Aktivitätsregeln erstellen und verwalten

Warnungen einrichten und Maßnahmen ergreifen

Als Administrator können Sie in der Admin-Konsole Aktivitätsregeln einrichten, um Benachrichtigungen zu senden oder Aktionen als Reaktion auf Aktivitäten in Ihrer Domain ausführen zu lassen. Mit Aktivitätsregeln können Sie Sicherheitsprobleme schneller und effizienter verhindern, erkennen und beheben.

Zum Konfigurieren einer Regel richten Sie Bedingungen ein und legen fest, welche Benachrichtigungen oder Aktionen ausgeführt werden sollen, wenn diese Bedingungen erfüllt sind. Im Prinzip bedeutet eine Regel: Wenn x geschieht, soll automatisch y folgen.

Google führt die in der Aktivitätsregel angegebene Suche kontinuierlich aus. Übersteigt die Anzahl der Suchergebnisse den von Ihnen bestimmten Schwellenwert, werden die festgelegten Benachrichtigungen und Aktionen ausgeführt. So können Sie z. B. angeben, dass bestimmte Administratoren benachrichtigt werden, wenn Google Drive-Dateien außerhalb der Organisation freigegeben werden.

Hinweis

Ob und wie Sie Aktivitätsregeln erstellen und aufrufen können, hängt von Ihrer Google Workspace-Version, Ihren Administratorberechtigungen und der Datenquelle ab. Weitere Informationen finden Sie im Hilfeartikel Administratorzugriff auf Berichts- und Aktivitätsregeln.

Funktionen für alle Versionen

  • Aktivitätsregeln über die Seite „Regeln“ oder das Audit- und Prüftool aufrufen
  • UND-Filter mit bis zu 5 Bedingungen (ohne verschachtelte Bedingungen)

Erweiterte Funktionen

Unterstützte Versionen für diese Funktion: Frontline Plus; Enterprise Standard und Enterprise Plus; Education Plus; Enterprise Essentials Plus; Cloud Identity Premium; Chrome Enterprise Premium. Versionen vergleichen
  • Aktivitätsregeln über das Sicherheitsprüftool aufrufen
  • ODER-Filter
  • Aktionen in Triggern festlegen
  • Schwellenwerte für Trigger festlegen
  • Mehr als fünf Bedingungen in einer Regel einrichten
  • Verschachtelte Bedingungen
  • Benachrichtigungen erhalten, wenn ein Ereignis eintritt

Wichtige Richtlinien zum Erstellen von Aktivitätsregeln

  • Sie können Aktivitätsregeln nur auf der Basis von Datenquellen für Protokollereignisse erstellen, z. B. Gmail-Protokollereignisse oder Geräteprotokollereignisse. Sie können keine Aktivitätsregeln erstellen, die auf Livestatus-Datenquellen basieren, z. B. Chrome-Browser, Geräte, Gmail-Nachrichten und Nutzer.
  • Welche Datenquellen verfügbar sind, hängt von Ihrer Google Workspace-Version ab. Weitere Informationen finden Sie im Hilfeartikel Eine Suche im Sicherheitsprüftool ausführen.
  • Sie müssen der Suche mindestens ein Ereignisattribut hinzufügen.
  • Sie können einen ODER-Operator auf oberster Ebene nur verwenden, wenn Sie in jedem Pfad der Bedingung eine Ereignisbedingung angeben.
  • Sie können nur einen Wert für das Attribut hinzufügen. Beispielsweise kann „Akteur“ nur einen Nutzer enthalten. Wenn Sie mehrere Werte einbeziehen möchten, fügen Sie mit dem Tool zur Bedingungserstellung einen ODER-Operator hinzu. Fügen Sie dann dasselbe Attribut mit einem zusätzlichen Wert hinzu.
  • Bei Aktivitätsregeln sind keine Datumsfilter zulässig, da die Regeln kontinuierlich ausgewertet werden.
  • Sie müssen der Regel mindestens eine Aktion oder Benachrichtigung hinzufügen.
  • Da Aktivitätsregeln auf Protokollereignissen basieren, werden sie ausgelöst, nachdem das Ereignis eingetreten ist. Aus diesem Grund sind Aktivitätsregeln nicht dafür geeignet, Dokumente zu sperren oder freizugeben oder E‑Mails zu senden.

E-Mail-Benachrichtigungen

Wenn Sie E‑Mail-Benachrichtigungen für Ihre Regel einrichten, wird bei der ersten Auslösung der Regel eine Benachrichtigungs-E‑Mail pro Schwellenwertzeitraum gesendet. Die Regel sendet keine Benachrichtigungen, wenn sie zu anderen Zeiten ausgelöst wird. Die E-Mail-Benachrichtigung enthält eine Übersicht über die Regel, die die Benachrichtigung ausgelöst hat, u. a. den Regelnamen, Details zum Schwellenwert und Angaben zu den Quelldaten. Administratoren, die die E‑Mail-Benachrichtigung erhalten, können auf Benachrichtigung ansehen klicken, um die Seite Benachrichtigungsdetails in der Benachrichtigungszentrale aufzurufen.

