Eventi del log delle regole

Esaminare i tentativi di condivisione di dati sensibili da parte degli utenti

A seconda della versione di Google Workspace che utilizzi, potresti avere accesso allo strumento di indagine sulla sicurezza, che offre funzionalità più avanzate. Ad esempio, i super amministratori possono identificare, assegnare una priorità e intervenire in caso di problemi di sicurezza e privacy. Scopri di più

In qualità di amministratore della tua organizzazione, puoi eseguire ricerche e intervenire sugli eventi del log delle regole. Ad esempio, puoi visualizzare un record delle azioni per esaminare i tentativi dell'utente di condividere dati sensibili. Puoi anche esaminare gli eventi attivati da violazioni delle regole di Prevenzione della perdita di dati (DLP). In genere le voci vengono inserite nel log entro l'ora successiva all'azione dell'utente.

Gli eventi del log delle regole elencano anche i tipi di dati per la protezione dei dati e dalle minacce di Chrome Enterprise Premium.

La possibilità di eseguire ricerche dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Puoi eseguire una ricerca su tutti gli utenti, indipendentemente dalla versione di Google Workspace in uso.

Strumento di controllo e indagine

Per eseguire una ricerca degli eventi dei log, scegli innanzitutto un'origine dati. Poi scegli uno o più filtri per la ricerca.

  1. Nella Console di amministrazione Google, vai a Menu e poi Report e poiControllo e indagine e poiEventi del log delle regole.

    È necessario disporre del privilegio amministrativo Controllo e indagine.

  2. Per filtrare gli eventi che si sono verificati prima o dopo una data specifica, seleziona Prima o Dopo per Data. Per impostazione predefinita, vengono mostrati gli eventi degli ultimi 7 giorni. Puoi selezionare un intervallo di date diverso o fare clic su per rimuovere il filtro della data.

  3. Fai clic su Aggiungi un filtro e poiseleziona un attributo. Ad esempio, per filtrare in base a un tipo di evento specifico, seleziona Evento.
  4. Seleziona un operatore e poiseleziona un valore e poifai clic su Applica.
    • (Facoltativo) Per creare più filtri per la ricerca, ripeti questo passaggio.
    • (Facoltativo) Per aggiungere un operatore di ricerca, sopra Aggiungi un filtro, seleziona AND oppure OR.
  5. Fai clic su Cerca. Nota: utilizzando la scheda Filtro, puoi includere semplici coppie di parametri e valori per filtrare i risultati di ricerca. Puoi anche utilizzare la scheda Generatore di condizioni, in cui i filtri sono rappresentati come condizioni con gli operatori E/O.

Strumento di indagine sulla sicurezza

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

Per eseguire una ricerca nello strumento di indagine sulla sicurezza, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poiCentro sicurezza e poiStrumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Fai clic su Origine dati e seleziona Eventi del log delle regole.

  3. Per filtrare gli eventi che si sono verificati prima o dopo una data specifica, seleziona Prima o Dopo per Data. Per impostazione predefinita, vengono mostrati gli eventi degli ultimi 7 giorni. Puoi selezionare un intervallo di date diverso o fare clic su per rimuovere il filtro della data.

  4. Fai clic su Aggiungi condizione.
    Suggerimento: puoi includere una o più condizioni nella ricerca oppure personalizzarla con query nidificate. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate.
  5. Fai clic su Attributo e poi seleziona un'opzione. Ad esempio, per filtrare in base a un tipo di evento specifico, seleziona Evento.
    Per un elenco completo degli attributi, consulta la sezione Descrizioni degli attributi.
  6. Seleziona un operatore.
  7. Inserisci un valore o selezionane uno dall'elenco.
  8. (Facoltativo) Per aggiungere altre condizioni di ricerca, ripeti i passaggi.
  9. Fai clic su Cerca.
    Puoi esaminare i risultati di ricerca dello strumento di indagine in una tabella nella parte inferiore della pagina.
  10. (Facoltativo) Per salvare la tua indagine, fai clic su Salva e poiinserisci un titolo e una descrizione e poifai clic su Salva.

Note

  • Nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori AND/OR. Puoi anche utilizzare la scheda Filtro per includere coppie di parametri e valori semplici per filtrare i risultati della ricerca.
  • Se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.
  • Puoi cercare dati solo nei messaggi che non sono ancora stati eliminati dal cestino.

Descrizioni degli attributi

Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi dei log.

