Eventos de registro de compliance com políticas

Para acessar eventos de registro de compliance com políticas, você precisa do complemento Assured Controls ou Assured Controls Plus do Google Workspace. Se precisar de mais detalhes, fale com seu representante de vendas.

Como administrador da organização, você pode fazer pesquisas e resolver problemas de segurança relacionados à compliance com políticas. Por exemplo, a fonte de dados de eventos do registro de compliance com políticas pode ser usada para saber se, em uma data específica, os dados de um usuário foram armazenados nos Estados Unidos ou na Europa, se o tratamento dos dados também foi regionalizado e se as configurações avançadas de regiões de dados foram ativadas ou desativadas.

A capacidade de realizar uma pesquisa depende da edição do Google, dos seus privilégios de administrador e da fonte de dados. Você pode fazer uma pesquisa com todos os usuários, seja qual for a edição do Google Workspace deles.

Ferramenta de investigação e auditoria

Para pesquisar eventos de registro, primeiro escolha uma fonte de dados. Em seguida, selecione um ou mais filtros para sua pesquisa.

  1. No Google Admin Console, acesse Menu e depois Relatórios e depoisAuditoria e investigação e depoisEventos de registro de conformidade com a política.

    Exige o privilégio de administrador Auditoria e investigação.

  2. Clique em Adicionar um filtro e depoisselecione um atributo. Por exemplo, para filtrar por um tipo de evento específico, selecione Evento.
  3. Selecione um operador e depoisselecione um valor e depoisclique em Aplicar.
    • (Opcional) Para criar vários filtros para sua pesquisa, repita esta etapa.
    • (Opcional) Para adicionar um operador de pesquisa, acima de Adicionar um filtro, selecione E ou OU.
  4. Clique em Pesquisar.
    Observação: na guia Filtrar, você pode incluir pares de valores e parâmetros simples para filtrar os resultados da pesquisa. Também é possível usar a guia Criador de condições, onde os filtros são representados como condições com operadores AND/OR.

Ferramenta de investigação de segurança

Para pesquisar na ferramenta de investigação de segurança, primeiro escolha uma fonte de dados. Em seguida, escolha uma ou mais condições para sua pesquisa. Para cada condição, escolha um atributo, um operador e um valor.

  1. No Google Admin Console, acesse Menu e depois Segurança e depoisCentral de segurança e depoisFerramenta de investigação.

    Exige o privilégio de administrador Central de segurança.

  2. Clique em Fonte de dados e selecione Eventos de registro de compliance com a política.
  3. Clique em Adicionar condição.
    Dica: você pode incluir uma ou mais condições na pesquisa ou usar consultas aninhadas. Para mais detalhes, acesse Personalizar sua pesquisa com consultas aninhadas.
  4. Clique em Atributo e depoisselecione uma opção. Por exemplo, para filtrar por um tipo de evento específico, selecione Evento.
    Para ver uma lista com todos os atributos, acesse a seção Descrições de atributos.
  5. Selecione um operador.
  6. Insira ou selecione um valor na lista.
  7. (Opcional) Para adicionar mais condições de pesquisa, repita as etapas.
  8. Clique em Pesquisar.
    Analise os resultados da pesquisa da ferramenta de investigação em uma tabela na parte de baixo da página.
  9. (Opcional) Para salvar a investigação, clique em Salvar e depoisdigite um título e uma descrição e depoisclique em Salvar.

Observações

  • Na guia Criador de condições, os filtros são representados como condições com os operadores AND/OR. Também é possível usar a guia Filtrar para incluir pares simples de parâmetros e valores e filtrar os resultados da pesquisa.
  • Se você tiver renomeado um usuário, não verá os resultados de consultas com o nome antigo. Por exemplo, se você renomear NomeAntigo@example.com para NovoNome@example.com, não vai ver resultados de eventos relacionados a NomeAntigo@example.com.
  • Você só pode pesquisar dados em mensagens que ainda não foram excluídas da lixeira.

Descrições de atributos

Para essa fonte de dados, você pode usar os atributos a seguir para pesquisar dados de eventos de registro.

