رویدادهای ثبت قوانین

تلاش‌های کاربران خود برای به اشتراک گذاشتن داده‌های حساس را بررسی کنید

بسته به نسخه Google Workspace شما، ممکن است به ابزار بررسی امنیتی دسترسی داشته باشید که ویژگی‌های پیشرفته‌تری دارد. به عنوان مثال، مدیران ارشد می‌توانند مشکلات امنیتی و حریم خصوصی را شناسایی، اولویت‌بندی و در مورد آنها اقدام کنند. اطلاعات بیشتر

به عنوان مدیر سازمان خود، می‌توانید جستجوها را اجرا کرده و در مورد رویدادهای ثبت قوانین اقدام کنید. به عنوان مثال، می‌توانید سابقه‌ای از اقدامات را برای بررسی تلاش‌های کاربر خود برای به اشتراک گذاشتن داده‌های حساس مشاهده کنید. همچنین می‌توانید رویدادهای ناشی از نقض قوانین پیشگیری از دست رفتن داده‌ها (DLP) را بررسی کنید. ورودی‌ها معمولاً ظرف یک ساعت پس از اقدام کاربر ظاهر می‌شوند.

رویدادهای گزارش قوانین همچنین انواع داده‌ها را برای محافظت از تهدید و داده‌های Chrome Enterprise Premium فهرست می‌کنند.

توانایی شما برای انجام جستجو به نسخه گوگل، امتیازات مدیریتی و منبع داده شما بستگی دارد. می‌توانید جستجو را روی همه کاربران، صرف نظر از نسخه Google Workspace آنها، انجام دهید.

ابزار حسابرسی و تحقیق

برای جستجوی رویدادهای لاگ، ابتدا یک منبع داده انتخاب کنید. سپس، یک یا چند فیلتر برای جستجوی خود انتخاب کنید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس گزارش‌دهی و سپس حسابرسی و تحقیق و سپس رویدادهای ثبت قوانین .

    مستلزم داشتن امتیاز مدیر حسابرسی و تحقیقات است.

  2. برای فیلتر کردن رویدادهایی که قبل یا بعد از یک تاریخ خاص رخ داده‌اند، برای تاریخ ، قبل یا بعد را انتخاب کنید. به طور پیش‌فرض، رویدادهای ۷ روز گذشته نمایش داده می‌شوند. می‌توانید محدوده تاریخ متفاوتی را انتخاب کنید یا روی برای حذف فیلتر تاریخ.

  3. روی افزودن فیلتر کلیک کنید و سپس یک ویژگی را انتخاب کنید. برای مثال، برای فیلتر کردن بر اساس یک نوع رویداد خاص، Event را انتخاب کنید.
  4. انتخاب اپراتور و سپس یک مقدار را انتخاب کنید و سپس روی اعمال کلیک کنید.
    • (اختیاری) برای ایجاد چندین فیلتر برای جستجوی خود، این مرحله را تکرار کنید.
    • (اختیاری) برای افزودن یک اپراتور جستجو، در بالای «افزودن فیلتر» ، AND یا OR را انتخاب کنید.
  5. روی جستجو کلیک کنید. با استفاده از برگه فیلتر ، می‌توانید جفت‌های پارامتر و مقدار ساده را برای فیلتر کردن نتایج جستجو وارد کنید. همچنین می‌توانید از برگه سازنده شرط استفاده کنید، جایی که فیلترها به صورت شرط‌هایی با عملگرهای AND/OR نمایش داده می‌شوند.

ابزار بررسی امنیتی

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard و Education Plus؛ Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

برای انجام جستجو در ابزار بررسی امنیتی، ابتدا یک منبع داده انتخاب کنید. سپس، یک یا چند شرط برای جستجوی خود انتخاب کنید. برای هر شرط، یک ویژگی ، یک عملگر و یک مقدار انتخاب کنید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس مرکز امنیتی و سپس ابزار تحقیق .

