אירועים ביומן של Rules

איך בודקים ניסיונות של המשתמשים לשתף מידע אישי רגיש

יש מהדורות Google Workspace שבהן אדמינים מקבלים גישה לכלי לחקירת אבטחה, שכולל תכונות מתקדמות יותר. לדוגמה, סופר-אדמינים כולים לזהות בעיות אבטחה ופרטיות, לקבוע מה הדחיפות שלהן ולטפל בהן. מידע נוסף

אדמינים בארגונים יכולים להריץ חיפושים על אירועים ביומן של Rule ולטפל בהם. לדוגמה, הם יכולים לראות תיעוד של פעולות כדי לבדוק ניסיונות של המשתמשים לשתף מידע אישי רגיש. אפשר גם לבדוק אירועים שהפעילו אירועים של הפרת כללים של מניעת אובדן נתונים (DLP). רשומות מופיעות בדרך כלל תוך שעה מהפעולה שהמשתמש ביצע.

באירועים ביומן Rule רשומים גם סוגי נתונים של הגנה על נתונים מפני איומים ב-Chrome Enterprise Premium.

היכולת שלכם להריץ חיפוש תלויה במהדורת Google שלכם, בהרשאות האדמין שיש לכם ובמקור הנתונים. אתם יכולים להריץ חיפוש על כל המשתמשים, ללא קשר למהדורת Google Workspace שלהם.

כלי הביקורת והחקירה

כדי להריץ חיפוש לאירועים ביומן, צריך קודם לבחור מקור נתונים, ואחר כך צריך לבחור מסנן אחד או יותר לחיפוש.

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווח ואז ביקורת וחקירה ואז אירועים ביומן של כללים.

    כדי לעשות את זה צריך הרשאות אדמין לביקורת וחקירה.

  2. כדי לסנן אירועים שהתרחשו לפני או אחרי תאריך מסוים, בוחרים באפשרות לפני או אחרי בקטע תאריך. כברירת מחדל, מוצגים אירועים מ-7 הימים האחרונים. אפשר לבחור טווח תאריכים אחר או ללחוץ על כדי להסיר את מסנן התאריכים.

  3. לוחצים על הוספת מסנן ואז בוחרים מאפיין. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
  4. בוחרים אופרטור ואז בוחרים ערך ואז לוחצים על החלת השינויים.
    • (אופציונלי) כדי ליצור כמה מסננים לחיפוש, חוזרים על השלב הזה.
    • (אופציונלי) כדי להוסיף אופרטור חיפוש, מעל הוספת מסנן, בוחרים באפשרות AND או OR.
  5. לוחצים על חיפוש. הערה: אפשר להשתמש בכרטיסייה מסנן כדי לכלול זוגות פשוטים של פרמטר וערך, ולסנן לפיהם את תוצאות החיפוש. אפשר גם להשתמש בכרטיסייה הכלי להגדרת תנאים, שבה המסננים מיוצגים כתנאים עם אופרטורים של AND/OR.

הכלי לחקירת אבטחה

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

כדי להריץ חיפוש בכלי לחקירת אבטחה, צריך קודם לבחור מקור נתונים. לאחר מכן צריך לבחור תנאי אחד או יותר לחיפוש. לכל תנאי, בוחרים מאפיין, אופרטור וערך.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז מרכז האבטחה ואז כלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. לוחצים על מקור נתונים ובוחרים באפשרות אירועים של רישום כללים.

  3. כדי לסנן אירועים שהתרחשו לפני או אחרי תאריך מסוים, בוחרים באפשרות לפני או אחרי בקטע תאריך. כברירת מחדל, מוצגים אירועים מ-7 הימים האחרונים. אפשר לבחור טווח תאריכים אחר או ללחוץ על כדי להסיר את מסנן התאריכים.

  4. לוחצים על הוספת תנאי.
    הערה: אפשר לכלול תנאי אחד או יותר בחיפוש, או להתאים אישית את החיפוש באמצעות שאילתות עם היררכיית כללים. מידע נוסף מופיע במאמר בנושא התאמה אישית של חיפושים באמצעות שאילתות עם היררכיית כללים.
  5. לוחצים על מאפיין ואז בוחרים אפשרות. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
    רשימה מלאה של מאפיינים מופיעה בקטע תיאורים של המאפיינים.
  6. בוחרים אופרטור.
  7. מציינים ערך או בוחרים ערך מהרשימה.
  8. (אופציונלי) כדי להוסיף עוד תנאי חיפוש, חוזרים על השלבים.
  9. לוחצים על חיפוש.
    בטבלה שבתחתית הדף אפשר לעיין בתוצאות החיפוש מכלי החקירה.
  10. (אופציונלי) כדי לשמור את החקירה, לוחצים על סמל השמירה ואז מזינים שם ותיאור ואז לוחצים על שמירה.

