nekad inte visas på deras primära enhet. Logghändelser kommer dock att registrera det åtkomstförsök som nekades på den sekundära enheten. För mer information, gå till Logga in på flera konton samtidigt .

Vad man ska göra

  • Kontrollera om användaren är inloggad på sitt företagskonto på en annan enhet.
  • Säkerställ att slutpunktsverifiering är korrekt installerad och konfigurerad på alla enheter där användaren har åtkomst till sitt företagskonto.
  • Granska logghändelsen för enhetsinformation och IP-adresser för att identifiera källan till det nekade åtkomstförsöket.

Vidta åtgärder baserat på sökresultat

Skapa aktivitetsregler och konfigurera aviseringar

  • Du kan konfigurera aviseringar baserade på logghändelsedata med hjälp av rapporteringsregler. För instruktioner, gå till Skapa och hantera rapporteringsregler .
  • Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

    För att effektivt förebygga, upptäcka och åtgärda säkerhetsproblem kan du automatisera åtgärder i säkerhetsundersökningsverktyget och ställa in aviseringar genom att skapa aktivitetsregler . För att konfigurera en regel, ställ in villkor för regeln och ange sedan de åtgärder som ska utföras när villkoren är uppfyllda. För mer information, gå till Skapa och hantera aktivitetsregler .

Vidta åtgärder baserat på sökresultat

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

När du har kört en sökning i säkerhetsutredningsverktyget kan du agera utifrån dina sökresultat. Du kan till exempel köra en sökning baserat på Gmail-logghändelser och sedan använda verktyget för att ta bort specifika meddelanden, skicka meddelanden till karantän eller skicka meddelanden till användarnas inkorgar. För mer information, gå till Vidta åtgärder baserat på sökresultat .

Hantera dina utredningar

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

Visa din lista över utredningar

Om du vill se en lista över de utredningar som du äger och som delats med dig klickar du på Visa utredningar Utredningslistan innehåller namn, beskrivningar och ägare till utredningarna, samt datum för senaste ändring.

Från den här listan kan du vidta åtgärder för alla utredningar som du äger, till exempel att ta bort en utredning. Markera rutan för en utredning och klicka sedan på Åtgärder .

Obs ! Du kan se dina sparade undersökningar under Snabbåtkomst , direkt ovanför din lista över undersökningar.

Konfigurera inställningar för dina undersökningar

Som superadministratör klickar du på Inställningar till:

  • Ändra tidszonen för dina undersökningar. Tidszonen gäller för sökvillkor och resultat.
  • Aktivera eller inaktivera Kräv granskare . För mer information, gå till Kräv granskare för massåtgärder .
  • Aktivera eller inaktivera Visa innehåll . Den här inställningen tillåter administratörer med lämpliga behörigheter att visa innehåll.
  • Slå på eller av Aktivera åtgärdsjustering .

För mer information, gå till Konfigurera inställningar för dina undersökningar .

Spara, dela, radera och duplicera undersökningar

För att spara dina sökkriterier eller dela dem med andra kan du skapa och spara en undersökning och sedan dela, duplicera eller ta bort den.

För mer information, gå till Spara, dela, ta bort och duplicera undersökningar .