Eventi dei log di conformità alle policy

Per accedere agli eventi dei log relativi alla conformità alle policy, è necessario il componente aggiuntivo Assured Controls o Assured Controls Plus di Google Workspace. Per maggiori dettagli, rivolgiti al tuo rappresentante di vendita.

In qualità di amministratore dell'organizzazione, puoi eseguire ricerche e intervenire sui problemi di sicurezza relativi alla conformità alle policy. Ad esempio, puoi utilizzare l'origine dati sugli eventi dei log relativi alla conformità alle policy per sapere se, in una data specifica, i dati di un utente sono stati archiviati negli Stati Uniti o in Europa, se anche l'elaborazione dei dati è stata regionalizzata e se una delle impostazioni avanzate delle regioni di dati è stata attivata o disattivata.

La possibilità di eseguire ricerche dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Puoi eseguire una ricerca su tutti gli utenti, indipendentemente dalla versione di Google Workspace in uso.

Strumento di controllo e indagine

Per eseguire una ricerca degli eventi dei log, scegli innanzitutto un'origine dati. Poi scegli uno o più filtri per la ricerca.

  1. Nella Console di amministrazione Google, vai a Menu e poi Report e poiControllo e indagine e poiEventi dei log di conformità alle policy.

    È necessario disporre del privilegio amministrativo Controllo e indagine.

  2. Fai clic su Aggiungi un filtro e poiseleziona un attributo. Ad esempio, per filtrare in base a un tipo di evento specifico, seleziona Evento.
  3. Seleziona un operatore e poiseleziona un valore e poifai clic su Applica.
    • (Facoltativo) Per creare più filtri per la ricerca, ripeti questo passaggio.
    • (Facoltativo) Per aggiungere un operatore di ricerca, sopra Aggiungi un filtro, seleziona AND oppure OR.
  4. Fai clic su Cerca.
    Nota: utilizzando la scheda Filtro, puoi includere semplici coppie di parametri e valori per filtrare i risultati di ricerca. Puoi anche utilizzare la scheda Generatore di condizioni, in cui i filtri sono rappresentati come condizioni con gli operatori E/O.

Strumento di indagine sulla sicurezza

Per eseguire una ricerca nello strumento di indagine sulla sicurezza, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poiCentro sicurezza e poiStrumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Fai clic su Origine dati e seleziona Eventi dei log di conformità alle policy.
  3. Fai clic su Aggiungi condizione.
    Suggerimento: puoi includere una o più condizioni nella ricerca oppure personalizzarla con query nidificate. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate.
  4. Fai clic su Attributo e poi seleziona un'opzione. Ad esempio, per filtrare in base a un tipo di evento specifico, seleziona Evento.
    Per un elenco completo degli attributi, consulta la sezione Descrizioni degli attributi.
  5. Seleziona un operatore.
  6. Inserisci un valore o selezionane uno dall'elenco.
  7. (Facoltativo) Per aggiungere altre condizioni di ricerca, ripeti i passaggi.
  8. Fai clic su Cerca.
    Puoi esaminare i risultati di ricerca dello strumento di indagine in una tabella nella parte inferiore della pagina.
  9. (Facoltativo) Per salvare la tua indagine, fai clic su Salva e poiinserisci un titolo e una descrizione e poifai clic su Salva.

Note

  • Nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori AND/OR. Puoi anche utilizzare la scheda Filtro per includere coppie di parametri e valori semplici per filtrare i risultati della ricerca.
  • Se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.
  • Puoi cercare dati solo nei messaggi che non sono ancora stati eliminati dal cestino.

Descrizioni degli attributi

Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi dei log.

Attributo Descrizione
Nome risorsa Nome dell'utente
ID risorsa Indirizzo email dell'utente
Tipo di risorsa Unità organizzativa dell'attore
ID applicazione Il tipo di entità a cui si riferisce, ad esempio Utente
Evento

Specifica se questo record si riferisce all'applicazione di una policy per le regioni o se si tratta di un'impostazione avanzata per i processi non regionalizzati.

