כדי לגשת לאירועים ביומן של תאימות למדיניות, צריך את התוסף Assured Controls או Assured Controls Plus ל-Google Workspace. לפרטים נוספים, אפשר לפנות לנציג המכירות.
אדמינים בארגונים יכולים להריץ חיפושים על בעיות אבטחה שקשורות לתאימות למדיניות ולטפל בהן. לדוגמה, אפשר להשתמש במקור הנתונים של אירועים ביומן התאימות למדיניות כדי לדעת אם בתאריך מסוים, הנתונים של משתמש אוחסנו בארצות הברית או באירופה, אם עיבוד הנתונים שלו היה גם אזורי, ואם אחת מההגדרות של אזורים גיאוגרפיים מתקדמים לאחסון נתונים הופעלה או הושבתה.
הרצת חיפוש לאירועים ביומן
היכולת להריץ חיפוש תלויה במהדורת Google שלכם, בהרשאות האדמין ובמקור הנתונים. אתם יכולים להריץ חיפוש על כל המשתמשים, ללא קשר למהדורת Google Workspace שלהם.
כלי הביקורת והחקירה
כדי להריץ חיפוש לאירועים ביומן, צריך קודם לבחור מקור נתונים. ואז בוחרים מסנן אחד או יותר לחיפוש.
-
במסוף Google Admin, נכנסים לתפריט
דיווח ביקורת וחקירה אירועים ביומן של תאימות למדיניות.כדי לעשות את זה צריך הרשאות אדמין לביקורת וחקירה.
-
לוחצים על הוספת מסנן בוחרים מאפיין. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
-
בוחרים אופרטור בוחרים ערך לוחצים על החלת השינויים.
- (אופציונלי) כדי ליצור כמה מסננים לחיפוש, חוזרים על השלב הזה.
- (אופציונלי) כדי להוסיף סימן או מילה למיקוד החיפוש, מעל הוספת מסנן, בוחרים באפשרות וגם או או.
-
לוחצים על חיפוש.
הערה: אפשר להשתמש בכרטיסייה מסנן כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש. אפשר גם להשתמש בכרטיסייה הכלי להגדרת תנאים, שבה המסננים מיוצגים כתנאים עם אופרטורים של AND או OR.
הכלי לחקירת אבטחה
כדי להריץ חיפוש בכלי לחקירת אבטחה, צריך קודם לבחור מקור נתונים. ואז בוחרים תנאי אחד או יותר לחיפוש. לכל תנאי, בוחרים מאפיין, אופרטור וערך.
-
במסוף Google Admin, נכנסים לתפריט
אבטחה מרכז האבטחה כלי החקירה.כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.
- לוחצים על מקור נתונים ובוחרים באפשרות אירועים ביומן של תאימות למדיניות.
-
לוחצים על Add Condition.
טיפ: אפשר לכלול תנאי אחד או יותר בחיפוש, או להתאים אישית את החיפוש באמצעות שאילתות עם היררכיית כללים. פרטים נוספים מופיעים במאמר בנושא התאמה אישית של חיפושים באמצעות שאילתות עם היררכיית כללים. -
לוחצים על מאפיין בוחרים אפשרות. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
רשימה מלאה של המאפיינים מופיעה בקטע תיאורי מאפיינים. - בוחרים אופרטור.
- מזינים ערך או בוחרים ערך מהרשימה.
- (אופציונלי) כדי להוסיף עוד תנאי חיפוש, חוזרים על השלבים.
-
לוחצים על חיפוש.
בטבלה שבתחתית הדף אפשר לעיין בתוצאות החיפוש מכלי החקירה. -
(אופציונלי) כדי לשמור את החקירה, לוחצים על סמל השמירה
מזינים שם ותיאור לוחצים על שמירה.
הערות
- בכרטיסייה של הכלי להגדרת תנאים, המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR. אפשר גם להשתמש בכרטיסייה של המסננים כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש.
- אם תתנו למשתמש שם חדש, לא תראו תוצאות לשאילתות עם השם הישן שלו. לדוגמה, אם אתם משנים את השם של OldName@example.com ל-NewName@example.com, לא תראו תוצאות לאירועים שקשורים ל-OldName@example.com.
- אתם יכולים לחפש נתונים רק בהודעות שעדיין לא נמחקו מהאשפה.
