أحداث سجلّ القاعدة

مراجعة محاولات مشارَكة المستخدمين للبيانات الحسّاسة

استنادًا إلى إصدار Google Workspace، قد تتمكن من الوصول إلى "أداة التحقيق الأمني" والتي تتضمّن ميزات متقدّمة أكثر. على سبيل المثال، يمكن للمشرفين المتميّزين تحديد مشاكل الأمان والخصوصية وتصنيفها واتخاذ إجراءات بشأنها. مزيد من المعلومات

بصفتك مشرفًا في مؤسستك، يمكنك إجراء عمليات بحث واتّخاذ إجراءات بشأن أحداث سجلّ القاعدة. على سبيل المثال، يمكنك الاطّلاع على سجلّ الإجراءات لمراجعة محاولات المستخدم لمشاركة البيانات الحسّاسة. يمكنك أيضًا مراجعة الأحداث التي أدّت إليها أحداث انتهاك قاعدة منع فقدان البيانات (DLP). وتظهر الإدخالات عادةً في غضون ساعة من تنفيذ المستخدم للإجراء.

تسرد أحداث سجلّ القواعد أيضًا أنواع بيانات ميزة "الحماية من التهديدات وحماية البيانات" في Chrome Enterprise Premium.

تعتمد إمكانية إجراء عملية بحث على إصدار Google والامتيازات الإدارية ومصادر البيانات التي تمتلكها. يمكنك إجراء بحث على جميع المستخدمين، بغض النظر عن إصدار Google Workspace الذي يستخدمونه.

أداة التدقيق والتحقيق

للبحث عن أحداث السجلّ، اختَر أولاً مصدر بيانات. بعد ذلك، يمكنك اختيار فلتر أو أكثر لبحثك.

  1. في "وحدة تحكّم المشرف" من Google، انتقِل إلى "القائمة" ثم إعداد التقارير ثمالتدقيق والتحقيق ثمأحداث سجلّ القواعد.

    يتطلب امتلاك امتياز المشرف التدقيق والتحقيق.

  2. لفلترة الأحداث التي حدثت قبل تاريخ معيّن أو بعده، يمكنك اختيار قبل أو بعد في حقل التاريخ. تظهر تلقائيًا أحداث آخر 7 أيام. يمكنك اختيار نطاق زمني مختلف أو النقر على لإزالة فلتر التاريخ.

  3. انقر على إضافة فلتر ثماختَر سمة. على سبيل المثال، للفلترة حسب نوع حدث معيّن، اختَر حدث.
  4. اختَر عامل تشغيل ثماختَر قيمة ثمانقر على تطبيق.
    • (اختياري) كرِّر هذه الخطوة لإنشاء فلاتر متعددة لبحثك.
    • (اختياري) لإضافة عامل تشغيل بحث، اختَر AND أو OR فوق إضافة فلتر.
  5. انقر على بحث. ملاحظة: باستخدام علامة التبويب فلترة، يمكنك تضمين أزواج قيم ومَعلمات بسيطة لفلترة نتائج البحث. يمكنك أيضًا استخدام علامة التبويب أداة إنشاء الشروط، حيث يتم تمثيل الفلاتر كشروط مع عوامل التشغيل AND/OR.

أداة التحقيق الأمني

الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك

لإجراء عملية بحث في "أداة التحقيق الأمني"، اختَر أولاً مصدر بيانات. بعد ذلك، اختَر شرطًا واحدًا أو أكثر لبحثك. بالنسبة إلى كل شرط، اختَر سمة وعامل تشغيل وقيمة.

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأمان ثممركز الأمان ثمأداة التحقيق.

    يتطلب ذلك الحصول على امتياز مشرف مركز الأمان.

  2. انقر على مصدر البيانات واختَر أحداث سجلّ القاعدة.

  3. لفلترة الأحداث التي حدثت قبل تاريخ معيّن أو بعده، يمكنك اختيار قبل أو بعد في حقل التاريخ. تظهر تلقائيًا أحداث آخر 7 أيام. يمكنك اختيار نطاق زمني مختلف أو النقر على لإزالة فلتر التاريخ.

