Événements du journal des règles

Examiner les tentatives de partage de données sensibles par les utilisateurs

En fonction de votre édition Google Workspace, vous pouvez avoir accès à l'outil d'investigation de sécurité, qui offre des fonctionnalités plus avancées. Par exemple, les super-administrateurs peuvent identifier, trier et prendre les mesures adéquates concernant les problèmes de confidentialité et de sécurité. En savoir plus

En tant qu'administrateur de votre organisation, vous pouvez effectuer des recherches sur les événements de journaux des règles et agir en conséquence. Par exemple, vous pouvez afficher un récapitulatif des actions pour consulter les tentatives de partage de données sensibles par les utilisateurs. Vous pouvez également examiner les événements déclenchés par des violations des règles de protection contre la perte de données. Les entrées y apparaissent généralement dans l'heure suivant l'action réalisée par l'utilisateur.

Les événements de journaux des règles listent également les types de données pour la protection contre les menaces et des données de Chrome Enterprise Premium.

Votre capacité à effectuer une recherche dépend de votre édition Google, de vos droits d'administrateur et de la source de données. Vous pouvez lancer une recherche sur tous les utilisateurs, quelle que soit leur édition de Google Workspace.

Outil d'audit et d'investigation

Pour exécuter une recherche portant sur les événements de journaux, choisissez d'abord une source de données. Sélectionnez ensuite un ou plusieurs filtres pour votre recherche.

  1. Dans la console d'administration Google, accédez à Menu  puis Création de rapports puisAudit et enquête puisÉvénements du journal des règles.

    Vous devez disposer du droit d'administrateur Audit et enquête.

  2. Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après dans Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre plage de dates ou cliquer sur  pour supprimer le filtre de date.

  3. Cliquez sur Ajouter un filtre puis sélectionnez un attribut. Par exemple, pour filtrer par type d'événement spécifique, sélectionnez Événement.
  4. Sélectionnez un opérateur puissélectionnez une valeur puiscliquez sur Appliquer.
    • (Facultatif) Pour créer plusieurs filtres pour votre recherche, répétez cette étape.
    • (Facultatif) Pour ajouter un opérateur de recherche, sélectionnez ET ou OU au-dessus de Ajouter un filtre.
  5. Cliquez sur Rechercher. Remarque : L'onglet Filtre vous permet d'inclure des paires paramètres/valeurs simples pour filtrer les résultats de la recherche. Vous pouvez également utiliser l'onglet Générateur de conditions, dans lequel les filtres sont représentés par des conditions associées à des opérateurs AND/OR.

Outil d'investigation sur la sécurité

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Pour lancer une recherche dans l'outil d'investigation de sécurité, choisissez d'abord une source de données. Sélectionnez ensuite une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puisCentre de sécurité puisOutil d'investigation.

    Vous devez disposer du droit d'administrateur Centre de sécurité.

  2. Cliquez sur Source de données, puis sélectionnez Événements du journal des règles.

  3. Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après dans Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre plage de dates ou cliquer sur  pour supprimer le filtre de date.

  4. Cliquez sur Ajouter une condition.
    Conseil : Vous pouvez inclure une ou plusieurs conditions dans votre recherche ou la personnaliser avec des requêtes imbriquées. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées.
  5. Cliquez sur Attribut puis sélectionnez une option. Par exemple, pour filtrer par type d'événement spécifique, sélectionnez Événement.
    Pour obtenir la liste complète des attributs, consultez la section Descriptions des attributs.
  6. Sélectionnez un opérateur.
  7. Saisissez une valeur ou sélectionnez-en une dans la liste.
  8. (Facultatif) Pour ajouter d'autres critères de recherche, répétez la procédure.
  9. Cliquez sur Rechercher.
    Vous pouvez consulter les résultats de recherche de l'outil d'investigation dans un tableau en bas de la page.
  10. (Facultatif) Pour enregistrer votre investigation, cliquez sur Enregistrer  puissaisissez un titre et une description puiscliquez sur Enregistrer.

Remarques

  • Dans l'onglet Générateur de conditions, les filtres sont représentés par des conditions avec des opérateurs AND/OR. L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.
  • Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendrez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous remplacez AncienNom@exemple.com par NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour les événements liés à AncienNom@exemple.com.
  • Vous ne pouvez rechercher des données que dans les messages qui n'ont pas encore été supprimés de la corbeille.

