Gemini for Workspace регистрирует события

Проанализируйте взаимодействие пользователей с Gemini.

В зависимости от версии Google Workspace у вас может быть доступ к инструменту расследования инцидентов безопасности, который обладает более расширенными функциями. Например, суперадминистраторы могут выявлять, анализировать и принимать меры по проблемам безопасности и конфиденциальности. Подробнее

Как администратор вашей организации, вы можете выполнять поиск и принимать меры на основе событий журнала Gemini for Workspace. Например, вы можете просматривать взаимодействие пользователей с Gemini для создания и обобщения контента в Google Docs, Sheets, Slides и других сервисах Google Workspace.

Если ваша версия Google Workspace поддерживает это, вы можете использовать API отчетов для доступа к расширенным данным отчетов Google Workspace.

Возможность выполнения поиска зависит от вашей версии Google, ваших административных прав и источника данных. Вы можете выполнить поиск для всех пользователей, независимо от их версии Google Workspace.

Инструмент аудита и расследования

Для выполнения поиска событий в журнале сначала выберите источник данных. Затем выберите один или несколько фильтров для поиска.

  1. В консоли администратора перейдите в меню. а потом Отчетность а потом Аудит и расследование а потом Gemini for Workspace регистрирует события .
    Для этого необходимы права администратора по аудиту и расследованиям .

  2. Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту. чтобы удалить фильтр по дате.

  3. Нажмите « Добавить фильтр». а потом Выберите атрибут. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
  4. Выберите оператора а потом выберите значение а потом Нажмите «Применить» .
    • (Необязательно) Чтобы создать несколько фильтров для поиска, повторите этот шаг.
    • (Необязательно) Чтобы добавить оператор поиска, выше в разделе «Добавить фильтр» выберите «И» или «ИЛИ» .
  5. Нажмите «Поиск» . Примечание : На вкладке «Фильтр» можно использовать простые пары параметр-значение для фильтрации результатов поиска. Также можно использовать вкладку «Конструктор условий» , где фильтры представлены в виде условий с операторами И/ИЛИ.

Инструмент для проведения расследований в сфере безопасности

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Для выполнения поиска в инструменте анализа безопасности сначала выберите источник данных. Затем выберите одно или несколько условий для поиска. Для каждого условия выберите атрибут , оператор и значение .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. Щелкните «Источник данных» и выберите Gemini для событий журнала рабочей области.
  3. Нажмите «Добавить условие» .
    Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» .
  4. Атрибут клика а потом Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
    Полный список атрибутов см. в разделе «Описание атрибутов» .
  5. Выберите оператора.
  6. Введите значение или выберите значение из списка.
  7. (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
  8. Нажмите «Поиск» .
    Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы.
  9. (Необязательно) Чтобы сохранить результаты расследования, нажмите «Сохранить». а потом Введите заголовок и описание. а потом Нажмите « Сохранить ».

Примечания

  • На вкладке «Конструктор условий» фильтры представлены в виде условий с операторами И/ИЛИ. Вы также можете использовать вкладку «Фильтр» для добавления простых пар параметр-значение для фильтрации результатов поиска.
  • Если вы присвоите пользователю новое имя, вы не увидите результаты запросов со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .
  • Поиск данных возможен только в сообщениях, которые еще не были удалены из Корзины.

Описание атрибутов

Для этого источника данных при поиске данных о событиях журнала можно использовать следующие атрибуты.

Примечание: Не все атрибуты указаны для всех событий. Список не является исчерпывающим и может изменяться.

Атрибут Описание
Действие Действие, выполняемое пользователем в рамках сервиса Workspace, инициированное или поддерживаемое Gemini. Список всех действий см. в разделе «Действия в Admin SDK: Reports API» .
Актер Адрес электронной почты пользователя, выполнившего действие.
Название приложения Служба, где было совершено действие.
Дата Отметка времени события.
Описание Описание события.
Событие Зарегистрированное событие, например, событие «Использование функций», которое записывается в журнал, когда пользователь использует Gemini в службе Workspace.
Категория мероприятия

Тип действия ИИ. Возможные значения:

  • active_conversations — Беседа с Близнецами.
  • active_generate — возможности генерации изображений в Gemini, такие как GENERATE_IMAGES или GENERATE_SLIDES.
  • active_summarize — возможности Gemini по созданию кратких обзоров, такие как SUMMARIZE_THREAD.
  • active_unspecified — Категория, которая не генерируется и не суммируется.
  • Неактивный — категория, в которой пользователь не считается активно взаимодействующим с Gemini. Она не учитывается при подсчете активного использования.
  • неизвестно — категория, не засекреченная.
Источник функции Где взаимодействие с ИИ начинается в пользовательском интерфейсе. Для получения дополнительной информации о функциях и источниках функций перейдите на страницу Google Workspace with Gemini .

