כדי לגשת לאירועים ביומן של תאימות למדיניות, צריך את התוסף Assured Controls או Assured Controls Plus ל-Google Workspace. לפרטים נוספים, אפשר לפנות לנציג המכירות.
אדמינים בארגונים יכולים להריץ חיפושים על בעיות אבטחה שקשורות לתאימות למדיניות ולטפל בהן. לדוגמה, אפשר להשתמש במקור הנתונים של אירועים ביומן התאימות למדיניות כדי לדעת אם בתאריך מסוים הנתונים של משתמש אוחסנו בארצות הברית או באירופה, אם עיבוד הנתונים שלו היה גם אזורי, ואם אחת מההגדרות המתקדמות של אזורים גיאוגרפיים לאחסון נתונים הופעלה או הושבתה.
הרצת חיפוש לאירועים ביומן
היכולת שלכם להריץ חיפוש תלויה במהדורת Google שלכם, בהרשאות האדמין שיש לכם ובמקור הנתונים. אתם יכולים להריץ חיפוש על כל המשתמשים, ללא קשר למהדורת Google Workspace שלהם.
כלי הביקורת והחקירה
כדי להריץ חיפוש של אירועים ביומן, צריך קודם לבחור מקור נתונים. לאחר מכן צריך לבחור מסנן אחד או יותר לחיפוש.
-
במסוף Google Admin, נכנסים לתפריט
דיווח ביקורת וחקירה אירועים ביומן של תאימות למדיניות.כדי לעשות את זה צריך הרשאות אדמין לביקורת וחקירה.
-
לוחצים על הוספת מסנן בוחרים מאפיין. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
-
בוחרים אופרטור בוחרים ערך לוחצים על החלת השינויים.
- (אופציונלי) כדי ליצור כמה מסננים לחיפוש, חוזרים על השלב הזה.
- (אופציונלי) כדי להוסיף אופרטור חיפוש, מעל הוספת מסנן, בוחרים באפשרות AND או OR.
-
לוחצים על חיפוש.
הערה: באמצעות הכרטיסייה סינון, אפשר לכלול זוגות פשוטים של פרמטרים וערכים כדי לסנן את תוצאות החיפוש. אפשר גם להשתמש בכרטיסייה הכלי להגדרת תנאים, שבה המסננים מיוצגים כתנאים עם האופרטורים AND/OR.
הכלי לחקירת אבטחה
כדי להריץ חיפוש בכלי לחקירת אבטחה, צריך קודם לבחור מקור נתונים. לאחר מכן צריך לבחור תנאי אחד או יותר לחיפוש. לכל תנאי, בוחרים מאפיין, אופרטור וערך.
-
במסוף Google Admin, נכנסים לתפריט
אבטחה מרכז האבטחה כלי חקירה.כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.
- לוחצים על מקור נתונים ובוחרים באפשרות אירועים ביומן של תאימות למדיניות.
-
לוחצים על הוספת תנאי.
הערה: אפשר לכלול תנאי אחד או יותר בחיפוש, או להתאים אישית את החיפוש באמצעות שאילתות עם היררכיית כללים. מידע נוסף מופיע במאמר בנושא התאמה אישית של חיפושים באמצעות שאילתות עם היררכיית כללים. -
לוחצים על מאפיין בוחרים אפשרות. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
רשימה מלאה של מאפיינים מופיעה בקטע תיאורים של המאפיינים. - בוחרים אופרטור.
- מציינים ערך או בוחרים ערך מהרשימה.
- (אופציונלי) כדי להוסיף עוד תנאי חיפוש, חוזרים על השלבים.
-
לוחצים על חיפוש.
בטבלה שבתחתית הדף אפשר לעיין בתוצאות החיפוש מכלי החקירה. -
(אופציונלי) כדי לשמור את החקירה, לוחצים על סמל השמירה
מזינים שם ותיאור לוחצים על שמירה.
הערות
- בכרטיסייה של הכלי להגדרת תנאים, המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR. אפשר גם להשתמש בכרטיסייה של המסננים כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש.
- אם תתנו למשתמש שם חדש, לא תראו תוצאות לשאילתות עם השם הישן שלו. לדוגמה, אם תשנו את השם של OldName@example.com ל-NewName@example.com, לא תראו תוצאות לאירועים שקשורים ל-OldName@example.com.
- אתם יכולים לחפש נתונים רק בהודעות שעדיין לא נמחקו מהאשפה.
