События журнала соответствия политике

Для доступа к событиям журнала соответствия политике безопасности вам потребуется надстройка Google Workspace Assured Controls или Assured Controls Plus . За подробной информацией обратитесь к своему торговому представителю.

Как администратор вашей организации, вы можете выполнять поиск и предпринимать действия по вопросам безопасности, связанным с соблюдением политик. Например, вы можете использовать источник данных «Журнал событий соблюдения политик», чтобы узнать, хранились ли данные пользователя в США или Европе на определенную дату, была ли обработка данных также регионализована, и были ли включены или выключены какие-либо из расширенных настроек регионов хранения данных .

Возможность выполнения поиска зависит от вашей версии Google, ваших административных прав и источника данных. Вы можете выполнить поиск для всех пользователей, независимо от их версии Google Workspace.

Инструмент аудита и расследования

Для выполнения поиска событий в журнале сначала выберите источник данных. Затем выберите один или несколько фильтров для поиска.

  1. В консоли администратора Google перейдите в меню. а потом Отчетность а потом Аудит и расследование а потом События журнала соответствия политике .

    Для этого необходимы права администратора по аудиту и расследованиям .

  2. Нажмите « Добавить фильтр». а потом Выберите атрибут. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
  3. Выберите оператора а потом выберите значение а потом Нажмите «Применить» .
    • (Необязательно) Чтобы создать несколько фильтров для поиска, повторите этот шаг.
    • (Необязательно) Чтобы добавить оператор поиска, выше в разделе «Добавить фильтр» выберите «И» или «ИЛИ» .
  4. Нажмите «Поиск» .
    Примечание : На вкладке «Фильтр» можно использовать простые пары параметр-значение для фильтрации результатов поиска. Также можно использовать вкладку «Конструктор условий» , где фильтры представлены в виде условий с операторами И/ИЛИ.

Инструмент для проведения расследований в сфере безопасности

Для выполнения поиска в инструменте анализа безопасности сначала выберите источник данных. Затем выберите одно или несколько условий для поиска. Для каждого условия выберите атрибут , оператор и значение .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. Щелкните «Источник данных» и выберите «События журнала соответствия политике» .
  3. Нажмите «Добавить условие» .
    Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» .
  4. Атрибут клика а потом Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
    Полный список атрибутов см. в разделе «Описание атрибутов» .
  5. Выберите оператора.
  6. Введите значение или выберите значение из списка.
  7. (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
  8. Нажмите «Поиск» .
    Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы.
  9. (Необязательно) Чтобы сохранить результаты расследования, нажмите «Сохранить». а потом Введите заголовок и описание. а потом Нажмите « Сохранить ».

Примечания

  • На вкладке «Конструктор условий» фильтры представлены в виде условий с операторами И/ИЛИ. Вы также можете использовать вкладку «Фильтр» для добавления простых пар параметр-значение для фильтрации результатов поиска.
  • Если вы присвоите пользователю новое имя, вы не увидите результаты запросов со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .
  • Поиск данных возможен только в сообщениях, которые еще не были удалены из Корзины.

Описание атрибутов

Для этого источника данных при поиске данных о событиях журнала можно использовать следующие атрибуты.

Атрибут Описание
Название ресурса Имя пользователя
Идентификатор ресурса Адрес электронной почты пользователя
Тип ресурса Организационная единица актёра
Идентификатор приложения Речь идёт о типе сущности, например, Пользователь.
Событие

Указывает, относится ли данная запись к применению региональной политики или к расширенным настройкам для процессов, не использующих региональную принадлежность.

  • Применяется региональная политика.
  • Применяется политика нерегионализованных процессов.
Тип политики регионов данных Область, назначенная пользователю, и указание, относится ли она к хранению или к хранению и обработке, например, «Области данных: область» .
политика регионов данных Регион, назначенный пользователю, и указание, относится ли он к хранению или к хранению и обработке. Если у пользователя нет лицензии Assured Controls или Assured Controls Plus, см. раздел «Требуется Assured Controls» . В противном случае этот атрибут может быть следующим:
  • Соединенные Штаты (только хранение)
  • Соединенные Штаты (хранение и переработка)
  • Европа (только хранение)
  • Европа (хранение и переработка)
  • Без предпочтений

IP ASN

Необходимо добавить этот столбец в результаты поиска. Инструкции см. в разделе «Управление данными столбцов результатов поиска» .

Номер автономной системы (ASN), подразделение и регион IP-адреса, связанные с записью в журнале.

Чтобы просмотреть IP-адрес автономных систем (ASN), а также код подразделения и региона, где произошла активность, щелкните по названию в результатах поиска.

Нерегионализованные процессы, тип политики

Указывает расширенные настройки, на которые ссылается эта запись. Если у пользователя нет лицензии Assured Controls или Assured Controls Plus, вы увидите пункт «Требуется Assured Controls» . В противном случае этот атрибут может быть следующим:

  • Регионы данных: нерегионализованные процессы Google Chat и классического Hangouts.
  • Регионы данных: нерегионализованные процессы Google Meet
  • Регионы данных: нерегионализованные процессы Drive и Docs
  • Регионы данных: Календарные нерегионализованные процессы
  • Регионы данных: нерегионализованные процессы Gmail
политика нерегионализованных процессов

Значение, связанное с типом полиса. Может быть одним из следующих:

  • Включено
  • Неполноценный
Версия регионов данных Версия регионов данных, которыми располагает пользователь. Может быть:
  • Никто
  • Фундаментальный
  • Образование
  • Предприятие
  • Гарантированный контроль
Для получения более подробной информации перейдите в раздел «Сравнение характеристик регионов данных» .

Принимайте меры на основе результатов поиска.

После выполнения поиска в инструменте расследования инцидентов безопасности вы можете предпринять соответствующие действия на основе результатов поиска. Например, вы можете выполнить поиск на основе событий журнала соответствия политикам, а затем изменить политику регионов данных, если обнаружите проблему. Более подробную информацию о действиях в инструменте расследования инцидентов безопасности см. в разделе «Принятие мер на основе результатов поиска» .

Управляйте своими расследованиями

Просмотрите список ваших расследований

Чтобы просмотреть список расследований, которые принадлежат вам и которые были предоставлены вам, нажмите «Просмотреть расследования». Список расследований включает имена, описания и ответственных за расследования, а также дату последнего изменения.

Из этого списка вы можете выполнить действия с любыми принадлежащими вам расследованиями, например, удалить расследование. Установите флажок напротив нужного расследования, а затем нажмите «Действия» .

Примечание : Вы можете просмотреть сохраненные расследования в разделе «Быстрый доступ» , непосредственно над списком расследований.

Настройте параметры для ваших расследований.

От имени суперадминистратора нажмите «Настройки». к:

  • Измените часовой пояс для ваших исследований. Часовой пояс применяется к условиям поиска и результатам.
  • Включите или выключите параметр «Требовать рецензентов» . Для получения более подробной информации перейдите в раздел «Требовать рецензентов для массовых действий» .
  • Включить или выключить отображение содержимого . Этот параметр позволяет администраторам с соответствующими правами просматривать содержимое.
  • Включить или выключить обоснование действий .

Для получения более подробной информации перейдите в раздел «Настройка параметров расследования» .

Делитесь, удаляйте и дублируйте расследования.

Чтобы сохранить критерии поиска или поделиться ими с другими, вы можете создать и сохранить расследование, а затем поделиться им, скопировать или удалить его.

Для получения более подробной информации перейдите в раздел «Сохранение, предоставление доступа, удаление и дублирование расследований» .