Événements de journaux sur le respect des règles

Pour accéder aux événements de journaux sur le respect des règles, vous devez disposer du module complémentaire Assured Controls ou Assured Controls Plus de Google Workspace. Pour en savoir plus, contactez votre conseiller commercial.

En tant qu'administrateur de votre organisation, vous pouvez effectuer des recherches et intervenir pour régler les problèmes de sécurité liés au respect des règles. Par exemple, vous pouvez utiliser la source de données des événements de journaux sur le respect des règles pour savoir si, à une date spécifique, les données d'un utilisateur ont été stockées aux États-Unis ou en Europe, si le traitement des données a également été régionalisé, et si certains des paramètres avancés pour les régions de données ont été activés ou désactivés.

Votre capacité à effectuer une recherche dépend de votre édition Google, de vos droits d'administrateur et de la source de données. Vous pouvez lancer une recherche sur tous les utilisateurs, quelle que soit leur édition de Google Workspace.

Outil d'audit et d'investigation

Pour exécuter une recherche portant sur les événements de journaux, choisissez d'abord une source de données. Sélectionnez ensuite un ou plusieurs filtres pour votre recherche.

  1. Dans la console d'administration Google, accédez à Menu  puis Création de rapports puisAudit et enquête puisÉvénements du journal du respect des règles.

    Vous devez disposer du droit d'administrateur Audit et enquête.

  2. Cliquez sur Ajouter un filtre puis sélectionnez un attribut. Par exemple, pour filtrer par type d'événement spécifique, sélectionnez Événement.
  3. Sélectionnez un opérateur puissélectionnez une valeur puiscliquez sur Appliquer.
    • (Facultatif) Pour créer plusieurs filtres pour votre recherche, répétez cette étape.
    • (Facultatif) Pour ajouter un opérateur de recherche, sélectionnez ET ou OU au-dessus de Ajouter un filtre.
  4. Cliquez sur Rechercher.
    Remarque : L'onglet Filtre vous permet d'inclure des paires paramètres/valeurs simples pour filtrer les résultats de la recherche. Vous pouvez également utiliser l'onglet Générateur de conditions, dans lequel les filtres sont représentés par des conditions associées à des opérateurs AND/OR.

Outil d'investigation sur la sécurité

Pour lancer une recherche dans l'outil d'investigation de sécurité, choisissez d'abord une source de données. Sélectionnez ensuite une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puisCentre de sécurité puisOutil d'investigation.

    Vous devez disposer du droit d'administrateur Centre de sécurité.

  2. Cliquez sur Source de données, puis sélectionnez Événements de journaux sur le respect des règles.
  3. Cliquez sur Ajouter une condition.
    Conseil : Vous pouvez inclure une ou plusieurs conditions dans votre recherche ou la personnaliser avec des requêtes imbriquées. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées.
  4. Cliquez sur Attribut puis sélectionnez une option. Par exemple, pour filtrer par type d'événement spécifique, sélectionnez Événement.
    Pour obtenir la liste complète des attributs, consultez la section Descriptions des attributs.
  5. Sélectionnez un opérateur.
  6. Saisissez une valeur ou sélectionnez-en une dans la liste.
  7. (Facultatif) Pour ajouter d'autres critères de recherche, répétez la procédure.
  8. Cliquez sur Rechercher.
    Vous pouvez consulter les résultats de recherche de l'outil d'investigation dans un tableau en bas de la page.
  9. (Facultatif) Pour enregistrer votre investigation, cliquez sur Enregistrer  puissaisissez un titre et une description puiscliquez sur Enregistrer.

Remarques

  • Dans l'onglet Générateur de conditions, les filtres sont représentés par des conditions avec des opérateurs AND/OR. L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.
  • Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendrez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous remplacez AncienNom@exemple.com par NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour les événements liés à AncienNom@exemple.com.
  • Vous ne pouvez rechercher des données que dans les messages qui n'ont pas encore été supprimés de la corbeille.

Descriptions des attributs

Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux.

