Создание и управление правилами действий

В качестве администратора вы можете настроить правила обработки событий в консоли администратора Google, чтобы отправлять уведомления или предпринимать действия в ответ на активность в вашем домене. Используйте правила обработки событий, чтобы быстрее и эффективнее предотвращать, обнаруживать и устранять проблемы безопасности.

Для настройки правила необходимо задать условия и указать, какие уведомления или действия должны выполняться при выполнении этих условий. Правило — это просто способ сказать: если происходит x , автоматически выполнить y .

Google будет постоянно выполнять поиск, указанный в правиле действий. Если количество результатов поиска превысит установленный вами порог, Google выполнит указанные вами уведомления и действия. Например, вы можете настроить правило для отправки уведомлений по электронной почте определенным администраторам, если документы Google Drive будут доступны за пределами компании.

Прежде чем начать

Возможность создавать и просматривать правила действий зависит от вашей версии Google Workspace, административных прав и источника данных. Для получения более подробной информации перейдите в раздел «Административный доступ к правилам отчетности и правилам действий» .

Функции для всех изданий

• Доступ к правилам действий осуществляется со страницы «Правила» или через инструмент аудита и расследования.
• Фильтр AND содержит до 5 условий (не считая вложенных условий).

Расширенные функции

Поддерживаемые версии для этой функции: Frontline Plus; Enterprise Standard и Enterprise Plus; Education Plus; Enterprise Essentials Plus; Cloud Identity Premium; Chrome Enterprise Premium. Сравните свою версию.

• Доступ к правилам активности из инструмента расследования инцидентов безопасности.
• ИЛИ фильтры
• Задавайте действия в триггерах
• Set thresholds for triggers
• Задайте более 5 условий в правиле.
• Nested conditions
• Get a notification every time an event occurs

Important guidelines for creating activity rules

• Вы можете создавать правила действий только на основе данных из журналов событий — например, событий журнала Gmail или событий журнала устройства . Вы не можете создавать правила действий на основе данных о текущем состоянии, таких как браузеры Chrome , устройства , сообщения Gmail и пользователи .
• Доступные источники данных будут различаться в зависимости от вашей версии Google Workspace. Для получения более подробной информации перейдите по ссылке «Выполнить поиск в инструменте расследования инцидентов безопасности» .
• Необходимо добавить в поиск хотя бы один атрибут события.
• Оператор ИЛИ можно использовать на верхнем уровне только в том случае, если условие события присутствует на каждом условном пути.
• Для атрибута можно указать только одно значение. Например, атрибут «Актер» может включать только одного пользователя. Чтобы указать несколько значений, используйте конструктор условий, чтобы добавить оператор ИЛИ, а затем добавьте тот же атрибут с дополнительным значением.
• Использовать фильтры по дате для правил действий нельзя (поскольку правила оцениваются непрерывно).
• Необходимо добавить к правилу как минимум одно действие или оповещение.
• Поскольку правила действий основаны на событиях в журнале, они срабатывают после того, как событие произошло. Поэтому правила действий не подходят для таких задач, как блокировка или предоставление доступа к документу, а также отправка электронных писем.

Уведомления по электронной почте

Если вы настроили уведомления по электронной почте для своего правила, правило будет отправлять одно уведомление по электронной почте за каждый пороговый период при первом срабатывании правила. В остальных случаях уведомления отправляться не будут. Уведомление по электронной почте содержит сводку по правилу, вызвавшему оповещение, включая название правила, сведения о пороговом значении, исходные данные и многое другое. Администраторы, получившие уведомление по электронной почте, могут нажать «Просмотреть оповещение» , чтобы перейти на страницу с подробными сведениями об оповещении в центре оповещений.

Пороговые значения правил и уведомления

To minimize notifications, you can create rules with thresholds that trigger notifications only when the event occurs more than a specific number of times over a given time frame. For example, the first time an event triggers a rule, a new alert is added in the Alert Center and an email is sent (if configured for the rule). If the rule has a one-hour threshold, additional events within that time are added to the same alert. Additional email notifications are not sent until the threshold time is passed.

При установке порогового значения для правила оно применяется кумулятивно ко всем действиям пользователей, а не для каждого пользователя в отдельности. Например, если вы создадите правило для блокировки пользователей после 5 неудачных попыток входа в систему в течение одного часа, пороговое значение будет достигнуто, когда у одного или нескольких пользователей будет 5 неудачных попыток входа в систему в течение одного часа. В этом случае все пользователи, у которых была хотя бы одна неудачная попытка, будут заблокированы.

Примечания:

• В электронных письмах и оповещениях, отправляемых по правилу с пороговым значением, описание события отсутствует.
• Правила действий можно настроить таким образом, чтобы отправлять электронные письма только пользователям внутреннего домена. Однако администраторы по-прежнему могут настраивать оповещения по электронной почте для внешних пользователей с помощью групп Google.
• Чтобы избежать чрезмерного количества оповещений, можно расположить их с интервалом в один час.

