אירועים ביומן בנושא עמידה בדרישות המדיניות

כדי לגשת לאירועים ביומן התאימות למדיניות, צריך את התוסף Assured Controls או Assured Controls Plus של Google Workspace. לפרטים נוספים, אפשר לפנות לנציג המכירות.

אדמינים בארגונים יכולים להריץ חיפושים על בעיות אבטחה שקשורות לתאימות למדיניות ולטפל בהן. לדוגמה, אפשר להשתמש במקור הנתונים של אירועים ביומן התאימות למדיניות כדי לדעת אם בתאריך מסוים הנתונים של משתמש אוחסנו בארצות הברית או באירופה, אם עיבוד הנתונים שלו היה גם אזורי, ואם אחת מההגדרות המתקדמות של אזורים גיאוגרפיים לאחסון נתונים הופעלה או הושבתה.

היכולת שלכם להריץ חיפוש תלויה במהדורת Google שלכם, בהרשאות האדמין ובמקור הנתונים. אתם יכולים להריץ חיפוש על כל המשתמשים, ללא קשר למהדורת Google Workspace שלהם.

כלי הביקורת והחקירה

כדי להריץ חיפוש לאירועים ביומן, צריך קודם לבחור מקור נתונים. ואז בוחרים מסנן אחד או יותר לחיפוש.

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווח and thenביקורת וחקירה ואזאירועים ביומן של תאימות למדיניות.

    כדי לעשות את זה צריך הרשאות אדמין לביקורת וחקירה.

  2. לוחצים על הוספת מסנן ואזבוחרים מאפיין. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
  3. בוחרים אופרטור ואזבוחרים ערך ואזלוחצים על אישור.
    • (אופציונלי) כדי ליצור כמה מסננים לחיפוש, חוזרים על השלב הזה.
    • (אופציונלי) כדי להוסיף סימן או מילה למיקוד החיפוש, מעל הוספת מסנן, בוחרים באפשרות וגם או או.
  4. לוחצים על חיפוש.
    הערה: אפשר להשתמש בכרטיסייה מסנן כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש. אפשר גם להשתמש בכרטיסייה הכלי להגדרת תנאים, שבה המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR.

הכלי לחקירת אבטחה

כדי להריץ חיפוש בכלי לחקירת אבטחה, צריך קודם לבחור מקור נתונים. ואז בוחרים תנאי אחד או יותר לחיפוש. לכל תנאי, בוחרים מאפיין, אופרטור וערך.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and thenמרכז האבטחה ואזכלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. לוחצים על מקור נתונים ובוחרים באפשרות אירועים ביומן של תאימות למדיניות.
  3. לוחצים על Add Condition.
    טיפ: אפשר לכלול תנאי אחד או יותר בחיפוש, או להתאים אישית את החיפוש באמצעות שאילתות עם היררכיית כללים. פרטים נוספים מופיעים במאמר בנושא התאמה אישית של חיפושים באמצעות שאילתות עם היררכיית כללים.
  4. לוחצים על מאפיין ואז בוחרים באחת מהאפשרויות. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
    רשימה מלאה של המאפיינים מופיעה בקטע תיאורי מאפיינים.
  5. בוחרים אופרטור.
  6. מזינים ערך או בוחרים ערך מהרשימה.
  7. (אופציונלי) כדי להוסיף עוד תנאי חיפוש, חוזרים על השלבים.
  8. לוחצים על חיפוש.
    בטבלה שבתחתית הדף אפשר לעיין בתוצאות החיפוש מכלי החקירה.
  9. (אופציונלי) כדי לשמור את החקירה, לוחצים על סמל השמירה ואזמזינים שם ותיאור ואזלוחצים על שמירה.

הערות

  • בכרטיסייה של הכלי להגדרת תנאים, המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR. אפשר גם להשתמש בכרטיסייה של המסננים כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש.
  • אם תתנו למשתמש שם חדש, לא תראו תוצאות לשאילתות עם השם הישן שלו. לדוגמה, אם אתם משנים את השם של OldName@example.com ל-NewName@example.com, לא תראו תוצאות לאירועים שקשורים ל-OldName@example.com.
  • אתם יכולים לחפש נתונים רק בהודעות שעדיין לא נמחקו מהאשפה.

תיאורים של המאפיינים

במקור הנתונים הזה, אתם יכולים להשתמש במאפיינים הבאים כשאתם מחפשים נתונים של אירועים ביומן:

מאפיין תיאור
שם המשאב שם המשתמש
מזהה משאב כתובת האימייל של המשתמש
סוג המשאב היחידה הארגונית של המשתמש
מזהה אפליקציה סוג הישות שאליה מתייחסת ההרשאה, למשל User
אירוע

המדיניות קובעת אם הרשומה הזו מתייחסת להחלת מדיניות אזורית או להגדרה מתקדמת של תהליכים לא אזוריים.

