Händelser i logg för efterlevnad av policy

För att få åtkomst till händelser i policyefterlevnadsloggen behöver du tillägget Google Workspace Assured Controls eller Assured Controls Plus . Kontakta din säljare för mer information.

Som organisationsadministratör kan du köra sökningar och vidta åtgärder gällande säkerhetsproblem relaterade till policyefterlevnad. Du kan till exempel använda datakällan för händelser i policyefterlevnadsloggen för att ta reda på om en användare, på ett specifikt datum, hade sina data lagrade i USA eller Europa, om deras databehandling också var regionaliserad och om någon av de avancerade inställningarna för dataregioner var aktiverade eller inaktiverade.

Din möjlighet att köra en sökning beror på din Google-utgåva, dina administratörsbehörigheter och datakällan. Du kan köra en sökning på alla användare, oavsett deras Google Workspace-utgåva.

Revisions- och utredningsverktyg

För att söka efter logghändelser, välj först en datakälla. Välj sedan ett eller flera filter för din sökning.

  1. I Googles administratörskonsol, gå till Meny och sedan Rapportering och sedan Revision och utredning och sedan Händelser i logg för policyefterlevnad .

    Kräver administratörsbehörighet som granskning och utredning .

  2. Klicka på Lägg till ett filter och sedan välj ett attribut. Om du till exempel vill filtrera efter en specifik händelsetyp väljer du Händelse .
  3. Välj en operator och sedan välj ett värde och sedan klicka på Verkställ .
    • (Valfritt) Upprepa det här steget om du vill skapa flera filter för din sökning.
    • (Valfritt) För att lägga till en sökoperator, välj OCH eller ELLER ovanför Lägg till ett filter .
  4. Klicka på Sök .
    Obs : Med hjälp av fliken Filter kan du inkludera enkla parameter- och värdepar för att filtrera sökresultaten. Du kan också använda fliken Villkorsbyggare , där filtren representeras som villkor med OCH/ELLER-operatorer.

Verktyg för säkerhetsutredning

För att köra en sökning i säkerhetsutredningsverktyget, välj först en datakälla. Välj sedan ett eller flera villkor för din sökning. För varje villkor väljer du ett attribut , en operator och ett värde .

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Säkerhetscenter och sedan Utredningsverktyg .

    Kräver administratörsbehörighet i säkerhetscenter .

  2. Klicka på Datakälla och välj Logghändelser för policyefterlevnad .
  3. Klicka på Lägg till villkor .
    Tips : Du kan inkludera ett eller flera villkor i din sökning eller anpassa din sökning med kapslade frågor . För mer information, gå till Anpassa din sökning med kapslade frågor .
  4. Klickattribut och sedan Välj ett alternativ. Om du till exempel vill filtrera efter en specifik händelsetyp väljer du Händelse .
    För en komplett lista över attribut, gå till avsnittet Attributbeskrivningar .
  5. Välj en operator.
  6. Ange ett värde eller välj ett värde från listan.
  7. (Valfritt) Upprepa stegen om du vill lägga till fler sökvillkor.
  8. Klicka på Sök .
    Du kan granska sökresultaten från undersökningsverktyget i en tabell längst ner på sidan.
  9. (Valfritt) För att spara din undersökning, klicka på Spara och sedan ange en titel och beskrivning och sedan klicka på Spara .

Anteckningar

  • På fliken Villkorsbyggare representeras filter som villkor med OCH/ELLER-operatorer. Du kan också använda fliken Filter för att inkludera enkla parameter- och värdepar för att filtrera sökresultaten.
  • Om du ger en användare ett nytt namn kommer du inte att se frågeresultat med användarens gamla namn. Om du till exempel byter namn på GammaltNamn@example.com till NyttNamn@example.com kommer du inte att se resultat för händelser relaterade till GammaltNamn@example.com .
  • Du kan bara söka efter data i meddelanden som ännu inte har raderats från papperskorgen.

Attributbeskrivningar

För den här datakällan kan du använda följande attribut när du söker efter logghändelsedata.

