W zależności od wersji Google Workspace możesz mieć dostęp do narzędzia do analizy zagrożeń, które ma bardziej zaawansowane funkcje. Superadministratorzy mogą na przykład identyfikować i grupować problemy związane z bezpieczeństwem oraz prywatnością, a także przeciwdziałać takim problemom. Więcej informacji
Aby korzystać z tej funkcji, musisz mieć licencję na dodatek Vault. Szczegółowe informacje znajdziesz w artykule Kupowanie licencji na Vault dla swojej organizacji.
Jako administrator organizacji możesz przeprowadzać wyszukiwania i podejmować działania w związku ze zdarzeniami z dziennika Vault. Możesz na przykład wyświetlić rejestr czynności wykonywanych w konsoli Vault, na przykład przez użytkowników, którzy edytowali reguły przechowywania czy pobrane pliki eksportu.
Przeprowadzanie wyszukiwania zdarzeń z dziennika
Możliwość wyszukiwania zależy od wersji usługi Google, uprawnień administratora i źródła danych. Możesz przeprowadzić wyszukiwanie dla wszystkich użytkowników, niezależnie od używanej przez nich wersji Google Workspace.
Narzędzie do kontroli i analizy zagrożeń
Aby przeszukać zdarzenia z dziennika, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 filtr wyszukiwania.
-
W konsoli administracyjnej Google otwórz Menu
Raportowanie
Kontrola i analiza zagrożeń
Zdarzenia z dziennika Vault.Wymaga uprawnień administratora Kontrola i analiza zagrożeń.
-
Aby filtrować zdarzenia, które wystąpiły przed lub po określonej dacie, w polu Data wybierz Przed lub Po. Domyślnie wyświetlane są zdarzenia z ostatnich 7 dni. Możesz wybrać inny zakres dat lub kliknąć
, aby usunąć filtr daty. -
Kliknij Dodaj filtr
wybierz atrybut. Aby na przykład filtrować według określonego typu zdarzenia, wybierz Zdarzenie.
-
Wybierz operatora wybierz wartość kliknij Zastosuj.
- (Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania, powtórz ten krok.
- (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
- Kliknij Szukaj. Uwaga: na karcie Filtr możesz uwzględnić proste pary parametrów i wartości, aby przefiltrować wyniki wyszukiwania. Możesz też użyć karty Narzędzie do definiowania warunków, gdzie filtry są mają postać warunków z operatorem ORAZ i LUB.
Narzędzie do analizy zagrożeń
Aby przeprowadzić wyszukiwanie w narzędziu do analizy zagrożeń, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 warunek wyszukiwania. Dla każdego warunku wybierz atrybut, operator i wartość.
-
W konsoli administracyjnej Google otwórz Menu
Bezpieczeństwo
Centrum bezpieczeństwa
Narzędzie do analizy zagrożeń.Wymaga uprawnień administratora Centrum bezpieczeństwa.
- Kliknij Źródło danych i wybierz Zdarzenia z dziennika Vault.
-
Aby filtrować zdarzenia, które wystąpiły przed lub po określonej dacie, w polu Data wybierz Przed lub Po. Domyślnie wyświetlane są zdarzenia z ostatnich 7 dni. Możesz wybrać inny zakres dat lub kliknąć
, aby usunąć filtr daty. -
Kliknij Dodaj warunek.
Wskazówka: w wyszukiwaniu możesz uwzględnić 1 lub kilka warunków. Możesz też dostosować wyszukiwanie za pomocą zapytań zagnieżdżonych. Więcej informacji znajdziesz w artykule Dostosowywanie wyszukiwania za pomocą zapytań zagnieżdżonych. -
Kliknij Atrybut
wybierz opcję. Aby na przykład filtrować według określonego typu zdarzenia, wybierz Zdarzenie.
Pełną listę atrybutów znajdziesz w sekcji Opisy atrybutów. - Wybierz operator.
- Wpisz wartość lub wybierz ją z listy.
- (Opcjonalnie) Aby dodać więcej warunków wyszukiwania, powtórz te czynności.
-
Kliknij Szukaj.
Wyniki wyszukiwania z narzędzia do analizy zagrożeń możesz sprawdzić w tabeli u dołu strony. -
(Opcjonalnie) Aby zapisać analizę zagrożeń, kliknij Zapisz
wpisz tytuł i opis kliknij Zapisz.
Uwagi
- Na karcie Narzędzie do definiowania warunków filtry mają postać warunków z operatorami AND/OR. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.
- Jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dotyczących zdarzeń powiązanych z nazwą stara_nazwa@example.com.
