ایجاد و مدیریت قوانین فعالیت

هشدارها را تنظیم کنید و اقدام کنید

به عنوان مدیر، می‌توانید قوانین فعالیت را در کنسول گوگل ادمین تنظیم کنید تا اعلان‌ها را ارسال کنید یا در پاسخ به فعالیت در دامنه خود اقدامی انجام دهید. از قوانین فعالیت برای کمک به پیشگیری، شناسایی و رفع مشکلات امنیتی سریع‌تر و کارآمدتر استفاده کنید.

برای پیکربندی یک قانون، شما شرایطی را برای آن قانون تعیین می‌کنید و مشخص می‌کنید که در صورت برآورده شدن شرایط، چه اعلان‌ها یا اقداماتی باید انجام شوند. یک قانون به سادگی راهی برای گفتن این است که اگر x اتفاق افتاد، y به طور خودکار انجام شود.

گوگل به طور مداوم جستجوی مشخص شده در قانون فعالیت را انجام می‌دهد. اگر تعداد نتایج برگردانده شده توسط آن جستجو از آستانه‌ای که شما تنظیم کرده‌اید بیشتر شود، گوگل اعلان‌ها و اقداماتی را که شما مشخص کرده‌اید انجام خواهد داد. به عنوان مثال، می‌توانید قانونی تنظیم کنید که در صورت اشتراک‌گذاری اسناد گوگل درایو در خارج از شرکت، اعلان‌های ایمیلی برای مدیران خاص ارسال شود.

قبل از اینکه شروع کنی

توانایی شما برای ایجاد و مشاهده قوانین فعالیت به نسخه Google Workspace، امتیازات مدیریتی و منبع داده شما بستگی دارد. برای جزئیات بیشتر، به دسترسی مدیر به قوانین گزارش‌دهی و قوانین فعالیت مراجعه کنید.

امکانات برای همه نسخه‌ها

  • از صفحه قوانین یا ابزار حسابرسی و تحقیق به قوانین فعالیت دسترسی پیدا کنید
  • فیلترهای AND با حداکثر ۵ شرط (بدون احتساب شرط‌های تو در تو)

ویژگی‌های پیشرفته

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Plus؛ Enterprise Essentials Plus؛ Cloud Identity Premium؛ Chrome Enterprise Premium. نسخه خود را مقایسه کنید
  • دسترسی به قوانین فعالیت از ابزار تحقیقات امنیتی
  • فیلترهای OR
  • تنظیم اقدامات در تریگرها
  • تعیین آستانه برای محرک‌ها
  • تنظیم بیش از ۵ شرط در یک قانون
  • شرط‌های تو در تو
  • هر بار که رویدادی رخ می‌دهد، اعلان دریافت کنید

دستورالعمل‌های مهم برای ایجاد قوانین فعالیت

  • شما فقط می‌توانید قوانین فعالیت را بر اساس منابع داده رویداد ثبت وقایع ایجاد کنید - برای مثال، رویدادهای ثبت وقایع Gmail یا رویدادهای ثبت وقایع دستگاه . شما نمی‌توانید قوانین فعالیت را بر اساس منابع داده در حال اجرا مانند مرورگرهای Chrome ، دستگاه‌ها ، پیام‌های Gmail و کاربران ایجاد کنید.
  • منابع داده موجود بسته به نسخه Google Workspace شما متفاوت خواهد بود. برای جزئیات بیشتر، به اجرای جستجو در ابزار بررسی امنیتی بروید.
  • شما باید حداقل یک ویژگی رویداد را به جستجو اضافه کنید.
  • شما می‌توانید یک عملگر OR را در سطح بالا قرار دهید، فقط در صورتی که یک شرط رویداد (Event) را در امتداد هر مسیر شرطی قرار دهید.
  • شما فقط می‌توانید یک مقدار واحد برای ویژگی اضافه کنید. برای مثال، Actor فقط می‌تواند یک کاربر را شامل شود. برای اضافه کردن چندین مقدار، از Condition Builder برای اضافه کردن یک عملگر OR استفاده کنید و سپس همان ویژگی را با مقدار اضافی اضافه کنید.
  • شما نمی‌توانید از فیلترهای تاریخ برای قوانین فعالیت استفاده کنید (زیرا قوانین به طور مداوم ارزیابی می‌شوند).
  • شما باید حداقل یک اقدام یا هشدار به قانون اضافه کنید.
  • از آنجا که قوانین فعالیت مبتنی بر رویدادهای لاگ هستند، پس از وقوع رویداد فعال می‌شوند. بنابراین، قوانین فعالیت برای مواردی مانند مسدود کردن یا اشتراک‌گذاری یک سند یا ارسال ایمیل مناسب نیستند.

