Tworzenie reguł związanych z aktywnością i zarządzanie nimi

Jako administrator możesz skonfigurować w konsoli administracyjnej Google reguły związane z aktywnością, aby wysyłać powiadomienia lub podejmować działania w odpowiedzi na aktywność w domenie. Przy pomocy reguł aktywności możesz szybciej i skuteczniej zapobiegać problemom z zabezpieczeniami oraz je wykrywać i rozwiązywać.

W tym celu musisz określić warunki reguły i wskazać powiadomienia lub działania , które mają być wykonywane po ich spełnieniu. Reguła oznacza po prostu, że jeśli wystąpi x, należy automatycznie wykonać y.

Google będzie regularnie przeprowadzać wyszukiwanie określone w regule związanej z aktywnością. Jeśli liczba wyników zwróconych przez wyszukiwanie przekroczy ustawiony przez Ciebie próg, Google wykona wybrane działania i wyśle określone powiadomienia. Możesz na przykład skonfigurować regułę, aby wysyłać do wybranych administratorów e-maile z powiadomieniami o udostępnieniu dokumentów z Dysku Google poza firmę.

Zanim zaczniesz

Możliwość tworzenia i wyświetlania reguł związanych z aktywnością zależy od wersji Google Workspace, Twoich uprawnień administracyjnych i źródła danych. Szczegółowe informacje znajdziesz w artykule Dostęp administratora do reguł raportowania i reguł związanych z aktywnością rules.

Funkcje dostępne we wszystkich wersjach

• Dostęp do reguł związanych z aktywnością na stronie Reguły lub w narzędziu do kontroli i analizy zagrożeń.
• Filtry AND z maksymalnie 5 warunkami (nie obejmują zagnieżdżonych warunków).

Funkcje zaawansowane

Ta funkcja jest dostępna w tych wersjach: Frontline Plus, Enterprise Standard i Enterprise Plus, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium oraz Chrome Enterprise Premium. Porównanie wersji

• Dostęp do reguł związanych z aktywnością w narzędziu do analizy zagrożeń.
• Filtry OR.
• Ustawianie działań w aktywatorach.
• Ustawianie progów dla aktywatorów.
• Ustawianie w regule więcej niż 5 warunków
• Zagnieżdżone warunki
• Otrzymywanie powiadomienia za każdym razem, gdy wystąpi zdarzenie.

Ważne wskazówki na temat tworzenia reguł związanych z aktywnością

• Reguły związane z aktywnością można tworzyć tylko na podstawie źródeł danych zdarzeń z dziennika (takich jak Zdarzenia z dziennika Gmaila czy Zdarzenia z dziennika urządzenia). Nie możesz tworzyć reguł związanych z aktywnością na podstawie źródeł danych odzwierciedlających stan obecny, takich jak Przeglądarki Chrome, Urządzenia, Wiadomości z Gmaila i Użytkownicy.
• Dostępne źródła danych różnią się w zależności od wersji Google Workspace. Więcej informacji znajdziesz w artykule Przeprowadzanie wyszukiwania w narzędziu do analizy zagrożeń zagrożeń.
• Do wyszukiwania musisz dodać co najmniej 1 atrybut zdarzenia.
• Operator OR możesz uwzględnić na najwyższym poziomie tylko wtedy, gdy zdarzenie jest uwzględnione w każdej ścieżce warunkowej.
• Do atrybutu możesz dodać tylko 1 wartość. Na przykład do atrybutu Użytkownik może być przypisana tylko 1 osoba. Użyj narzędzia do definiowania warunków, aby dodać operator OR, a następnie dodaj ten sam atrybut z dodatkową wartością.
• W przypadku reguł związanych z aktywnością nie można używać filtrów daty, ponieważ reguły są oceniane w sposób ciągły.
• Do reguły musisz dodać co najmniej 1 działanie lub alert.
• Ponieważ reguły związane z aktywnością są oparte na zdarzeniach z dziennika, są wywoływane po wystąpieniu zdarzenia. Z tego względu reguły związane z aktywnością nie nadają się do blokowania czy udostępniania dokumentów ani wysyłania e-maili.

Powiadomienia e-mail

Jeśli skonfigurujesz dla reguły związanej z aktywnością e-maile z powiadomieniami, po jej wywołaniu będzie ona wysyłać tylko 1 e-maila z powiadomieniem w każdym oknie progu. Reguła nie będzie wysyłać powiadomień przy każdym wywołaniu. E-mail z powiadomieniem zawiera podsumowanie informacji o regule, której dotyczy alert, w tym jej nazwę, próg, dane źródłowe i inne informacje. Administratorzy, którzy otrzymali takiego e-maila z powiadomieniem, mogą kliknąć Wyświetl alert , aby otworzyć stronę Szczegóły alertu w Centrum alertów.