    نیاز به داشتن امتیاز مدیر مرکز امنیت دارد.

  2. روی منبع داده کلیک کنید و رویدادهای ثبت قوانین را انتخاب کنید.

  3. برای فیلتر کردن رویدادهایی که قبل یا بعد از یک تاریخ خاص رخ داده‌اند، برای تاریخ ، قبل یا بعد را انتخاب کنید. به طور پیش‌فرض، رویدادهای ۷ روز گذشته نمایش داده می‌شوند. می‌توانید محدوده تاریخ متفاوتی را انتخاب کنید یا روی برای حذف فیلتر تاریخ.

  4. روی افزودن شرط کلیک کنید.
    نکته : می‌توانید یک یا چند شرط را در جستجوی خود بگنجانید یا جستجوی خود را با پرس‌وجوهای تو در تو سفارشی کنید. برای جزئیات بیشتر، به سفارشی‌سازی جستجوی خود با پرس‌وجوهای تو در تو بروید.
  5. روی ویژگی کلیک کنید و سپس یک گزینه را انتخاب کنید. برای مثال، برای فیلتر کردن بر اساس یک نوع رویداد خاص، Event را انتخاب کنید.
    برای مشاهده لیست کامل ویژگی‌ها، به بخش توضیحات ویژگی‌ها مراجعه کنید.
  6. یک اپراتور انتخاب کنید.
  7. یک مقدار وارد کنید یا یک مقدار از لیست انتخاب کنید.
  8. (اختیاری) برای افزودن شرایط جستجوی بیشتر، مراحل را تکرار کنید.
  9. روی جستجو کلیک کنید.
    می‌توانید نتایج جستجو از ابزار بررسی را در جدولی در پایین صفحه مرور کنید.
  10. (اختیاری) برای ذخیره تحقیقات خود، روی ذخیره کلیک کنید و سپس عنوان و توضیحات را وارد کنید و سپس روی ذخیره کلیک کنید.

یادداشت‌ها

  • در تب Condition builder ، فیلترها به صورت شرط‌هایی با عملگرهای AND/OR نمایش داده می‌شوند. همچنین می‌توانید از تب Filter برای اضافه کردن جفت‌های پارامتر و مقدار ساده برای فیلتر کردن نتایج جستجو استفاده کنید.
  • اگر به یک کاربر نام جدیدی بدهید، نتایج پرس‌وجو با نام قبلی کاربر را مشاهده نخواهید کرد. برای مثال، اگر OldName@example.com را به NewName@example.com تغییر نام دهید، نتایج رویدادهای مربوط به OldName@example.com را مشاهده نخواهید کرد.
  • فقط می‌توانید داده‌های موجود در پیام‌هایی را جستجو کنید که هنوز از سطل زباله حذف نشده‌اند.

توضیحات ویژگی

برای این منبع داده، می‌توانید هنگام جستجوی داده‌های رویداد لاگ از ویژگی‌های زیر استفاده کنید.

ویژگی توضیحات
سطح دسترسی سطوح دسترسی انتخاب شده به عنوان شرایط دسترسی آگاه از متن این قانون. برای جزئیات بیشتر، به ایجاد سطوح دسترسی آگاه از متن مراجعه کنید.
بازیگر

آدرس ایمیل کاربری که عمل را انجام داده است. اگر رویدادها نتایج اسکن مجدد باشند، مقدار می‌تواند کاربر ناشناس باشد.

توجه : برای اقداماتی که توسط سیستم و نه توسط کاربر انجام می‌شوند، این مقدار ممکن است خالی باشد.

نام گروه بازیگران

نام گروه بازیگر. برای اطلاعات بیشتر، به فیلتر کردن نتایج بر اساس گروه گوگل مراجعه کنید.

