Logboek met gebeurtenissen voor naleving van het beleid

Om toegang te krijgen tot gebeurtenissen in het logboek voor naleving van het beleid, hebt u de add-on Google Workspace Assured Controls of Assured Controls Plus nodig. Neem voor meer informatie contact op met uw verkoopvertegenwoordiger.

Als beheerder van uw organisatie kunt u zoekopdrachten uitvoeren en acties ondernemen met betrekking tot beveiligingsproblemen die verband houden met de naleving van het beleid. U kunt bijvoorbeeld de gegevensbron 'Logboekgebeurtenissen voor beleidsnaleving' gebruiken om te achterhalen of de gegevens van een gebruiker op een bepaalde datum in de Verenigde Staten of Europa waren opgeslagen, of de gegevensverwerking ook regionaal was gelokaliseerd en of een van de geavanceerde instellingen voor gegevensregio's was in- of uitgeschakeld.

Of u een zoekopdracht kunt uitvoeren, hangt af van uw Google-editie, uw beheerdersrechten en de gegevensbron. U kunt een zoekopdracht uitvoeren voor alle gebruikers, ongeacht hun Google Workspace-editie.

Audit- en onderzoekstool

Om naar logboekgebeurtenissen te zoeken, kiest u eerst een gegevensbron. Selecteer vervolgens een of meer filters voor uw zoekopdracht.

  1. Ga in de Google Admin-console naar Menu. en dan Rapportage en dan Audit en onderzoek en dan Logboek met gebeurtenissen die de naleving van het beleid registreren .

    Hiervoor is de beheerdersbevoegdheid Audit & Onderzoek vereist.

  2. Klik op ' Een filter toevoegen'. en dan Selecteer een kenmerk. Om bijvoorbeeld te filteren op een specifiek gebeurtenistype, selecteer je Gebeurtenis .
  3. Selecteer een operator en dan selecteer een waarde en dan Klik op Toepassen .
    • (Optioneel) Om meerdere filters voor uw zoekopdracht te maken, herhaalt u deze stap.
    • (Optioneel) Om een ​​zoekoperator toe te voegen, selecteer je boven ' Een filter toevoegen ' de optie 'EN' of 'OF' .
  4. Klik op Zoeken .
    Opmerking : Via het tabblad Filter kunt u eenvoudige parameter-waardeparen gebruiken om de zoekresultaten te filteren. U kunt ook het tabblad Voorwaarden gebruiken, waar de filters worden weergegeven als voorwaarden met AND/OR-operatoren.

Beveiligingsonderzoekstool

Om een ​​zoekopdracht uit te voeren in de beveiligingsonderzoekstool, kiest u eerst een gegevensbron. Kies vervolgens een of meer voorwaarden voor uw zoekopdracht. Kies voor elke voorwaarde een kenmerk , een operator en een waarde .

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Beveiligingscentrum en dan Onderzoeksinstrument .

    Hiervoor is beheerdersrechten voor het beveiligingscentrum vereist.

  2. Klik op Gegevensbron en selecteer Logboekgebeurtenissen voor beleidsnaleving .
  3. Klik op Voorwaarde toevoegen .
    Tip : U kunt een of meer voorwaarden in uw zoekopdracht opnemen of uw zoekopdracht aanpassen met geneste query's . Zie ' Uw zoekopdracht aanpassen met geneste query's' voor meer informatie.
  4. Klikkenmerk en dan Selecteer een optie. Om bijvoorbeeld te filteren op een specifiek gebeurtenistype, selecteer je Gebeurtenis .
    Voor een volledige lijst met kenmerken, ga naar het gedeelte 'Beschrijvingen van kenmerken' .
  5. Selecteer een operator.
  6. Voer een waarde in of selecteer een waarde uit de lijst.
  7. (Optioneel) Om meer zoekcriteria toe te voegen, herhaalt u de stappen.
  8. Klik op Zoeken .
    Je kunt de zoekresultaten van de onderzoekstool in een tabel onderaan de pagina bekijken.
  9. (Optioneel) Om uw onderzoek op te slaan, klikt u op Opslaan. en dan Voer een titel en beschrijving in. en dan Klik op Opslaan .

Notities

  • In het tabblad 'Voorwaardenbouwer' worden filters weergegeven als voorwaarden met AND/OR-operatoren. U kunt ook het tabblad 'Filter' gebruiken om eenvoudige parameter-waardeparen op te nemen en zo de zoekresultaten te filteren.
  • Als u een gebruiker een nieuwe naam geeft, ziet u geen zoekresultaten meer met de oude naam van de gebruiker. Als u bijvoorbeeld OldName@example.com hernoemt naar NewName@example.com , ziet u geen resultaten meer voor gebeurtenissen die gerelateerd zijn aan OldName@example.com .
  • Je kunt alleen zoeken in berichten die nog niet uit de prullenbak zijn verwijderd.

Attribuutbeschrijvingen

Voor deze gegevensbron kunt u de volgende kenmerken gebruiken bij het zoeken naar logboekgebeurtenisgegevens.