  4. انقر على إضافة شرط.
    ملاحظة: يمكنك تضمين شرط واحد أو أكثر في بحثك أو تخصيص بحثك باستخدام طلبات البحث المتداخلة. لمعرفة التفاصيل، انتقِل إلى تخصيص البحث باستخدام طلبات البحث المتداخلة.
  5. انقر على السمة ثمحدِّد خيارًا. على سبيل المثال، للفلترة حسب نوع حدث معيّن، اختَر حدث.
    للحصول على قائمة كاملة بالسمات، انتقِل إلى قسم أوصاف السمات.
  6. اختَر عامل تشغيل.
  7. أدخِل قيمة أو اختَر قيمة من القائمة.
  8. (اختياري) لإضافة المزيد من شروط البحث، كرِّر الخطوات.
  9. انقر على بحث.
    يمكنك مراجعة نتائج البحث من أداة التحقيق في جدول أسفل الصفحة.
  10. (اختياري) لحفظ التحقيق، انقر على "حفظ" ثمأدخِل عنوانًا ووصفًا ثمانقر على حفظ.

ملاحظات

  • في علامة التبويب أداة إنشاء الشروط، يتم تمثيل الفلاتر كشروط مع عوامل التشغيل AND/OR. يمكنك أيضًا استخدام علامة التبويب فلترة لتضمين أزواج قيم ومَعلمات بسيطة لفلترة نتائج البحث.
  • إذا منحت مستخدم اسمًا جديدًا، لن تظهر لك نتائج طلبات البحث باسم المستخدم القديم. على سبيل المثال، في حال إعادة تسمية OldName@example.com إلى NewName@example.com، لن تظهر لك نتائج أحداث OldName@example.com.
  • يمكنك البحث عن البيانات في الرسائل التي لم يتم حذفها بعد من "المهملات".

أوصاف السمات

بالنسبة إلى مصدر البيانات هذا، يمكنك استخدام السمات التالية عند البحث عن بيانات أحداث السجلات.

السمة الوصف
مستوى الوصول مستويات الوصول المحددة كشروط "الوصول المستند إلى السياق" لهذه القاعدة. لمعرفة التفاصيل، يُرجى الاطّلاع على إنشاء مستويات "الوصول الواعي للسياق".
الممثّل

عنوان البريد الإلكتروني للمستخدم الذي نفّذ الإجراء. يمكن أن تكون القيمة مستخدم مجهول في حال كانت الأحداث نتيجة لإجراء إعادة فحص.

ملاحظة: بالنسبة إلى الإجراءات التي يتم تشغيلها من خلال النظام وليس من خلال مستخدم، قد تكون هذه القيمة فارغة.
اسم مجموعة المُنفِّذ

اسم مجموعة المُنفِّذ لمزيد من المعلومات، يُرجى الانتقال إلى مقالة فلترة النتائج حسب "مجموعة Google".

لإضافة مجموعة إلى القائمة المسموح بها لمجموعات الفلترة:

  1. اختَر اسم مجموعة المُنفِّذ.
  2. انقر على مجموعات الفلترة.
    ستظهر صفحة "مجموعات الفلترة".
  3. انقر على إضافة مجموعات.
  4. ابحث عن مجموعة من خلال إدخال الأحرف الأولى من اسم المجموعة أو عنوان بريدها الإلكتروني. وعند ظهور المجموعة التي تريدها، اختَرها.
  5. (اختياري) لإضافة مجموعة أخرى، ابحث عن المجموعة واخترها.
  6. عند الانتهاء من اختيار المجموعات، انقر على إضافة.
  7. (اختياري) لإزالة مجموعة، انقر على "إزالة المجموعة" .
  8. انقر على حفظ.
الوحدة التنظيمية للمنفِّذ الوحدة التنظيمية التابعة للمُنفِّذ
المستلِمون المحظورون المُستلِمون الذين تم حظرهم باستخدام القاعدة المُفعَّلة
الإجراء الشرطي قائمة الإجراءات التي يمكن تفعيلها في وقت وصول المستخدِم، استنادًا إلى شروط السياق المضبوطة للقاعدة.
معرّف المؤتمر رقم تعريف مكالمة الفيديو للاجتماع الذي تم اتخاذ إجراء بشأنه كجزء من مشغِّل القاعدة هذا
رقم تعريف الحاوية رقم تعريف الحاوية الرئيسية التي ينتمي إليها المورد
نوع الحاوية نوع الحاوية الرئيسية التي ينتمي إليها المورد، مثل مساحة Chat أو المحادثة الجماعية، لرسائل المحادثة أو مرفقات المحادثة
مصدر البيانات التطبيق الذي أنشأ المورد
التاريخ تاريخ وقوع الحدث ووقته
معرّف أداة الرصد معرّف أداة رصد متطابقة
اسم أداة الرصد اسم أداة رصد مطابقة حدَّدها المشرفون
رقم تعريف الجهاز رقم تعريف الجهاز الذي تم تفعيل الإجراء عليه. ويُطبَّق هذا النوع من البيانات على ميزة "الحماية من التهديدات وحماية البيانات" في Chrome Enterprise Premium.
نوع الجهاز نوع الجهاز الذي يشير إليه رقم تعريف الجهاز. ويُطبَّق هذا النوع من البيانات على ميزة "الحماية من التهديدات وحماية البيانات" في Chrome Enterprise Premium.
الحدث

إجراء الحدث الذي تم تسجيله.

