Regellogboekgebeurtenissen

Controleer de pogingen van uw gebruikers om gevoelige gegevens te delen.

Afhankelijk van uw Google Workspace-editie hebt u mogelijk toegang tot de tool voor beveiligingsonderzoek, die geavanceerdere functies biedt. Superbeheerders kunnen bijvoorbeeld beveiligings- en privacyproblemen identificeren, prioriteren en oplossen. Lees meer

Als beheerder van uw organisatie kunt u zoekopdrachten uitvoeren en acties ondernemen op gebeurtenissen in het regellogboek. U kunt bijvoorbeeld een overzicht van acties bekijken om te zien of uw gebruiker heeft geprobeerd gevoelige gegevens te delen. U kunt ook gebeurtenissen bekijken die zijn geactiveerd door schendingen van regels voor gegevensverliespreventie (DLP). Deze gebeurtenissen verschijnen meestal binnen een uur na de gebruikersactie.

De gebeurtenissen in het regellogboek tonen ook gegevenstypen voor de bedreigings- en gegevensbescherming van Chrome Enterprise Premium.

Of u een zoekopdracht kunt uitvoeren, hangt af van uw Google-editie, uw beheerdersrechten en de gegevensbron. U kunt een zoekopdracht uitvoeren voor alle gebruikers, ongeacht hun Google Workspace-editie.

Audit- en onderzoekstool

Om naar logboekgebeurtenissen te zoeken, kiest u eerst een gegevensbron. Selecteer vervolgens een of meer filters voor uw zoekopdracht.

  1. Ga in de Google Admin-console naar Menu. en dan Rapportage en dan Audit en onderzoek en dan Regels voor het loggen van gebeurtenissen .

    Hiervoor is de beheerdersbevoegdheid Audit & Onderzoek vereist.

  2. Om gebeurtenissen te filteren die vóór of na een specifieke datum hebben plaatsgevonden, selecteert u bij Datum de optie Vóór of Na . Standaard worden gebeurtenissen van de afgelopen 7 dagen weergegeven. U kunt een ander datumbereik selecteren of klikken op om het datumfilter te verwijderen.

  3. Klik op ' Een filter toevoegen'. en dan Selecteer een kenmerk. Om bijvoorbeeld te filteren op een specifiek gebeurtenistype, selecteer je Gebeurtenis .
  4. Selecteer een operator en dan selecteer een waarde en dan Klik op Toepassen .
    • (Optioneel) Om meerdere filters voor uw zoekopdracht te maken, herhaalt u deze stap.
    • (Optioneel) Om een ​​zoekoperator toe te voegen, selecteer je boven ' Een filter toevoegen ' de optie 'EN' of 'OF' .
  5. Klik op Zoeken . Opmerking : Via het tabblad Filter kunt u eenvoudige parameter-waardeparen gebruiken om de zoekresultaten te filteren. U kunt ook het tabblad Voorwaarden gebruiken, waar de filters worden weergegeven als voorwaarden met AND/OR-operatoren.

Beveiligingsonderzoekstool

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Om een ​​zoekopdracht uit te voeren in de beveiligingsonderzoekstool, kiest u eerst een gegevensbron. Kies vervolgens een of meer voorwaarden voor uw zoekopdracht. Kies voor elke voorwaarde een kenmerk , een operator en een waarde .

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Beveiligingscentrum en dan Onderzoeksinstrument .

    Hiervoor is beheerdersrechten voor het beveiligingscentrum vereist.

  2. Klik op Gegevensbron en selecteer Regelgebeurtenissen in logboek .

  3. Om gebeurtenissen te filteren die vóór of na een specifieke datum hebben plaatsgevonden, selecteert u bij Datum de optie Vóór of Na . Standaard worden gebeurtenissen van de afgelopen 7 dagen weergegeven. U kunt een ander datumbereik selecteren of klikken op om het datumfilter te verwijderen.