IP ASN

Необходимо добавить этот столбец в результаты поиска. Инструкции см. в разделе «Управление данными столбцов результатов поиска» .

Номер автономной системы (ASN), подразделение и регион IP-адреса, связанные с записью в журнале.

Чтобы просмотреть IP-адрес автономных систем (ASN), а также код подразделения и региона, где произошла активность, щелкните по названию в результатах поиска.

Примечание : Если вы присвоите пользователю новое имя, вы не получите результаты с этим пользователем и его старым именем. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не получите результаты для событий, связанных с OldName@example.com .

Управление данными событий журнала

Управление данными столбца результатов поиска

Вы можете управлять тем, какие столбцы данных будут отображаться в результатах поиска.

  1. В правом верхнем углу таблицы результатов поиска нажмите «Управление столбцами». .
  2. (Необязательно) Чтобы удалить текущие столбцы, нажмите «Удалить». .
  3. (Необязательно) Чтобы добавить столбцы, рядом с кнопкой «Добавить новый столбец » нажмите стрелку вниз. и выберите столбец с данными.
    Повторять по мере необходимости.
  4. (Необязательно) Чтобы изменить порядок столбцов, перетащите названия столбцов данных.
  5. Нажмите « Сохранить ».

Экспорт данных результатов поиска

Результаты поиска можно экспортировать в Google Sheets или в CSV-файл.

  1. В верхней части таблицы результатов поиска нажмите кнопку «Экспорт всех» .
  2. Введите имя а потом Нажмите «Экспорт» .
    Результаты экспорта отображаются под таблицей результатов поиска в разделе «Результаты действия экспорта» .
  3. Для просмотра данных щелкните по названию экспортируемого файла.
    Экспорт открывается в Google Sheets.

Ограничения на экспорт различаются:

  • Общий объем результатов экспорта ограничен 100 000 строками.
  • Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

    Если у вас установлен инструмент для проведения анализа безопасности, общий объем результатов экспорта ограничен 30 миллионами строк.

Для получения более подробной информации перейдите в раздел «Экспорт результатов поиска» .

Когда и как долго доступны данные?

Принимайте меры на основе результатов поиска.

Создавайте правила действий и настраивайте оповещения.

  • Вы можете настроить оповещения на основе данных событий журнала с помощью правил формирования отчетов. Инструкции см. в разделе «Создание и управление правилами формирования отчетов» .
  • Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

    Для эффективного предотвращения, обнаружения и устранения проблем безопасности вы можете автоматизировать действия в инструменте расследования инцидентов безопасности и настроить оповещения, создав правила действий . Чтобы настроить правило, задайте для него условия, а затем укажите действия, которые должны быть выполнены при выполнении этих условий. Для получения более подробной информации перейдите в раздел «Создание и управление правилами действий» .

Принимайте меры на основе результатов поиска.

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

После выполнения поиска в инструменте расследования инцидентов безопасности вы можете предпринять действия на основе результатов поиска. Например, вы можете выполнить поиск на основе событий журнала Gmail, а затем использовать инструмент для удаления определенных сообщений, отправки сообщений в карантин или отправки сообщений в почтовые ящики пользователей. Для получения более подробной информации перейдите в раздел «Действия на основе результатов поиска» .

Управляйте своими расследованиями

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Просмотрите список ваших расследований

Чтобы просмотреть список расследований, которые принадлежат вам и которые были предоставлены вам, нажмите «Просмотреть расследования». Список расследований включает имена, описания и ответственных за расследования, а также дату последнего изменения.

Из этого списка вы можете выполнить действия с любыми принадлежащими вам расследованиями, например, удалить расследование. Установите флажок напротив нужного расследования, а затем нажмите «Действия» .

Примечание : Вы можете просмотреть сохраненные расследования в разделе «Быстрый доступ» , непосредственно над списком расследований.

Настройте параметры для ваших расследований.

От имени суперадминистратора нажмите «Настройки». к:

  • Измените часовой пояс для ваших исследований. Часовой пояс применяется к условиям поиска и результатам.
  • Включите или выключите параметр «Требовать рецензентов» . Для получения более подробной информации перейдите в раздел «Требовать рецензентов для массовых действий» .
  • Включить или выключить отображение содержимого . Этот параметр позволяет администраторам с соответствующими правами просматривать содержимое.
  • Включить или выключить обоснование действий .

Для получения более подробной информации перейдите в раздел «Настройка параметров расследования» .

Сохраняйте, делитесь, удаляйте и дублируйте расследования.

Чтобы сохранить критерии поиска или поделиться ими с другими, вы можете создать и сохранить расследование, а затем поделиться им, скопировать или удалить его.

Для получения более подробной информации перейдите в раздел «Сохранение, предоставление доступа, удаление и дублирование расследований» .