Progi reguł i powiadomienia

Aby zminimalizować liczbę powiadomień, możesz tworzyć reguły z progami, które będą uruchamiać powiadomienia tylko wtedy, gdy zdarzenie wystąpi więcej niż określoną liczbę razy w danym przedziale czasu. Gdy na przykład zdarzenie po raz pierwszy wywoła regułę, w Centrum alertów zostanie dodany nowy alert i zostanie wysłany e-mail (jeśli został skonfigurowany dla tej reguły). Jeśli reguła ma próg jednogodzinny, dodatkowe zdarzenia w tym czasie są dodawane do tego samego alertu. Dodatkowe e-maile z powiadomieniami nie są wysyłane, dopóki nie upłynie czas progu.

Gdy ustawisz próg reguły, jest on stosowany do wszystkich działań użytkowników, a nie do poszczególnych użytkowników. Jeśli na przykład utworzysz regułę zawieszającą konta użytkowników po 5 nieudanych próbach logowania w ciągu 1 godziny, próg zostanie osiągnięty po 5 nieudanych próbach zalogowania się na konto co najmniej 1 użytkownika w ciągu 1 godziny. W takim przypadku konta wszystkich użytkowników, którzy podjęli przynajmniej 1 nieudaną próbę, zostaną zawieszone.

Uwagi:

• E-maile i alerty uruchomione przez regułę z progiem nie zawierają opisu zdarzenia.
• Reguły związane z aktywnością można skonfigurować tylko tak, aby wysyłały e-maile do użytkowników wewnętrznych domen. Administratorzy nadal mogą konfigurować zewnętrzne alerty e-mail za pomocą Grup dyskusyjnych Google.
• Możesz zapobiec nadmiernej liczbie alertów, rozkładając je w ciągu godziny.

Tworzenie reguły związanej z aktywnością

1. Utwórz regułę (wszystkie wersje Google Workspace) za pomocą jednej z tych metod:
   • Na stronie głównej konsoli administracyjnej kliknij Reguły, a następnie kliknij Utwórz regułę związaną z aktywnością.
   • Możesz też otworzyć Raportowanie Kontrola i analiza zagrożeń wybrać źródło danych Utwórz regułę związaną z aktywnością.
   • Jeśli masz narzędzie do analizy zagrożeń, otwórz Zabezpieczenia Centrum bezpieczeństwa Narzędzie do analizy zagrożeń, a następnie kliknij Utwórz regułę związaną z aktywnością.
2. Wpisz szczegóły reguły i kliknij Dalej:
   • Nazwa reguły —np. Udostępnianie danych na zewnątrz.
   • Opis, np. Powiadomienie o udostępnianiu dokumentów poza firmą.

3. Na stronie Warunki określ, kiedy reguła ma się uruchamiać:

   1. Wybierz Źródło danych na potrzeby reguły, np. Zdarzenia z dziennika administratora.

      Uwaga: dostępność źródeł danych zależy od wersji Google Workspace i Twoich uprawnień administratora. Nie możesz dodawać działań dotyczących zdarzeń z dziennika Dysku. Szczegółowe informacje znajdziesz w artykułach Dostęp administratora do reguł związanych z aktywnością i Źródła danych narzędzia do analizy zagrożeń.

   2. Kliknij kartę Filtr , aby filtrować wyniki wyszukiwania za pomocą prostych parametrów, takich jak Zawiera , Nie zawiera , Równe lub Różne od.

   3. Aby filtrować wyniki wyszukiwania za pomocą operatorów AND/OR, kliknij kartę Narzędzie do definiowania warunków. Dla każdego warunku wybierz atrybut, operator i wartość.

      Aby na przykład skonfigurować warunek, który określa, że zdarzenie to przeniesienie własności dokumentu, jako atrybut wybierz Zdarzenie , jako operator – Równe , a jako wartość – Ustawienia Dokumentów > Przeniesienie własności dokumentu.

      Uwaga: Zdarzenie jest warunkiem wymaganym. Szczegółowe informacje na temat warunków , których można używać z poszczególnymi źródłami danych, znajdziesz w artykule Źródła danych narzędzia do analizy zagrożeń.