Drive

يتم تسجيل أحداث قواعد "منع فقدان البيانات" هذه في Drive:

  • اكتمل الإجراء، والمحتوى مطابق*: وضعت إحدى قواعد "منع فقدان البيانات" علامة على محتوى في مستند Drive.
  • اكتمل الإجراء، والمحتوى غير مطابق*: لم توضع علامة على مستند Drive لأنّ المحتوى الذي أدى في الأصل إلى تفعيل قاعدة "منع فقدان البيانات" لم يعُد متاحًا.
  • تم حظر الوصول: حظرت إحدى قواعد "منع فقدان البيانات" (DLP) محاولة تنزيل ملف Drive أو نسخة منه.

ملاحظات Drive:

  • عند تغيير تصنيف Drive، تكون القيمة هي "تم تطبيق التصنيف"،أو "تم تغيير قيمة الحقل"، أو "تمت إزالة التصنيف".
  • عندما تحظر قواعد الثقة مشاركة ملفات Drive، تكون القيمة هي تم حظر المشاركة.
  • عندما تحظر قواعد الثقة الوصول إلى ملفات Drive (العرض أو التنزيل أو النسخ)، تكون القيمة هي تم حظر الوصول.

Gmail

يتم تسجيل أحداث قواعد "منع فقدان البيانات" هذه في Gmail:

  • اكتمل الإجراء، خضعت الرسالة المرسَلة للتدقيق*: أجرت إحدى قواعد "منع فقدان البيانات" تدقيقًا لرسالة Gmail أثناء الإرسال.
  • اكتمل الإجراء، تم حظر إرسال الرسالة*: حظرت إحدى قواعد "منع فقدان البيانات" إرسال رسالة Gmail.
  • اكتمل الإجراء، تم وضع الرسالة المرسَلة في وحدة العزل*: وضعت إحدى قواعد "منع فقدان البيانات" رسالة Gmail في وحدة العزل لمراجعتها. لم يتم إرسال الرسالة.
  • اكتمل الإجراء، تم التحذير من إرسال الرسالة*: حذرت إحدى قواعد "منع فقدان البيانات" المستخدم من إرسال رسالة Gmail.

* سنتوقف نهائيًا عن استخدام قسم "اكتمل الإجراء" من أسماء الأحداث هذه.

التقويم (إصدار تجريبي)

يتم تسجيل أحداث قواعد "منع فقدان البيانات" هذه في "تقويم Google":

  • تم التدقيق في عملية حفظ الحدث في "تقويم Google": تم التدقيق في الحدث في "تقويم Google" أثناء حفظه.
  • تم التحذير من حفظ الحدث في "تقويم Google": تم تحذير مستخدم من عدم حفظ الحدث في "تقويم Google".
  • تم منع حفظ الحدث في "تقويم Google": تم منع حفظ الحدث في "تقويم Google".
يحتوي على محتوى حسّاس بالنسبة إلى قواعد "منع فقدان البيانات" المفعَّلة التي رصدت محتوى حسّاس وسجلته، تكون القيمة صحيح.
المستلِم* المستخدمون الذين حصلوا على المورد المشترك
عدد المُستلِمين المحذوفين* عدد مستلِمي الموارد الذين تم حذفهم بسبب تجاوز الحدّ الأقصى
معرّف المرجع العنصر الذي تم تعديله. بالنسبة إلى قواعد منع فقدان البيانات:
  • بالنسبة إلى الإدخالات المتعلقة بخدمة Google Drive، انقر على رقم تعريف المورد لعرض مستند Drive الذي تم تعديله.
  • بالنسبة إلى الإدخالات المتعلقة بتطبيق Google Chat، انقر على رقم تعريف المورد للاطِّلاع على تفاصيل محادثة Chat. يُرجى العلم أنّ بعض بيانات Chat قد تنتهي صلاحيتها، وبالتالي لن تكون كل التفاصيل متوفّرة دائمًا.
مالك المرجع المستخدم الذي يمتلك المورد الذي تم فحصه وتطبيق إجراء عليه
عنوان المرجع عنوان المرجع الذي تم تعديله. بالنسبة إلى ميزة "منع فقدان البيانات"، يكون عنوان المورد هو عنوان مستند.
نوع المرجع بالنسبة إلى ميزة "منع فقدان البيانات" في Drive، يكون نوع المورد هو مستند. أما عن ميزة "منع فقدان البيانات" في Chat، يكون المورد هو رسالة Chat أو مرفق Chat. بالنسبة إلى ميزة "منع فقدان البيانات" في "تقويم Google"، يكون نوع المورد هو حدث في التقويم.
معرّف القاعدة رقم تعريف القاعدة التي تم تفعيلها
اسم القاعدة اسم القاعدة الذي يوفره المشرف عند إنشائها
نوع القاعدة DLP هي قيمة قواعد منع فقدان البيانات
نوع المسح