  4. Klik op Voorwaarde toevoegen .
    Tip : U kunt een of meer voorwaarden in uw zoekopdracht opnemen of uw zoekopdracht aanpassen met geneste query's . Zie ' Uw zoekopdracht aanpassen met geneste query's' voor meer informatie.
  5. Klikkenmerk en dan Selecteer een optie. Om bijvoorbeeld te filteren op een specifiek gebeurtenistype, selecteer je Gebeurtenis .
    Voor een volledige lijst met kenmerken, ga naar het gedeelte 'Beschrijvingen van kenmerken' .
  6. Selecteer een operator.
  7. Voer een waarde in of selecteer een waarde uit de lijst.
  8. (Optioneel) Om meer zoekcriteria toe te voegen, herhaalt u de stappen.
  9. Klik op Zoeken .
    Je kunt de zoekresultaten van de onderzoekstool in een tabel onderaan de pagina bekijken.
  10. (Optioneel) Om uw onderzoek op te slaan, klikt u op Opslaan. en dan Voer een titel en beschrijving in. en dan Klik op Opslaan .

Notities

  • In het tabblad 'Voorwaardenbouwer' worden filters weergegeven als voorwaarden met AND/OR-operatoren. U kunt ook het tabblad 'Filter' gebruiken om eenvoudige parameter-waardeparen op te nemen en zo de zoekresultaten te filteren.
  • Als u een gebruiker een nieuwe naam geeft, ziet u geen zoekresultaten meer met de oude naam van de gebruiker. Als u bijvoorbeeld OldName@example.com hernoemt naar NewName@example.com , ziet u geen resultaten meer voor gebeurtenissen die gerelateerd zijn aan OldName@example.com .
  • Je kunt alleen zoeken in berichten die nog niet uit de prullenbak zijn verwijderd.

Attribuutbeschrijvingen

Voor deze gegevensbron kunt u de volgende kenmerken gebruiken bij het zoeken naar logboekgebeurtenisgegevens.

<!-- Tabel voor de attributen van de regellogboekgebeurtenissen-->

Attribuut Beschrijving
Toegangsniveau De toegangsniveaus die zijn geselecteerd als de contextbewuste toegangsvoorwaarden voor deze regel. Zie Contextbewuste toegangsniveaus maken voor meer informatie.
Acteur

E-mailadres van de gebruiker die de actie heeft uitgevoerd. De waarde kan 'Anonieme gebruiker' zijn als de gebeurtenissen het resultaat zijn van een nieuwe scan.

Opmerking : Voor acties die door het systeem worden geactiveerd en niet door een gebruiker, kan deze waarde leeg zijn.

Naam van de acteursgroep

De groepsnaam van de acteur. Ga voor meer informatie naar Resultaten filteren op Google Groep .

Om een ​​groep toe te voegen aan uw lijst met toegestane groepen voor filters:

  1. Selecteer de naam van de actorgroep .
  2. Klik op Groepen filteren .
    De pagina 'Groepen filteren' verschijnt.
  3. Klik op Groepen toevoegen .
  4. Zoek een groep door de eerste paar tekens van de naam of het e-mailadres in te voeren. Selecteer de gewenste groep zodra je deze hebt gevonden.
  5. (Optioneel) Om nog een groep toe te voegen, zoek en selecteer de groep.
  6. Klik op Toevoegen zodra je klaar bent met het selecteren van groepen.
  7. (Optioneel) Om een ​​groep te verwijderen, klikt u op Groep verwijderen. .
  8. Klik op Opslaan .
Organisatorische eenheid van de actor Organisatorische eenheid van de actor
Geblokkeerde ontvangers De ontvangers die worden geblokkeerd door de geactiveerde regel.
Voorwaardelijke actie Een lijst met acties die kunnen worden geactiveerd op het moment dat een gebruiker toegang krijgt, afhankelijk van de contextvoorwaarden die voor de regel zijn geconfigureerd.
Conferentie-ID Conferentie-ID van de vergadering waarop actie is ondernomen als onderdeel van deze regeltrigger
Container-ID ID van de bovenliggende container waartoe de resource behoort
Containertype Het type bovenliggende container waartoe de bron behoort, bijvoorbeeld Chatruimte of Groepschat voor chatberichten of chatbijlagen.
Gegevensbron De applicatie die de bron genereert
Datum Datum en tijdstip waarop de gebeurtenis plaatsvond
Detector-ID Identificatiecode van een overeenkomende detector
Detectornaam Naam van een overeenkomende detector die door beheerders is gedefinieerd.
Apparaat-ID De ID van het apparaat waarop de actie is uitgevoerd. Dit gegevenstype is van toepassing op Chrome Enterprise Premium-beveiliging tegen bedreigingen en gegevensbescherming.
Apparaattype Het type apparaat waarnaar de apparaat-ID verwijst. Dit gegevenstype is van toepassing op de bedreigings- en gegevensbescherming van Chrome Enterprise Premium.
Evenement

De geregistreerde gebeurtenisactie.