Atributo Descrição
Nome do recurso Nome do usuário
ID do recurso Endereço de e-mail do usuário
Resource type Unidade organizacional do usuário
ID do aplicativo O tipo de entidade a que se refere, como Usuário
Evento

Especifica se esse registro se refere à aplicação de uma política de região ou se é uma configuração avançada para processos não regionalizados.

  • Política da região aplicada
  • Política de processos não regionalizados aplicada
Tipo de política de regiões de dados A região atribuída a um usuário e se ela se aplica ao armazenamento ou ao armazenamento e tratamento, como Regiões de dados: região.
Política de regiões de dados A região atribuída a um usuário e se ela se aplica ao armazenamento ou ao armazenamento e processamento. Se o usuário não tiver uma licença do Assured Controls ou do Assured Controls Plus, a mensagem Requer o Assured Controls vai aparecer. Caso contrário, esse atributo pode ser:
  • Estados Unidos (somente armazenamento)
  • Estados Unidos (armazenamento e tratamento)
  • Europa (somente armazenamento)
  • Europa (armazenamento e tratamento)
  • Sem preferência

ASN de IP

Você precisa adicionar essa coluna aos resultados da pesquisa. Para conferir as etapas, acesse Gerenciar os dados da coluna de resultados da pesquisa.

Número de sistema autônomo (ASN) do IP, subdivisão e região associados à entrada de registro.

Para analisar o ASN do IP e o código de subdivisão e região em que a atividade ocorreu, clique no nome nos resultados da pesquisa.
Tipo de política de processos não regionalizados

Especifica a configuração avançada a que este registro se refere. Se o usuário não tiver uma licença do Assured Controls ou do Assured Controls Plus, a mensagem Requer o Assured Controls vai aparecer. Caso contrário, esse atributo pode ser:

  • Regiões de dados: processos não regionalizados dos apps Google Chat e Hangouts clássico
  • Regiões de dados: processos não regionalizados do Google Meet
  • Regiões de dados: processos não regionalizados do Drive e do app Documentos
  • Regiões de dados: processos não regionalizados do app Agenda
  • Regiões de dados: processos não regionalizados do Gmail
Política de processos não regionalizados

Valor associado ao tipo de política. pode ser:

  • Ativado
  • Desativado
Versão das regiões de dados Versão das regiões de dados que o usuário tem. como:
  • Nenhum
  • Fundamental
  • Educação
  • Enterprise
  • Assured Controls
Para mais informações, acesse Comparar recursos da região de dados.

Realizar ações com base nos resultados da pesquisa

Depois de fazer uma pesquisa na ferramenta de investigação de segurança, você pode realizar ações com base nos resultados. Por exemplo, você pode fazer uma pesquisa com base nos eventos de registro de compliance com políticas e, em seguida, mudar as políticas de regiões de dados se encontrar um problema. Para mais detalhes sobre as ações na ferramenta de investigação de segurança, acesse Realizar ações com base nos resultados da pesquisa.

Gerenciar suas investigações

Ver a lista de investigações

Para ver uma lista das suas investigações e das compartilhadas com você, clique em Ver investigações . A lista de investigações inclui os nomes, as descrições e os proprietários das investigações, além da data da última modificação.

Nessa lista, você pode realizar ações em qualquer uma das suas investigações, como excluir uma investigação. Marque a caixa ao lado de uma investigação e clique em Ações.

Observação: você pode conferir as investigações salvas em Acesso rápido, logo acima da lista de investigações.

Configurar suas investigações

Como superadministrador, clique em Configurações para:

  • mudar o fuso horário das suas investigações. O fuso horário é válido para as condições e os resultados da pesquisa.
  • Ative ou desative a opção Solicitar avaliador. Para mais detalhes, acesse Solicitar revisores para ações em massa.
  • Ative ou desative a opção Ver conteúdo. (disponível para os administradores com os privilégios apropriados);
  • Ative ou desative a opção Ativar justificativa da ação.

Para mais detalhes, acesse Configurar suas investigações.

Compartilhar, excluir e duplicar investigações

Para salvar seus critérios de pesquisa ou compartilhar essas informações com outras pessoas, crie e salve uma investigação. Em seguida, compartilhe, duplique ou exclua a investigação.

Confira mais detalhes em Salvar, compartilhar, excluir e duplicar investigações.