Zdarzenia w dzienniku reguł

Weryfikowanie prób udostępnienia danych wrażliwych przez użytkowników

W zależności od wersji Google Workspace możesz mieć dostęp do narzędzia do analizy zagrożeń, które ma bardziej zaawansowane funkcje. Superadministratorzy mogą na przykład identyfikować i grupować problemy związane z bezpieczeństwem oraz prywatnością, a także przeciwdziałać takim problemom. Więcej informacji

Jako administrator organizacji możesz przeprowadzać wyszukiwania i podejmować działania w związku ze zdarzeniami z dziennika reguł. Możesz na przykład wyświetlić rejestr działań, aby sprawdzić próby udostępnienia danych wrażliwych przez użytkownika. Możesz też przeglądać zdarzenia wywołane zdarzeniami naruszenia reguł zapobiegania utracie danych (DLP). Wpisy pojawiają się zwykle w ciągu godziny od wykonania czynności przez użytkownika.

Zdarzenia w dzienniku reguł zawierają też listę typów danych związanych z ochroną danych i zabezpieczeniami przed zagrożeniami w Chrome Enterprise Premium.

Możliwość wyszukiwania zależy od wersji usługi Google, uprawnień administratora i źródła danych. Możesz przeprowadzić wyszukiwanie dla wszystkich użytkowników, niezależnie od używanej przez nich wersji Google Workspace.

Narzędzie do kontroli i analizy zagrożeń

Aby przeszukać zdarzenia z dziennika, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 filtr wyszukiwania.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Raportowanie a potemKontrola i analiza zagrożeń a potemZdarzenia w dzienniku reguł.

    Wymaga uprawnień administratora Kontrola i analiza zagrożeń.

  2. Aby filtrować zdarzenia, które wystąpiły przed lub po określonej dacie, w polu Data wybierz Przed lub Po. Domyślnie wyświetlane są zdarzenia z ostatnich 7 dni. Możesz wybrać inny zakres dat lub kliknąć , aby usunąć filtr daty.

  3. Kliknij Dodaj filtr a potem wybierz atrybut. Aby na przykład filtrować według określonego typu zdarzenia, wybierz Zdarzenie.
  4. Wybierz operatora a potemwybierz wartość a potemkliknij Zastosuj.
    • (Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania, powtórz ten krok.
    • (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
  5. Kliknij Szukaj. Uwaga: na karcie Filtr możesz uwzględnić proste pary parametrów i wartości, aby przefiltrować wyniki wyszukiwania. Możesz też użyć karty Narzędzie do definiowania warunków, gdzie filtry są mają postać warunków z operatorem ORAZ i LUB.

Narzędzie do analizy zagrożeń

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

Aby przeprowadzić wyszukiwanie w narzędziu do analizy zagrożeń, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 warunek wyszukiwania. Dla każdego warunku wybierz atrybut, operator i wartość.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Bezpieczeństwo a potemCentrum bezpieczeństwa a potemNarzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. Kliknij Źródło danych i wybierz Zdarzenia z dziennika reguł.

  3. Aby filtrować zdarzenia, które wystąpiły przed lub po określonej dacie, w polu Data wybierz Przed lub Po. Domyślnie wyświetlane są zdarzenia z ostatnich 7 dni. Możesz wybrać inny zakres dat lub kliknąć , aby usunąć filtr daty.

  4. Kliknij Dodaj warunek.
    Wskazówka: w wyszukiwaniu możesz uwzględnić 1 lub kilka warunków. Możesz też dostosować wyszukiwanie za pomocą zapytań zagnieżdżonych. Więcej informacji znajdziesz w artykule Dostosowywanie wyszukiwania za pomocą zapytań zagnieżdżonych.
  5. Kliknij Atrybut a potem wybierz opcję. Aby na przykład filtrować według określonego typu zdarzenia, wybierz Zdarzenie.
    Pełną listę atrybutów znajdziesz w sekcji Opisy atrybutów.
  6. Wybierz operator.
  7. Wpisz wartość lub wybierz ją z listy.
  8. (Opcjonalnie) Aby dodać więcej warunków wyszukiwania, powtórz te czynności.
  9. Kliknij Szukaj.
    Wyniki wyszukiwania z narzędzia do analizy zagrożeń możesz sprawdzić w tabeli u dołu strony.
  10. (Opcjonalnie) Aby zapisać analizę zagrożeń, kliknij Zapisz  a potem wpisz tytuł i opis a potem kliknij Zapisz.

