Créer et gérer des règles de reporting

Configurer des alertes en fonction des données d'événements de journaux

Les règles de reporting sont des règles personnalisées. Elles vous permettent de configurer des alertes basées sur les données des événements de journaux (anciennement appelées journaux d'audit) affichées sur la page"Audit et enquête".

Pour configurer une règle, vous devez définir ses conditions et spécifier les actions à effectuer lorsque les conditions sont remplies. Une règle est simplement un moyen d'indiquer que si l'action X se produit, l'action Y doit automatiquement être effectuée. Vous pouvez par exemple configurer une règle de reporting pour vous avertir lorsqu'un utilisateur rend un fichier Drive visible sur le Web. Vous pouvez également la configurer pour recevoir des notifications par e-mail et des alertes dans le Centre d'alerte lorsque la règle est déclenchée.

Lorsque vous créez des règles de reporting, tenez compte des points suivants :

  • La possibilité de créer et d'afficher des règles de reporting dépend de votre édition Google Workspace et de vos droits d'administrateur. De plus, les règles de création de rapports ne sont disponibles que pour les administrateurs disposant d'un domaine. Seuls les administrateurs disposant d'un domaine peuvent recevoir des alertes ou des e-mails concernant les règles de reporting. Pour en savoir plus, consultez Accès des administrateurs aux règles de reporting et aux activités.
  • Plutôt que de définir des règles de reporting, les administrateurs disposant d'éditions premium de Google Workspace telles qu'Enterprise Plus peuvent créer des règles d'activité plus avancées à partir de l'outil d'investigation de sécurité. Certains administrateurs disposant d'éditions premium peuvent créer des règles de reporting, mais seulement pour des sources de données spécifiques. Pour en savoir plus, consultez Accès des administrateurs aux règles de reporting et aux activités et Créer des règles d'activité à l'aide de l'outil d'investigation.
  • Pour toute nouvelle règle de reporting, les alertes envoyées par le centre d'alerte sont activées par défaut. Vous pouvez activer ou désactiver une alerte pour une règle de reporting existante depuis le centre d'alerte. Pour obtenir des instructions, consultez Activer ou désactiver des alertes à l'aide de règles.
  • Lorsque vous créez ou modifiez une règle de reporting, un délai maximum de 24 heures peut être nécessaire avant qu'elle ne s'applique.

Créer une règle de reporting

Sur la page "Règles" de la console d'administration Google, vous pouvez créer des règles de reporting. Vous pouvez configurer jusqu'à 50 alertes.

Procédez comme suit :

  1. Sur la page d'accueil de la console d'administration Google, cliquez sur Règles puis Créer une règle puis Activité.
  2. Saisissez un nom de règle (par exemple, Partage de données externe).
  3. Saisissez une description (par exemple, Signale si les documents sont partagés en dehors de l'entreprise).
  4. Cliquez sur Suivant : Afficher les conditions.
  5. Choisissez une source de données (par exemple, Événements du journal d'administration).
  6. Cliquez sur Ajouter un filtre.

  7. Sélectionnez l'un des attributs du filtre (par exemple, Acteur, Type d'appareil ou Événement).

    Remarque : Pour obtenir la liste complète des attributs et des descriptions d'attributs pour chaque source de données, consultez Sources de données pour la page "Audit et enquête", puis choisissez des articles d'aide dans la liste des sources de données.

  8. Choisissez la valeur du filtre (par exemple, le type d'événement tel que "Transfert de propriété du document" ou l'adresse e-mail de l'acteur).

    • Vous ne pouvez ajouter qu'une seule valeur pour l'attribut. Par exemple, "Acteur" ne peut inclure qu'un seul utilisateur. Pour inclure plusieurs valeurs, utilisez le générateur de conditions pour ajouter un opérateur OU, puis ajoutez le même attribut avec une valeur supplémentaire.
    • Vous pouvez ajouter plusieurs filtres à la règle en cliquant à nouveau sur Ajouter un filtre, en sélectionnant un attribut et en saisissant une valeur.

  9. Cliquez sur Suivant : Ajouter des actions.

  10. Indiquez si vous souhaitez que cette règle déclenche une alerte dans le centre d'alerte.

    Vous pouvez définir la sévérité sur Élevée, Moyenne ou Faible. Vous pouvez également choisir d'envoyer des notifications par e-mail en cochant l'option Tous les super-administrateurs, ou en cliquant sur Ajouter des destinataires d'e-mails afin d'envoyer des e-mails à certains administrateurs lorsque la règle est déclenchée.

  11. Pour vérifier ou modifier les détails de la règle, cliquez sur Suivant : Relire.

  12. Cliquez sur Créer une règle.

Remarque : Les règles de reporting n'acceptent pas les conditions jointes avec l'opérateur OU. Lorsque vous configurez une règle de reporting, vous pouvez utiliser l'onglet Générateur de conditions, où les filtres sont représentés par des conditions avec des opérateurs ET. Vous pouvez également utiliser l'onglet Filtre pour inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.

Afficher et modifier vos règles de reporting

Vous pouvez afficher ou modifier les détails de votre règle sur la page "Règles". Vous pouvez également y consulter la liste de toutes les règles créées par les administrateurs de votre domaine.

Sur la page "Règles", vous pouvez effectuer les actions suivantes :

  • Filtrer la liste des règles en cliquant sur Ajouter un filtre
  • Afficher et modifier les détails d'une règle en cliquant dessus
  • Supprimer des règles
  • Créer des règles

Remarque : Pour créer, afficher ou modifier une règle de reporting, vous devez disposer du droit "Rapports".

Notifications par e-mail

Si vous configurez des notifications par e-mail pour votre règle, des e-mails sont envoyés aux destinataires spécifiés lorsque la règle est déclenchée. Les notifications par e-mail contiennent un résumé de la règle ayant déclenché l'alerte, comprenant entre autres le nom de la règle, les informations relatives au seuil et la source de données. Les administrateurs recevant la notification par e-mail peuvent cliquer sur Afficher l'alerte pour accéder à la page "Détails de l'alerte" dans le centre d'alerte.

Notez que les règles de reporting ne peuvent être configurées que pour envoyer des e-mails aux utilisateurs internes du domaine. Toutefois, les administrateurs peuvent toujours configurer des alertes par e-mail externes via Google Groupes.