برای افزودن یک گروه به لیست مجاز گروه‌های فیلترینگ خود:

  1. نام گروه بازیگر را انتخاب کنید.
  2. روی فیلتر کردن گروه‌ها کلیک کنید.
    صفحه فیلتر کردن گروه‌ها نمایش داده می‌شود.
  3. روی افزودن گروه‌ها کلیک کنید.
  4. با وارد کردن چند کاراکتر اول نام یا آدرس ایمیل یک گروه، آن را جستجو کنید. وقتی گروه مورد نظر خود را مشاهده کردید، آن را انتخاب کنید.
  5. (اختیاری) برای افزودن گروه دیگر، گروه را جستجو و انتخاب کنید.
  6. وقتی انتخاب گروه‌ها تمام شد، روی «افزودن» کلیک کنید.
  7. (اختیاری) برای حذف گروه، روی «حذف گروه» کلیک کنید .
  8. روی ذخیره کلیک کنید.
واحد سازمانی بازیگر واحد سازمانی بازیگر
گیرندگان مسدود شده گیرندگانی که توسط قانون فعال شده مسدود شده‌اند
اقدام مشروط فهرستی از اقداماتی که می‌توانند در زمان دسترسی کاربر، بسته به شرایط زمینه‌ای پیکربندی‌شده برای قانون، اجرا شوند.
شناسه کنفرانس شناسه کنفرانس جلسه‌ای که به عنوان بخشی از فعال‌سازی این قانون، بر اساس آن عمل شده است
شناسه کانتینر شناسه‌ی کانتینر والدی که منبع به آن تعلق دارد
نوع کانتینر نوع کانتینر والدی که منبع به آن تعلق دارد - برای مثال، Chat Space یا Group Chat ، برای پیام‌های چت یا پیوست‌های چت
منبع داده برنامه‌ای که منبع را ایجاد می‌کند
تاریخ تاریخ و زمان وقوع رویداد
شناسه آشکارساز شناسه یک آشکارساز منطبق
نام آشکارساز نام آشکارساز منطبقی که مدیران تعریف کرده‌اند
شناسه دستگاه شناسه دستگاهی که اقدام روی آن انجام شده است. این نوع داده برای محافظت از تهدید و داده‌های Chrome Enterprise Premium اعمال می‌شود.
نوع دستگاه نوع دستگاهی که با شناسه دستگاه به آن اشاره می‌شود. این نوع داده برای محافظت از داده‌ها و تهدیدات Chrome Enterprise Premium اعمال می‌شود.
رویداد

اقدام رویداد ثبت‌شده.

رانندگی

این رویدادهای قوانین DLP برای Drive ثبت می‌شوند:

  • اقدام انجام شد، محتوا مطابقت داشت*: محتوایی که توسط یک قانون DLP در یک سند Drive علامت‌گذاری شده است.
  • عملیات انجام شد، محتوا مطابقت نداشت*: سند درایو علامت‌گذاری نشده است زیرا محتوایی که در ابتدا یک قانون DLP را فعال کرده بود، دیگر وجود ندارد
  • دسترسی مسدود شد: یک قانون DLP تلاش برای دانلود یا کپی یک فایل Drive را مسدود کرد.

یادداشت‌های رانندگی:

  • وقتی برچسب درایو تغییر می‌کند، مقدار به صورت Label applied (برچسب اعمال شد) ، Field value changed (مقدار فیلد تغییر کرد ) یا Label removed (برچسب حذف شد ) نمایش داده می‌شود.
  • وقتی قوانین اعتماد، اشتراک‌گذاری فایل‌های درایو را مسدود می‌کنند، مقدار Sharing blocked است.
  • وقتی قوانین اعتماد، دسترسی به فایل‌های درایو (مشاهده، دانلود یا کپی) را مسدود می‌کنند، مقدار آن Access blocked است.