Uwagi

  • Na karcie Narzędzie do definiowania warunków filtry mają postać warunków z operatorami AND/OR. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.
  • Jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dotyczących zdarzeń powiązanych z nazwą stara_nazwa@example.com.
  • Możesz wyszukiwać dane tylko w wiadomościach, które nie zostały jeszcze usunięte z Kosza.

Opisy atrybutów

W przypadku tego źródła danych podczas wyszukiwania danych zdarzenia z dziennika możesz użyć tych atrybutów:

Atrybut Opis
Poziom dostępu Poziomy dostępu wybrane jako warunki dostępu zależnego od kontekstu tej reguły. Szczegółowe informacje znajdziesz w artykule Tworzenie poziomów dostępu zależnego od kontekstu.
Użytkownik, który wykonał czynność

Adres e-mail użytkownika, który wykonał czynność. Wartością może być Anonimowy użytkownik, jeśli zdarzenia są wynikiem ponownego skanowania.

Uwaga: w przypadku działań wywołanych przez system, a nie przez użytkownika, ta wartość może być pusta.
Nazwa grupy

Nazwa grupy użytkownika, który wykonał czynność. Więcej informacji znajdziesz w artykule Filtrowanie wyników za pomocą grup dyskusyjnych Google.

Aby dodać grupę do listy dozwolonych grup filtrowania:

  1. Kliknij Nazwa grupy.
  2. Kliknij Grupy filtrowania.
    Pojawi się strona Grupy filtrowania.
  3. Kliknij Dodawanie grup.
  4. Wyszukaj grupę, wpisując kilka pierwszych znaków jej nazwy lub adresu e-mail. Gdy zobaczysz odpowiednią grupę, wybierz ją.
  5. (Opcjonalnie) Aby dodać kolejną grupę, wyszukaj ją i wybierz.
  6. Gdy wybierzesz odpowiednie grupy, kliknij Dodaj.
  7. (Opcjonalnie) Aby usunąć grupę, kliknij Usuń grupę .
  8. Kliknij Zapisz.
Jednostka organizacyjna użytkownika, który wykonał czynność Jednostka organizacyjna użytkownika, który wykonał czynność.
Zablokowani odbiorcy Adresaci, którzy zostali zablokowani przez aktywowaną regułę
Działanie warunkowe Lista działań, które mogą zostać zainicjowane, kiedy użytkownik uzyska dostęp, w zależności od skonfigurowanych dla reguły warunków zależnych od kontekstu.
Identyfikator konferencji Identyfikator rozmowy wideo, która została poddana działaniu na skutek wyzwolenia zasady
Identyfikator kontenera Identyfikator kontenera nadrzędnego, do którego należy zasób
Typ kontenera Typ kontenera nadrzędnego, do którego należy zasób, na przykład Pokój czatu lub Czat grupowy na potrzeby wiadomości bądź załączników na czacie.
Źródło danych Aplikacja, z której pochodzi zasób.
Data Data i godzina wystąpienia zdarzenia
Identyfikator wzorca do wykrywania treści Identyfikator pasującego wzorca do wykrywania treści
Nazwa wzorca do wykrywania treści Nazwa pasującego wzorca do wykrywania treści zdefiniowanego przez administratorów
Identyfikator urządzenia Identyfikator urządzenia, na którym uruchomiono działanie. Ten typ danych dotyczy ochrony danych i zabezpieczeń przed zagrożeniami w Chrome Enterprise Premium.
Typ urządzenia Typ urządzenia, do którego odwołuje się identyfikator urządzenia. Ten typ danych dotyczy ochrony danych i zabezpieczeń przed zagrożeniami w Chrome Enterprise Premium.
Wydarzenie

Działanie zarejestrowanego zdarzenia.

