Skapa och hantera aktivitetsregler

Ställ in aviseringar och vidta åtgärder

Som administratör kan du konfigurera aktivitetsregler i Googles administratörskonsol för att skicka aviseringar eller vidta åtgärder som svar på aktivitet inom din domän. Använd aktivitetsregler för att förebygga, upptäcka och åtgärda säkerhetsproblem snabbare och mer effektivt.

För att konfigurera en regel ställer du in villkor för regeln och anger vilka aviseringar eller åtgärder som ska utföras när villkoren är uppfyllda. En regel är helt enkelt ett sätt att säga att om x inträffar, så sker y automatiskt.

Google kommer kontinuerligt att utföra den sökning som anges i aktivitetsregeln. Om antalet resultat som returneras av den sökningen överstiger det tröskelvärde du har ställt in, kommer Google att utföra de aviseringar och åtgärder som du anger. Du kan till exempel ställa in en regel för att skicka e-postaviseringar till vissa administratörer om Google Drive-dokument delas utanför företaget.

Innan du börjar

Din möjlighet att skapa och visa aktivitetsregler beror på din Google Workspace-utgåva, administratörsbehörigheter och datakälla. Mer information finns i Administratörsåtkomst till rapporteringsregler och aktivitetsregler .

Funktioner för alla utgåvor

  • Få åtkomst till aktivitetsregler från sidan Regel eller verktyget för granskning och utredning
  • OCH-filter med upp till 5 villkor (exklusive kapslade villkor)

Avancerade funktioner

Utgåvor som stöds för den här funktionen: Frontline Plus; Enterprise Standard och Enterprise Plus; Education Plus; Enterprise Essentials Plus; Cloud Identity Premium; Chrome Enterprise Premium. Jämför din utgåva
  • Åtkomst till aktivitetsregler från säkerhetsutredningsverktyget
  • ELLER-filter
  • Ställ in åtgärder i triggers
  • Ställ in tröskelvärden för utlösare
  • Ställ in fler än 5 villkor i en regel
  • Kapslade villkor
  • Få en avisering varje gång en händelse inträffar

Viktiga riktlinjer för att skapa aktivitetsregler

  • Du kan bara skapa aktivitetsregler baserat på datakällor för logghändelser – till exempel logghändelser i Gmail eller logghändelser i enheter . Du kan inte skapa aktivitetsregler baserat på datakällor i realtid, till exempel Chrome-webbläsare , enheter , Gmail-meddelanden och användare .
  • Tillgängliga datakällor varierar beroende på din Google Workspace-utgåva. För mer information, gå till Kör en sökning i säkerhetsundersökningsverktyget .
  • Du måste lägga till minst ett händelseattribut i sökningen.
  • Du kan bara inkludera en ELLER-operator på den översta nivån om du inkluderar ett händelsevillkor längs varje villkorlig sökväg.
  • Du kan bara lägga till ett enda värde för attributet. Till exempel kan Aktör bara inkludera en användare. Om du vill inkludera flera värden använder du Villkorsbyggaren för att lägga till en ELLER-operator och lägger sedan till samma attribut med ytterligare värde.
  • Du kan inte använda datumfilter för aktivitetsregler (eftersom reglerna utvärderas kontinuerligt).
  • Du måste lägga till minst en åtgärd eller varning i regeln.
  • Eftersom aktivitetsregler baseras på logghändelser utlöses de efter att händelsen inträffat. Därför är aktivitetsregler inte lämpliga för saker som att blockera eller dela ett dokument eller skicka e-postmeddelanden.

E-postmeddelanden

Om du konfigurerar e-postmeddelanden för din regel skickar aktivitetsregeln ett e-postmeddelande per tröskelvärdesfönster när regeln först utlöses. Regeln skickar inte aviseringar för de andra gånger den utlöses. E-postmeddelandet innehåller en sammanfattning av regeln som utlöste aviseringen, inklusive regelnamn, tröskelvärdesinformation, källdata med mera. Administratörer som får e-postmeddelandet kan klicka på Visa avisering för att gå till sidan Aviseringsinformation i aviseringscentret.

Regelgränser och aviseringar

För att minimera antalet aviseringar kan du skapa regler med tröskelvärden som endast utlöser aviseringar när händelsen inträffar mer än ett visst antal gånger under en given tidsram. Till exempel, första gången en händelse utlöser en regel läggs en ny avisering till i Aviseringscentret och ett e-postmeddelande skickas (om det har konfigurerats för regeln). Om regeln har en tröskel på en timme läggs ytterligare händelser inom den tiden till i samma avisering. Ytterligare e-postaviseringar skickas inte förrän tröskeltiden har passerats.

När du anger en tröskel för en regel tillämpas den kumulativt över alla användaråtgärder, inte per användare. Om du till exempel skapar en regel för att stänga av användare efter 5 misslyckade inloggningsförsök inom en timme, uppnås tröskeln när det finns 5 misslyckade inloggningsförsök för en eller flera användare inom en timme. I det här fallet stängs alla användare med minst ett misslyckat försök av.

Anteckningar:

  • E-postmeddelanden och aviseringar som utlöses av en regel med ett tröskelvärde innehåller inte en händelsebeskrivning.
  • Aktivitetsregler kan bara konfigureras för att skicka e-post till interna domänanvändare. Administratörer kan dock fortfarande konfigurera externa e-postaviseringar med hjälp av Google Grupper.
  • Du kan förhindra alltför många varningar genom att skicka dem med mer än en timmes mellanrum.