جیمیل

این رویدادهای قوانین DLP برای Gmail ثبت می‌شوند:

  • عملیات انجام شد، ارسال پیام بررسی شد*: یک قانون DLP پیام Gmail را هنگام ارسال بررسی کرد
  • عملیات انجام شد، ارسال پیام مسدود شد*: یک قانون DLP ارسال پیام Gmail را مسدود کرد
  • عملیات انجام شد، پیام ارسالی قرنطینه شد*: یک قانون DLP پیام Gmail را برای بررسی در قرنطینه قرار داد. پیام ارسال نشد.
  • عملیات انجام شد، ارسال پیام هشدار داده شد*: یک قانون DLP به کاربر در مورد ارسال پیام Gmail هشدار داد

* بخش «اکشن تکمیل شد» در نام این رویدادها منسوخ خواهد شد .

تقویم (نسخه بتا)

این رویدادهای قوانین DLP برای تقویم ثبت می‌شوند:

  • رویداد تقویم ذخیره شده حسابرسی شد: رویداد تقویم هنگام ذخیره شدن، حسابرسی شد.
  • هشدار ذخیره رویداد تقویم : به کاربر هشدار داده شد که رویداد تقویم را ذخیره نکند.
  • ذخیره رویداد تقویم مسدود شد: ذخیره رویداد تقویم مسدود شد.
دارای محتوای حساس برای قوانین DLP فعال‌شده با محتوای حساس شناسایی و ثبت‌شده، مقدار True است.
گیرنده* کسانی که منبع مشترک را دریافت کردند
تعداد گیرنده از قلم افتاده* تعداد دریافت‌کنندگان منابع که به دلیل عبور از حد مجاز حذف شده‌اند
شناسه منبع شیء تغییر کرد. برای قوانین DLP:
  • برای ورودی‌های مربوط به گوگل درایو، روی شناسه منبع کلیک کنید تا سند درایوی که اصلاح شده است را مشاهده کنید.
  • برای ورودی‌های مربوط به گوگل چت، روی شناسه منبع کلیک کنید تا جزئیات مربوط به یک مکالمه چت را مشاهده کنید. توجه داشته باشید که برخی از داده‌های چت ممکن است منقضی شوند، بنابراین همه جزئیات همیشه در دسترس نخواهند بود.
مالک منبع کاربری که مالک منبعی است که اسکن شده و عملیاتی روی آن اعمال شده است
عنوان منبع عنوان منبعی که تغییر داده شده است. برای DLP، عنوان سند.
نوع منبع برای Drive DLP، منبع Document است. برای Chat DLP، منبع Chat Message یا Chat Attachment است. برای Calendar DLP، منبع Calendar Event است.
شناسه قانون شناسه‌ی قانونی که باعث ایجاد آن شده است
نام قانون نام قانون که توسط مدیر هنگام ایجاد قانون ارائه شده است
نوع قانون DLP مقدار قوانین DLP است
نوع اسکن

ارزش‌ها عبارتند از:

  • اسکن مداوم درایو (هنگامی که یک قانون تغییر می‌کند)
  • اسکن آنلاین (هنگامی که سند در حال تغییر است)
  • اسکن محتوای چت قبل از ارسال (هنگام ارسال پیام چت رخ می‌دهد)
  • اسکن محتوای تقویم قبل از ذخیره رویداد (قبل از ایجاد یا به‌روزرسانی رویداد رخ می‌دهد)
  • اسکن محتوای تقویم در حین ذخیره رویداد (هنگام ایجاد یا اصلاح رویداد رخ می‌دهد)
شدت شدت اختصاص داده شده به قانون هنگام فعال شدن آن
عمل سرکوب‌شده* اقداماتی که طبق این قانون پیکربندی شده‌اند، اما سرکوب شده‌اند. اگر یک اقدام با اولویت بالاتر همزمان رخ دهد و اجرا شود، یک اقدام سرکوب می‌شود.
ماشه فعالیتی که منجر به فعال شدن یک قانون شده است
اقدام تحریک‌شده اقدامات انجام شده را فهرست می‌کند. اگر یک قانون فقط حسابرسی فعال شده باشد، این قسمت خالی است.
فعال کردن IP کلاینت آدرس IP بازیگری که این اقدام را آغاز کرده است
فعال کردن ایمیل کاربر* آدرس ایمیل بازیگری که این اقدام را آغاز کرده است
اقدام کاربر عملی که کاربر در حال انجام آن بود و توسط یک قانون مسدود شده بود
* شما نمی‌توانید با این فیلترها قوانین گزارش‌دهی ایجاد کنید. درباره قوانین گزارش‌دهی در مقابل قوانین فعالیت بیشتر بدانید.

