Журнал событий правил

Проанализируйте попытки пользователей поделиться конфиденциальными данными.

В зависимости от версии Google Workspace у вас может быть доступ к инструменту расследования инцидентов безопасности, который обладает более расширенными функциями. Например, суперадминистраторы могут выявлять, анализировать и принимать меры по проблемам безопасности и конфиденциальности. Подробнее

Как администратор вашей организации, вы можете выполнять поиск и принимать меры в отношении событий журнала правил. Например, вы можете просмотреть запись действий, чтобы проверить попытки пользователя поделиться конфиденциальными данными. Вы также можете просмотреть события, вызванные нарушениями правил предотвращения потери данных (DLP). Записи обычно появляются в течение часа после действий пользователя.

В журнале событий правил также отображаются типы данных для защиты от угроз и данных Chrome Enterprise Premium.

Возможность выполнения поиска зависит от вашей версии Google, ваших административных прав и источника данных. Вы можете выполнить поиск для всех пользователей, независимо от их версии Google Workspace.

Инструмент аудита и расследования

Для выполнения поиска событий в журнале сначала выберите источник данных. Затем выберите один или несколько фильтров для поиска.

  1. В консоли администратора Google перейдите в меню. а потом Отчетность а потом Аудит и расследование а потом Правила регистрируют события .

    Для этого необходимы права администратора по аудиту и расследованиям .

  2. Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту. чтобы удалить фильтр по дате.

  3. Нажмите « Добавить фильтр». а потом Выберите атрибут. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
  4. Выберите оператора а потом выберите значение а потом Нажмите «Применить» .
    • (Необязательно) Чтобы создать несколько фильтров для поиска, повторите этот шаг.
    • (Необязательно) Чтобы добавить оператор поиска, выше в разделе «Добавить фильтр» выберите «И» или «ИЛИ» .
  5. Нажмите «Поиск» . Примечание : На вкладке «Фильтр» можно использовать простые пары параметр-значение для фильтрации результатов поиска. Также можно использовать вкладку «Конструктор условий» , где фильтры представлены в виде условий с операторами И/ИЛИ.

Инструмент для проведения расследований в сфере безопасности

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Для выполнения поиска в инструменте анализа безопасности сначала выберите источник данных. Затем выберите одно или несколько условий для поиска. Для каждого условия выберите атрибут , оператор и значение .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. Щелкните «Источник данных» и выберите «Журнал правил событий» .

  3. Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту. чтобы удалить фильтр по дате.

  4. Нажмите «Добавить условие» .
    Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» .
  5. Атрибут клика а потом Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
    Полный список атрибутов см. в разделе «Описание атрибутов» .
  6. Выберите оператора.
  7. Введите значение или выберите значение из списка.
  8. (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
  9. Нажмите «Поиск» .
    Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы.
  10. (Необязательно) Чтобы сохранить результаты расследования, нажмите «Сохранить». а потом Введите заголовок и описание. а потом Нажмите « Сохранить ».

Примечания

  • На вкладке «Конструктор условий» фильтры представлены в виде условий с операторами И/ИЛИ. Вы также можете использовать вкладку «Фильтр» для добавления простых пар параметр-значение для фильтрации результатов поиска.
  • Если вы присвоите пользователю новое имя, вы не увидите результаты запросов со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .
  • Поиск данных возможен только в сообщениях, которые еще не были удалены из Корзины.

Описание атрибутов

Для этого источника данных при поиске данных о событиях журнала можно использовать следующие атрибуты.

Атрибут Описание
Уровень доступа Уровни доступа, выбранные в качестве условий контекстно-зависимого доступа для этого правила. Подробнее см. раздел «Создание контекстно-зависимых уровней доступа» .
Актер

Адрес электронной почты пользователя, выполнившего действие. Значение может быть «Анонимный пользователь», если события являются результатом повторного сканирования.

Примечание : Для действий, инициированных системой, а не пользователем, это значение может быть пустым.