Dysk

Na Dysku rejestrowane są te zdarzenia dotyczące reguł DLP:

  • Działanie ukończone, Zgodna treść*: reguła DLP oznaczyła treści w dokumencie na Dysku.
  • Działanie ukończone, Niezgodna treść*: dokument na Dysku nie został oznaczony, ponieważ treść, która pierwotnie uruchomiła regułę DLP, nie jest już obecna.
  • Dostęp zablokowany: reguła DLP zablokowała próbę pobrania lub skopiowania pliku z Dysku.

Uwagi dotyczące Dysku:

  • W przypadku zmiany etykiety Dysku wartość to Etykieta została zastosowana, Zmieniona wartość pola lub Etykieta została usunięta.
  • Gdy reguły zaufania blokują udostępnianie plików z Dysku, wartość to Zablokowano udostępnianie.
  • Jeśli reguły zaufania blokują dostęp do plików na Dysku (wyświetlanie, pobieranie lub kopiowanie), wartość to Dostęp zablokowany.

Gmail

W przypadku Gmaila rejestrowane są te zdarzenia dotyczące reguł DLP:

  • Działanie ukończone, Wysłanie wiadomości zweryfikowane*: reguła DLP zweryfikowała wiadomość z Gmaila podczas wysyłania.
  • Działanie ukończone, Wysłanie wiadomości zablokowane*: reguła DLP zablokowała wysłanie wiadomości z Gmaila.
  • Działanie ukończone, Wysyłana wiadomość umieszczona w kwarantannie*: reguła DLP umieściła wiadomość z Gmaila w kwarantannie do sprawdzenia. Wiadomość nie została wysłana.
  • Działanie ukończone, Wysłano ostrzeżenie przed wysłaniem wiadomości*: reguła DLP ostrzegła użytkownika przed wysłaniem wiadomości z Gmaila.

* Fragment „Działanie ukończone” w tych nazwach zdarzeń zostanie wycofany.

Kalendarz (beta)

W przypadku Kalendarza rejestrowane są te zdarzenia dotyczące reguł DLP:

  • Zapisanie wydarzenia w kalendarzu zostało poddane kontroli: wydarzenie w kalendarzu zostało sprawdzone podczas zapisywania.
  • Ostrzeżenie o zapisaniu wydarzenia w kalendarzu: użytkownik został ostrzeżony przed zapisaniem wydarzenia w kalendarzu.
  • Zablokowano zapisanie wydarzenia w kalendarzu: nie udało się zapisać wydarzenia w kalendarzu.
Zawiera treści o charakterze kontrowersyjnym W przypadku uruchomionych reguł DLP zawierających wykryte i zarejestrowane treści poufne wartość to True (Prawda).
Odbiorca Osoby, które otrzymały udostępniony zasób.
Liczba pominiętych odbiorców* Liczba adresatów zasobu pominięta z powodu przekroczenia limitu
Identyfikator zasobu Zmodyfikowany obiekt. W zakresie reguł DLP:
  • W przypadku wpisów dotyczących Dysku Google kliknij identyfikator zasobu, aby wyświetlić zmodyfikowany dokument z Dysku.
  • W przypadku wpisów dotyczących Google Chat kliknij identyfikator zasobu, aby wyświetlić szczegóły rozmowy w Google Chat. Pamiętaj, że niektóre dane dotyczące Google Chat mogą wygasnąć, więc nie wszystkie informacje będą zawsze dostępne.
Właściciel zasobu Użytkownik będący właścicielem zasobu, który został przeskanowany i do którego zastosowano działanie.
Tytuł zasobu Tytuł zmodyfikowanego zasobu. W przypadku DLP jest to tytuł dokumentu.
Typ zasobu W przypadku DLP dla Dysku zasobem jest Dokument. W przypadku DLP dla Google Chat zasobem jest wiadomość w Google Chat lub załącznik w Google Chat. W przypadku DLP w Kalendarzu zasobem jest Wydarzenie w Kalendarzu.
Identyfikator reguły Identyfikator reguły, która wywołała działanie
Nazwa reguły Nazw reguły podana przez administratora w chwili jej utworzenia.
Typ reguły W przypadku reguł DLP wartość to DLP.
Typ skanowania