  • Policy per la regione applicata
  • Policy per i processi non regionalizzati applicata
Tipo di policy per le regioni di dati La regione assegnata a un utente e se si applica all'archiviazione o all'archiviazione e all'elaborazione, ad esempio Regioni di dati: regione.
Policy per le regioni di dati La regione assegnata a un utente e se si applica all'archiviazione o all'archiviazione e all'elaborazione. Se l'utente non dispone di una licenza Assured Controls o Assured Controls Plus, viene visualizzato il messaggio Richiede Assured Controls. In caso contrario, questo attributo può essere:
  • Stati Uniti (solo archiviazione)
  • Stati Uniti (archiviazione ed elaborazione)
  • Europa (solo archiviazione)
  • Europa (archiviazione ed elaborazione)
  • Nessuna preferenza

ASN IP

Devi aggiungere questa colonna ai risultati di ricerca. Per i passaggi, vai a Gestire i dati delle colonne dei risultati di ricerca.

Numero di sistema autonomo (ASN) IP, sottodivisione e regione associati alla voce di log.

Per esaminare l'ASN IP, la sottodivisione e il codice regione in cui si è verificata l'attività, fai clic sul nome nei risultati di ricerca.
Tipo di policy per i processi non regionalizzati

Specifica l'impostazione avanzata a cui si riferisce questo record. Se l'utente non dispone di una licenza Assured Controls o Assured Controls Plus, viene visualizzato il messaggio Richiede Assured Controls. In caso contrario, questo attributo può essere:

  • Regioni di dati: processi non regionalizzati di Google Chat e della versione classica di Hangouts
  • Regioni di dati: processi non regionalizzati di Google Meet
  • Regioni di dati: processi non regionalizzati di Drive e Documenti
  • Regioni di dati: processi non regionalizzati di Calendar
  • Regioni di dati: processi non regionalizzati di Gmail
Policy per i processi non regionalizzati

Valore associato al tipo di policy. Può essere:

  • Attivato
  • Disabilitato
Versione delle regioni di dati Versione delle regioni di dati dell'utente. Può essere:
  • Nessuno
  • Di base
  • Istruzione
  • Enterprise
  • Assured Controls
Per saperne di più, vedi Confronta le funzionalità delle regioni di dati.

Intervenire in funzione dei risultati di ricerca

Dopo aver eseguito una ricerca nello strumento di indagine sulla sicurezza, puoi operare sui relativi risultati. Ad esempio, puoi eseguire una ricerca in base agli eventi dei log relativi alla conformità alle policy e modificare le policy per le regioni di dati se riscontri un problema. Per maggiori dettagli sulle azioni che puoi eseguire nello strumento di indagine sulla sicurezza, vedi Intervieni in funzione dei risultati di ricerca.

Gestire le indagini

Visualizzare l'elenco delle indagini

Per visualizzare un elenco delle indagini di tua proprietà e di quelle che sono state condivise con te, fai clic su Visualizza indagini . L'elenco delle indagini ne include i nomi, le descrizioni e i proprietari, nonché la data dell'ultima modifica.

Da questo elenco puoi eseguire azioni sulle indagini di tua proprietà, ad esempio eliminare un'indagine. Seleziona la casella in corrispondenza di un'indagine, quindi fai clic su Azioni.

Nota: puoi visualizzare le indagini salvate nella sezione Accesso rapido, direttamente sopra l'elenco delle indagini.

Configurare le impostazioni per le indagini

Come super amministratore, fai clic su Impostazioni per:

  • Modificare il fuso orario per le indagini. Il fuso orario si applica alle condizioni e ai risultati di ricerca.
  • Attivare o disattivare l'opzione Richiedi revisore. Per maggiori dettagli, vedi Richiedere revisori per azioni collettive.
  • Attiva o disattiva l'opzione Visualizza i contenuti. Questa impostazione consente agli amministratori con i privilegi appropriati di visualizzare i contenuti.
  • Attiva o disattiva l'opzione Abilita motivazione azione.

Per ulteriori dettagli, vedi Configurare le impostazioni per le indagini.

Condividere, eliminare e duplicare le indagini

Per condividere una ricerca con altri utenti o salvarne i criteri, puoi creare e salvare un'indagine e, successivamente, condividerla, duplicarla o eliminarla.

Per maggiori dettagli, vedi Salvare, condividere, eliminare e duplicare le indagini.