Drijfveer

Deze gebeurtenissen met betrekking tot de regels voor gegevensbescherming worden vastgelegd voor Drive:

  • Actie voltooid, inhoud komt overeen*: Een regel voor gegevensbescherming heeft inhoud in een Drive-document gemarkeerd.
  • Actie voltooid, inhoud komt niet overeen*: Het Drive-document is niet langer gemarkeerd omdat de inhoud die oorspronkelijk een gegevensbeschermingsregel activeerde, niet meer aanwezig is.
  • Toegang geblokkeerd: Een regel voor gegevensbescherming heeft een poging tot het downloaden of kopiëren van een Drive-bestand geblokkeerd.

Rijnotities:

  • Wanneer een schijflabel verandert, is de waarde 'Label toegepast' , 'Veldwaarde gewijzigd ' of 'Label verwijderd' .
  • Als vertrouwensregels het delen van Drive-bestanden blokkeren, is de waarde 'Delen geblokkeerd' .
  • Wanneer vertrouwensregels de toegang tot Drive-bestanden (bekijken, downloaden of kopiëren) blokkeren, is de waarde 'Toegang geblokkeerd' .

Gmail

Deze gebeurtenissen met betrekking tot de gegevensbeschermingsregels worden voor Gmail geregistreerd:

  • Actie voltooid, Bericht verzonden gecontroleerd*: Een gegevensbeschermingsregel heeft het Gmail-bericht tijdens het verzenden gecontroleerd.
  • Actie voltooid, Bericht verzenden geblokkeerd*: Een gegevensbeschermingsregel heeft het verzenden van het Gmail-bericht geblokkeerd.
  • Actie voltooid, bericht verzonden in quarantaine*: Een gegevensbeschermingsregel heeft het Gmail-bericht in quarantaine geplaatst voor beoordeling. Het bericht is niet verzonden.
  • Actie voltooid, waarschuwing bij het verzenden van het bericht*: Een gegevensbeschermingsregel waarschuwde de gebruiker om het Gmail-bericht niet te verzenden.

* Het gedeelte 'Actie voltooid' in deze gebeurtenisnamen zal worden afgeschaft .

Kalender (beta)

Deze gebeurtenissen met betrekking tot de gegevensbeschermingsregels worden vastgelegd voor Agenda:

  • Opslaan van agenda-item gecontroleerd: Het agenda-item is tijdens het opslaan gecontroleerd.
  • Waarschuwing bij het opslaan van agenda-item : Een gebruiker kreeg een waarschuwing om het agenda-item niet op te slaan.
  • Opslaan van agenda-item geblokkeerd: Het opslaan van het agenda-item is geblokkeerd.
Bevat gevoelige inhoud Voor geactiveerde gegevensbeschermingsregels waarbij gevoelige inhoud is gedetecteerd en vastgelegd, is de waarde True .
Ontvanger* Degenen die de gedeelde bron hebben ontvangen
Aantal weggelaten ontvangers* Aantal ontvangers van middelen dat is weggelaten omdat de limiet is overschreden.
Resource-ID Het object is gewijzigd. Zie de regels voor gegevensbescherming:
  • Voor items die betrekking hebben op Google Drive, klikt u op de bron-ID om het Drive-document te bekijken dat is gewijzigd.
  • Voor vermeldingen met betrekking tot Google Chat klikt u op de bron-ID om details over een chatgesprek te bekijken. Chatgegevens kunnen verlopen, dus niet alle details zijn altijd beschikbaar.
  • Voor items die betrekking hebben op Gmail, klikt u op de bron-ID om de bericht-ID of de naam van de bijlage te bekijken.
Broneigenaar De gebruiker die eigenaar is van de bron die is gescand en waarop een actie is toegepast.
Brontitel De titel van de bron die is gewijzigd. Voor DLP: een documenttitel.
Brontype Voor DLP voor Drive is de bron 'Document' . Voor DLP voor Chat is de bron 'Chatbericht' of 'Chatbijlage' . Voor DLP voor Gmail is de bron 'E-mail' of 'E-mailbijlage' . Voor DLP voor Agenda is de bron 'Agenda-evenement' .
Regel-ID ID van de regel die de trigger veroorzaakte
Regelnaam De naam van de regel is door de beheerder opgegeven bij het aanmaken van de regel.
Regeltype DLP staat voor de waarde van regels voor gegevensbescherming.
Scantype