הערות

  • בכרטיסייה של הכלי להגדרת תנאים, המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR. אפשר גם להשתמש בכרטיסייה של המסננים כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש.
  • אם תתנו למשתמש שם חדש, לא תראו תוצאות לשאילתות עם השם הישן שלו. לדוגמה, אם תשנו את השם של OldName@example.com ל-NewName@example.com, לא תראו תוצאות לאירועים שקשורים ל-OldName@example.com.
  • אתם יכולים לחפש נתונים רק בהודעות שעדיין לא נמחקו מהאשפה.

תיאורים של המאפיינים

במקור הנתונים הזה, אתם יכולים להשתמש במאפיינים הבאים כשאתם מחפשים נתונים של אירועים ביומן:

מאפיין תיאור
רמת הגישה רמות הגישה שנבחרו בתור התנאים לבקרת הגישה מבוססת-ההקשר של הכלל. מידע נוסף מופיע במאמר בנושא יצירת בקרות גישה מבוססות-הקשר.
המשתמש

כתובת האימייל של המשתמש שביצע את הפעולה. הערך יכול להיות משתמש לא רשום אם האירועים קרו כתוצאה מסריקה חוזרת.

הערה: הערך הזה עשוי להיות ריק לפעולות שהמערכת הפעילה, ולא משתמש.
שם קבוצת המשתמשים

שם הקבוצה של המשתמש. מידע נוסף מופיע במאמר בנושא סינון תוצאות לפי קבוצה ב-Google.

כדי להוסיף קבוצה לרשימת ההיתרים של קבוצות הסינון:

  1. בוחרים את שם הקבוצה של המשתמש.
  2. לוחצים על קבוצות סינון.
    מופיע הדף של קבוצות הסינון.
  3. לוחצים על הוספת קבוצות.
  4. כדי לחפש קבוצה, מזינים את התווים הראשונים של השם או כתובת האימייל של הקבוצה. אם רואים את הקבוצה שרוצים, בוחרים אותה.
  5. כדי להוסיף עוד קבוצה, מחפשים את הקבוצה ובוחרים אותה.
  6. כשמסיימים לבחור קבוצות, לוחצים על הוספה.
  7. (אופציונלי) אם רוצים להסיר קבוצה, לוחצים על סמל הסרת הקבוצה .
  8. לוחצים על שמירה.
היחידה הארגונית של המשתמש היחידה הארגונית של המשתמש
נמענים חסומים הנמענים שנחסמו על ידי הכלל שהופעל
פעולה מותנית רשימת פעולות שיכולות להיות מופעלות בזמן הגישה של המשתמש, בהתאם לתנאים לפי הקשר שהוגדרו עבור הכלל.
מזהה שיחת הוועידה מזהה שיחת הוועידה של הפגישה שבוצעו בה פעולות כחלק מהפעלת הכלל
מזהה מאגר תגים המזהה של מאגר ההורה שמקור המידע שייך אליו
סוג מאגר הסוג של מאגר ההורה שמקור המידע שייך אליו – למשל מרחב ב-Chat או צ׳אט קבוצתי, להודעות או לקבצים מצורפים בצ׳אט
מקור נתונים האפליקציה שמקור הנתונים מגיע ממנה
תאריך התאריך והשעה שהאירוע התרחש בהם
מזהה גלאי המזהה של גלאי תואם
שם הגלאי שם של גלאי תואם שהאדמינים הגדירו
מזהה המכשיר מזהה המכשיר שהפעולה הופעלה בו. סוג הנתונים הזה רלוונטי להגנה על נתונים מפני איומים ב-Chrome Enterprise Premium.
סוג המכשיר סוג המכשיר שמזהה המכשיר מפנה אליו. סוג הנתונים הזה רלוונטי להגנה על נתונים מפני איומים ב-Chrome Enterprise Premium.
אירוע

פעולת האירוע שנרשמה ביומן.