   4. Aby dodać kolejne warunki, kliknij Dodaj warunek , a następnie Dalej.

4. (Funkcja zaawansowana) Wybierz opcję:

   • Za każdym razem, gdy występuje zdarzenie – wysyłaj powiadomienia lub podejmuj działania za każdym razem, gdy wystąpi zdarzenie.
   • Jeśli częstotliwość zdarzeń osiągnie określony próg— wybierz opcje, aby uruchamiać powiadomienia lub działania, gdy zdarzenie wystąpi więcej niż określoną liczbę razy w danym przedziale czasu. Na przykład jeśli zdarzenie wystąpi więcej niż 10 razy w ciągu 1 godziny.

5. (Funkcja zaawansowana) Kliknij Dodaj czynność , aby wykonać działanie, gdy wystąpi zdarzenie lub zostanie przekroczony próg.

   • Możesz na przykład zawiesić konta użytkowników lub wymusić zmianę hasła, gdy wystąpi zdarzenie.
   • Aby utworzyć dodatkowe działania, kliknij Dodaj czynność.

6. W sekcji Powiadomienie wybierz odpowiednie opcje:

   • Centrum alertów – (zalecane) wysyła alert do Centrum alertów. Alerty zawierają szczegółowe informacje, które pozwalają podjąć odpowiednie działania w przypadku wystąpienia problemów i pomagają je rozwiązywać we współpracy z innymi administratorami w organizacji.
   • E-mail – wysyła e-maile do wskazanych poniżej osób:
   • Wszyscy superadministratorzy – wysyła e-maile do wszystkich superadministratorów.
   • Dodaj odbiorców e-maila – wysyła e-maile do wybranych administratorów.
   • Częstotliwość powiadomień – liczba powiadomień (alertów i e-maili) wysyłanych co godzinę dotyczących tego samego zdarzenia. Powiadomienia możesz rozłożyć w czasie w ciągu godziny lub otrzymywać je za każdym razem, gdy wystąpi zdarzenie. Użyj tego ustawienia, aby zapobiec nadmiernej liczbie powiadomień dotyczących tego samego zdarzenia. Wybierz opcję:
   • Do 5 na godzinę (domyślnie) – otrzymasz powiadomienie co 12 minut w ciągu każdej godziny.
   • Do 2 na godzinę – otrzymasz powiadomienie co 30 minut w ciągu każdej godziny.
   • Do 10 na godzinę – otrzymasz powiadomienie co 6 minut w ciągu każdej godziny.
   • Za każdym razem, gdy występuje zdarzenie (jeśli ta opcja jest dostępna w Twojej wersji).
   • Waga – poziom ważności wyświetlany w przypadku wystąpienia zdarzenia.

7. Wybierz stan reguły.

   • Aktywna (stan domyślny) – system zbiera dzienniki, a reguły są egzekwowane.
   • Monitorowanie – system gromadzi dzienniki, ale reguły nie są egzekwowane. Użyj tej opcji, aby sprawdzić dzienniki, zanim zaczniesz egzekwować regułę.
   • Nieaktywna – dzienniki nie są zbierane, a reguła nie jest wymuszana.

8. Kliknij Dalej. Sprawdź szczegóły reguły. Jeśli chcesz wprowadzić zmiany, kliknij Wstecz.

9. Kliknij Utwórz regułę.

Wyświetlanie i edytowanie reguł związanych z aktywnością

Po utworzeniu reguły związanej z aktywnością możesz otworzyć stronę Reguły , aby wyświetlić ustawienia i zakres reguły, jej warunki oraz czynności wywoływane po osiągnięciu progów.

Na tej stronie zobaczysz też listę wszystkich reguł utworzonych przez administratorów w Twojej domenie. Otwórz stronę główną konsoli administracyjnej Google i kliknij Reguły.

Na stronie Reguły administratorzy w domenie mogą wyświetlać reguły utworzone przez innych administratorów, jeśli tylko mają dostęp do źródeł danych poszczególnych reguł i odpowiednie uprawnienia. Na przykład administrator, który ma uprawnienia do wyświetlania zdarzeń z dziennika Dysku, ale nie zdarzeń z dziennika Gmaila, nie zobaczy żadnych reguł dotyczących zdarzeń z dziennika Gmaila.

Na stronie Reguły można też:

• filtrować listę reguł, klikając Dodaj filtr ;
• wyświetlać i edytować ustawienia reguły po kliknięciu jej na liście;
• usuwać reguły;
• tworzyć nowe reguły.
• kliknąć Zbadaj , aby otworzyć narzędzie do analizy zagrożeń i wyświetlić dane zdarzeń z dziennika reguł.

Powiązane artykuły

• Tworzenie reguł i zarządzanie nimi na stronie Reguły
• Tworzenie i wyświetlanie reguł raportowania oraz konfigurowanie alertów
• Dostęp administratora do reguł związanych z aktywnością