Название актёрской группы

Название группы, к которой принадлежит актёр. Для получения дополнительной информации перейдите в раздел «Фильтрация результатов по группам Google» .

Чтобы добавить группу в список разрешенных групп фильтрации:

  1. Выберите название группы акторов .
  2. Нажмите «Группы фильтрации» .
    Открывается страница «Группы фильтрации».
  3. Нажмите «Добавить группы» .
  4. Найдите группу, введя первые несколько символов ее названия или адреса электронной почты. Когда вы увидите нужную группу, выберите ее.
  5. (Необязательно) Чтобы добавить еще одну группу, найдите и выберите нужную группу.
  6. После выбора групп нажмите кнопку «Добавить» .
  7. (Необязательно) Чтобы удалить группу, нажмите «Удалить группу». .
  8. Нажмите « Сохранить ».
Организационное подразделение актёра Организационная единица актёра
Заблокированные получатели Получатели, заблокированные сработавшим правилом.
Условное действие Список действий, которые могут быть запущены при доступе пользователя в зависимости от контекстных условий, настроенных для правила.
Идентификатор конференции Идентификатор конференции, на которой были предприняты действия в рамках срабатывания этого правила.
Идентификатор контейнера Идентификатор родительского контейнера, к которому принадлежит ресурс
Тип контейнера Тип родительского контейнера, к которому принадлежит ресурс — например, «Пространство чата» или «Групповой чат» для сообщений чата или вложений в чате.
Источник данных Приложение, являющееся источником ресурса
Дата Дата и время события
Идентификатор детектора Идентификатор соответствующего детектора
Название детектора Название детектора совпадений, определенного администраторами.
Идентификатор устройства Идентификатор устройства, на котором было выполнено действие. Этот тип данных применяется к Chrome Enterprise Premium для защиты от угроз и данных.
Тип устройства Тип устройства, указанный в идентификаторе устройства. Этот тип данных применяется к Chrome Enterprise Premium для защиты от угроз и данных.
Событие

Действие, зарегистрированное в журнале.

Водить машину

Для Google Диска регистрируются следующие события, связанные с правилами DLP:

  • Действие завершено, содержимое найдено*: правило DLP обнаружило содержимое в документе Google Диска.
  • Действие завершено, Содержимое не сопоставлено*: Документ на диске не помечен, поскольку содержимое, которое первоначально вызвало срабатывание правила DLP, больше не присутствует.
  • Доступ заблокирован: правило DLP заблокировало попытку загрузки или копирования файла на Google Диск.

Примечания к автомобилю:

  • При изменении метки диска присваивается значение «Применена метка» , «Изменено значение поля » или «Метки удалены» .
  • Когда правила доверия блокируют общий доступ к файлам Google Диска, значение параметра отображается как "Общий доступ заблокирован" .
  • Когда правила доверия блокируют доступ к файлам Google Диска (просмотр, загрузка или копирование), значение параметра отображается как «Доступ заблокирован» .

Гмайл

Для Gmail регистрируются следующие события, связанные с правилами DLP:

  • Действие завершено, отправка сообщения проверена*: правило DLP проверило сообщение Gmail во время отправки.
  • Действие завершено, отправка сообщения заблокирована*: Правило DLP заблокировало отправку сообщения Gmail.
  • Действие выполнено, отправленное сообщение помещено в карантин*: Правило DLP поместило сообщение Gmail в карантин для проверки. Сообщение не было отправлено.
  • Действие завершено, сообщение отправлено с предупреждением*: правило DLP предупредило пользователя о невозможности отправки сообщения в Gmail.

* Часть «Действие завершено» в названиях этих событий будет устарела .