Wartości to:

  • Ciągłe skanowanie dysku (gdy zachodzi zmiana reguły)
  • Skanowanie online (gdy zachodzą zmiany w dokumencie)
  • Skanowanie treści w Google Chat przed wysłaniem (gdy wysyłana jest wiadomość w Google Chat)
  • Skanowanie treści z Kalendarza przed zapisaniem wydarzenia (przed utworzeniem lub zaktualizowaniem wydarzenia)
  • Skanowanie treści z Kalendarza podczas zapisywania wydarzenia (gdy wydarzenie jest tworzone lub modyfikowane)
Waga Waga przypisana regule, gdy została uruchomiona.
Pominięte działanie* Działania skonfigurowane w regule, które zostały pominięte. Działanie jest pomijane, gdy w tym samym czasie wywoływane jest działanie o wyższym priorytecie.
Aktywator Działanie, które doprowadziło do uruchomienia reguły
Wywołane działanie Podane są podjęte działania. Nie ma wartości, jeśli uruchomiona została reguła służąca tylko do kontroli.
Adres IP klienta aktywatora Adres IP użytkownika, który wywołał działanie
Adres e-mail użytkownika, który wywołał regułę* Adres e-mail użytkownika, który wywołał działanie
Działanie użytkownika Działanie, które próbował wykonać użytkownik i które zostało zablokowane przez regułę
* Nie możesz utworzyć reguł raportowania z tymi filtrami. Dowiedz się więcej o regułach raportowania i regułach związanych z aktywnością.

Uwaga: jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dotyczących zdarzeń powiązanych z nazwą stara_nazwa@example.com.

Zarządzanie danymi zdarzenia z dziennika

Zarządzanie danymi w kolumnie wyników wyszukiwania

Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania.

  1. W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami .
  2. (Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń .
  3. (Opcjonalnie) Aby dodać kolumny, obok Dodaj nową kolumnę kliknij strzałkę w dół  i wybierz kolumnę danych.
    W razie potrzeby powtórz tę czynność.
  4. (Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij nazwy kolumn danych.
  5. Kliknij Zapisz.

Eksportowanie danych wyników wyszukiwania

Wyniki wyszukiwania możesz wyeksportować do Arkuszy lub do pliku CSV.

  1. U góry tabeli wyników wyszukiwania kliknij Eksportuj wszystko.
  2. Wpisz nazwę  kliknij Eksportuj.a potem
    Wyeksportowane dane wyświetlają się pod tabelą wyników wyszukiwania w sekcji wyników eksportowania.
  3. Aby wyświetlić dane, kliknij nazwę eksportu.
    Eksport otworzy się w Arkuszach.

Limity eksportu różnią się od siebie:

  • Limit liczby eksportowanych wyników wynosi 100 tys. wierszy.
  • Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

    Jeśli masz narzędzie do analizy zagrożeń, limit liczby eksportowanych wyników wynosi 30 milionów wierszy.

Więcej informacji znajdziesz w artykule Eksportowanie wyników wyszukiwania.

Kiedy i jak długo dane są dostępne?