Attribut Beskrivning
Resursnamn Användarens namn
Resurs-ID Användarens e-postadress
Resurstyp Aktörens organisatoriska enhet
Applikations-ID Den typ av entitet detta avser, till exempel Användare
Händelse

Anger om den här posten avser tillämpning av en regionpolicy eller om den handlar om en avancerad inställning för icke-regionaliserade processer.

  • Tillämpad regionpolicy
  • Policy för icke-regionaliserade processer tillämpad
Policytyp för dataregioner Den region som tilldelats en användare och om den gäller lagring eller lagring och bearbetning, till exempel Dataregioner: region .
Policy för dataregioner Regionen som tilldelats en användare och om den gäller lagring eller lagring och bearbetning. Om användaren inte har en Assured Controls- eller Assured Controls Plus-licens ser du Kräver Assured Controls . Annars kan detta attribut vara:
  • USA (endast lagring)
  • USA (lagring och bearbetning)
  • Europa (endast lagring)
  • Europa (lagring och bearbetning)
  • Ingen preferens

IP-ASN

Du måste lägga till den här kolumnen i sökresultaten. För stegen, gå till Hantera kolumndata för sökresultat .

IP-nummer för autonomt system (ASN), underavdelning och region som är associerad med loggposten.

För att granska IP-ASN och underavdelnings- och regionkod där aktiviteten inträffade klickar du på namnet i sökresultaten.

Policytyp för icke-regionaliserade processer

Anger den avancerade inställning som den här posten refererar till. Om användaren inte har en Assured Controls- eller Assured Controls Plus-licens ser du Kräver Assured Controls . Annars kan det här attributet vara:

  • Dataregioner: Icke-regionaliserade processer för Google Chat och klassiska Hangouts
  • Dataregioner: Icke-regionaliserade processer i Google Meet
  • Dataregioner: Drive- och Docs-processer som inte är regionaliserade
  • Dataregioner: Icke-regionaliserade kalenderprocesser
  • Dataregioner: Icke-regionaliserade Gmail-processer
Policy för icke-regionaliserade processer

Värde associerat med policytypen. Kan vara antingen:

  • Aktiverad
  • Funktionshindrad
Version av dataregioner Version av dataregioner som användaren har. Kan vara:
  • Ingen
  • Grundläggande
  • Utbildning
  • Företag
  • Garanterade kontroller
För mer information, gå till Jämför funktioner i dataregioner .

Vidta åtgärder baserat på sökresultat

När du har kört en sökning i säkerhetsutredningsverktyget kan du agera utifrån dina sökresultat. Du kan till exempel köra en sökning baserat på händelser i policyefterlevnadsloggen och sedan ändra din policy för dataregioner om du hittar ett problem. För mer information om åtgärder i säkerhetsutredningsverktyget, gå till Vidta åtgärder baserat på sökresultat .

Hantera dina utredningar

Visa din lista över utredningar

Om du vill se en lista över de utredningar som du äger och som delats med dig klickar du på Visa utredningar Utredningslistan innehåller namn, beskrivningar och ägare till utredningarna, samt datum för senaste ändring.

Från den här listan kan du vidta åtgärder för alla utredningar som du äger, till exempel att ta bort en utredning. Markera rutan för en utredning och klicka sedan på Åtgärder .

Obs ! Du kan se dina sparade undersökningar under Snabbåtkomst , direkt ovanför din lista över undersökningar.

Konfigurera inställningar för dina undersökningar

Som superadministratör klickar du på Inställningar till:

  • Ändra tidszonen för dina undersökningar. Tidszonen gäller för sökvillkor och resultat.
  • Aktivera eller inaktivera Kräv granskare . För mer information, gå till Kräv granskare för massåtgärder .
  • Aktivera eller inaktivera Visa innehåll . Den här inställningen tillåter administratörer med lämpliga behörigheter att visa innehåll.
  • Slå på eller av Aktivera åtgärdsjustering .

För mer information, gå till Konfigurera inställningar för dina undersökningar .

Dela, radera och duplicera undersökningar

För att spara dina sökkriterier eller dela dem med andra kan du skapa och spara en undersökning och sedan dela, duplicera eller ta bort den.

För mer information, gå till Spara, dela, ta bort och duplicera undersökningar .