Skapa och hantera rapporteringsregler

Konfigurera aviseringar baserade på logghändelsedata

Rapporteringsregler är anpassade regler som gör att du kan konfigurera aviseringar baserade på logghändelsedata (tidigare kallade "granskningsloggar") som visas på sidan för granskning och utredning.

För att konfigurera en regel ställer du in villkor för regeln och anger vilka åtgärder som ska utföras när villkoren är uppfyllda. En regel är helt enkelt ett sätt att säga att om x inträffar, så sker y automatiskt. Du kan till exempel ställa in en rapporteringsregel som varnar dig när en användare gör en Drive-fil synlig på webben. Du kan också ställa in regeln för att ta emot e-postmeddelanden och aviseringar från varningscentret när regeln utlöses.

Tänk på följande när du skapar rapporteringsregler:

  • Din möjlighet att skapa och visa rapporteringsregler beror på din Google Workspace-utgåva och dina administratörsbehörigheter. Dessutom stöds rapporteringsregler endast för administratörer med en domän. Endast administratörer med en domän kan ta emot aviseringar eller e-postmeddelanden om rapporteringsregler. Mer information finns i Administratörsåtkomst till rapporteringsregler och aktivitetsregler .
  • Istället för rapporteringsregler kan administratörer med premiumutgåvor av Google Workspace, som Enterprise Plus, skapa mer avancerade aktivitetsregler från säkerhetsutredningsverktyget. Vissa administratörer med premiumutgåvor kan skapa rapporteringsregler, men bara för specifika datakällor. För mer information, gå till Administratörsåtkomst till rapporteringsregler och aktivitetsregler och Skapa aktivitetsregler med utredningsverktyget .
  • Om du skapar en ny rapporteringsregel är varningar i varningscentret för den regeln aktiverade som standard. Om du vill aktivera eller inaktivera en varning för en befintlig rapporteringsregel kan du göra det från varningscentret. För instruktioner, gå till Använd regler för att aktivera eller inaktivera varningar .
  • När du skapar eller uppdaterar en rapporteringsregel kan det ta upp till 24 timmar innan regeln träder i kraft.

Skapa en rapporteringsregel

Du kan skapa rapporteringsregler från sidan Regler i Googles administratörskonsol. Du kan konfigurera högst 50 aviseringar.

Följ dessa steg:

  1. Från startsidan för Googles administratörskonsol klickar du på Regler och sedan Skapa regel och sedan Aktivitet .
  2. Ange ett regelnamn (till exempel Extern datadelning ) .
  3. Ange en beskrivning (till exempel Meddela om dokument delas utanför företaget ).
  4. Klicka på Nästa: Visa villkor .
  5. Välj en datakälla (till exempel administratörslogghändelser ).
  6. Klicka på Lägg till ett filter .

  7. Välj ett av attributen för filtret (till exempel Aktör , Enhetstyp eller Händelse ).

    Obs: För en komplett lista över attribut och attributbeskrivningar för varje datakälla, gå till sidan Datakällor för granskning och utredning och välj hjälpartiklar från listan över datakällor.

  8. Välj ett värde för filtret (till exempel typ av händelse, såsom överföring av dokumentägande eller aktörens e-postadress).

    • Du kan bara lägga till ett enda värde för attributet. Till exempel kan Aktör bara inkludera en användare. Om du vill inkludera flera värden använder du Villkorsbyggaren för att lägga till en ELLER-operator och lägger sedan till samma attribut med ytterligare värde.
    • Du kan lägga till flera filter i regeln genom att klicka på Lägg till ett filter igen, välja ett attribut och ange ett värde.

  9. Klicka på Nästa: Lägg till åtgärder .

  10. Välj om du vill att den här regeln ska utlösa en varning i varningscentret.

    Du kan välja allvarlighetsgraden Hög , Medel eller Låg . Du kan också välja att skicka e-postmeddelanden genom att markera rutan Alla avancerade administratörer eller genom att klicka på Lägg till e-postmottagare för att skicka e-postmeddelanden till utvalda administratörer när regeln utlöses.

  11. Om du vill granska eller redigera regelinformationen klickar du på Nästa: Granska.

  12. Klicka på Skapa regel.

Obs! Rapporteringsregler stöder inte villkor som kopplas till ELLER-operatorn. När du konfigurerar en rapporteringsregel kan du använda fliken Villkorsbyggare , där filter representeras som villkor med OCH-operatorer. Du kan också använda fliken Filter för att inkludera enkla parameter- och värdepar för att filtrera sökresultaten.

Visa och redigera dina rapporteringsregler

Du kan visa eller redigera informationen om din regel på sidan Regler. Du kan också se en lista över alla regler som har skapats av administratörer i din domän.

På sidan Regler kan du vidta följande åtgärder:

  • Filtrera listan med regler genom att klicka på Lägg till ett filter .
  • Visa och redigera informationen om en regel genom att klicka på regeln.
  • Ta bort regler.
  • Skapa nya regler.

Obs! För att skapa, visa eller redigera en rapporteringsregel behöver du rapporteringsbehörighet.

E-postmeddelanden

Om du konfigurerar e-postmeddelanden för din regel skickas e-postmeddelanden till angivna mottagare när regeln utlöses. E-postmeddelandet innehåller en sammanfattning av regeln som utlöste aviseringen, inklusive regelnamn, tröskelvärdesinformation, källdata med mera. Administratörer som får e-postmeddelandet kan klicka på Visa avisering för att komma till sidan Aviseringsinformation i aviseringscentret.

Observera att rapporteringsregler endast kan konfigureras för att skicka e-post till interna domänanvändare. Administratörer kan dock fortfarande konfigurera externa e-postaviseringar via Google Grupper.