情境感知存取權記錄事件

評估使用者的應用程式存取行為

視您的 Google Workspace 版本而定,您或許可以使用安全調查工具,享有更多進階功能。舉例來說,超級管理員可以找出安全性和隱私權問題,然後加以分類並採取適當措施。瞭解詳情

組織管理員可針對情境感知存取權記錄事件執行搜尋,並根據結果採取行動。舉例來說,使用者存取應用程式遭拒或獲准時,您可以查看動作記錄,排解問題。記錄項目通常會在事件發生後一小時內顯示。

詳情請參閱情境感知存取權總覽

能否執行搜尋取決於您的 Google 版本、管理員權限和資料來源。您可以對所有使用者進行搜尋,不論對方使用的 Google Workspace 版本為何,都是如此。

稽核與調查工具

如要搜尋記錄事件,請先選擇資料來源,然後選擇一或多個搜尋篩選器。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「報表」接下來「稽核與調查」接下來「情境感知存取權記錄事件」

    必須具備稽核與調查管理員權限。

  2. 如要篩選特定日期之前或之後發生的事件,請選取「日期」的「之前」或「之後」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍,或按一下 移除日期篩選器。

  3. 按一下「新增篩選器」 接下來選取屬性。舉例來說,如要依特定事件類型篩選,請選取「事件」
  4. 選取運算子 接下來選取值 接下來按一下「套用」
    • (選用) 如要建立多個搜尋篩選器,請重複執行這個步驟。
    • (選用) 如要新增搜尋運算子,請選取「新增篩選器」上方的「AND」或「OR」
  5. 按一下「搜尋」注意您可以在「篩選器」分頁中加入簡單的參數和值組來篩選搜尋結果。您也可以使用「條件建構工具」分頁,讓篩選器以 AND/OR 運算子表示條件。

安全調查工具

支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

如要使用安全調查工具執行搜尋,請先選擇「資料來源」,然後選擇一或多個搜尋篩選「條件」。再針對每個條件分別選擇「屬性」、「運算子」和「值」

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「安全中心」接下來「調查工具」

    必須具備安全中心管理員權限。

  2. 按一下「資料來源」,然後選取「情境感知存取權記錄事件」
  3. 按一下 [Add Condition]
    提示:您可以加入一或多個搜尋條件,或是使用「巢狀查詢」自訂搜尋方式。詳情請參閱「使用巢狀查詢自訂搜尋方式」。
  4. 按一下「屬性」 接下來選取所需選項。舉例來說,如要依特定事件類型篩選,請選取「事件」
    如需完整的屬性清單,請參閱「屬性說明」一節。
  5. 選取運算子。
  6. 輸入值或從清單中選取值。
  7. (選用) 如要新增更多搜尋條件,請重複以上步驟。
  8. 按一下「搜尋」
    您可以在頁面底部的表格中,查看調查工具的搜尋結果。
  9. (選用) 如要儲存調查,請按一下「儲存」 接下來輸入標題和說明 接下來按一下「儲存」

附註

  • 在「條件建構工具」分頁中,篩選器會以 AND/OR 運算子表示條件。您也可以使用「篩選器」分頁加入簡單的參數和值組合,篩選搜尋結果。
  • 如果為使用者設定新名稱,查詢結果中不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。
  • 您只能搜尋尚未從垃圾桶刪除的郵件資料。

屬性說明

搜尋此資料來源的記錄事件資料時,您可以利用下列屬性設定搜尋條件:

屬性 說明
套用存取層級 管理員針對特定應用程式套用的存取層級。如果符合其中之一,使用者將獲得授權。
存取層級符合要求

在存取權評估過程中,使用者符合哪些已套用的存取層級。如果這份清單沒有內容,便無法授權。

如果已套用的屬性中有至少一個存取層級可歸類為「存取層級符合要求」,這就屬於「授予存取權」事件。此事件在情境感知存取權稽核記錄中會顯示為「已評估存取權」。
存取層級不符要求

在存取權評估過程中,使用者不符合哪些已套用的存取層級。如果「已套用存取層級」屬性中的所有存取層級都列在此清單中,系統會拒絕使用者存取。

注意:這份清單只會顯示已套用的存取層級,不會顯示管理控制台中定義的其他存取層級。
Actor 執行動作的使用者電子郵件地址
執行者群組名稱

執行者的群組名稱。詳情請參閱「依 Google 群組篩選結果」。

如要將群組新增至篩選條件群組許可清單,請按照下列步驟操作:

  1. 選取「執行者群組名稱」
  2. 按一下「篩選條件群組」
    系統隨即顯示「篩選條件群組」頁面。
  3. 按一下「新增群組」
  4. 搜尋群組 (輸入群組名稱/群組電子郵件地址的前幾個字元),並在找到後選取該群組。
  5. (選用) 如要新增其他群組,請搜尋並選取群組。
  6. 選好群組後,按一下「新增」
  7. (選用) 如要移除群組,請按一下「移除群組」圖示
  8. 按一下 [儲存]
執行者機構單位 執行者的機構單位
應用程式 可以是下列任一項:
  • 使用者存取遭拒的應用程式。
  • 使用者獲准存取的應用程式。
  • (針對 API 存取) 嘗試存取遭封鎖 API 的呼叫應用程式
  • (針對 API 存取) 存取未封鎖 API 的呼叫應用程式
已封鎖的 API 存取權