Attribuut Beschrijving
Naam van de bron Naam van de gebruiker
Resource-ID E-mailadres van de gebruiker
Brontype Organisatorische eenheid van de actor
Applicatie-ID Het type entiteit waarnaar hier wordt verwezen, zoals Gebruiker
Evenement

Geeft aan of dit record betrekking heeft op het toepassen van een regiobeleid of op een geavanceerde instelling voor niet-regionale processen.

  • Regionaal beleid toegepast
  • Het beleid inzake niet-geregionaliseerde processen is toegepast.
Beleidstype voor gegevensregio's De regio die aan een gebruiker is toegewezen en of deze van toepassing is op opslag of op opslag en verwerking, zoals bijvoorbeeld gegevensregio's: regio .
Beleid inzake gegevensregio's De regio die aan een gebruiker is toegewezen en of deze van toepassing is op opslag of op opslag en verwerking. Als de gebruiker geen Assured Controls- of Assured Controls Plus-licentie heeft, ziet u 'Assured Controls vereist' . Anders kan dit kenmerk de volgende waarde hebben:
  • Verenigde Staten (alleen opslag)
  • Verenigde Staten (opslag en verwerking)
  • Europa (alleen opslag)
  • Europa (opslag en verwerking)
  • Geen voorkeur

IP ASN

Je moet deze kolom toevoegen aan de zoekresultaten. Zie 'Kolomgegevens van zoekresultaten beheren' voor de stappen .

Het IP-autonoom systeemnummer (ASN), de onderverdeling en de regio die aan de logboekvermelding zijn gekoppeld.

Om het IP-adres, het ASN en de regiocode (subdivisie en regio) te bekijken waar de activiteit plaatsvond, klikt u op de naam in de zoekresultaten.

Niet-geregionaliseerde processen beleidstype

Specificeert de geavanceerde instelling waarnaar dit record verwijst. Als de gebruiker geen Assured Controls- of Assured Controls Plus-licentie heeft, ziet u 'Assured Controls vereist' . Anders kan dit attribuut de volgende waarde hebben:

  • Gegevensregio's: Google Chat en klassieke Hangouts-processen die niet regionaal zijn ingedeeld
  • Gegevensregio's: Niet-geregionaliseerde processen in Google Meet
  • Gegevensregio's: Niet-geregionaliseerde processen voor Drive en Docs
  • Gegevensregio's: Kalenderprocessen die niet regionaal zijn ingedeeld
  • Gegevensregio's: Gmail-processen die niet regionaal zijn ingedeeld
Niet-geregionaliseerd procesbeleid

Waarde gekoppeld aan het polistype. Kan een van de volgende zijn:

  • Ingeschakeld
  • Gehandicapt
Versie van de gegevensregio's Versie van de gegevensregio's die de gebruiker heeft. Kan zijn:
  • Geen
  • Fundamenteel
  • Onderwijs
  • Onderneming
  • Gegarandeerde controles
Ga voor meer informatie naar Functies van gegevensregio's vergelijken .

Onderneem actie op basis van de zoekresultaten.

Nadat u een zoekopdracht hebt uitgevoerd in de tool voor beveiligingsonderzoek, kunt u actie ondernemen op basis van de zoekresultaten. U kunt bijvoorbeeld een zoekopdracht uitvoeren op basis van gebeurtenissen in het logboek met betrekking tot beleidsnaleving en vervolgens uw beleid voor gegevensregio's wijzigen als u een probleem vindt. Zie Actie ondernemen op basis van zoekresultaten voor meer informatie over acties in de tool voor beveiligingsonderzoek.

Beheer uw onderzoeken

Bekijk uw lijst met onderzoeken

Om een ​​lijst te bekijken van de onderzoeken die u bezit en die met u zijn gedeeld, klikt u op 'Onderzoeken bekijken'. De lijst met onderzoeken bevat de namen, beschrijvingen en eigenaren van de onderzoeken, en de datum van de laatste wijziging.

Vanuit deze lijst kunt u acties uitvoeren op alle onderzoeken die u beheert, bijvoorbeeld een onderzoek verwijderen. Vink het vakje van een onderzoek aan en klik vervolgens op Acties .

Opmerking : U kunt uw opgeslagen onderzoeken bekijken onder Snelle toegang , direct boven uw lijst met onderzoeken.

Configureer de instellingen voor uw onderzoeken.

Als superbeheerder klikt u op Instellingen. naar:

  • Wijzig de tijdzone voor uw zoekopdrachten. De tijdzone is van invloed op de zoekvoorwaarden en -resultaten.
  • Schakel de optie 'Reviewer vereisen' in of uit. Ga naar 'Reviewers vereisen voor bulkacties' voor meer informatie.
  • Schakel 'Inhoud weergeven' in of uit. Met deze instelling kunnen beheerders met de juiste rechten de inhoud bekijken.
  • Schakel de actierechtvaardiging in of uit.

Ga voor meer informatie naar Instellingen configureren voor uw onderzoeken .

Onderzoeken delen, verwijderen en dupliceren

Om je zoekcriteria op te slaan of met anderen te delen, kun je een zoekopdracht aanmaken en opslaan, en deze vervolgens delen, dupliceren of verwijderen.

Ga voor meer informatie naar Onderzoeken opslaan, delen, verwijderen en dupliceren .