القيم هي:

  • فحص Drive المستمر (يتم عند تغيير القاعدة)
  • الفحص على الإنترنت (يتم عند تغيير المستند)
  • فحص محتوى Chat قبل الإرسال (يتم عند إرسال رسالة Chat)
  • فحص محتوى "تقويم Google" قبل حفظ الحدث (يتم قبل إنشاء الحدث أو تعديله)
  • فحص محتوى "تقويم Google" أثناء حفظ الحدث (يتم عند إنشاء الحدث أو تعديله)
درجة الفداحة درجة الخطورة التي تم تحديدها للقاعدة عند تفعيلها
الإجراء الذي تم إلغاؤه* الإجراءات التي تم ضبطها على القاعدة، ولكن تم إلغاؤها. يتم إلغاء إجراء في حال حدوث إجراء بأولوية أعلى في الوقت نفسه وتفعيله.
المشغّل النشاط الذي أدى إلى تفعيل قاعدة
الإجراء المتّخذ تعرض هذه السمة الإجراء الذي تم اتخاذه. ويكون هذا الحقل فارغًا في حال تفعيل قاعدة التدقيق فقط.
عنوان IP للعميل المشغّل عنوان IP للمُنفِّذ الذي فعّل الإجراء
تشغيل البريد الإلكتروني للمستخدم* عنوان البريد الإلكتروني للمُنفِّذ الذي فعّل الإجراء
إجراء المستخدم الإجراء الذي كان يحاول المستخدم تنفيذه، والذي حظرته القاعدة
* لا يمكنك إنشاء قواعد لإعداد التقارير باستخدام هذه الفلاتر. مزيد من المعلومات عن قواعد إعداد التقارير مقابل قواعد النشاط

ملاحظة: في حال منحت مستخدم اسمًا جديدًا، لن تظهر لك نتائج طلبات بحث باسم المستخدم القديم. على سبيل المثال، في حال إعادة تسمية OldName@example.com إلى NewName@example.com، لن تظهر لك نتائج أحداث OldName@example.com.

إدارة بيانات أحداث السجلّات

إدارة بيانات أعمدة نتائج البحث

يمكنك التحكّم في أعمدة البيانات التي تظهر في نتائج البحث.

  1. في أعلى يسار جدول نتائج البحث، انقر على "إدارة الأعمدة" .
  2. (اختياري) لإزالة الأعمدة الحالية، انقر على "إزالة" .
  3. (اختياري) لإضافة أعمدة، بجانب إضافة عمود جديد، انقر على السهم المتجه للأسفل واختَر عمود البيانات.
    يمكنك تكرار هذه الخطوات حسب الحاجة.
  4. (اختياري) لتغيير ترتيب الأعمدة، اسحب أسماء أعمدة البيانات.
  5. انقر على حفظ.

تصدير بيانات نتائج البحث

يمكنك تصدير نتائج البحث إلى "جداول بيانات Google" أو إلى ملف CSV.

  1. في أعلى جدول نتائج البحث، انقر على تصدير الكل.
  2. أدخِل اسمًا ثم انقر على تصدير.
    يتم عرض عملية التصدير أسفل جدول نتائج البحث ضمن تصدير نتائج الإجراء.
  3. لعرض البيانات، انقر على اسم عملية التصدير.
    تفتح عملية التصدير في "جداول بيانات Google".

تختلف حدود التصدير:

  • يقتصر إجمالي نتائج عملية التصدير على 100,000 صف.
  • الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك

    إذا كانت لديك "أداة التحقيق الأمني"، يقتصر إجمالي نتائج عملية التصدير على 30 مليون صف.

لمزيد من المعلومات، يُرجى الانتقال إلى مقالة تصدير نتائج البحث.

متى تُتاح البيانات وما هي مدة إتاحتها؟

يمكنك الانتقال إلى مقالة مُدد الاحتفاظ بالبيانات ومُدد التأخُّر.