תיאורים של המאפיינים
במקור הנתונים הזה, אתם יכולים להשתמש במאפיינים הבאים כשאתם מחפשים נתונים של אירועים ביומן:
| מאפיין | תיאור |
|---|---|
| שם משאב | שם המשתמש |
| מזהה משאב | כתובת האימייל של המשתמש |
| סוג המשאב | היחידה הארגונית של המשתמש |
| מזהה אפליקציה | סוג הישות שאליה מתייחסת ההרשאה, למשל User |
| אירוע |
המדיניות קובעת אם הרשומה הזו מתייחסת להחלת מדיניות אזורית או להגדרה מתקדמת של תהליכים לא אזוריים.
|
| סוג המדיניות לגבי אזורים גיאוגרפיים לאחסון נתונים | האזור שמוקצה למשתמש והאם הוא חל על אחסון או על אחסון ועיבוד, כמו אזורים גיאוגרפיים לאחסון נתונים: אזור. |
| מדיניות לגבי אזורים גיאוגרפיים לאחסון נתונים | האזור שהוקצה למשתמש, והאם הוא חל על אחסון או על אחסון ועיבוד. אם למשתמש אין רישיון ל-Assured Controls או ל-Assured Controls Plus, מוצגת ההודעה נדרש Assured Controls. אחרת, הערך של המאפיין הזה יכול להיות:
|
|
כתובת IP של ASN צריך להוסיף את העמודה הזאת לתוצאות החיפוש. השלבים מפורטים במאמר בנושא ניהול עמודות הנתונים של תוצאות החיפוש. |
מספר המערכת האוטונומית (ASN) של כתובת ה-IP, חלוקת המשנה והאזור שמשויכים לרשומה ביומן. כדי לבדוק את ה-ASN של כתובת ה-IP, את חלוקת המשנה ואת קוד האזור שבו התרחשה הפעילות, לוחצים על השם בתוצאות החיפוש. |
| מדיניות מסוג תהליכים לא אזוריים |
ההגדרה המתקדמת שאליה מתייחס הרשומה הזו. אם למשתמש אין רישיון ל-Assured Controls או ל-Assured Controls Plus, מוצגת ההודעה נדרש Assured Controls. אחרת, המאפיין הזה יכול להיות:
|
| מדיניות לגבי תהליכים לא אזוריים |
הערך שמשויך לסוג המדיניות. יכול להיות:
|
| גרסת האזורים הגיאוגרפיים לאחסון נתונים | הגרסה של האזורים הגיאוגרפיים לאחסון נתונים שהמשתמשים משתמשים בה. יכול להיות:
|
טיפול באירועים על סמך תוצאות החיפוש
אחרי שמריצים חיפוש בכלי לחקירת אבטחה, אפשר לבצע פעולות על סמך תוצאות החיפוש. לדוגמה, אפשר להריץ חיפוש על סמך אירועים ביומן התאימות למדיניות, ואז לשנות את המדיניות לגבי אזורים גיאוגרפיים לאחסון נתונים אם מוצאים בעיה. פרטים נוספים על פעולות בכלי לחקירת אבטחה מופיעים במאמר בנושא טיפול באירועים על סמך תוצאות החיפוש.
ניהול החקירות
צפייה ברשימת החקירות
כדי לראות את רשימת החקירות שבבעלותכם וששותפו איתכם, אתם יכולים ללחוץ על "צפייה בפרטי החקירות" 
. רשימת החקירות כוללת את השמות, התיאורים והבעלים של החקירות, ואת התאריך שבו בוצע השינוי האחרון.
מהרשימה הזו אפשר לבצע פעולות בחקירות שבבעלותכם, למשל למחוק חקירה. מסמנים את התיבה של החקירה ולוחצים על פעולות.
הערה: אפשר לראות את החקירות השמורות בקטע גישה מהירה, ממש מעל רשימת החקירות.
קביעת ההגדרות של החקירות
אתם יכולים להתחבר בתפקיד סופר-אדמין, וללחוץ על סמל ההגדרות 
כדי:
- לשנות את אזור הזמן של החקירות. אזור הזמן חל על תנאי החיפוש ועל התוצאות.
- להפעיל או להשבית את האפשרות דרישה לבודק פעולות. פרטים נוספים מופיעים בקטע דרישה לבודקים בשביל פעולות בכמות גדולה.
- להפעיל או להשבית את ההגדרה צפייה בתוכן. ההגדרה הזו מאפשרת לאדמינים עם ההרשאות המתאימות לצפות בתוכן.
- להפעיל או להשבית את ההגדרה יש להזין נימוק לפעולות לפני ביצוע.
פרטים נוספים מופיעים בקטע קביעת הגדרות של החקירות.
שיתוף, מחיקה ושכפול של חקירות
כדי לשמור את הקריטריונים של החיפוש או לשתף אותם עם אחרים, אתם יכולים ליצור ולשמור חקירה, ואז לשתף, לשכפל או למחוק אותה.
פרטים נוספים מופיעים במאמר בנושא שמירה, שיתוף, מחיקה ושכפול של חקירות.