Regelschwellenwerte und Benachrichtigungen

Um die Anzahl der Benachrichtigungen zu minimieren, können Sie Regeln mit Schwellenwerten erstellen, die Benachrichtigungen nur auslösen, wenn das Ereignis in einem bestimmten Zeitraum mehr als eine bestimmte Anzahl von Malen auftritt. Wenn ein Ereignis beispielsweise zum ersten Mal eine Regel auslöst, wird in der Benachrichtigungszentrale eine neue Benachrichtigung hinzugefügt und eine E‑Mail gesendet (falls für die Regel konfiguriert). Wenn die Regel einen Schwellenwert von einer Stunde hat, werden zusätzliche Ereignisse innerhalb dieses Zeitraums derselben Benachrichtigung hinzugefügt. Zusätzliche E‑Mail-Benachrichtigungen werden erst gesendet, wenn die Mindestzeit überschritten ist.

Wenn Sie einen Schwellenwert für eine Regel festlegen, wird er kumulativ auf alle Nutzeraktionen angewendet, nicht auf einzelne Nutzer. Wenn Sie beispielsweise eine Regel erstellen, mit der Nutzer nach fünf fehlgeschlagenen Anmeldeversuchen innerhalb einer Stunde gesperrt werden, wird der Schwellenwert erreicht, wenn bei einem oder mehreren Nutzern innerhalb einer Stunde fünf fehlgeschlagene Anmeldeversuche unternommen werden. In diesem Fall würden alle Nutzer mit mindestens einem fehlgeschlagenen Versuch gesperrt.

Hinweise:

  • E‑Mails und Benachrichtigungen, die durch eine Regel mit einem Schwellenwert ausgelöst werden, enthalten keine Ereignisbeschreibung.
  • Aktivitätsregeln können nur so konfiguriert werden, dass E‑Mails an interne Domainnutzer gesendet werden. Administratoren können jedoch weiterhin externe E‑Mail-Benachrichtigungen über Google Groups konfigurieren.
  • Sie können übermäßige Benachrichtigungen vermeiden, indem Sie sie über eine Stunde verteilen.

Aktivitätsregel erstellen

  1. Erstellen Sie eine Regel (alle Google Workspace-Versionen) mit einer der folgenden Methoden:
    • Klicken Sie auf der Startseite der Admin-Konsole auf Regeln und dann auf Aktivitätsregel erstellen.
    • Alternativ können Sie zu Berichterstellung und dann Audit und Prüfung gehen, eine Datenquelle auswählen und dann Aktivitätsregel erstellen.und dann
    • Wenn Sie das Sicherheitsprüftool haben, rufen Sie Sicherheit und dann Sicherheitscenter und dann Prüftool auf und klicken Sie dann auf Aktivitätsregel erstellen.
  2. Geben Sie die Regeldetails ein und klicken Sie auf Weiter:
    • Regelname, z. B. Externe Datenfreigabe.
    • Beschreibung, z. B. Benachrichtigen, wenn Dokumente außerhalb der Organisation freigegeben werden

  3. Legen Sie auf der Seite Bedingungen fest, wann die Regel ausgelöst werden soll:

    1. Wählen Sie eine Datenquelle für die Regel aus, z. B. Administrator-Protokollereignisse.

      Hinweis: Die Verfügbarkeit von Datenquellen hängt von Ihrer Google Workspace-Version und von Ihren Administratorberechtigungen ab. Sie können keine Aktionen für Drive-Protokollereignisse hinzufügen. Weitere Informationen finden Sie unter Administratorzugriff auf Aktivitätsregeln und Datenquellen für das Sicherheitsprüftool.

    2. Klicken Sie auf den Tab Filter, um die Suchergebnisse mit einfachen Parametern wie Enthält, Enthält nicht, Ist oder Ist nicht zu filtern.

    3. Klicken Sie auf den Tab Tool zur Bedingungserstellung, um die Suchergebnisse mit UND- bzw. ODER-Operatoren zu filtern. Wählen Sie für jede Bedingung ein Attribut, einen Operator und einen Wert aus.

      Beispielsweise wählen Sie für eine Bedingung, mit der als Ereignis die Übertragung der Eigentümerschaft des Dokuments angegeben wird, Ereignis als Attribut, Ist als Operator und Dokumenteinstellungen > Eigentümerschaft an Dokumenten übertragen als Wert aus.

      Hinweis:Die Bedingung Ereignis ist erforderlich. Weitere Informationen zu den verfügbaren Bedingungen für jede Datenquelle finden Sie unter Datenquellen für das Sicherheitsprüftool.