Attributo Descrizione
Livello di accesso I livelli di accesso selezionati come condizioni di accesso sensibile al contesto di questa regola. Per maggiori dettagli, vedi Creare livelli di accesso sensibile al contesto.
Actor

Indirizzo email dell'utente che ha eseguito l'azione. Il valore può essere Utente anonimo se gli eventi sono il risultato di una nuova scansione.

Nota: per le azioni attivate dal sistema e non da un utente, questo valore potrebbe essere vuoto.
Nome del gruppo dell'attore

Il nome del gruppo dell'attore. Per saperne di più, vedi Filtrare i risultati in base a Google Gruppi.

Per aggiungere un gruppo alla lista consentita dei gruppi filtro:

  1. Seleziona Nome del gruppo dell'attore.
  2. Fai clic su Gruppi filtro.
    Viene visualizzata la pagina Gruppi filtro.
  3. Fai clic su Aggiungi gruppi.
  4. Cerca un gruppo inserendo i primi caratteri del nome o dell'indirizzo email. Quando viene visualizzato il gruppo che stai cercando, selezionalo.
  5. (Facoltativo) Per aggiungere un altro gruppo, cercalo e selezionalo.
  6. Al termine della selezione dei gruppi, fai clic su Aggiungi.
  7. (Facoltativo) Per rimuovere un gruppo, fai clic su Rimuovi gruppo .
  8. Fai clic su Salva.
Unità organizzativa dell'attore Unità organizzativa dell'attore
Destinatari bloccati I destinatari bloccati dalla regola attivata
Azione condizionale Un elenco di azioni che potrebbero essere attivate al momento dell'accesso dell'utente, a seconda delle condizioni di contesto configurate per la regola.
ID conferenza ID conferenza della riunione per cui è stato compiuto un intervento azionato dall'attivatore della regola
ID contenitore ID del contenitore principale a cui appartiene la risorsa
Tipo di contenitore Il tipo di contenitore principale a cui appartiene la risorsa, ad esempio Spazio di Chat o Chat di gruppo, per i messaggi di chat o gli allegati della chat
Origine dati L'applicazione in cui la risorsa è stata creata.
Data La data e l'ora in cui si è verificato l'evento.
ID rilevatore Identificatore di un rilevatore corrispondente.
Nome rilevatore Nome di un rilevatore corrispondente definito dagli amministratori.
ID dispositivo L'ID del dispositivo su cui è stata attivata l'azione. Questo tipo di dati si applica alla protezione dei dati e dalle minacce di Chrome Enterprise Premium.
Tipo di dispositivo Tipo di dispositivo a cui si fa riferimento con l'ID dispositivo. Questo tipo di dati si applica alla protezione dei dati e dalle minacce di Chrome Enterprise Premium.
Evento

L'azione registrata associata all'evento.

Drive

Questi eventi delle regole DLP vengono registrati per Drive:

  • Azione completata, Contenuti corrispondenti*: una regola DLP ha segnalato contenuti nel contenuto di un documento di Drive
  • Azione completata, Contenuti non corrispondenti*: il documento di Drive non è più contrassegnato perché i contenuti che hanno attivato originariamente una regola DLP non sono più presenti
  • Accesso bloccato:una regola DLP ha bloccato un tentativo di download o copia di un file di Drive

Note di Drive:

  • Quando un'etichetta di Drive viene modificata, il valore è Etichetta applicata, Valore del campo modificato o Etichetta rimossa.
  • Quando le regole di attendibilità bloccano la condivisione dei file di Drive, il valore è Condivisione bloccata.
  • Quando le regole di attendibilità bloccano l'accesso ai file di Drive (visualizzazione, download o copia), il valore è Accesso bloccato.

Gmail

Per Gmail vengono registrati i seguenti eventi delle regole DLP:

  • Azione completata, messaggio inviato sottoposto a controllo*: una regola DLP ha sottoposto a controllo il messaggio di Gmail durante l'invio
  • Azione completata, invio del messaggio bloccato*: una regola DLP ha bloccato l'invio del messaggio di Gmail
  • Azione completata, messaggio inviato in quarantena*: una regola DLP ha messo in quarantena il messaggio di Gmail per la revisione. Il messaggio non è stato inviato.
  • Azione completata, invio messaggio con avviso*: una regola DLP ha avvisato l'utente di non inviare il messaggio di Gmail

* La parte "Azione completata" di questi nomi evento verrà deprecata.