De waarden zijn:

  • Continue scan uitvoeren (vindt plaats wanneer een regel verandert)
  • Online scan (die plaatsvindt terwijl een document wordt gewijzigd)
  • Chatberichten worden gescand voordat ze worden verzonden (dit gebeurt wanneer een chatbericht wordt verstuurd).
  • Gmail scant de inhoud vóór verzending (dit gebeurt voordat een Gmail-bericht wordt verzonden).
  • Gmail scant de inhoud na verzending (dit gebeurt nadat een Gmail-bericht is verzonden).
  • Inhoud van de agenda scannen vóór het opslaan van de gebeurtenis (dit gebeurt voordat de gebeurtenis wordt aangemaakt of bijgewerkt).
  • Inhoud van de kalenderscan tijdens het opslaan van een evenement (dit gebeurt wanneer het evenement wordt aangemaakt of gewijzigd).
Ernst De ernst die aan de regel werd toegekend toen deze werd geactiveerd.
Onderdrukte actie* Acties die in de regel zijn geconfigureerd, maar onderdrukt. Een actie wordt onderdrukt als een actie met een hogere prioriteit tegelijkertijd plaatsvindt en wordt geactiveerd.
Trekker Activiteit die ertoe leidde dat een regel werd geactiveerd
Geactiveerde actie Hier wordt de uitgevoerde actie vermeld. Dit veld is leeg als er een regel is geactiveerd die alleen voor controledoeleinden geldt.
Activeer client-IP IP-adres van de persoon die de actie heeft veroorzaakt
Activerende gebruikers-e-mail* E-mailadres van de persoon die de actie heeft geactiveerd
Gebruikersactie De actie die de gebruiker probeerde uit te voeren, werd geblokkeerd door een regel.
Gebruikersapparaat-ID

Je moet deze kolom toevoegen aan de zoekresultaten. Zie 'Kolomgegevens van zoekresultaten beheren' voor de stappen .

Details over het apparaat dat de actie heeft uitgevoerd.

Klik in de zoekresultaten op 'Gebruikersapparaat-ID' om het volgende weer te geven:

  • Gebruikersapparaat-ID — De unieke identificatiecode van het apparaat
  • Gebruikersapparaattype — Het type apparaat dat wordt gebruikt (zoals DESKTOP_MAC of DESKTOP_WINDOWS)
  • Versie van het besturingssysteem van het gebruikersapparaat — De versie van het besturingssysteem die op het apparaat is geïnstalleerd.

Als u deze informatie exporteert naar een CSV-bestand (comma-separated values) of Google Sheets, wordt de informatie opgeslagen als één tekstblok in een cel.

* Met deze filters kunt u geen rapportageregels maken. Lees meer over rapportageregels versus activiteitsregels .

Let op : als u een gebruiker een nieuwe naam geeft, ziet u geen zoekresultaten meer met de oude naam van de gebruiker. Als u bijvoorbeeld OldName@example.com hernoemt naar NewName@example.com , ziet u geen resultaten meer voor gebeurtenissen die gerelateerd zijn aan OldName@example.com .

Beheer logboekgebeurtenisgegevens

Gegevens van de kolom met zoekresultaten beheren

Je kunt zelf bepalen welke gegevenskolommen in je zoekresultaten worden weergegeven.

  1. Klik rechtsboven in de tabel met zoekresultaten op Kolommen beheren. .
  2. (Optioneel) Om de huidige kolommen te verwijderen, klikt u op Verwijderen. .
  3. (Optioneel) Om kolommen toe te voegen, klikt u naast 'Nieuwe kolom toevoegen ' op de pijl naar beneden. en selecteer de gegevenskolom.
    Herhaal indien nodig.
  4. (Optioneel) Om de volgorde van de kolommen te wijzigen, sleept u de namen van de gegevenskolommen.
  5. Klik op Opslaan .

Exporteer zoekresultatengegevens

Je kunt zoekresultaten exporteren naar Google Sheets of naar een CSV-bestand.

  1. Klik bovenaan in de tabel met zoekresultaten op Alles exporteren .
  2. Voer een naam in en dan Klik op Exporteren .
    De export wordt onder de zoekresultatentabel weergegeven, onder ' Exportactieresultaten' .
  3. Om de gegevens te bekijken, klikt u op de naam van uw export.
    Het exportbestand wordt geopend in Google Sheets.