نکته : اگر به یک کاربر نام جدیدی بدهید، نتایج پرس‌وجو با نام قبلی کاربر را مشاهده نخواهید کرد. برای مثال، اگر OldName@example.com را به NewName@example.com تغییر نام دهید، نتایج رویدادهای مربوط به OldName@example.com را مشاهده نخواهید کرد.

مدیریت داده‌های رویداد لاگ

مدیریت داده‌های ستون نتایج جستجو

شما می‌توانید کنترل کنید که کدام ستون‌های داده در نتایج جستجوی شما نمایش داده شوند.

  1. در بالا سمت راست جدول نتایج جستجو، روی مدیریت ستون‌ها کلیک کنید .
  2. (اختیاری) برای حذف ستون‌های فعلی، روی «حذف» کلیک کنید .
  3. (اختیاری) برای افزودن ستون‌ها، در کنار «افزودن ستون جدید» ، روی پیکان رو به پایین کلیک کنید. و ستون داده را انتخاب کنید.
    در صورت نیاز تکرار کنید.
  4. (اختیاری) برای تغییر ترتیب ستون‌ها، نام ستون‌های داده را بکشید.
  5. روی ذخیره کلیک کنید.

خروجی گرفتن از داده‌های نتایج جستجو

می‌توانید نتایج جستجو را به Sheets یا به یک فایل CSV صادر کنید.

  1. در بالای جدول نتایج جستجو، روی «صادر کردن همه» کلیک کنید.
  2. یک نام وارد کنید و سپس روی «صادر کردن» کلیک کنید.
    خروجی زیر جدول نتایج جستجو و در قسمت «خروجی نتایج عملیات» نمایش داده می‌شود.
  3. برای مشاهده داده‌ها، روی نام خروجی خود کلیک کنید.
    خروجی در Sheets باز می‌شود.

محدودیت‌های صادرات متفاوت است:

  • کل نتایج صادرات به ۱۰۰۰۰۰ ردیف محدود می‌شود.
  • نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard و Education Plus؛ Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

    اگر ابزار بررسی امنیتی را داشته باشید، کل نتایج خروجی به 30 میلیون ردیف محدود می‌شود.

برای اطلاعات بیشتر، به خروجی گرفتن از نتایج جستجو بروید.

چه زمانی و تا چه مدت داده‌ها در دسترس هستند؟

بر اساس نتایج جستجو اقدام کنید

ایجاد قوانین فعالیت و تنظیم هشدارها

  • شما می‌توانید با استفاده از قوانین گزارش‌دهی، هشدارها را بر اساس داده‌های رویداد گزارش تنظیم کنید. برای دستورالعمل‌ها، به «ایجاد و مدیریت قوانین گزارش‌دهی» بروید.
  • نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard و Education Plus؛ Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

    برای کمک به پیشگیری، شناسایی و رفع مؤثر مشکلات امنیتی، می‌توانید اقدامات را در ابزار بررسی امنیتی خودکار کنید و با ایجاد قوانین فعالیت ، هشدارهایی تنظیم کنید. برای تنظیم یک قانون، شرایطی را برای آن قانون تعیین کنید و سپس اقداماتی را که باید در صورت برآورده شدن شرایط انجام شوند، مشخص کنید. برای جزئیات بیشتر، به ایجاد و مدیریت قوانین فعالیت بروید.

