Tạo và quản lý quy tắc hoạt động

Thiết lập cảnh báo và hành động

Là quản trị viên, bạn có thể thiết lập các quy tắc hoạt động trong Bảng điều khiển dành cho quản trị viên của Google để gửi thông báo hoặc thực hiện hành động khi có hoạt động trong miền của bạn. Sử dụng quy tắc hoạt động để ngăn chặn, phát hiện và khắc phục các vấn đề bảo mật một cách nhanh chóng và hiệu quả hơn.

Để định cấu hình một quy tắc, bạn thiết lập điều kiện cho quy tắc và chỉ định những thông báo hoặc hành động cần thực hiện khi các điều kiện được đáp ứng. Quy tắc chỉ đơn giản là một cách nói: nếu x xảy ra, hãy tự động thực hiện y.

Google sẽ liên tục thực hiện tìm kiếm theo quy tắc hoạt động đã chỉ định. Nếu số lượng kết quả mà cụm từ tìm kiếm đó trả về vượt quá ngưỡng mà bạn đã thiết lập, thì Google sẽ thực hiện các thông báo và hành động mà bạn chỉ định. Ví dụ: bạn có thể thiết lập một quy tắc để gửi thông báo qua email cho một số quản trị viên nhất định nếu các tài liệu trên Google Drive được chia sẻ bên ngoài công ty.

Trước khi bắt đầu

Khả năng tạo và xem các quy tắc về hoạt động phụ thuộc vào phiên bản Google Workspace, đặc quyền quản trị và nguồn dữ liệu của bạn. Để biết thông tin chi tiết, hãy xem bài viết Quyền truy cập của quản trị viên vào các quy tắc báo cáo và quy tắc hoạt động.

Các tính năng cho mọi phiên bản

  • Truy cập vào quy tắc hoạt động trên trang Quy tắc hoặc công cụ kiểm tra và điều tra
  • Bộ lọc AND có tối đa 5 điều kiện (không bao gồm các điều kiện lồng nhau)

Các tính năng nâng cao

Các phiên bản hỗ trợ tính năng này: Frontline Plus; Enterprise Standard và Enterprise Plus; Education Plus; Enterprise Essentials Plus; Cloud Identity Premium; Chrome Enterprise Premium. So sánh phiên bản của bạn
  • Truy cập vào quy tắc hoạt động thông qua công cụ điều tra bảo mật
  • Bộ lọc OR
  • Đặt hành động trong điều kiện kích hoạt
  • Đặt ngưỡng cho điều kiện kích hoạt
  • Thiết lập hơn 5 điều kiện trong một quy tắc
  • Điều kiện lồng ghép
  • Nhận thông báo mỗi khi một sự kiện xảy ra

Các nguyên tắc quan trọng để tạo quy tắc hoạt động

  • Bạn chỉ có thể tạo quy tắc hoạt động dựa trên nguồn dữ liệu về sự kiện trong nhật ký, chẳng hạn như Sự kiện trong nhật ký Gmail hoặc Sự kiện trong nhật ký của Thiết bị. Bạn không thể tạo quy tắc hoạt động dựa trên các nguồn dữ liệu trạng thái trực tiếp, chẳng hạn như Trình duyệt Chrome, Thiết bị, Thư trong GmailNgười dùng.
  • Các nguồn dữ liệu có sẵn sẽ thay đổi tuỳ theo phiên bản Google Workspace của bạn. Để biết thêm thông tin chi tiết, hãy xem bài viết Chạy tìm kiếm trong công cụ điều tra bảo mật.
  • Bạn phải thêm ít nhất một thuộc tính sự kiện vào cụm từ tìm kiếm.
  • Bạn chỉ có thể thêm toán tử OR ở cấp cao nhất nếu thêm điều kiện Sự kiện dọc theo mọi đường dẫn có điều kiện.
  • Bạn chỉ có thể thêm một giá trị duy nhất cho thuộc tính này. Ví dụ: Actor chỉ có thể bao gồm một người dùng. Để thêm nhiều giá trị, hãy sử dụng Trình tạo điều kiện để thêm toán tử HOẶC, rồi thêm cùng một thuộc tính với giá trị bổ sung.
  • Bạn không thể sử dụng bộ lọc ngày cho quy tắc hoạt động (vì các quy tắc được đánh giá liên tục).
  • Bạn phải thêm ít nhất một hành động hoặc cảnh báo vào quy tắc.
  • Vì quy tắc hoạt động dựa trên các sự kiện trong nhật ký, nên chúng sẽ kích hoạt sau khi sự kiện xảy ra. Do đó, quy tắc hoạt động không phù hợp với những việc như chặn hoặc chia sẻ tài liệu hay gửi email.

Thông báo qua email

Nếu bạn thiết lập thông báo qua email cho quy tắc, thì quy tắc hoạt động sẽ gửi một email thông báo cho mỗi khoảng thời gian theo ngưỡng khi quy tắc được kích hoạt lần đầu tiên. Quy tắc này sẽ không gửi thông báo vào những lần khác mà quy tắc được kích hoạt. Thông báo qua email chứa thông tin tóm tắt về quy tắc đã kích hoạt cảnh báo, bao gồm tên quy tắc, thông tin chi tiết về ngưỡng, dữ liệu nguồn và các thông tin khác. Quản trị viên nhận được thông báo qua email có thể nhấp vào Xem thông báo để chuyển đến trang Thông tin chi tiết về thông báo trong trung tâm thông báo.