    4. Klicken Sie auf Bedingung hinzufügen, um weitere Bedingungen hinzuzufügen, oder auf Weiter.

  4. (Erweiterte Funktion) Wählen Sie eine Option aus:

    • Jedes Mal, wenn das Ereignis eintritt: Benachrichtigungen senden und/oder Aktionen ausführen, wenn das Ereignis eintritt.
    • Wenn die Häufigkeit des Ereignisses einen bestimmten Schwellenwert erreicht: Wählen Sie die Optionen aus, um Benachrichtigungen und/oder Aktionen auszulösen, wenn das Ereignis in einem bestimmten Zeitraum mehr als eine bestimmte Anzahl von Malen auftritt. Beispiel: Das Ereignis tritt mehr als zehnmal pro Stunde auf.

  5. (Erweiterte Funktion) Klicken Sie auf Aktion hinzufügen, um eine Aktion auszuführen, wenn das Ereignis eintritt oder der Schwellenwert überschritten wird.

    • So können Sie beispielsweise Nutzer sperren oder eine Passwortänderung erzwingen, wenn das Ereignis eintritt.
    • Klicken Sie auf Aktion hinzufügen, um weitere Aktionen zu erstellen.

  6. Wählen Sie unter Benachrichtigung die gewünschten Optionen aus:

    • Benachrichtigungszentrale: (Empfohlen) Senden Sie eine Benachrichtigung an die Benachrichtigungszentrale. Benachrichtigungen enthalten detaillierte Informationen, damit Sie bei Problemen Maßnahmen ergreifen und diese Probleme gemeinsam mit anderen Administratoren in Ihrer Organisation lösen können.
    • E-Mail: E-Mail-Benachrichtigungen senden an:
      • Alle Super Admins: E‑Mails werden an alle Super Admins gesendet.
      • E‑Mail-Empfänger hinzufügen: E‑Mails werden an ausgewählte Administratoren gesendet.
    • Benachrichtigungshäufigkeit: Die Anzahl der Benachrichtigungen (Warnungen und E‑Mails), die pro Stunde für dasselbe Ereignis gesendet werden. Sie können Benachrichtigungen über die Stunde verteilen oder jedes Mal eine Benachrichtigung erhalten, wenn das Ereignis eintritt. Mit dieser Einstellung können Sie verhindern, dass Sie zu viele Benachrichtigungen für dasselbe Ereignis erhalten. Wählen Sie eine Option aus:
      • Bis zu 5 pro Stunde (Standardeinstellung): Sie erhalten jede Stunde alle 12 Minuten eine Benachrichtigung.
      • Bis zu 2 pro Stunde: Sie erhalten jede Stunde alle 30 Minuten eine Benachrichtigung.
      • Bis zu 10 pro Stunde: Sie erhalten jede Stunde alle 6 Minuten eine Benachrichtigung.
      • Jedes Mal, wenn das Ereignis eintritt (falls in Ihrer Version verfügbar).
    • Schweregrad: Der Schweregrad, der für das Ereignis angezeigt wird.

  7. Wählen Sie den Regelstatus aus.

    • Aktiv (Standard): Das System erfasst Protokolle und die Regeln werden erzwungen.
    • Überwachen: Das System erfasst Protokolle, die Regeln werden aber nicht erzwungen. Mit dieser Option können Sie Protokolle prüfen, bevor die Regel erzwungen wird.
    • Inaktiv: Es werden keine Protokolle erfasst und die Regel wird nicht erzwungen.

  8. Klicken Sie auf Weiter. Sehen Sie sich die Regeldetails an. Klicken Sie bei Bedarf auf Zurück, um Änderungen vorzunehmen.

  9. Klicken Sie auf Regel erstellen.

Aktivitätsregeln ansehen und bearbeiten

Nachdem Sie eine Aktivitätsregel erstellt haben, können Sie auf der Seite Regeln die Details, den Geltungsbereich und die Bedingungen der Regel sowie die Aktionen einsehen, die bei erreichten Schwellenwerten ausgelöst werden.

Auf der Seite „Regeln“ finden Sie auch eine Liste aller Regeln, die von Administratoren in Ihrer Domain erstellt wurden. Rufen Sie dazu die Startseite der Admin-Konsole auf und klicken Sie auf Regeln.

Auf der Seite „Regeln“ sehen die Administratoren Ihrer Domain auch die Regeln, die von anderen Administratoren erstellt wurden. Was dabei im Einzelnen angezeigt wird, hängt von der Datenquelle der Regel und den jeweiligen Berechtigungen ab. Ist ein Administrator beispielsweise berechtigt, Protokollereignisse für Drive einzusehen, aber nicht für Gmail, werden diese Regeln ausgeblendet.

Auf der Seite „Regeln“ sind folgende Aktionen möglich:

  • Regelliste durch Klicken auf Filter hinzufügen filtern
  • Regeldetails durch Klicken auf die jeweilige Regel aufrufen und bearbeiten
  • Regeln löschen
  • Neue Regeln erstellen
  • Klicken Sie auf Untersuchen, um das Prüftool zu öffnen und Daten aus den Ereignissen im Regelprotokoll aufzurufen.