  • הוחלה המדיניות לגבי אזורים גיאוגרפיים
  • הוחלה המדיניות לגבי תהליכים לא אזוריים
סוג המדיניות לגבי אזורים גיאוגרפיים לאחסון נתונים האזור שמוקצה למשתמש והאם הוא חל על אחסון או על אחסון ועיבוד, כמו אזורים גיאוגרפיים לאחסון נתונים: אזור.
מדיניות לגבי אזורים גיאוגרפיים לאחסון נתונים האזור שמוקצה למשתמש, והאם הוא חל על אחסון או על אחסון ועיבוד. אם למשתמש אין רישיון ל-Assured Controls או ל-Assured Controls Plus, תופיע ההודעה נדרש Assured Controls. אחרת, הערך של המאפיין הזה יכול להיות:
  • ארצות הברית (אחסון בלבד)
  • ארצות הברית (אחסון ועיבוד)
  • אירופה (אחסון בלבד)
  • אירופה (אחסון ועיבוד)
  • ללא העדפות

כתובת IP של ASN

צריך להוסיף את העמודה הזו לתוצאות החיפוש. ההוראות מפורטות במאמר בנושא ניהול עמודות הנתונים של תוצאות החיפוש.

מספר המערכת האוטונומית (ASN) של כתובת ה-IP, חלוקת המשנה והאזור שמשויכים לרשומה ביומן.

כדי לבדוק את ה-ASN של כתובת ה-IP, את חלוקת המשנה ואת קוד האזור שבו התרחשה הפעילות, לוחצים על השם בתוצאות החיפוש.
מדיניות מסוג תהליכים לא אזוריים

מציין את ההגדרה המתקדמת שאליה מתייחסת הרשומה הזו. אם למשתמש אין רישיון ל-Assured Controls או ל-Assured Controls Plus, תופיע ההודעה נדרש Assured Controls. אחרת, הערכים האפשריים של המאפיין הזה הם:

  • אזורים גיאוגרפיים לאחסון נתונים: תהליכים לא אזוריים ב-Google Chat ובגרסה הקלאסית של Hangouts
  • אזורים גיאוגרפיים לאחסון נתונים: תהליכים לא אזוריים ב-Google Meet
  • אזורים גיאוגרפיים לאחסון נתונים: תהליכים לא אזוריים ב-Drive וב-Docs
  • אזורים גיאוגרפיים לאחסון נתונים: תהליכים לא אזוריים ביומן
  • אזורים גיאוגרפיים לאחסון נתונים: תהליכים לא אזוריים ב-Gmail
מדיניות לגבי תהליכים לא אזוריים

הערך שמשויך לסוג המדיניות. יכול להיות:

  • מופעל
  • מושבת
גרסת האזורים הגיאוגרפיים לאחסון נתונים הגרסה של האזורים הגיאוגרפיים לאחסון נתונים שהמשתמשים משויכים אליה. יכול להיות:
  • ללא
  • Fundamental
  • חינוך
  • Enterprise
  • Assured Controls
מידע נוסף זמין במאמר השוואה בין תכונות מסוימות של אזור גיאוגרפי לאחסון נתונים.

טיפול באירועים על סמך תוצאות החיפוש

אחרי שמריצים חיפוש בכלי לחקירת אבטחה, אפשר לבצע פעולות על תוצאות החיפוש. לדוגמה, אפשר להריץ חיפוש על סמך אירועים ביומן התאימות למדיניות, ואז לשנות את המדיניות בנושא אזורים גיאוגרפיים לאחסון נתונים אם מוצאים בעיה. פרטים נוספים על פעולות בכלי לחקירת אבטחה זמינים במאמר טיפול באירועים על סמך תוצאות החיפוש.

ניהול החקירות

צפייה ברשימת החקירות

כדי לראות רשימה של החקירות שבבעלותכם ושל החקירות ששותפו איתכם, לוחצים על סמל הצגת החקירות . רשימת החקירות כוללת את השמות, התיאורים והבעלים של החקירות, ואת התאריך שבו בוצע השינוי האחרון.

מהרשימה הזו אפשר לבצע פעולות בחקירות שבבעלותכם, למשל למחוק חקירה. מסמנים את התיבה של החקירה ולוחצים על פעולות.

הערה: אפשר לראות את החקירות השמורות בקטע גישה מהירה, ממש מעל רשימת החקירות.

הגדרת ההגדרות של החקירות

בתור סופר-אדמין, לוחצים על סמל ההגדרות כדי:

  • שינוי אזור הזמן של החקירות. אזור הזמן חל על תנאי החיפוש ועל התוצאות.
  • מפעילים או משביתים את האפשרות דרוש בודק. פרטים נוספים זמינים במאמר דרישת בודקים לפעולות בכמות גדולה.
  • מפעילים או משביתים את האפשרות View content (הצגת תוכן). ההגדרה הזו מאפשרת לאדמינים עם ההרשאות המתאימות לצפות בתוכן.
  • מפעילים או משביתים את ההגדרה יש להזין נימוק לפעולות לפני ביצוע.

פרטים נוספים זמינים במאמר בנושא הגדרת ההגדרות של החקירות.

שיתוף, מחיקה ושכפול של חקירות

כדי לשמור את קריטריוני החיפוש או לשתף אותם עם אחרים, אתם יכולים ליצור ולשמור חקירה, ואז לשתף, לשכפל או למחוק אותה.

פרטים נוספים זמינים במאמר בנושא שמירה, שיתוף, מחיקה ושכפול של חקירות.