اتخاذ إجراء بناءً على نتائج البحث

إنشاء قواعد النشاط وإعداد التنبيهات

  • يمكنك إعداد التنبيهات بناءً على بيانات أحداث السجلّات باستخدام قواعد إعداد التقارير. للحصول على التعليمات، انتقِل إلى إنشاء قواعد إعداد التقارير وإدارتها.
  • الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك

    للمساعدة على منع مشاكل الأمان ورصدها وحلها بكفاءة، يمكنك تنفيذ الإجراءات تلقائيًا في أداة التحقيق الأمني وإعداد التنبيهات من خلال إنشاء قواعد النشاط. لإعداد قاعدة، عليك إعداد شروط للقاعدة، ثم اختيار الإجراءات التي سيتم تنفيذها عند استيفاء الشروط. لمزيد من التفاصيل، يُرجى الانتقال إلى إنشاء قواعد النشاط وإدارتها.

اتخاذ إجراء بناءً على نتائج البحث

الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك

بعد إجراء عملية بحث في "أداة التحقيق الأمني"، يمكنك اتّخاذ إجراء بناءً على نتائج البحث. مثلاً، يمكنك إجراء عملية بحث بناءً على أحداث سجلّ Gmail، ثم استخدام الأداة بعد ذلك لحذف رسائل محدَّدة أو إرسال الرسائل إلى وحدة العزل أو إلى صناديق البريد الوارد للمستخدمين. لمزيد من التفاصيل، يُرجى الانتقال إلى مقالة اتخاذ إجراء بناءً على نتائج البحث.

إدارة التحقيقات

الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك

عرض قائمة التحقيقات

لعرض قائمة بالتحقيقات التي تمتلكها والتي تمت مشاركتها معك، انقر على "عرض التحقيقات" . تتضمن هذه القائمة أسماء التحقيقات وأوصافها ومالكيها وتاريخ آخر تعديل.

من هذه القائمة، يمكنك اتخاذ إجراء بشأن أي تحقيقات تمتلكها، مثل حذف تحقيق. ضَع علامة في المربع بجانب تحقيق، ثم انقر على الإجراءات.

ملاحظة: يمكنك عرض التحقيقات المحفوظة ضمن الوصول السريع، أعلى قائمة التحقيقات مباشرةً.

ضبط إعدادات تحقيقاتك

بصفتك مشرفًا متميزًا، انقر على رمز الإعدادات لتنفيذ ما يلي:

  • تغيير المنطقة الزمنية للتحقيقات تنطبق المنطقة الزمنية على شروط البحث ونتائجه.
  • فعِّل إعداد المطالبة بمراجعين أو أوقِفه. لمزيد من التفاصيل، انتقِل إلى المطالبة بمراجعين لتنفيذ الإجراءات المُجمَّعة.
  • فعِّل إعداد عرض المحتوى أو أوقِفه. يسمح هذا الإعداد للمشرفين الذين يمتلكون الامتيازات المناسبة بعرض المحتوى.
  • فعِّل خيار تفعيل تبرير الإجراء أو أوقِفه.

لمزيد من التفاصيل، يُرجى الانتقال إلى ضبط إعدادات التحقيقات.

حفظ التحقيقات ومشاركتها وحذفها وتكرارها

لحفظ معايير البحث أو مشاركتها مع الآخرين، يمكنك إنشاء تحقيق وحفظه، ثم مشاركته أو تكراره أو حذفه.

لمعرفة التفاصيل، يُرجى الانتقال إلى حفظ التحقيقات ومشاركتها وحذفها وتكرارها.

استخدام أحداث سجلّ القاعدة للتحقيق في رسائل Chat

الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك

بصفتك مشرفًا، يمكنك إنشاء قاعدة حماية بيانات لتطبيق Chat لمراقبة حالات تسريب المحتوى الحسَّاس ومنعها. يمكنك بعد ذلك استخدام "أداة التحقيق الأمني" لمراقبة نشاط Chat في مؤسستك، بما في ذلك الرسائل والملفات المُرسَلة خارج نطاقك. لمعرفة التفاصيل، يُرجى الاطّلاع على التحقيق في رسائل Chat لحماية بيانات مؤسستك.

استخدام أحداث سجلّ القاعدة للتحقيق في انتهاكات قواعد "منع فقدان البيانات"

الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك

بصفتك مشرفًا، يمكنك استخدام مقتطفات منع فقدان البيانات للتحقّق ممّا إذا تم انتهاك قاعدة منع فقدان البيانات بالفعل أم أنها نتيجة موجبة خاطئة. لمزيد من التفاصيل، يُرجى الانتقال إلى مقالة عرض المحتوى الذي يؤدي إلى تفعيل قواعد "منع فقدان البيانات".