- Możesz wyszukiwać dane tylko w wiadomościach, które nie zostały jeszcze usunięte z Kosza.
Przeprowadzanie wyszukiwania w konsoli Vault
Przeprowadzanie wyszukiwania zdarzeń z dziennika Vault
- Zaloguj się na vault.google.com.
- Kliknij Raporty.
- (Opcjonalnie) Wybierz zakres dat.
- (Opcjonalnie) Wpisz adresy e-mail użytkowników Vault, których działania chcesz sprawdzić. Aby sprawdzić działania wszystkich użytkowników Vault, pozostaw to pole puste.
- Wybierz typy działań użytkowników Vault, które chcesz sprawdzić:
- Aby sprawdzić wszystkie działania, kliknij Zaznacz wszystko.
- Aby sprawdzić tylko niektóre działania, zaznacz pole obok każdego z nich.
- Kliknij Pobierz plik CSV.
Na Twój komputer zostanie pobrany plik CSV zawierający wyniki kontroli. Jeśli wyszukiwanie zostało przeprowadzone dla wielu użytkowników, możesz otrzymać wiele dzienników.
- Otwórz pobrany plik CSV w aplikacji do obsługi arkuszy kalkulacyjnych, na przykład w Arkuszach Google. Definicje wartości w pliku CSV znajdziesz w sekcji Opisy atrybutów (w dalszej części tego artykułu).
Sprawdzanie aktywności dotyczącej określonej sprawy
- Zaloguj się na vault.google.com.
- Kliknij Sprawy.
- Na liście spraw kliknij sprawę, którą chcesz sprawdzić.
- Kliknij Kontrola.
Uwaga: aby wyświetlić dzienniki kontrolne sprawy w konsoli administracyjnej Google, kliknij Wypróbuj teraz. Identyfikator wybranej sprawy zostanie automatycznie wczytany na stronie kontroli i analizy zagrożeń. Możesz też skopiować identyfikator sprawy z adresu URL:
- (Opcjonalnie) Wybierz zakres dat.
- (Opcjonalnie) Wpisz adresy e-mail użytkowników Vault, których działania chcesz sprawdzić. Aby sprawdzić działania wszystkich użytkowników Vault, pozostaw to pole puste.
- Wybierz typy działań użytkowników Vault, które chcesz sprawdzić:
- Aby sprawdzić wszystkie działania, kliknij Zaznacz wszystko.
- Aby sprawdzić tylko niektóre działania, zaznacz pole obok każdego z nich.
Uwaga: gdy sprawdzasz konkretne sprawy, nie zobaczysz informacji na temat działań związanych z regułami przechowywania, ponieważ reguły te są zarządzane poza sprawami.
- Kliknij Pobierz plik CSV.
Na Twój komputer zostanie pobrany plik CSV zawierający wyniki kontroli. Jeśli kontrola została przeprowadzona dla wielu użytkowników, możesz otrzymać wiele dzienników.
- Otwórz pobrany plik CSV w aplikacji do obsługi arkuszy kalkulacyjnych, na przykład w Arkuszach Google. Definicje wartości w pliku CSV znajdziesz w sekcji Opisy atrybutów (w dalszej części tego artykułu).
Opisy atrybutów
W przypadku tego źródła danych podczas wyszukiwania danych zdarzenia z dziennika możesz użyć tych atrybutów:
| Atrybut | Opis |
|---|---|
| Użytkownik, który wykonał czynność | Adres e-mail użytkownika, który wykonał czynność |
| Dodatkowe szczegóły | Zawiera dodatkowe szczegóły ładunku, takie jak okres przechowywania i warunki. |
| Data | Data i godzina wystąpienia zdarzenia (według domyślnej strefy czasowej ustawionej w przeglądarce) |
| Wydarzenie | Zarejestrowane działanie zdarzenia, np. Wyświetlenie analizy zagrożeń, Wyświetlenie dokumentu zewnętrznego lub Rozpoczęcie dodawania współpracownika. |
|
ASN IP Musisz dodać tę kolumnę do wyników wyszukiwania. Instrukcje znajdziesz w sekcji Zarządzanie danymi w kolumnie wyników wyszukiwania artykułu Zdarzenia z dziennika administratora. |
Numer systemu autonomicznego adresu IP (ASN), pododdział i region powiązane z wpisem logu. Aby sprawdzić identyfikator ASN adresu IP oraz kod pododdziału i regionu, w którym wystąpiła aktywność, kliknij nazwę w wynikach wyszukiwania. |
| Identyfikator sprawy |
Identyfikator przypisany do sprawy. Ten identyfikator nie jest dostępny w przypadku wszystkich zdarzeń, ale tylko tych, które dotyczą sprawy. |
| Nazwa jednostki organizacyjnej | Nazwa jednostki organizacyjnej, której dotyczy dana czynność |
| Zapytanie |
Parametry wyszukiwania wpisane przez użytkownika przy konkretnym wyszukiwaniu |
| Nazwa zasobu | Nazwa zasobu działania, np. nazwa blokady lub nazwa zapisanego zapytania. |
| URL zasobu | Adres URL dokumentu wyświetlonego przez użytkownika |
| Użytkownik docelowy |
Adres e-mail użytkownika docelowego, np. użytkownika, który został zawieszony. |
Uwaga: jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dotyczących zdarzeń powiązanych z nazwą stara_nazwa@example.com.