بر اساس نتایج جستجو اقدام کنید

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard و Education Plus؛ Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

پس از انجام جستجو در ابزار بررسی امنیتی، می‌توانید بر اساس نتایج جستجو، اقداماتی انجام دهید. برای مثال، می‌توانید بر اساس رویدادهای گزارش جیمیل، جستجو انجام دهید و سپس از این ابزار برای حذف پیام‌های خاص، ارسال پیام به قرنطینه یا ارسال پیام به صندوق ورودی کاربران استفاده کنید. برای جزئیات بیشتر، به «اقدام بر اساس نتایج جستجو» بروید.

تحقیقات خود را مدیریت کنید

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard و Education Plus؛ Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

فهرست تحقیقات خود را مشاهده کنید

برای مشاهده فهرستی از تحقیقاتی که متعلق به شماست و با شما به اشتراک گذاشته شده است، روی «مشاهده تحقیقات» کلیک کنید. فهرست تحقیقات شامل نام‌ها، توضیحات و صاحبان تحقیقات و تاریخ آخرین اصلاح است.

از این لیست، می‌توانید در مورد هر تحقیقی که متعلق به شماست، اقداماتی انجام دهید، مثلاً یک تحقیق را حذف کنید. کادر مربوط به تحقیق را علامت بزنید و سپس روی «اقدامات» کلیک کنید.

توجه : می‌توانید تحقیقات ذخیره‌شده خود را در بخش دسترسی سریع ، مستقیماً بالای فهرست تحقیقات خود، مشاهده کنید.

تنظیمات مربوط به تحقیقات خود را پیکربندی کنید

به عنوان مدیر ارشد ، روی تنظیمات کلیک کنید به:

  • منطقه زمانی تحقیقات خود را تغییر دهید. منطقه زمانی برای شرایط و نتایج جستجو اعمال می‌شود.
  • روشن یا خاموش کردن «نیاز به بررسی‌کننده» . برای جزئیات بیشتر، به «نیاز به بررسی‌کننده برای اقدامات انبوه» بروید.
  • فعال یا غیرفعال کردن مشاهده محتوا . این تنظیم به مدیرانی که دارای امتیازات مربوطه هستند اجازه می‌دهد محتوا را مشاهده کنند.
  • فعال یا غیرفعال کردن توجیه عمل .

برای جزئیات بیشتر، به پیکربندی تنظیمات برای تحقیقات خود بروید.

ذخیره، اشتراک‌گذاری، حذف و کپی کردن تحقیقات

برای ذخیره معیارهای جستجوی خود یا به اشتراک گذاری آن با دیگران، می‌توانید یک تحقیق ایجاد و ذخیره کنید و سپس آن را به اشتراک بگذارید، کپی کنید یا حذف کنید.

برای جزئیات بیشتر، به ذخیره، اشتراک‌گذاری، حذف و کپی کردن تحقیقات بروید.

استفاده از رویدادهای ثبت قوانین برای بررسی پیام‌های چت

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard و Education Plus؛ Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

به عنوان مدیر، می‌توانید یک قانون حفاظت از داده‌ها برای چت ایجاد کنید تا نشت محتوای حساس را رصد و از آن جلوگیری کند. سپس می‌توانید از ابزار بررسی امنیتی برای نظارت بر فعالیت چت در سازمان خود - از جمله پیام‌ها و فایل‌هایی که به خارج از دامنه شما ارسال می‌شوند - استفاده کنید. برای جزئیات بیشتر، به بررسی پیام‌های چت برای محافظت از داده‌های سازمان خود مراجعه کنید.

استفاده از رویدادهای ثبت قوانین برای بررسی نقض قوانین DLP

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard و Education Plus؛ Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

به عنوان یک مدیر، می‌توانید از قطعه کدهای پیشگیری از دست رفتن داده‌ها (DLP) برای بررسی اینکه آیا نقض قانون DLP یک حادثه واقعی است یا یک تشخیص نادرست، استفاده کنید. برای جزئیات بیشتر، به «مشاهده محتوایی که قوانین DLP را فعال می‌کند» بروید.