תיאורים של מאפיינים
במקור הנתונים הזה, אתם יכולים להשתמש במאפיינים הבאים כשאתם מחפשים נתונים של אירועים ביומן:
| מאפיין | תיאור |
|---|---|
| שם המשאב | שם המשתמש |
| מזהה משאב | כתובת האימייל של המשתמש |
| סוג המשאב | היחידה הארגונית של המשתמש |
| מזהה אפליקציה | סוג הישות שאליה מתייחסת ההרשאה, למשל User |
| אירוע |
המדיניות קובעת אם הרשומה הזו מתייחסת להחלת מדיניות אזורית או להגדרה מתקדמת של תהליכים לא אזוריים.
|
| סוג המדיניות לגבי אזורים גיאוגרפיים לאחסון נתונים | האזור שמוקצה למשתמש והאם הוא חל על אחסון או על אחסון ועיבוד, כמו אזורים גיאוגרפיים לאחסון נתונים: אזור. |
| מדיניות לגבי אזורים גיאוגרפיים לאחסון נתונים | האזור שהוקצה למשתמש, והאם הוא חל על אחסון או על אחסון ועיבוד. אם למשתמש אין רישיון ל-Assured Controls או ל-Assured Controls Plus, מוצגת ההודעה נדרש Assured Controls. אחרת, הערך של המאפיין הזה יכול להיות:
|
|
IP ASN צריך להוסיף את העמודה הזו לתוצאות החיפוש. ההוראות מפורטות במאמר בנושא ניהול עמודות הנתונים של תוצאות החיפוש. |
מספר המערכת האוטונומית (ASN) של כתובת ה-IP, חלוקת המשנה והאזור שמשויכים לרשומה ביומן. כדי לבדוק את ה-ASN של כתובת ה-IP, את חלוקת המשנה ואת קוד האזור שבו התרחשה הפעילות, לוחצים על השם בתוצאות החיפוש. |
| מדיניות מסוג תהליכים לא אזוריים |
ההגדרה המתקדמת שאליה מתייחס הרשומה הזו. אם למשתמש אין רישיון ל-Assured Controls או ל-Assured Controls Plus, מוצגת ההודעה נדרש Assured Controls. אחרת, המאפיין הזה יכול להיות:
|
| מדיניות לגבי תהליכים לא אזוריים |
הערך שמשויך לסוג המדיניות. יכול להיות:
|
| גרסת האזורים הגיאוגרפיים לאחסון נתונים | הגרסה של האזורים הגיאוגרפיים לאחסון נתונים שהמשתמשים משתמשים בה. יכול להיות:
|
טיפול באירועים על סמך תוצאות החיפוש
אחרי שמריצים חיפוש בכלי לחקירת אבטחה, אפשר לבצע פעולות על תוצאות החיפוש. לדוגמה, אפשר להריץ חיפוש על סמך אירועים ביומן התאימות למדיניות, ואז לשנות את המדיניות לגבי אזורים גיאוגרפיים לאחסון נתונים אם מוצאים בעיה. פרטים נוספים על פעולות בכלי לחקירת אבטחה זמינים במאמר ביצוע פעולות על סמך תוצאות החיפוש.
ניהול החקירות
צפייה ברשימת החקירות
כדי לראות רשימה של החקירות שבבעלותכם ושל החקירות ששותפו איתכם, לוחצים על סמל הצגת החקירות 
. רשימת החקירות כוללת את השמות, התיאורים והבעלים של החקירות, ואת התאריך שבו בוצע השינוי האחרון.
מהרשימה הזו אפשר לבצע פעולות בחקירות שבבעלותכם, למשל למחוק חקירה. מסמנים את התיבה של החקירה ולוחצים על פעולות.
הערה: אפשר לראות את החקירות השמורות בקטע גישה מהירה, ממש מעל רשימת החקירות.
קביעת ההגדרות של החקירות
בתור סופר-אדמין, לוחצים על סמל ההגדרות 
כדי:
- שינוי אזור הזמן של החקירות. אזור הזמן חל על תנאי החיפוש ועל התוצאות.
- מפעילים או משביתים את האפשרות דרישת בודק. פרטים נוספים זמינים במאמר דרישת בודקים לפעולות בכמות גדולה.
- מפעילים או משביתים את ההגדרה View content (הצגת תוכן). ההגדרה הזו מאפשרת לאדמינים עם ההרשאות המתאימות לצפות בתוכן.
- מפעילים או משביתים את ההגדרה יש להזין נימוק לפעולות לפני ביצוע.
פרטים נוספים זמינים במאמר בנושא הגדרת ההגדרות של החקירות.
שיתוף, מחיקה ושכפול של חקירות
כדי לשמור את קריטריוני החיפוש או לשתף אותם עם אחרים, אתם יכולים ליצור ולשמור חקירה, ואז לשתף, לשכפל או למחוק אותה.
פרטים נוספים זמינים במאמר בנושא שמירה, שיתוף, מחיקה ושכפול של חקירה.