Calendar (beta)

Per Calendar vengono registrati i seguenti eventi delle regole DLP:

  • Salvataggio dell'evento nel calendario verificato: l'evento nel calendario è stato sottoposto a verifica durante il salvataggio.
  • Avviso di salvataggio dell'evento nel calendario: un utente è stato avvisato di non salvare l'evento nel calendario.
  • Salvataggio dell'evento nel calendario bloccato:l'evento nel calendario non è stato salvato.
Include contenuti sensibili Per le regole DLP attivate con contenuti sensibili rilevati e registrati, il valore è Vero.
Destinatario* Le persone che hanno ricevuto la risorsa condivisa.
Conteggio destinatari omessi* Numero di destinatari della risorsa omessi a causa del superamento del limite
ID risorsa L'oggetto modificato. Per le regole DLP:
  • Per le voci relative a Google Drive, fai clic sull'ID risorsa per visualizzare il documento di Drive modificato.
  • Per le voci relative a Google Chat, fai clic sull'ID risorsa per visualizzare i dettagli di una conversazione di Chat. Tieni presente che alcuni dati di Chat possono scadere, pertanto non tutti i dettagli saranno sempre disponibili.
Proprietario della risorsa L'utente titolare della proprietà della risorsa che è stata scansionata e a cui è stata applicata un'azione.
Titolo risorsa Il titolo della risorsa che è stata modificata. Per la DLP, il titolo di un documento.
Tipo di risorsa Per la funzionalità DLP di Drive, la risorsa è Documento. Per le regole DLP di Chat, la risorsa è Messaggio di Chat o Allegato di Chat. Per la DLP di Calendar, la risorsa è Evento di calendario.
ID regola ID della regola che ha attivato l'azione
Nome regola Il nome indicato dall'amministratore al momento della creazione della regola.
Tipo di regola Per le regole DLP, il valore è DLP.
Tipo di scansione

I valori sono:

  • Scansione continua su Drive che si verifica quando una regola viene modificata
  • Scansione online che si verifica quando un documento cambia
  • Analisi di contenuti Chat prima dell'invio che si verifica quando viene inviato un messaggio di Chat
  • Analisi dei contenuti di Calendar prima del salvataggio dell'evento (si verifica prima della creazione o dell'aggiornamento dell'evento)
  • Analisi dei contenuti di Calendar durante il salvataggio dell'evento che si verifica quando l'evento viene creato o modificato
Gravità La gravità assegnata alla regola quando è stata attivata.
Azione soppressa* Le azioni configurate per la regola ma soppresse. Un'azione viene soppressa se un'azione con priorità più elevata si verifica contemporaneamente e viene attivata.
Trigger Attività che ha portato all'attivazione di una regola.
Azione attivata Indica l'azione intrapresa. Questo campo è vuoto se è stata attivata una regola di solo controllo.
IP client dell'attivatore Indirizzo IP dell'attore che ha attivato l'azione
Email dell'utente che ha attivato l'azione* Indirizzo email dell'attore che ha attivato l'azione.
Azione utente L'azione che l'utente stava tentando e che è stata bloccata da una regola.
* Non puoi creare regole di reporting con questi filtri. Scopri di più sul confronto tra le regole di reporting e le regole di attività.

Nota: se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.

Gestire i dati sugli eventi del log

Gestire i dati delle colonne dei risultati di ricerca

Puoi stabilire quali colonne di dati visualizzare nei risultati di ricerca.

  1. Nell'angolo in alto a destra della tabella dei risultati di ricerca, fai clic su Gestisci colonne .
  2. (Facoltativo) Per rimuovere le colonne attualmente visualizzate, fai clic su Rimuovi .
  3. (Facoltativo) Per aggiungere colonne, fai clic sulla Freccia giù in corrispondenza di Aggiungi nuova colonna e seleziona la colonna di dati che ti interessa.
    Ripeti questa operazione in base alle necessità.
  4. (Facoltativo) Per modificare l'ordine delle colonne, trascina i nomi delle colonne di dati.
  5. Fai clic su Salva.

Esportare i dati dei risultati di ricerca

Puoi esportare i risultati di ricerca in Fogli o in un file CSV.