Drive

אלה הם האירועים של כללי ההגנה על נתונים שנרשמים ביומן של Drive:

  • הפעולה הושלמה, התוכן מתאים לכלל*: כלל להגנה על נתונים סימן תוכן במסמך ב-Drive
  • הפעולה הושלמה, התוכן לא מתאים לכלל*: בוטל הסימון של המסמך ב-Drive כי התוכן שהפעיל את כלל ההגנה על נתונים כבר לא נמצא
  • הגישה נחסמה: כלל להגנה על נתונים חסם ניסיון להוריד או להעתיק קובץ ב-Drive

הערות ל-Drive:

  • כשתווית ב-Drive משתנה, הערך הוא התווית הוחלה, ערך השדה השתנה או התווית הוסרה.
  • כשכללים להרשאות שיתוף חוסמים שיתוף של קבצים ב-Drive, הערך הוא השיתוף נחסם.
  • כשכללים להרשאות שיתוף חוסמים גישה לקבצים ב-Drive (צפייה, הורדה או העתקה), הערך הוא הגישה נחסמה.

Gmail

אלה הם האירועים של כללי ההגנה על הנתונים שנרשמים ביומן של Gmail:

  • הפעולה הושלמה, ההודעה שנשלחה נבדקה*:כלל להגנה על נתונים בדק את ההודעה ב-Gmail בזמן השליחה
  • הפעולה הושלמה, שליחת ההודעה נחסמה*: כלל להגנה על נתונים חסם את השליחה של ההודעה ב-Gmail
  • הפעולה הושלמה, ההודעה בהסגר ולא תישלח*: כלל להגנה על נתונים הכניס את ההודעה ב-Gmail להסגר לצורך בדיקה. ההודעה לא נשלחה.
  • הפעולה הושלמה, ניתנה אזהרה על שליחת הודעה*: כלל להגנה על נתונים הזהיר את המשתמש מפני שליחה של ההודעה ב-Gmail

‫* החלק 'הפעולה הושלמה' בשמות האירועים האלה ייצא משימוש בעתיד.

יומן (בגרסת בטא)

אלה הם האירועים של כללי הגנה על נתונים שנרשמים ביומן של יומן Google:

  • בוצעה בדיקה של שמירת אירוע ביומן: האירוע ביומן נבדק במהלך השמירה.
  • אזהרה שלא לשמור אירוע ביומן: משתמש קיבל אזהרה לא לשמור אירוע ביומן.
  • שמירת האירוע ביומן נחסמה: נחסמה השמירה של האירוע ביומן.
מכיל תוכן רגיש עבור כללים להגנה על נתונים שהופעלו, שיש להם תוכן רגיש שזוהה ונרשם ביומן, הערך הוא True.
נמען* מי שקיבל את מקור המידע ששותף
מספר הנמענים שהושמטו* מספר הנמענים של מקורות המידע שהושמטו בגלל חריגה מהמגבלה
מזהה משאב האובייקט ששונה. לכללים להגנה על נתונים:
  • עבור רשומות ששייכות ל-Google Drive, צריך ללחוץ על המזהה של מקור המידע כדי לצפות במסמך ב-Drive ששונה.
  • עבור רשומות ששייכות ל-Google Chat, צריך ללחוץ על המזהה של מקור המידע כדי לראות את הפרטים של השיחה בצ׳אט. התוקף של נתוני הצ'אט יכול לפוג, כך שלא כל הפרטים יהיו זמינים תמיד.
  • עבור רשומות ששייכות ל-Gmail, צריך ללחוץ על המזהה של מקור המידע כדי לראות את מזהה ההודעה או את שם הקובץ המצורף.
הבעלים של המשאב משתמש שהוא הבעלים של מקור המידע שנסרק ושבוצעה בו פעולה.
שם המשאב הכותרת של מקור המידע ששונה. עבור DLP, הכוונה לכותרת של המסמך.
סוג המשאב ב-DLP ב-Drive, מקור המידע הוא מסמך. ב-DLP ב-Chat, מקור המידע הוא הודעה בצ׳אט או קובץ שמצורף ל-Chat. ב-DLP ל-Gmail, מקור המידע הוא אימייל או קובץ שמצורף לאימייל. ב-DLP ליומן, מקור המידע הוא אירוע ביומן.
מזהה כלל המזהה של הכלל שהופעל
שם הכלל שם הכלל שהאדמין ציין כשהוא יצר אותו
סוג הכלל DLP הוא הערך של כללי ההגנה על נתונים
סוג הסריקה