Календарь (бета-версия)

События, связанные с этими правилами DLP, регистрируются в календаре:

  • Сохранение события календаря проверено: событие календаря было проверено во время сохранения.
  • Предупреждение о сохранении события календаря : Пользователю было вынесено предупреждение о том, что сохранять событие календаря не рекомендуется.
  • Сохранение события календаря заблокировано: Сохранение события календаря было заблокировано.
Содержит конфиденциальную информацию. Для правил DLP, сработавших при обнаружении и регистрации конфиденциального контента, значение равно True .
Получатель* Те, кто получил общий ресурс
Количество пропущенных получателей* Количество получателей ресурсов, не учтенных из-за превышения лимита.
Идентификатор ресурса Объект изменен. Для правил DLP:
  • Чтобы просмотреть записи, относящиеся к Google Drive, щелкните идентификатор ресурса, чтобы увидеть измененный документ в Google Drive.
  • Чтобы просмотреть подробную информацию о диалоге в чате Google Chat, щелкните идентификатор ресурса. Обратите внимание, что некоторые данные чата могут устаревать, поэтому не все сведения будут доступны.
Владелец ресурса Пользователь, которому принадлежит ресурс, который был отсканирован и к которому было применено действие.
Название ресурса Название ресурса, который был изменен. Для DLP — название документа.
Тип ресурса Для Drive DLP ресурсом является Документ . Для Chat DLP ресурсом является Сообщение чата или Вложение чата . Для Calendar DLP ресурсом является Событие календаря .
Идентификатор правила Идентификатор правила, которое сработало
Название правила Название правила указывается администратором при его создании.
Тип правила DLP — это значение для правил DLP.
Тип сканирования

Значения следующие:

  • Непрерывное сканирование системы (происходит при изменении правила)
  • Сканирование в режиме онлайн (происходит по мере внесения изменений в документ)
  • Сканирование содержимого чата перед отправкой (происходит при отправке сообщения в чате).
  • Сканирование содержимого календаря перед сохранением события (происходит до создания или обновления события).
  • Сканирование содержимого календаря во время сохранения события (происходит при создании или изменении события).
Степень тяжести Уровень серьезности, присвоенный правилу при его срабатывании.
Подавленное действие* Действия, настроенные в правиле, но подавленные. Действие подавляется, если одновременно происходит и запускается действие с более высоким приоритетом.
Курок Действия, приведшие к срабатыванию правила.
Запущенное действие В этом поле перечислены предпринятые действия. Оно пустое, если сработало правило, предназначенное только для аудита.
IP-адрес клиента-триггера IP-адрес субъекта, инициировавшего действие
Отправка электронного письма пользователю* Адрес электронной почты лица, инициировавшего действие.
Действие пользователя Действие, которое пытался совершить пользователь, было заблокировано правилом.
* С помощью этих фильтров нельзя создавать правила формирования отчетов. Подробнее о различиях между правилами формирования отчетов и правилами действий можно узнать здесь.

Примечание : Если вы присвоили пользователю новое имя, вы не увидите результаты запроса со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .

Управление данными событий журнала

Управление данными столбца результатов поиска

Вы можете управлять тем, какие столбцы данных будут отображаться в результатах поиска.

  1. В правом верхнем углу таблицы результатов поиска нажмите «Управление столбцами». .
  2. (Необязательно) Чтобы удалить текущие столбцы, нажмите «Удалить». .
  3. (Необязательно) Чтобы добавить столбцы, рядом с кнопкой «Добавить новый столбец » нажмите стрелку вниз. и выберите столбец с данными.
    Повторять по мере необходимости.
  4. (Необязательно) Чтобы изменить порядок столбцов, перетащите названия столбцов данных.
  5. Нажмите « Сохранить ».

Экспорт данных результатов поиска

Результаты поиска можно экспортировать в Google Sheets или в CSV-файл.

  1. В верхней части таблицы результатов поиска нажмите кнопку «Экспорт всех» .
  2. Введите имя а потом Нажмите «Экспорт» .
    Результаты экспорта отображаются под таблицей результатов поиска в разделе «Результаты действия экспорта» .
  3. Для просмотра данных щелкните по названию экспортируемого файла.
    Экспорт открывается в Google Sheets.