اعلان‌های ایمیلی

اگر برای قانون خود اعلان‌های ایمیل تنظیم کنید، قانون فعالیت در اولین باری که قانون فعال می‌شود، برای هر پنجره آستانه یک ایمیل اعلان ارسال می‌کند. این قانون در دفعات دیگر که فعال می‌شود، اعلان ارسال نمی‌کند. اعلان ایمیل شامل خلاصه‌ای از قانونی است که هشدار را فعال کرده است، از جمله نام قانون، جزئیات آستانه، داده‌های منبع و موارد دیگر. مدیرانی که اعلان ایمیل را دریافت می‌کنند می‌توانند روی «مشاهده هشدار» کلیک کنند تا به صفحه جزئیات هشدار در مرکز هشدار بروند.

آستانه‌های قانون و اعلان‌ها

برای به حداقل رساندن اعلان‌ها، می‌توانید قوانینی با آستانه‌هایی ایجاد کنید که فقط زمانی اعلان‌ها را فعال کنند که رویداد بیش از تعداد دفعات مشخصی در یک بازه زمانی مشخص رخ دهد. به عنوان مثال، اولین باری که یک رویداد یک قانون را فعال می‌کند، یک هشدار جدید در مرکز هشدار اضافه می‌شود و یک ایمیل ارسال می‌شود (در صورت پیکربندی برای قانون). اگر قانون آستانه یک ساعته داشته باشد، رویدادهای اضافی در آن زمان به همان هشدار اضافه می‌شوند. اعلان‌های ایمیل اضافی تا زمانی که زمان آستانه سپری نشود، ارسال نمی‌شوند.

وقتی برای یک قانون آستانه تعیین می‌کنید، این آستانه به صورت تجمعی در بین اقدامات کاربران اعمال می‌شود، نه بر اساس هر کاربر. به عنوان مثال، اگر قانونی ایجاد کنید که کاربران را پس از 5 تلاش ناموفق برای ورود به سیستم در عرض یک ساعت به حالت تعلیق درآورد، زمانی به آستانه مورد نظر می‌رسید که 5 تلاش ناموفق برای ورود به سیستم برای یک یا چند کاربر در عرض یک ساعت وجود داشته باشد. در این حالت، تمام کاربرانی که حداقل یک تلاش ناموفق داشته باشند، به حالت تعلیق در می‌آیند.

یادداشت‌ها:

  • ایمیل‌ها و هشدارهایی که توسط یک قانون با آستانه مشخص ایجاد می‌شوند، شامل شرح رویداد نمی‌شوند.
  • قوانین فعالیت فقط می‌توانند برای ارسال ایمیل به کاربران دامنه داخلی پیکربندی شوند. با این حال، مدیران همچنان می‌توانند هشدارهای ایمیل خارجی را با استفاده از گروه‌های گوگل پیکربندی کنند.
  • با فاصله دادن بین هشدارها در طول یک ساعت، می‌توانید از تعداد زیاد آنها جلوگیری کنید.

ایجاد یک قانون فعالیت

  1. با استفاده از یکی از روش‌های زیر، یک قانون (همه نسخه‌های Google Workspace) ایجاد کنید:
    • از صفحه اصلی کنسول مدیریت، به بخش قوانین (Rules) بروید و سپس روی ایجاد قانون فعالیت (Create activity rule) کلیک کنید.
    • یا به بخش گزارش‌دهی بروید و سپس حسابرسی و تحقیق و سپس یک منبع داده انتخاب کنید و سپس ایجاد قانون فعالیت
    • یا اگر ابزار بررسی امنیتی را دارید، به بخش امنیت بروید و سپس مرکز امنیت و سپس ابزار بررسی ، و سپس روی ایجاد قانون فعالیت کلیک کنید.
  2. جزئیات قانون را وارد کنید و روی ادامه کلیک کنید:
    • نام قانون — برای مثال، اشتراک‌گذاری داده‌های خارجی.
    • شرح - برای مثال، اگر اسناد در خارج از شرکت به اشتراک گذاشته شوند، اطلاع دهید

  3. در صفحه شرایط ، زمان فعال شدن قانون را تعریف کنید:

    1. یک منبع داده برای قانون انتخاب کنید - برای مثال، رویدادهای ثبت وقایع مدیر .

      توجه : دسترسی به منابع داده بسته به نسخه Google Workspace و امتیازات مدیریتی شما متفاوت است. نمی‌توانید اقداماتی را برای رویدادهای گزارش Drive اضافه کنید. برای جزئیات بیشتر، به دسترسی مدیر به قوانین فعالیت و منابع داده برای ابزار بررسی امنیتی مراجعه کنید.