Ngưỡng và thông báo về quy tắc

Để giảm thiểu thông báo, bạn có thể tạo các quy tắc có ngưỡng chỉ kích hoạt thông báo khi sự kiện xảy ra nhiều hơn một số lần cụ thể trong một khung thời gian nhất định. Ví dụ: lần đầu tiên một sự kiện kích hoạt một quy tắc, một cảnh báo mới sẽ được thêm vào Trung tâm cảnh báo và một email sẽ được gửi (nếu bạn đã định cấu hình cho quy tắc đó). Nếu quy tắc có ngưỡng một giờ, thì các sự kiện bổ sung trong khoảng thời gian đó sẽ được thêm vào cùng một cảnh báo. Chúng tôi sẽ không gửi thêm thông báo qua email cho đến khi hết thời gian ngưỡng.

Khi bạn đặt một ngưỡng cho quy tắc, ngưỡng đó sẽ được áp dụng theo cách tích luỹ trên các hành động của người dùng, chứ không phải trên cơ sở mỗi người dùng. Ví dụ: nếu bạn tạo một quy tắc để tạm ngưng người dùng sau 5 lần đăng nhập không thành công trong vòng một giờ, thì ngưỡng sẽ đạt được khi có 5 lần đăng nhập không thành công đối với một hoặc nhiều người dùng trong vòng một giờ. Trong trường hợp này, tất cả người dùng có ít nhất một lần đăng nhập không thành công sẽ bị tạm ngưng.

Lưu ý:

  • Email và cảnh báo do một quy tắc có ngưỡng kích hoạt không có nội dung mô tả sự kiện.
  • Bạn chỉ có thể định cấu hình quy tắc hoạt động để gửi email cho người dùng miền nội bộ. Tuy nhiên, quản trị viên vẫn có thể thiết lập cảnh báo qua email bên ngoài bằng Google Groups.
  • Bạn có thể tránh nhận quá nhiều cảnh báo bằng cách giãn cách các cảnh báo trong vòng một giờ.

Tạo quy tắc hoạt động

  1. Tạo quy tắc (tất cả các phiên bản Google Workspace) bằng một trong các phương thức sau:
    • Trên Trang chủ của Bảng điều khiển dành cho quản trị viên, hãy chuyển đến mục Quy tắc, rồi nhấp vào Tạo quy tắc về hoạt động.
    • Hoặc chuyển đến phần Báo cáo sau đó Kiểm tra và điều tra sau đó chọn một nguồn dữ liệu sau đó Tạo quy tắc hoạt động.
    • Hoặc nếu bạn có công cụ điều tra bảo mật, hãy chuyển đến mục Bảo mật sau đó Trung tâm bảo mật sau đó Công cụ điều tra, rồi nhấp vào Tạo quy tắc hoạt động.
  2. Nhập thông tin chi tiết về quy tắc rồi nhấp vào Tiếp tục:
    • Tên quy tắc – ví dụ: Chia sẻ dữ liệu bên ngoài.
    • Nội dung mô tả – ví dụ: Thông báo nếu tài liệu được chia sẻ bên ngoài công ty

  3. Trên trang Điều kiện, hãy xác định thời điểm quy tắc sẽ kích hoạt:

    1. Chọn một Nguồn dữ liệu cho quy tắc, chẳng hạn như Sự kiện trong nhật ký quản trị.

      Lưu ý: Phạm vi cung cấp nguồn dữ liệu sẽ khác nhau tuỳ theo phiên bản Google Workspace và đặc quyền quản trị của bạn. Bạn không thể thêm hành động cho sự kiện trong nhật ký Drive. Để biết thông tin chi tiết, hãy xem bài viết Quyền truy cập của quản trị viên vào các quy tắc về hoạt độngNguồn dữ liệu cho công cụ điều tra bảo mật.

    2. Nhấp vào thẻ Bộ lọc để lọc kết quả tìm kiếm bằng các tham số đơn giản như Chứa, Không chứa, hoặc Không phải là.

    3. Nhấp vào thẻ Trình tạo điều kiện để lọc kết quả tìm kiếm bằng cách sử dụng toán tử AND/OR. Đối với mỗi điều kiện, hãy chọn một thuộc tính, một toán tử và một giá trị.

      Ví dụ: để thiết lập một điều kiện chỉ định rằng sự kiện là chuyển quyền sở hữu tài liệu, hãy chọn Sự kiện làm thuộc tính, chọn làm toán tử và Cài đặt tài liệu > Chuyển quyền sở hữu tài liệu làm giá trị.

      Lưu ý: Sự kiện là một điều kiện bắt buộc. Để biết thông tin chi tiết về các điều kiện có sẵn cho từng nguồn dữ liệu, hãy xem bài viết Nguồn dữ liệu cho công cụ điều tra bảo mật.

