В качестве администратора вы можете настроить правила обработки событий в консоли администратора Google, чтобы отправлять уведомления или предпринимать действия в ответ на активность в вашем домене. Используйте правила обработки событий, чтобы быстрее и эффективнее предотвращать, обнаруживать и устранять проблемы безопасности.
Правила действий можно создавать с помощью инструмента расследования инцидентов безопасности , страницы «Аудит и расследование» или страницы «Правила». Инструкции и дополнительная информация доступны на странице «Создание и управление правилами действий» .
Примечание : События в существующих правилах отчетности являются необязательными, но новые правила действий или обновления существующих правил должны включать события. По умолчанию отправляется до пяти оповещений в час.
Для создания и просмотра правил действий необходимы соответствующие права доступа.
Все версии Workspace
Во всех версиях Workspace можно создавать правила действий, которые автоматически отправляют уведомления на основе событий. Администраторы могут создавать и просматривать правила действий на странице «Правила» .
Для использования правил действий администраторам необходимы следующие разрешения. Суперадминистраторы обладают этими привилегиями по умолчанию, или вы можете добавить их в пользовательскую роль администратора.
- Службы > Центр безопасности > Правила действий > Просмотр
- Службы > Центр безопасности > Правила действий > Управление
Примечание : Правила формирования отчетов теперь являются правилами действий. Администраторам, ранее имевшим привилегию «Отчеты», автоматически были назначены привилегии « Просмотр правил действий» и «Управление правилами действий» .
Премиум-версии рабочего пространства
Администраторы, использующие премиальную версию Google Workspace (например, Enterprise Plus), имеют доступ к инструменту расследования инцидентов безопасности , который включает в себя дополнительные функции, такие как правила действий, которые автоматически выполняют действия на основе пороговых значений.
Для использования инструмента расследования инцидентов безопасности необходимо быть администратором с соответствующими правами. Для использования правил действий администраторам также необходимы следующие разрешения. Суперадминистраторы обладают этими правами по умолчанию, или вы можете добавить их в пользовательскую роль администратора.
- Службы > Центр безопасности > Правила действий > Просмотр
- Службы > Центр безопасности > Правила действий > Управление
Администраторам можно предоставить полный доступ к созданию правил действий для всех источников данных, или же им можно предоставить доступ с детализацией к конкретным источникам данных. Чтобы установить права доступа для конкретных источников данных, перейдите по ссылке:
- Службы > Центр безопасности > Этот пользователь имеет полные административные права для Центра безопасности > Аудит и расследование > Просмотр > Источник данных
Для получения более подробной информации о настройке прав администратора для создания и просмотра правил действий перейдите в раздел «Права администратора для инструмента расследования» .
Поддержка Google Workspace Edition
На следующей диаграмме показано, какие версии Google Workspace предоставляют доступ к правилам действий и функциям:
| Google Workspace edition | Доступ к правилам активности | Уведомления | Действия | Пороги |
|---|---|---|---|---|
| Frontline Plus, Enterprise Plus, Enterprise Essentials Plus, Education Plus, Chrome Enterprise Premium | Администраторы имеют доступ к правилам действий для всех источников данных событий журналов, для которых у них есть необходимые права администратора*. | ✔ | ✔ | ✔ |
| Cloud Identity Premium, Enterprise Standard | Администраторы имеют доступ к правилам действий для следующих источников данных , если у них есть необходимые права администратора*:
| ✔ | ✔ | ✔ |
| Business Starter, Business Standard, Business Plus, Education Fundamentals, Education Standard, Enterprise Essentials | Администраторы имеют доступ к правилам действий для всех источников данных событий журналов, для которых у них есть необходимые права администратора*. | ✔ | ||
| Базовый стартовый набор | Правила доступа к активности отсутствуют. |
* Доступ к источнику данных для создания правил действий зависит от вашей версии Google Workspace и ваших административных привилегий для определенных функций в консоли администратора Google.
Примечания
- Администратор с делегированными правами может создать правило действия для определенного источника данных только в том случае, если у него есть необходимые административные привилегии для этого источника данных.
- Нельзя создавать правила действий на основе данных о текущем состоянии, таких как браузеры Chrome , устройства , сообщения Gmail и пользователи . Правила действий можно создавать только на основе данных о событиях журнала — например, событий журнала Gmail или событий журнала устройства .