Zarządzanie danymi zdarzenia z dziennika
Zarządzanie danymi w kolumnie wyników wyszukiwania
Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania.
- W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami
. - (Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń .
- (Opcjonalnie) Aby dodać kolumny, obok Dodaj nową kolumnę kliknij strzałkę w dół
i wybierz kolumnę danych.
W razie potrzeby powtórz tę czynność. - (Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij nazwy kolumn danych.
- Kliknij Zapisz.
Eksportowanie danych wyników wyszukiwania
Wyniki wyszukiwania możesz wyeksportować do Arkuszy lub do pliku CSV.
- U góry tabeli wyników wyszukiwania kliknij Eksportuj wszystko.
- Wpisz nazwę kliknij Eksportuj.
Wyeksportowane dane wyświetlają się pod tabelą wyników wyszukiwania w sekcji wyników eksportowania. - Aby wyświetlić dane, kliknij nazwę eksportu.
Eksport otworzy się w Arkuszach.
Limity eksportu różnią się od siebie:
- Limit liczby eksportowanych wyników wynosi 100 tys. wierszy.
-
Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium.
Porównanie wersji
Jeśli masz narzędzie do analizy zagrożeń, limit liczby eksportowanych wyników wynosi 30 milionów wierszy.
Więcej informacji znajdziesz w artykule Eksportowanie wyników wyszukiwania.
Kiedy i jak długo dane są dostępne?
Przeczytaj artykuł Czas przechowywania danych i opóźnienia.
Zarządzanie analizami zagrożeń
Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji
Wyświetlanie listy szablonów analizy zagrożeń
Aby wyświetlić listę analiz zagrożeń, które należą do Ciebie lub zostały Ci udostępnione, kliknij Wyświetl operacje analizy zagrożeń
. Na tej liście znajdują się nazwy, opisy i właściciele analiz zagrożeń oraz daty ostatniej modyfikacji.
Na tej liście możesz też wykonywać czynności na swoich szablonach analizy zagrożeń – na przykład usuwać je. Zaznacz pole obok analizy zagrożeń i kliknij Czynności.
Uwaga: zapisane analizy zagrożeń możesz wyświetlić w sekcji Szybki dostęp, bezpośrednio nad listą analiz zagrożeń.
Konfigurowanie ustawień analizy zagrożeń
Jako superadministrator kliknij Ustawienia 
, aby:
- zmienić strefę czasową analizy zagrożeń używaną w warunkach i wynikach wyszukiwania.
- Włącz lub wyłącz opcję Wymagaj analizy. Więcej informacji znajdziesz w artykule Wymaganie zatwierdzania działań zbiorczych.
- Włącz lub wyłącz opcję Wyświetl treść. To ustawienie pozwala administratorom z odpowiednimi uprawnieniami na wyświetlanie treści.
- Włącz lub wyłącz opcję Włącz uzasadnianie działań.
Więcej informacji znajdziesz w artykule Konfigurowanie ustawień analizy zagrożeń.
Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń
Aby zapisać kryteria wyszukiwania lub udostępnić je innym osobom, możesz utworzyć i zapisać szablon analizy zagrożeń, a następnie udostępnić go, zduplikować lub usunąć.
Więcej informacji znajdziesz w artykule Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń.
Powiązane artykuły
- Rozpoczynanie analizy zagrożeń na podstawie wykresu w panelu
- Tworzenie niestandardowego wykresu na podstawie analizy zagrożeń
- Rozpoczynanie analizy zagrożeń w Centrum alertów
- Sprawdzanie zgłoszeń dotyczących złośliwych e-maili
- Analizowanie udostępniania plików
- Analizowanie działań użytkowników na podstawie różnych źródeł danych