Attribut Description
Nom de la ressource Nom de l'utilisateur
ID de ressource Adresse e-mail de l'utilisateur
Type de ressource Unité organisationnelle de l'acteur
ID de l'application Type d'entité auquel il fait référence, par exemple Utilisateur
Événement

Indique si cet enregistrement fait référence à l'application d'une règle régionale ou s'il s'agit d'un paramètre avancé pour les processus non régionalisés.

  • Règle pour la région appliquée
  • Règle pour les processus non régionalisés appliquée
Type de règle pour les régions de données Région attribuée à un utilisateur et si elle s'applique au stockage ou au stockage et au traitement, par exemple Régions de données : région.
Règles pour les régions de données Région attribuée à un utilisateur et si elle s'applique au stockage ou au stockage et au traitement. Si l'utilisateur ne dispose pas d'une licence Assured Controls ou Assured Controls Plus, le message Nécessite Assured Controls s'affiche. Sinon, cet attribut peut être :
  • États-Unis (stockage uniquement)
  • États-Unis (stockage et traitement)
  • Europe (stockage uniquement)
  • Europe (stockage et traitement)
  • Aucune préférence

ASN de l'adresse IP

Vous devez ajouter cette colonne aux résultats de recherche. Pour savoir comment procéder, consultez Gérer les données des colonnes de résultats de recherche.

Numéro de système autonome (ASN) de l'adresse IP, subdivision et région associés à l'entrée de journal.

Pour examiner le numéro de système autonome de l'adresse IP, le code correspondant à la subdivision et le code régional où l'activité a eu lieu, cliquez sur le nom dans les résultats de recherche.
Type de règle pour les processus non régionalisés

Indique le paramètre avancé auquel cet enregistrement fait référence. Si l'utilisateur ne dispose pas d'une licence Assured Controls ou Assured Controls Plus, le message Nécessite Assured Controls s'affiche. Sinon, cet attribut peut être :

  • Régions de données : processus Google Chat et Hangouts (version classique) non régionalisés
  • Régions de données : processus Google Meet non régionalisés
  • Régions de données : processus Drive et Docs non régionalisés
  • Régions de données : processus Agenda non régionalisés
  • Régions de données : processus Gmail non régionalisés
Règle pour les processus non régionalisés

Valeur associée au type de règle. Peut être soit :

  • Activé
  • Désactivé
Version des régions de données Version des régions de données dont dispose l'utilisateur. Valeurs autorisées :
  • Aucun
  • Intermédiaire
  • Éducation
  • Enterprise
  • Assured Controls
Pour en savoir plus, consultez Comparer les fonctionnalités des régions de données.

Effectuer des actions en fonction des résultats de recherche

Après avoir effectué une recherche dans l'outil d'investigation de sécurité, vous pouvez agir sur les résultats. Par exemple, vous pouvez lancer une recherche basée sur les événements de journaux sur le respect des règles, puis modifier votre règle pour les régions de données si vous constatez un problème. Pour en savoir plus sur les actions disponibles dans l'outil d'investigation sur la sécurité, consultez Intervenir en fonction des résultats de recherche.

Gérer vos investigations

Afficher la liste des investigations

Pour afficher la liste des investigations dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations . La liste des investigations inclut leur nom, leur description et leur propriétaire, ainsi que la date de la dernière modification.

Cette liste vous permet d'intervenir sur les investigations dont vous êtes le propriétaire, par exemple pour en supprimer une. Cochez la case correspondant à une investigation, puis cliquez sur Actions.

Remarque : Vous pouvez afficher vos enquêtes enregistrées sous Accès rapide, juste au-dessus de votre liste d'enquêtes.

Configurer les paramètres de vos investigations

En tant que super-administrateur, cliquez sur Paramètres  pour effectuer les actions suivantes :

  • Modifier le fuseau horaire de vos investigations. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
  • Activez ou désactivez l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
  • Activez ou désactivez Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
  • Activez ou désactivez l'option Activer la justification des actions.

Pour en savoir plus, consultez Configurer les paramètres de vos investigations.

Partager, supprimer et dupliquer des enquêtes

Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une enquête, puis la partager, la dupliquer ou la supprimer.

Pour en savoir plus, consultez Enregistrer, partager, supprimer et dupliquer des enquêtes.