Ограничения на экспорт различаются:

  • Общий объем результатов экспорта ограничен 100 000 строками.
  • Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

    Если у вас установлен инструмент для проведения анализа безопасности, общий объем результатов экспорта ограничен 30 миллионами строк.

Для получения более подробной информации перейдите в раздел «Экспорт результатов поиска» .

Когда и как долго доступны данные?

Принимайте меры на основе результатов поиска.

Создавайте правила действий и настраивайте оповещения.

  • Вы можете настроить оповещения на основе данных событий журнала с помощью правил формирования отчетов. Инструкции см. в разделе «Создание и управление правилами формирования отчетов» .
  • Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

    Для эффективного предотвращения, обнаружения и устранения проблем безопасности вы можете автоматизировать действия в инструменте расследования инцидентов безопасности и настроить оповещения, создав правила действий . Чтобы настроить правило, задайте для него условия, а затем укажите действия, которые должны быть выполнены при выполнении этих условий. Для получения более подробной информации перейдите в раздел «Создание и управление правилами действий» .

Принимайте меры на основе результатов поиска.

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

После выполнения поиска в инструменте расследования инцидентов безопасности вы можете предпринять действия на основе результатов поиска. Например, вы можете выполнить поиск на основе событий журнала Gmail, а затем использовать инструмент для удаления определенных сообщений, отправки сообщений в карантин или отправки сообщений в почтовые ящики пользователей. Для получения более подробной информации перейдите в раздел «Действия на основе результатов поиска» .

Управляйте своими расследованиями

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Просмотрите список ваших расследований

Чтобы просмотреть список расследований, которые принадлежат вам и которые были предоставлены вам, нажмите «Просмотреть расследования». Список расследований включает имена, описания и ответственных за расследования, а также дату последнего изменения.

Из этого списка вы можете выполнить действия с любыми принадлежащими вам расследованиями, например, удалить расследование. Установите флажок напротив нужного расследования, а затем нажмите «Действия» .

Примечание : Вы можете просмотреть сохраненные расследования в разделе «Быстрый доступ» , непосредственно над списком расследований.

Настройте параметры для ваших расследований.

От имени суперадминистратора нажмите «Настройки». к:

  • Измените часовой пояс для ваших исследований. Часовой пояс применяется к условиям поиска и результатам.
  • Включите или выключите параметр «Требовать рецензентов» . Для получения более подробной информации перейдите в раздел «Требовать рецензентов для массовых действий» .
  • Включить или выключить отображение содержимого . Этот параметр позволяет администраторам с соответствующими правами просматривать содержимое.
  • Включить или выключить обоснование действий .

Для получения более подробной информации перейдите в раздел «Настройка параметров расследования» .

Сохраняйте, делитесь, удаляйте и дублируйте расследования.

Чтобы сохранить критерии поиска или поделиться ими с другими, вы можете создать и сохранить расследование, а затем поделиться им, скопировать или удалить его.

Для получения более подробной информации перейдите в раздел «Сохранение, предоставление доступа, удаление и дублирование расследований» .

Используйте события журнала правил для анализа сообщений чата.

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Как администратор, вы можете создать правило защиты данных для чата, чтобы отслеживать и предотвращать утечки конфиденциальной информации. Затем вы можете использовать инструмент расследования инцидентов безопасности для мониторинга активности чата в вашей организации, включая сообщения и файлы, отправляемые за пределы вашего домена. Подробнее см. раздел «Расследование сообщений чата для защиты данных вашей организации» .

Используйте события журнала правил для расследования нарушений правил DLP.

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Администратор может использовать фрагменты кода для предотвращения потери данных (DLP), чтобы проверить, является ли нарушение правила DLP реальным инцидентом или ложным срабатыванием. Для получения подробной информации перейдите в раздел «Просмотр контента, который запускает правила DLP» .