Descriptions des attributs

Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux.

Attribut Description
Niveau d'accès Niveaux d'accès sélectionnés comme conditions d'accès contextuel de cette règle. Pour en savoir plus, consultez Créer des niveaux d'accès contextuel.
Acteur

Adresse e-mail de l'utilisateur ayant réalisé l'action. La valeur peut indiquer Utilisateur anonyme si les événements se sont produits suite à une nouvelle analyse.

Remarque : Pour les actions déclenchées par le système et non par un utilisateur, cette valeur peut être vide.
Nom du groupe de l'acteur

Nom du groupe auquel appartient l'acteur. Pour en savoir plus, consultez Filtrer les résultats par groupe Google.

Pour ajouter un groupe à la liste d'autorisation des groupes de filtrage :

  1. Sélectionnez Nom du groupe de l'acteur.
  2. Cliquez sur Groupes de filtrage.
    La page "Groupes de filtrage" s'affiche.
  3. Cliquez sur Ajouter des groupes.
  4. Recherchez un groupe en saisissant les premiers caractères de son nom ou de son adresse e-mail. Lorsque vous avez trouvé le groupe, sélectionnez-le.
  5. (Facultatif) Pour ajouter un autre groupe, recherchez-le et sélectionnez-le.
  6. Une fois les groupes sélectionnés, cliquez sur Ajouter.
  7. (Facultatif) Pour supprimer un groupe, cliquez sur Supprimer le groupe .
  8. Cliquez sur Enregistrer.
Unité organisationnelle de l'acteur Unité organisationnelle de l'acteur
Destinataires bloqués Destinataires bloqués par la règle déclenchée
Action conditionnelle Liste des actions pouvant être déclenchées au moment de l'accès de l'utilisateur, en fonction des conditions de contexte configurées pour la règle
ID de la conférence ID de conférence de la réunion pour laquelle une action a été effectuée dans le cadre de ce déclencheur de règle
ID du conteneur ID du conteneur parent auquel la ressource appartient
Type de conteneur Type de conteneur parent auquel la ressource appartient, par exemple espace Chat ou chat de groupe, pour les messages ou les pièces jointes dans Chat
Source de données Application à l'origine de la ressource
Date Date et heure auxquelles l'événement s'est produit
ID du détecteur Identifiant d'un détecteur correspondant
Nom du détecteur Nom d'un détecteur correspondant défini par les administrateurs
ID de l'appareil ID de l'appareil sur lequel l'action a été déclenchée. Ce type de données s'applique à la protection contre les menaces et des données de Chrome Enterprise Premium.
Type d'appareil Type d'appareil désigné par l'ID de l'appareil. Ce type de données s'applique à la protection contre les menaces et des données de Chrome Enterprise Premium.
Événement

Action d'événement consigné.

Drive

Les événements des règles de protection contre la perte de données suivants sont consignés pour Drive :

  • Action terminée, Contenu avec correspondance* : une règle de protection contre la perte de données a signalé du contenu dans un document Drive.
  • Action terminée, Contenu sans correspondance* : le document Drive n'est plus signalé, car le contenu qui avait initialement déclenché une règle de protection contre la perte de données n'est plus présent.
  • Accès bloqué : une règle de protection contre la perte de données a bloqué une tentative de téléchargement ou de copie d'un fichier Drive.

Notes Drive :

  • Lorsqu'un libellé Drive change, la valeur est Libellé appliqué, Valeur du champ modifiée ou Libellé supprimé.
  • Lorsque les règles de confiance bloquent le partage de fichiers Drive, la valeur indique Partage bloqué.
  • Lorsque les règles de confiance bloquent l'accès aux fichiers Drive (affichage, téléchargement ou copie), la valeur indique Accès bloqué.

Gmail

Les événements des règles de protection contre la perte de données suivants sont consignés pour Gmail :

  • Action terminée, Message audité lors de l'envoi* : une règle de protection contre la perte de données a audité le message Gmail lors de l'envoi.
  • Action terminée, Message bloqué lors de l'envoi* : une règle de protection contre la perte de données a empêché l'envoi du message Gmail.
  • Action terminée, Message mis en quarantaine lors de l'envoi* : une règle de protection contre la perte de données a placé le message Gmail en quarantaine pour examen. Le message n'a pas été envoyé.
  • Action terminée, Avertissement lors de l'envoi de message* : une règle de protection contre la perte de données a averti l'utilisateur de ne pas envoyer le message Gmail.