Exportlimieten variëren:

  • De totale resultaten van de export zijn beperkt tot 100.000 rijen.
  • Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

    Als u de tool voor beveiligingsonderzoek hebt, zijn de totale resultaten van de export beperkt tot 30 miljoen rijen.

Ga voor meer informatie naar Zoekresultaten exporteren .

Wanneer en hoe lang zijn de gegevens beschikbaar?

Onderneem actie op basis van de zoekresultaten.

Maak activiteitsregels aan en stel waarschuwingen in.

  • U kunt waarschuwingen instellen op basis van logboekgebeurtenisgegevens met behulp van rapportageregels. Zie Rapportageregels maken en beheren voor instructies.
  • Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

    Om beveiligingsproblemen efficiënt te voorkomen, op te sporen en op te lossen, kunt u acties in de tool voor beveiligingsonderzoek automatiseren en waarschuwingen instellen door activiteitsregels te maken. Om een ​​regel in te stellen, definieert u de voorwaarden voor de regel en specificeert u vervolgens de acties die moeten worden uitgevoerd wanneer aan de voorwaarden is voldaan. Ga voor meer informatie naar Activiteitsregels maken en beheren .

Onderneem actie op basis van de zoekresultaten.

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Nadat u een zoekopdracht hebt uitgevoerd in de tool voor beveiligingsonderzoek, kunt u actie ondernemen op basis van de zoekresultaten. U kunt bijvoorbeeld een zoekopdracht uitvoeren op basis van gebeurtenissen in het Gmail-logboek en vervolgens de tool gebruiken om specifieke berichten te verwijderen, berichten in quarantaine te plaatsen of berichten naar de inbox van gebruikers te sturen. Ga naar Actie ondernemen op basis van zoekresultaten voor meer informatie.

Beheer uw onderzoeken

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Bekijk uw lijst met onderzoeken

Om een ​​lijst te bekijken van de onderzoeken die u bezit en die met u zijn gedeeld, klikt u op 'Onderzoeken bekijken'. De lijst met onderzoeken bevat de namen, beschrijvingen en eigenaren van de onderzoeken, en de datum van de laatste wijziging.

Vanuit deze lijst kunt u acties uitvoeren op alle onderzoeken die u beheert, bijvoorbeeld een onderzoek verwijderen. Vink het vakje van een onderzoek aan en klik vervolgens op Acties .

Opmerking : U kunt uw opgeslagen onderzoeken bekijken onder Snelle toegang , direct boven uw lijst met onderzoeken.

Configureer de instellingen voor uw onderzoeken.

Als superbeheerder klikt u op Instellingen. naar:

  • Wijzig de tijdzone voor uw zoekopdrachten. De tijdzone is van invloed op de zoekvoorwaarden en -resultaten.
  • Schakel de optie 'Reviewer vereisen' in of uit. Ga naar 'Reviewers vereisen voor bulkacties' voor meer informatie.
  • Schakel 'Inhoud weergeven' in of uit. Met deze instelling kunnen beheerders met de juiste rechten de inhoud bekijken.
  • Schakel de actierechtvaardiging in of uit.

Ga voor meer informatie naar Instellingen configureren voor uw onderzoeken .

Onderzoeken opslaan, delen, verwijderen en dupliceren

Om je zoekcriteria op te slaan of met anderen te delen, kun je een zoekopdracht aanmaken en opslaan, en deze vervolgens delen, dupliceren of verwijderen.

Ga voor meer informatie naar Onderzoeken opslaan, delen, verwijderen en dupliceren .

Gebruik logboekgebeurtenissen om chatberichten te onderzoeken.

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Als beheerder kunt u een gegevensbeschermingsregel voor Chat maken om het lekken van gevoelige inhoud te bewaken en te voorkomen. Vervolgens kunt u de tool voor beveiligingsonderzoek gebruiken om de Chat-activiteit binnen uw organisatie te controleren, inclusief berichten en bestanden die buiten uw domein worden verzonden. Zie Chatberichten onderzoeken om de gegevens van uw organisatie te beschermen voor meer informatie.

Gebruik gebeurtenissen uit het regellogboek om schendingen van DLP-regels te onderzoeken.

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Als beheerder kunt u DLP-codefragmenten gebruiken om te onderzoeken of een schending van een DLP-regel een echt incident is of een vals positief. Ga naar Inhoud bekijken die DLP-regels activeert voor meer informatie.