Podejmowanie działań na podstawie wyników wyszukiwania

Tworzenie reguł związanych z aktywnością i konfigurowanie alertów

  • Alerty na podstawie danych zdarzeń z dziennika możesz konfigurować za pomocą reguł raportowania. Instrukcje znajdziesz w artykule Tworzenie reguł raportowania i zarządzanie nimi.
  • Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

    Aby skutecznie zapobiegać problemom z zabezpieczeniami, wykrywać je i rozwiązywać, możesz zautomatyzować działanie narzędzia do analizy zagrożeń i skonfigurować alerty, tworząc reguły związane z aktywnością. Aby skonfigurować regułę, określ warunki reguły, a następnie wskaż czynności, które mają być wykonywane po spełnieniu tych warunków. Więcej informacji znajdziesz w artykule Tworzenie reguł związanych z aktywnością i zarządzanie nimi.

Podejmowanie działań na podstawie wyników wyszukiwania

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń możesz wykonywać działania na wynikach wyszukiwania. Na przykład po przeprowadzeniu wyszukiwania zdarzeń z dziennika Gmaila za pomocą narzędzia można usunąć określone wiadomości, wysłać je do kwarantanny lub do skrzynek odbiorczych użytkowników. Więcej informacji znajdziesz w artykule Podejmowanie działań na podstawie wyników wyszukiwania.

Zarządzanie analizami zagrożeń

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

Wyświetlanie listy szablonów analizy zagrożeń

Aby wyświetlić listę analiz zagrożeń, które należą do Ciebie lub zostały Ci udostępnione, kliknij Wyświetl operacje analizy zagrożeń . Na tej liście znajdują się nazwy, opisy i właściciele analiz zagrożeń oraz daty ostatniej modyfikacji.

Na tej liście możesz też wykonywać czynności na swoich szablonach analizy zagrożeń – na przykład usuwać je. Zaznacz pole obok analizy zagrożeń i kliknij Czynności.

Uwaga: zapisane analizy zagrożeń możesz wyświetlić w sekcji Szybki dostęp, bezpośrednio nad listą analiz zagrożeń.

Konfigurowanie ustawień analizy zagrożeń

Jako superadministrator kliknij Ustawienia , aby:

  • zmienić strefę czasową analizy zagrożeń używaną w warunkach i wynikach wyszukiwania.
  • Włącz lub wyłącz opcję Wymagaj analizy. Więcej informacji znajdziesz w artykule Wymaganie zatwierdzania działań zbiorczych.
  • Włącz lub wyłącz opcję Wyświetl treść. To ustawienie pozwala administratorom z odpowiednimi uprawnieniami na wyświetlanie treści.
  • Włącz lub wyłącz opcję Włącz uzasadnianie działań.

Więcej informacji znajdziesz w artykule Konfigurowanie ustawień analizy zagrożeń.

Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń

Aby zapisać kryteria wyszukiwania lub udostępnić je innym osobom, możesz utworzyć i zapisać szablon analizy zagrożeń, a następnie udostępnić go, zduplikować lub usunąć.

Więcej informacji znajdziesz w artykule Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń.

Używanie zdarzeń z dziennika reguł do analizowania wiadomości z Google Chat

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

Jako administrator możesz utworzyć regułę ochrony danych w Google Chat, aby monitorować wycieki poufnych treści i im zapobiegać. Następnie możesz użyć narzędzia do analizy zagrożeń, aby monitorować aktywność w Google Chat w organizacji, m.in. wiadomości i pliki wysyłane poza domenę. Szczegółowe informacje znajdziesz w artykule Analizowanie wiadomości z Google Chat w celu ochrony danych organizacji.

Używanie zdarzeń z dziennika reguł do analizowania naruszeń reguł DLP

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

Jako administrator możesz używać fragmentów zapobiegania utracie danych (DLP), aby sprawdzić, czy naruszenie reguły DLP jest faktycznym incydentem czy nieprawdziwym incydentem. Szczegółowe informacje znajdziesz w artykule poświęconym wyświetlaniu treści, które wyzwalają reguły DLP.