    4. Nhấp vào Thêm điều kiện để thêm các điều kiện khác hoặc nhấp vào Tiếp tục.

  4. (Tính năng nâng cao) Chọn một phương án:

    • Mỗi khi sự kiện xảy ra – Gửi thông báo và/hoặc thực hiện hành động mỗi khi sự kiện xảy ra.
    • Nếu tần suất sự kiện đáp ứng một ngưỡng cụ thể – Chọn các lựa chọn để kích hoạt thông báo và/hoặc hành động khi sự kiện xảy ra nhiều hơn một số lần cụ thể trong một khung thời gian nhất định. Ví dụ: Nếu sự kiện xảy ra hơn 10 lần trong 1 giờ.

  5. (Tính năng nâng cao) Nhấp vào Thêm hành động để thực hiện một hành động khi sự kiện xảy ra hoặc ngưỡng được vượt qua.

    • Ví dụ: tạm ngưng người dùng hoặc buộc thay đổi mật khẩu khi sự kiện xảy ra.
    • Nhấp vào Thêm hành động để tạo thêm hành động.

  6. Trong phần Thông báo, hãy chọn các chế độ sau:

    • Trung tâm thông báo – (Đề xuất) Gửi thông báo đến Trung tâm thông báo. Thông báo có thông tin chi tiết để bạn có thể đối phó với các sự cố và hỗ trợ những quản trị viên khác trong tổ chức của mình đưa ra giải pháp cộng tác.
    • Email – Gửi thông báo qua email đến:
    • Tất cả quản trị viên cấp cao – Gửi email cho tất cả quản trị viên cấp cao.
    • Thêm người nhận email – Gửi email cho một số quản trị viên.
    • Tần suất thông báo – Số lượng thông báo (cảnh báo và email) được gửi mỗi giờ cho cùng một sự kiện. Bạn có thể đặt khoảng thời gian giữa các thông báo trong một giờ hoặc nhận thông báo mỗi khi sự kiện xảy ra. Sử dụng chế độ cài đặt này để ngăn chặn việc nhận quá nhiều thông báo cho cùng một sự kiện. Chọn một tùy chọn:
    • Tối đa 5 lần mỗi giờ (Mặc định) – Nhận thông báo 12 phút một lần mỗi giờ.
    • Tối đa 2 cảnh báo mỗi giờ – Nhận thông báo 30 phút một lần mỗi giờ.
    • Tối đa 10 thông báo mỗi giờ – Nhận thông báo sau mỗi 6 phút mỗi giờ.
    • Mỗi khi sự kiện xảy ra (nếu có trong phiên bản bạn đang dùng).
    • Mức độ nghiêm trọng – Mức độ nghiêm trọng xuất hiện cho sự kiện.

  7. Chọn Trạng thái quy tắc.

    • Đang hoạt động (mặc định) – Hệ thống sẽ thu thập nhật ký và thực thi các quy tắc.
    • Giám sát – Hệ thống thu thập nhật ký nhưng không thực thi các quy tắc. Sử dụng lựa chọn này để xem xét nhật ký trước khi thực thi quy tắc.
    • Không hoạt động – Hệ thống sẽ không thu thập nhật ký và không thực thi quy tắc.

  8. Nhấp vào Tiếp tục. Xem lại thông tin chi tiết về quy tắc. Nhấp vào Quay lại để thay đổi (nếu cần).

  9. Nhấp vào Tạo quy tắc.

Xem và chỉnh sửa quy tắc hoạt động

Sau khi tạo một quy tắc hoạt động, bạn có thể chuyển đến trang Quy tắc để xem thông tin chi tiết và phạm vi của quy tắc, các điều kiện của quy tắc và những hành động được kích hoạt khi ngưỡng được đáp ứng.

Trên trang Quy tắc, bạn cũng có thể xem danh sách tất cả các quy tắc do quản trị viên tạo trong miền của bạn. Chuyển đến trang chủ Bảng điều khiển dành cho quản trị viên của Google rồi nhấp vào Quy tắc.

Trên trang Quy tắc, quản trị viên trong miền của bạn có thể xem các quy tắc do những quản trị viên khác tạo, tuỳ thuộc vào nguồn dữ liệu của quy tắc và đặc quyền của từng quản trị viên. Ví dụ: một quản trị viên có thể có đặc quyền xem đối với các sự kiện trong nhật ký Drive, nhưng không có đặc quyền xem đối với các sự kiện trong nhật ký Gmail. Do đó, họ không thể xem bất kỳ quy tắc nào dựa trên các sự kiện trong nhật ký Gmail.

Bạn có thể sử dụng trang Quy tắc để thực hiện các thao tác sau:

  • Lọc danh sách quy tắc bằng cách nhấp vào Thêm bộ lọc.
  • Xem và chỉnh sửa thông tin chi tiết về quy tắc bằng cách nhấp vào một trong các quy tắc.
  • Xoá các quy tắc.
  • Tạo quy tắc mới.
  • Nhấp vào Điều tra để mở công cụ điều tra và xem dữ liệu từ các sự kiện trong nhật ký Quy tắc.