Создайте правило действия

1. Создайте правило (для всех версий Google Workspace), используя один из следующих способов:
   • На главной странице консоли администратора перейдите в раздел «Правила» , а затем нажмите «Создать правило действия» .
   • Or, go to Reporting Аудит и расследованиеselect a data source Create activity rule.
   • Или, если у вас установлен инструмент для проведения расследований в области безопасности, перейдите в раздел «Безопасность». Центр безопасностиОткройте инструмент расследования , а затем нажмите «Создать правило действия ».
2. Enter the rule details and click Continue :
   • Название правила — например, «Внешний обмен данными».
   • Описание — например, Уведомлять о передаче документов за пределы компании.

3. On the Conditions page, define when the rule will trigger:

   1. Выберите источник данных для правила — например, события журнала администратора .

      Примечание : Доступность источников данных зависит от вашей версии Google Workspace и ваших прав администратора. Вы не можете добавлять действия для событий журнала Google Drive. Для получения подробной информации перейдите в раздел «Доступ администратора к правилам действий» и «Источники данных для инструмента расследования инцидентов безопасности» .

   2. Нажмите вкладку «Фильтр» , чтобы отфильтровать результаты поиска, используя простые параметры, такие как «Содержит» , «Не содержит» , «Является » или «Не является» .

   3. Нажмите вкладку «Конструктор условий» , чтобы отфильтровать результаты поиска с помощью операторов И/ИЛИ. Для каждого условия выберите атрибут , оператор и значение .

      Например, чтобы задать условие, указывающее на то, что событие является передачей права собственности на документ, выберите атрибут « Событие», оператор « Является », а значение — «Настройки документа» > «Передача права собственности на документ» .

      Note: Event is a required condition. For details about conditions that are available for each data source, see Data sources for the security investigation tool .

   4. Нажмите «Добавить условие» , чтобы добавить дополнительные условия, или нажмите «Продолжить» .

4. (Advanced feature) Select an option:

   • Каждый раз, когда происходит событие — отправлять уведомления и/или выполнять действия каждый раз, когда происходит событие.
   • Если частота событий достигает определенного порогового значения — выберите параметры для запуска уведомлений и/или действий, когда событие происходит более определенного количества раз за заданный период времени. Например, если событие происходит более 10 раз за 1 час.

5. (Расширенная функция) Нажмите «Добавить действие» , чтобы выполнить действие при возникновении события или превышении порогового значения.

   • Например, при возникновении такого события можно приостановить действие учетных записей пользователей или принудительно изменить пароль.
   • Click Add Action to create additional actions.

6. В разделе «Уведомления» выберите следующие параметры:

   • Центр оповещений — (Рекомендуется) Отправьте оповещение в Центр оповещений. Оповещения содержат подробную информацию, позволяющую принимать меры по устранению проблем и поддерживать совместное решение с другими администраторами вашей организации.
   • Электронная почта — Отправляйте уведомления по электронной почте на адрес:
   • Всем суперадминистраторам — Отправить электронные письма всем суперадминистраторам.
   • Добавить получателей электронной почты — отправлять электронные письма выбранным администраторам.
   • Частота уведомлений — количество уведомлений (оповещений и электронных писем), отправляемых каждый час для одного и того же события. Вы можете распределить уведомления по часу или получать уведомление каждый раз, когда происходит событие. Используйте этот параметр, чтобы предотвратить чрезмерное количество уведомлений для одного и того же события. Выберите вариант:
   • До 5 уведомлений в час (по умолчанию) — Получайте уведомления каждые 12 минут каждый час.
   • До 2 уведомлений в час — Получайте уведомления каждые 30 минут каждый час.
   • До 10 уведомлений в час — Получайте уведомления каждые 6 минут каждый час.
   • Каждый раз, когда происходит событие (если эта функция доступна в вашей версии).
   • Степень серьезности — Уровень серьезности, отображаемый для события.

7. Select the Rule status.

   • Активно (по умолчанию) — система собирает журналы и применяет правила.
   • Мониторинг — Система собирает журналы, но правила не применяются. Используйте эту опцию для просмотра журналов перед применением правила.
   • Inactive —Logs are not collected and the rule isn't enforced.

8. Нажмите «Продолжить» . Ознакомьтесь с подробностями правила. При необходимости нажмите «Назад» , чтобы внести изменения.

9. Click Create rule .

View and edit your activity rules

После создания правила действия вы можете перейти на страницу «Правила» , чтобы просмотреть подробные сведения о правиле и его области действия, условия его применения, а также действия, которые запускаются при достижении пороговых значений.

На странице «Правила» вы также можете увидеть список всех правил, созданных администраторами вашего домена. Перейдите на главную страницу консоли администратора Google и нажмите «Правила» .

На странице «Правила» администраторы вашего домена могут просматривать правила, созданные другими администраторами, в зависимости от источника данных для правила и привилегий каждого администратора. Например, у администратора могут быть права на просмотр событий журнала Google Диска, но не на просмотр событий журнала Gmail, и поэтому он не сможет просматривать правила, основанные на событиях журнала Gmail.

На странице «Правила» вы можете выполнить следующие действия:

• Отфильтруйте список правил, нажав кнопку «Добавить фильтр» .
• Чтобы просмотреть и отредактировать подробные сведения о правилах, щелкните по одному из них.
• Delete rules.
• Создайте новые правила.
• Нажмите «Провести расследование» , чтобы открыть инструмент расследования и просмотреть данные из событий журнала правил.

Статьи по теме

• Создавайте и управляйте правилами на странице «Правила».
• Создание и управление правилами формирования отчетов.
• Admin access to activity rules