Skapa en aktivitetsregel

  1. Skapa en regel (alla Google Workspace-utgåvor) med någon av följande metoder:
    • Från administratörskonsolens startsida går du till Regler och klickar sedan på Skapa aktivitetsregel .
    • Eller gå till Rapportering och sedan Revision och utredning och sedan välj en datakälla och sedan Skapa aktivitetsregel.
    • Eller, om du har säkerhetsutredningsverktyget, gå till Säkerhet och sedan Säkerhetscenter och sedan Undersökningsverktyget och klicka sedan på Skapa aktivitetsregel .
  2. Ange regeluppgifterna och klicka på Fortsätt :
    • Regelnamn – till exempel Extern datadelning.
    • Beskrivning — till exempel Meddela om dokument delas utanför företaget

  3. På sidan Villkor anger du när regeln ska utlösas:

    1. Välj en datakälla för regeln—till exempel administratörslogghändelser .

      Obs ! Tillgängligheten av datakällor varierar beroende på din Google Workspace-utgåva och dina administratörsbehörigheter. Du kan inte lägga till åtgärder för Drive-logghändelser. Mer information finns i Administratörsåtkomst till aktivitetsregler och Datakällor för säkerhetsutredningsverktyget .

    2. Klicka på fliken Filter för att filtrera sökresultaten med hjälp av enkla parametrar som Innehåller , Innehåller inte , Är eller Är inte .

    3. Klicka på fliken Villkorsbyggare för att filtrera sökresultaten med hjälp av OCH/ELLER-operatorer. För varje villkor väljer du ett attribut , en operator och ett värde .

      Om du till exempel vill ställa in ett villkor som anger att händelsen är en överföring av dokumentägande, väljer du Händelse som attribut, väljer Är som operator och Dokumentinställningar > Överför dokumentägande som värde.

      Obs! Händelse är ett obligatoriskt villkor. Mer information om villkor som är tillgängliga för varje datakälla finns i Datakällor för säkerhetsutredningsverktyget .

    4. Klicka på Lägg till villkor för att lägga till ytterligare villkor eller klicka på Fortsätt .

  4. (Avancerad funktion) Välj ett alternativ:

    • Varje gång händelsen inträffar — Skicka aviseringar och/eller vidta åtgärder varje gång händelsen inträffar.
    • Om händelsefrekvensen når ett visst tröskelvärde – Välj alternativen för att utlösa aviseringar och/eller åtgärder när händelsen inträffar mer än ett visst antal gånger under en given tidsram. Till exempel om händelsen inträffar mer än 10 gånger på 1 timme.

  5. (Avancerad funktion) Klicka på Lägg till åtgärd för att utföra en åtgärd när händelsen inträffar eller tröskeln passeras.

    • Till exempel, stäng av användare eller tvinga fram ett lösenordsbyte när händelsen inträffar.
    • Klicka på Lägg till åtgärd för att skapa ytterligare åtgärder.

  6. Under Avisering väljer du alternativen:

    • Aviseringscenter — (Rekommenderas) Skicka en avisering till aviseringscentret. Aviseringarna innehåller detaljerad information så att du kan vidta åtgärder mot problem och stödja gemensam lösning med andra administratörer i din organisation.
    • E-post — Skicka e-postmeddelanden till:
    • Alla superadministratörer — Skicka e-postmeddelanden till alla superadministratörer.
    • Lägg till e-postmottagare — Skicka e-postmeddelanden till utvalda administratörer.
    • Aviseringsfrekvens — Antalet aviseringar (aviseringar och e-postmeddelanden) som skickas varje timme för samma händelse. Du kan sprida aviseringar över timmen eller få en avisering varje gång händelsen inträffar. Använd den här inställningen för att förhindra alltför många aviseringar för samma händelse. Välj ett alternativ:
    • Upp till 5 i timmen (standard) – Få en avisering var 12:e minut i timmen.
    • Upp till 2 i timmen — Få en avisering var 30:e minut i timmen.
    • Upp till 10 i timmen — Få en avisering var 6:e ​​minut i timmen.
    • Varje gång händelsen inträffar (om tillgängligt med din utgåva).
    • Allvarlighetsgrad — Den allvarlighetsnivå som visas för händelsen.

  7. Välj regelstatus.

    • Aktiv (standard) – Systemet samlar in loggar och reglerna tillämpas.
    • Övervaka — Systemet samlar in loggar, men reglerna tillämpas inte. Använd det här alternativet för att granska loggar innan regeln tillämpas.
    • Inaktiv – Loggar samlas inte in och regeln tillämpas inte.

  8. Klicka på Fortsätt . Granska regelinformationen. Klicka på Tillbaka för att göra ändringar om det behövs.

  9. Klicka på Skapa regel .

Visa och redigera dina aktivitetsregler

När du har skapat en aktivitetsregel kan du gå till sidan Regler för att visa regelns information och omfattning, villkoren för regeln och de åtgärder som utlöses när tröskelvärden uppnås.

Från sidan Regler kan du också se en lista över alla regler som har skapats av administratörer på din domän. Gå till startsidan för Googles administratörskonsol och klicka på Regler .

Från sidan Regler kan administratörer inom din domän se regler som skapats av andra administratörer, beroende på datakällan för regeln och varje administratörs behörigheter. En administratör kan till exempel ha visningsbehörighet för Drive-logghändelser, men inte för Gmail-logghändelser, och därför kan de inte se några regler som är baserade på Gmail-logghändelser.

Du kan använda sidan Regler för att utföra följande åtgärder:

  • Filtrera listan med regler genom att klicka på Lägg till ett filter .
  • Visa och redigera regeldetaljer genom att klicka på en av reglerna.
  • Ta bort regler.
  • Skapa nya regler.
  • Klicka på Undersök för att öppna undersökningsverktyget och visa data från regelloggshändelser.