  1. Nella parte superiore della tabella dei risultati di ricerca, fai clic su Esporta tutto.
  2. Inserisci un nome e poi fai clic su Esporta.
    L'esportazione viene visualizzata al di sotto della tabella dei risultati di ricerca, in Risultati dell'azione Esporta.
  3. Per visualizzare i dati, fai clic sul nome dell'esportazione.
    L'esportazione si apre in Fogli.

I limiti di esportazione possono variare:

  • I risultati complessivi dell'esportazione sono limitati a 100.000 righe.
  • Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

    Se utilizzi lo strumento di indagine sulla sicurezza, i risultati totali dell'esportazione sono limitati a 30 milioni di righe.

Per saperne di più, consulta Esportare i risultati di ricerca.

Quando sono disponibili i dati? Per quanto tempo?

Intervenire in funzione dei risultati di ricerca

Creare regole di attività e configurare avvisi

  • Puoi configurare avvisi in base ai dati sugli eventi dei log utilizzando le regole di reporting. Per le istruzioni, vai a Creare e gestire le regole di reporting.
  • Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

    Per contribuire a prevenire, rilevare e risolvere in modo efficiente i problemi di sicurezza, puoi creare regole di attività per automatizzare azioni nello strumento di indagine sulla sicurezza e configurare avvisi. Per configurare una regola, imposta le sue condizioni e specifica quali azioni eseguire quando queste condizioni sono soddisfatte. Per maggiori dettagli, vedi Creare e gestire le regole di attività.

Intervenire in funzione dei risultati di ricerca

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

Dopo aver eseguito una ricerca nello strumento di indagine sulla sicurezza, puoi operare sui relativi risultati. Ad esempio, puoi eseguire una ricerca basata sugli eventi del log di Gmail e quindi utilizzare lo strumento per eliminare messaggi specifici, metterli in quarantena o inviarli nella Posta in arrivo degli utenti. Per maggiori dettagli, vedi Adottare azioni basate sui risultati di ricerca.

Gestire le indagini

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

Visualizzare l'elenco delle indagini

Per visualizzare un elenco delle indagini di tua proprietà e di quelle che sono state condivise con te, fai clic su Visualizza indagini . L'elenco delle indagini ne include i nomi, le descrizioni e i proprietari, nonché la data dell'ultima modifica.

Da questo elenco puoi eseguire azioni sulle indagini di tua proprietà, ad esempio eliminare un'indagine. Seleziona la casella in corrispondenza di un'indagine, quindi fai clic su Azioni.

Nota: puoi visualizzare le indagini salvate nella sezione Accesso rapido, direttamente sopra l'elenco delle indagini.

Configurare le impostazioni per le indagini

Come super amministratore, fai clic su Impostazioni per:

  • Modificare il fuso orario per le indagini. Il fuso orario si applica alle condizioni e ai risultati di ricerca.
  • Attivare o disattivare l'opzione Richiedi revisore. Per maggiori dettagli, vedi Richiedere revisori per azioni collettive.
  • Attiva o disattiva l'opzione Visualizza i contenuti. Questa impostazione consente agli amministratori con i privilegi appropriati di visualizzare i contenuti.
  • Attiva o disattiva l'opzione Abilita motivazione azione.

Per ulteriori dettagli, vedi Configurare le impostazioni per le indagini.

Salvare, condividere, eliminare e duplicare le indagini

Per condividere una ricerca con altri utenti o salvarne i criteri, puoi creare e salvare un'indagine e, successivamente, condividerla, duplicarla o eliminarla.

Per maggiori dettagli, vedi Salvare, condividere, eliminare e duplicare le indagini.

Utilizzare gli eventi del log delle regole per analizzare i messaggi di Chat

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

In qualità di amministratore, puoi creare una regola per la protezione dei dati per consentire a Chat di monitorare e impedire perdite di contenuti sensibili. Puoi quindi utilizzare lo strumento di indagine sulla sicurezza per monitorare l'attività di Chat nella tua organizzazione, inclusi i messaggi e i file che vengono inviati al di fuori del tuo dominio. Per maggiori dettagli, vedi Esaminare i messaggi di Chat per proteggere i dati della tua organizzazione.

Utilizzare gli eventi del log delle regole per indagare sulle violazioni delle regole DLP

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

In qualità di amministratore, puoi utilizzare gli snippet di Prevenzione della perdita di dati (DLP) per verificare se una violazione delle regole DLP è un incidente reale o un falso positivo. Per maggiori dettagli, vedi Visualizzare i contenuti che attivano le regole DLP.