使用者存取遭拒的應用程式 API。呼叫應用程式存取遭拒的 API 存取權。

(僅適用於正常和監控模式下的遭拒稽核記錄)
日期 事件發生的日期和時間 (以瀏覽器的預設時區為準)
裝置 ID

管理控制台首頁顯示的裝置 ID 接下來「裝置」 接下來「行動裝置與端點」 接下來「裝置」

如果無法偵測到裝置,系統可能將此值顯示為「不明」。
裝置狀態

執行此存取操作的裝置狀態,例如「標準」、「不同步」(過時或舊版)、「跨組織」(裝置不屬於貴組織) 或「沒有裝置信號」(無法偵測到裝置)。

如果裝置 ID 不明,且「裝置狀態」屬性顯示「沒有裝置信號」,表示使用者的裝置沒有回報代理程式,例如端點驗證或行動裝置管理服務 (MDM)。
裝置風險 裝置上存在安全風險,導致使用者收到警告或遭到封鎖,原因是「保護應用程式存取權的安全顧問」政策。
活動 系統所記錄的事件動作:
  • 存取遭拒:所列應用程式使用者 (執行者) 的存取權遭拒。
  • 存取遭拒 (監控模式):指出存取層級處於正常模式時,存取遭拒的時間。詳情請參閱「部署情境感知存取權」。
  • 存取權遭拒/已警告使用者 (安全顧問):因保護應用程式存取權的安全顧問政策,導致存取權遭拒或使用者收到警告。
  • 存取遭拒內部錯誤:強制執行的伺服器發生問題,因此政策強制執行失敗 (存取遭拒)。
  • 已評估存取權:情境感知存取權授予所列應用程式使用者 (執行者) 的存取權。
  • 已評估存取權 (監控模式):指出存取層級處於正常模式時,情境感知存取權授予存取權的時間。詳情請參閱「部署情境感知存取權」。
IP 位址 執行者的 IP 位址

IP ASN

您需要在搜尋結果加入這個資料欄,相關步驟請參閱「管理搜尋結果資料欄」。

與記錄項目相關聯的 IP 自治系統編號 (ASN)、行政分區和區域。

如要查看活動發生的 IP ASN、行政分區和區域代碼,請在搜尋結果中點選名稱。
受保護的 API 存取權

使用者藉由情境感知存取權獲權存取的應用程式 API。

就 API 存取權而言,則指藉由情境感知存取權授權給呼叫應用程式的 API。

管理記錄事件資料

瞭解「存取遭拒」記錄事件

有時,即便使用者未回報看到「存取遭拒」頁面,情境感知存取權記錄事件中仍可能顯示該使用者的「存取遭拒」項目。

發生原因

  • 在多部裝置上登入:如果使用者在多部裝置上登入帳戶,就可能導致這個問題。如果其中一部裝置缺乏端點驗證功能,或是連結了其他帳戶,這種情況就特別容易發生。舉例來說,使用者可能在個人裝置上登入帳戶,或同時登入了其他 Chrome 瀏覽器設定檔。
  • 登入次要帳戶:另一種情況是使用者在其他裝置上,登入公司帳戶做為次要帳戶。此時,主要裝置上可能不會顯示「存取遭拒」頁面,但系統仍會擷取在次要裝置上存取遭拒的記錄事件。詳情請參閱「一次登入多個帳戶」。

該做什麼

  • 檢查使用者是否在其他裝置上登入公司帳戶。
  • 確保使用者用於存取公司帳戶的「所有」裝置,都已正確安裝並設定端點驗證。
  • 查看記錄事件,確認裝置資訊和 IP 位址,找出存取遭拒的原因。

依據搜尋結果採取行動

建立活動規則及設定快訊

  • 您可以透過報告規則,根據記錄事件資料設定快訊。如需操作說明,請參閱「建立及管理報告規則」。
  • 支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

    為了有效地預防、偵測及修正安全問題,您可以建立「活動規則」,讓安全調查工具依此自動執行作業及傳送快訊。設定規則時,您需要先設定觸發規則的條件,再指定符合條件時要執行的動作。詳情請參閱「建立及管理活動規則」。

依據搜尋結果採取行動

支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

使用安全調查工具執行搜尋後,您可以對搜尋結果採取行動,舉例來說,您可以根據 Gmail 記錄事件執行搜尋,然後透過工具刪除特定郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。詳情請參閱「根據搜尋結果執行動作」。

管理調查項目

支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

查看調查清單

如要查看調查清單,一覽您本身擁有及接受他人共用的調查項目,請按一下「查看調查」圖示 。這份清單會列出調查項目的名稱、說明、擁有者和上次修改日期。

您可以在這份清單中對自己擁有的調查項目執行動作 (例如刪除調查項目),方法是勾選調查項目旁的方塊,然後按一下「動作」

注意:您可以在「快速存取」下方 (調查清單正上方) 查看已儲存的調查項目。

配置調查設定

超級管理員可以點選「設定」圖示 ,執行下列操作:

  • 變更調查項目的時區。搜尋條件和結果會套用這項時區設定。
  • 開啟或關閉「需要審查者」。詳情請參閱「要求為大量動作指派審查者」。
  • 開啟或關閉「查看內容」。這項設定可讓具備適當權限的管理員查看內容。
  • 開啟或關閉「請啟用動作執行原因」設定。

詳情請參閱「進行調查設定」。

儲存、共用、刪除及複製調查項目

如要儲存搜尋條件或與他人共用,您可以選擇建立並儲存調查項目,接著即可共用、複製或刪除這個調查項目。

詳情請參閱「儲存、共用、刪除及複製調查項目」。