* La partie "Action terminée" de ces noms d'événements sera abandonnée.

Agenda (bêta)

Les événements des règles de protection contre la perte de données suivants sont consignés pour Agenda :

  • Enregistrement de l'événement d'agenda audité : l'événement d'agenda a été audité lors de l'enregistrement.
  • Avertissement lors de l'enregistrement de l'événement d'agenda : un utilisateur a reçu un avertissement lui indiquant de ne pas enregistrer l'événement d'agenda.
  • Enregistrement de l'événement d'agenda bloqué : l'enregistrement de l'événement d'agenda a été bloqué.
Contient du contenu sensible Pour les règles de protection contre la perte de données déclenchées et pour lesquelles du contenu sensible a été détecté et consigné, la valeur est True.
Destinataire Personnes ayant reçu la ressource partagée
Nombre de destinataires omis* Nombre de destinataires de ressources omis en raison du dépassement de la limite
ID de ressource Objet modifié. Pour les règles de protection contre la perte de données :
  • Pour les entrées concernant Google Drive, cliquez sur l'ID de ressource pour afficher le document Drive qui a été modifié.
  • Pour les entrées concernant Google Chat, cliquez sur l'ID de ressource pour afficher les détails d'une conversation Chat. Notez que certaines données Chat peuvent expirer. Par conséquent, toutes les informations ne sont pas toujours disponibles.
Propriétaire de la ressource Utilisateur propriétaire de la ressource qui a été analysée et pour laquelle une action a été appliquée
Titre de la ressource Titre de la ressource qui a été modifiée. Dans le cadre de la protection contre la perte de données, cela concerne le titre d'un document.
Type de ressource Pour la protection contre la perte de données Drive, la ressource est Document. Pour la protection contre la perte de données Chat, la ressource est Message Chat ou Pièce jointe de chat. Pour la protection contre la perte de données dans Agenda, la ressource est Événement d'agenda.
ID de la règle ID de la règle ayant déclenché l'événement
Nom de la règle Nom attribué à la règle par l'administrateur lors de sa création
Type de règle La valeur DLP correspond aux règles de protection contre la perte de données.
Type d'analyse

Les valeurs sont les suivantes :

  • Analyse Drive continue (lorsqu'une règle change)
  • Analyse en ligne (lorsqu'un document est en cours de modification)
  • Analyse des contenus Chat avant l'envoi (survenant lorsqu'un message Chat est envoyé)
  • Analyse du contenu de l'agenda avant l'enregistrement de l'événement (survenant avant la création ou la modification de l'événement)
  • Analyse du contenu de l'agenda lors de l'enregistrement de l'événement (lorsque l'événement est créé ou modifié)
Gravité Niveau de gravité attribué à la règle lors de son déclenchement
Action écartée* Actions configurées dans la règle, mais supprimées. Une action est supprimée lorsqu'une action de priorité supérieure se produit en même temps et se déclenche.
Déclencheur Activité ayant entraîné le déclenchement d'une règle
Action déclenchée Répertorie les actions effectuées. Ce champ est vide si une règle consignant uniquement les incidents dans un journal d'audit a été déclenchée.
Adresse IP du client du déclencheur Adresse IP de l'acteur ayant déclenché l'action
Adresse e-mail de l'utilisateur à l'origine du déclenchement de la règle* Adresse e-mail de l'acteur ayant déclenché l'action
Action utilisateur Action que l'utilisateur tentait et qui a été bloquée par une règle
* Vous ne pouvez pas créer de règles de création de rapports avec ces filtres. En savoir plus sur les différences entre les règles de reporting et les règles d'activité

Remarque : Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendrez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous remplacez AncienNom@exemple.com par NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour les événements liés à AncienNom@exemple.com.

Gérer les données d'événement des journaux

Gérer les données des colonnes de résultats de recherche

Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.

  1. En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes  .
  2. (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer .
  3. (Facultatif) Pour ajouter des colonnes, à côté de Ajouter une colonne, cliquez sur la flèche vers le bas , puis sélectionnez la colonne de données.
    Répétez l'opération autant de fois que nécessaire.
  4. (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
  5. Cliquez sur Enregistrer.