הערכים הם:

  • סריקה רציפה של Drive (מתרחשת כשכלל משתנה)
  • סריקה אונליין (מתרחשת כשמסמך משתנה)
  • סריקת התוכן בצ'אט לפני שליחה (מתרחשת כשהודעה נשלחת ב-Chat)
  • סריקת התוכן ב-Gmail לפני השליחה (מתרחשת לפני שליחת הודעה ב-Gmail)
  • סריקת התוכן ב-Gmail אחרי השליחה (מתרחשת אחרי שליחת הודעה ב-Gmail)
  • התוכן ביומן נסרק לפני שהאירוע נשמר (מתרחש לפני שהאירוע נוצר או מתעדכן)
  • התוכן ביומן נסרק בזמן שהאירוע נשמר (מתרחשת כשהאירוע נוצר או משתנה)
רמת החומרה החוּמרה שיוחסה לכלל כשהוא הופעל
פעולות שבוטלו* פעולות שהוגדרו בכלל, אבל בוטלו. אם מתרחשת ומופעלת פעולה אחרת בעדיפות גבוהה באותו הזמן, אז הפעולה הנוכחית מתבטלת.
Trigger כדי לחלק אותן לפי טריגר הפעילות שגרמה להפעלת כלל
הפעולה שהופעלה רשימה של הפעולות שבוצעו. נשארת ריקה אם הופעל כלל שמיועד רק לבדיקה.
כתובת ה-IP של הלקוח בטריגר כתובת ה-IP של המשתמש שגרם להפעלת הפעולה
כתובת האימייל של המשתמש שהפעיל את הכלל* כתובת האימייל של המשתמש שגרם להפעלת הפעולה
פעולת משתמש הפעולה שהמשתמש ניסה לבצע והכלל חסם
* אי אפשר ליצור כללי דיווח עם המסננים האלה. למידע נוסף על כללי דיווח לעומת כללי פעילות

הערה: אם נתתם למשתמש שם חדש, לא יוצגו תוצאות של שאילתות עם השם הישן שלו. למשל, אם אתם משנים את השם של OldName@example.com ל-NewName@example.com, לא תראו תוצאות לאירועים שקשורים לשם OldName@example.com.

ניהול נתוני האירועים ביומן

ניהול עמודות הנתונים של תוצאות החיפוש

אתם יכולים לקבוע אילו עמודות נתונים יופיעו בתוצאות החיפוש.

  1. בפינה השמאלית העליונה של טבלת תוצאות החיפוש, לוחצים על הסמל לניהול העמודות .
  2. (אופציונלי) כדי להסיר עמודות שמוצגות כרגע, לוחצים על סמל ההסרה .
  3. (אופציונלי) כדי להוסיף עמודות, לצד הוספת עמודה חדשה לוחצים על החץ למטה ובוחרים את עמודת הנתונים.
    חוזרים על הפעולה לפי הצורך.
  4. (אופציונלי) כדי לשנות את סדר העמודות, גוררים את השמות של עמודות הנתונים.
  5. לוחצים על שמירה.

ייצוא נתונים של תוצאות חיפוש

אתם יכולים לייצא את תוצאות החיפוש ל-Sheets או לקובץ CSV.

  1. בחלק העליון של טבלת תוצאות החיפוש, לוחצים על ייצוא של הכול.
  2. מזינים שם ואז לוחצים על ייצוא.
    קובץ הייצוא מוצג מתחת לטבלת תוצאות החיפוש בקטע ייצוא התוצאות של פעולה.
  3. כדי לראות את הנתונים, לוחצים על שם הייצוא.
    הייצוא נפתח ב-Sheets.

מגבלות הנתונים שאפשר לייצא משתנות לפי:

  • מספר השורות הכולל של התוצאות שאתם יכולים לייצא מוגבל ל-100,000 שורות.
  • התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

    אם אתם משתמשים בכלי לחקירת אבטחה, אתם יכולים לייצא עד 30 מיליון שורות של תוצאות סה"כ.

מידע נוסף מופיע במאמר בנושא ייצוא תוצאות חיפוש.

מתי הנתונים נעשים זמינים ולמשך כמה זמן הם נשמרים?

טיפול באירועים על סמך תוצאות החיפוש

יצירת כללי פעילות והגדרת התראות

  • אפשר להגדיר התראות על סמך נתוני אירועים ביומן באמצעות כללי דיווח. הוראות מופיעות במאמר בנושא יצירה וניהול של כללי דיווח.
  • התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

    כדי לסייע במניעה, זיהוי ותיקון יעילים של בעיות אבטחה, אפשר להפוך פעולות לאוטומטיות בכלי חקירת האבטחה ולהגדיר התראות על ידי יצירת כללי פעילות. כדי להגדיר כלל, מגדירים תנאים לכלל ואז מציינים את הפעולות שצריך לבצע כשהתנאים מתקיימים. פרטים נוספים מופיעים במאמר בנושא יצירה וניהול של כללי פעילות.

טיפול באירועים על סמך תוצאות החיפוש

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

אחרי שמריצים חיפוש בכלי לחקירת אבטחה, אפשר לבצע פעולות על סמך תוצאות החיפוש. לדוגמה, אפשר להריץ חיפוש שמבוסס על אירועים ביומן ב-Gmail, ואז להשתמש בכלי כדי למחוק הודעות ספציפיות, לשלוח הודעות להסגר או לשלוח הודעות לתיבות הדואר הנכנס של המשתמשים. פרטים נוספים מופיעים במאמר בנושא טיפול באירועים על סמך תוצאות החיפוש.

ניהול החקירות

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

צפייה ברשימת החקירות

כדי לראות את רשימת החקירות שבבעלותכם וששותפו איתכם, אתם יכולים ללחוץ על "צפייה בפרטי החקירות" . רשימת החקירות כוללת את השמות, התיאורים והבעלים של החקירות, ואת התאריך שבו בוצע השינוי האחרון.

מהרשימה הזו אפשר לבצע פעולות בחקירות שבבעלותכם, למשל למחוק חקירה. מסמנים את התיבה של החקירה ולוחצים על פעולות.

הערה: אפשר לראות את החקירות השמורות בקטע גישה מהירה, ממש מעל רשימת החקירות.

קביעת ההגדרות של החקירות

אתם יכולים להתחבר בתפקיד סופר-אדמין, וללחוץ על סמל ההגדרות כדי:

  • לשנות את אזור הזמן של החקירות. אזור הזמן חל על תנאי החיפוש ועל התוצאות.
  • להפעיל או להשבית את האפשרות דרישה לבודק פעולות. פרטים נוספים מופיעים בקטע דרישה לבודקים בשביל פעולות בכמות גדולה.
  • להפעיל או להשבית את ההגדרה צפייה בתוכן. ההגדרה הזו מאפשרת לאדמינים עם ההרשאות המתאימות לצפות בתוכן.
  • להפעיל או להשבית את ההגדרה יש להזין נימוק לפעולות לפני ביצוע.

פרטים נוספים מופיעים בקטע קביעת הגדרות של החקירות.

שמירה, שיתוף, מחיקה ושכפול של חקירות

כדי לשמור את הקריטריונים של החיפוש או לשתף אותם עם אחרים, אתם יכולים ליצור ולשמור חקירה, ואז לשתף, לשכפל או למחוק אותה.

פרטים נוספים מופיעים במאמר בנושא שמירה, שיתוף, מחיקה ושכפול של חקירות.

שימוש באירועים ביומן של Rule לחקירה של הודעות ב-Chat

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

אדמינים יכולים ליצור כללי הגנה על נתונים ב-Chat כדי לעקוב אחרי הדלפות של תוכן רגיש ומניעה שלהן. לאחר מכן הם יכולים להשתמש בכלי לחקירת אבטחה כדי לעקוב אחרי פעילות ב-Chat בארגון, כולל אחרי הודעות וקבצים שנשלחו מחוץ לדומיין. פרטים נוספים מופיעים במאמר בנושא חקירת הודעות ב-Chat כדי להגן על נתוני הארגון.

שימוש באירועים ביומן של Rule לחקירה של הפרות כללי DLP

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

אדמינים יכולים להשתמש בקטעי קוד של מניעת אובדן נתונים (DLP) כדי לחקור אם באמת בוצעה הפרה של כללי DLP או לא. תוכלו לקרוא פרטים נוספים במאמר איך מציגים תוכן שמפעיל כללי DLP.