Exporter les données des résultats de recherche

Vous pouvez exporter les résultats de recherche dans Sheets ou un fichier CSV.

  1. En haut du tableau des résultats de recherche, cliquez sur Tout exporter.
  2. Saisissez un nom puis cliquez sur Exporter.
    L'exportation s'affiche sous le tableau des résultats de recherche sous Exporter les résultats de l'action.
  3. Pour afficher les données, cliquez sur le nom de votre exportation.
    L'exportation s'ouvre dans Sheets.

Les limites d'exportation varient :

  • Le total des résultats de l'exportation est limité à 100 000 lignes.
  • Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

    Si vous disposez de l'outil d'investigation sur la sécurité, le total des résultats de l'exportation est limité à 30 millions de lignes.

Pour en savoir plus, consultez Exporter les résultats de recherche.

Quand et pendant combien de temps les données sont-elles disponibles ?

Effectuer des actions en fonction des résultats de recherche

Créer des règles d'activité et configurer des alertes

  • Vous pouvez configurer des alertes en fonction des données des événements de journaux à l'aide de règles de reporting. Pour savoir comment procéder, consultez Créer et gérer des règles de reporting.
  • Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

    Afin de prévenir, de détecter et de résoudre les problèmes de sécurité de façon efficace, vous pouvez automatiser les actions de l'outil d'investigation de sécurité et configurer des alertes en créant des règles d'activité. Pour définir une règle, vous devez configurer ses conditions, puis spécifier les actions à effectuer lorsque les conditions sont remplies. Pour en savoir plus, consultez Créer et gérer des règles d'activité.

Effectuer des actions en fonction des résultats de recherche

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Après avoir effectué une recherche dans l'outil d'investigation de sécurité, vous pouvez agir sur les résultats. Vous pouvez par exemple effectuer une recherche basée sur des événements de journaux Gmail, puis, à l'aide de l'outil, supprimer des messages spécifiques, envoyer des messages en zone de quarantaine, ou envoyer des messages vers la boîte de réception de certains utilisateurs. Pour en savoir plus, consultez Effectuer des actions en fonction des résultats de recherche.

Gérer vos investigations

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Afficher la liste des investigations

Pour afficher la liste des investigations dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations . La liste des investigations inclut leur nom, leur description et leur propriétaire, ainsi que la date de la dernière modification.

Cette liste vous permet d'intervenir sur les investigations dont vous êtes le propriétaire, par exemple pour en supprimer une. Cochez la case correspondant à une investigation, puis cliquez sur Actions.

Remarque : Vous pouvez afficher vos enquêtes enregistrées sous Accès rapide, juste au-dessus de votre liste d'enquêtes.

Configurer les paramètres de vos investigations

En tant que super-administrateur, cliquez sur Paramètres  pour effectuer les actions suivantes :

  • Modifier le fuseau horaire de vos investigations. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
  • Activez ou désactivez l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
  • Activez ou désactivez Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
  • Activez ou désactivez l'option Activer la justification des actions.

Pour en savoir plus, consultez Configurer les paramètres de vos investigations.

Enregistrer, partager, supprimer et dupliquer des enquêtes

Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une enquête, puis la partager, la dupliquer ou la supprimer.

Pour en savoir plus, consultez Enregistrer, partager, supprimer et dupliquer des enquêtes.

Utiliser les événements de journaux de règles pour examiner les messages Chat

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

En tant qu'administrateur, vous pouvez créer une règle de protection des données pour Chat afin de surveiller et d'empêcher les fuites de contenus sensibles. Vous pouvez ensuite utiliser l'outil d'investigation sur la sécurité pour surveiller l'activité Chat au sein de votre organisation, y compris les messages et les fichiers envoyés en dehors de votre domaine. Pour en savoir plus, consultez Examiner les messages Chat pour protéger les données de votre organisation.

Utiliser les événements de journaux des règles pour examiner les cas de non-respect des règles de protection contre la perte de données

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

En tant qu'administrateur, vous pouvez utiliser les extraits de protection contre la perte de données pour déterminer si le non-respect d'une règle de protection contre la perte de données est un incident réel ou un faux positif. Pour en savoir plus, consultez Afficher les contenus qui déclenchent les règles de protection contre la perte de données.