    2. برای فیلتر کردن نتایج جستجو با استفاده از پارامترهای ساده‌ای مانند Contains ، Does not contain ، Is یا Is not ، روی برگه Filter کلیک کنید.

    3. برای فیلتر کردن نتایج جستجو با استفاده از عملگرهای AND/OR، روی تب Condition builder کلیک کنید. برای هر شرط، یک ویژگی ، یک عملگر و یک مقدار انتخاب کنید.

      برای مثال، برای تنظیم شرطی که مشخص می‌کند رویداد، انتقال مالکیت سند است، رویداد را به عنوان ویژگی، Is را به عنوان عملگر و Doc Settings > Transfer document ownership را به عنوان مقدار انتخاب کنید.

      توجه: رویداد یک شرط الزامی است. برای جزئیات بیشتر در مورد شرایطی که برای هر منبع داده در دسترس است، به منابع داده برای ابزار بررسی امنیتی مراجعه کنید.

    4. برای افزودن شرط‌های بیشتر، روی «افزودن شرط» کلیک کنید، یا روی «ادامه» کلیک کنید.

  4. (ویژگی پیشرفته) یک گزینه را انتخاب کنید:

    • هر بار که رویداد رخ می‌دهد — هر بار که رویداد رخ می‌دهد، اعلان‌ها را ارسال کنید و/یا اقداماتی انجام دهید.
    • اگر فراوانی رویداد به یک آستانه خاص برسد — گزینه‌هایی را انتخاب کنید تا در صورت وقوع بیش از تعداد دفعات مشخص در یک بازه زمانی مشخص، اعلان‌ها و/یا اقدامات فعال شوند. به عنوان مثال، اگر رویداد بیش از 10 بار در 1 ساعت اتفاق بیفتد.

  5. (ویژگی پیشرفته) برای انجام یک اقدام هنگام وقوع رویداد یا عبور از آستانه، روی افزودن اقدام کلیک کنید.

    • برای مثال، هنگام وقوع رویداد، کاربران را به حالت تعلیق درآورد یا رمز عبور را مجبور به تغییر کند.
    • برای ایجاد اقدامات بیشتر، روی «افزودن اقدام» کلیک کنید.

  6. در قسمت اعلان‌ها (Notification) ، گزینه‌ها را انتخاب کنید:

    • مرکز هشدار — (توصیه می‌شود) یک هشدار به مرکز هشدار ارسال کنید. هشدارها شامل جزئیات دقیقی هستند تا بتوانید در مورد مشکلات اقدام کنید و از راه‌حل‌های مشارکتی با سایر مدیران سازمان خود پشتیبانی کنید.
    • ایمیل — ارسال اعلان‌های ایمیل به:
      • همه مدیران ارشد — ارسال ایمیل به همه مدیران ارشد.
      • افزودن گیرندگان ایمیل — ارسال ایمیل به مدیران منتخب.
    • فرکانس اعلان — تعداد اعلان‌ها (هشدارها و ایمیل‌ها) که در هر ساعت برای یک رویداد ارسال می‌شوند. می‌توانید اعلان‌ها را در طول ساعت فاصله دهید یا هر بار که رویداد رخ می‌دهد، یک اعلان دریافت کنید. از این تنظیم برای جلوگیری از اعلان‌های بیش از حد برای یک رویداد استفاده کنید. یک گزینه را انتخاب کنید:
      • حداکثر ۵ در ساعت (پیش‌فرض)—هر ۱۲ دقیقه یک بار در هر ساعت یک اعلان دریافت کنید.
      • حداکثر ۲ عدد در ساعت — هر ۳۰ دقیقه یک بار، یک اعلان دریافت کنید.
      • تا ۱۰ عدد در ساعت — هر ۶ دقیقه یک بار در هر ساعت یک اعلان دریافت کنید.
      • هر بار که رویداد رخ می‌دهد (در صورت وجود در نسخه شما).
    • شدت — سطح شدتی که برای رویداد نمایش داده می‌شود.

  7. وضعیت قانون را انتخاب کنید.

    • فعال (پیش‌فرض) - سیستم گزارش‌ها را جمع‌آوری می‌کند و قوانین اعمال می‌شوند.
    • مانیتور - سیستم لاگ‌ها را جمع‌آوری می‌کند، اما قوانین اجرا نمی‌شوند. از این گزینه برای بررسی لاگ‌ها قبل از اجرای قانون استفاده کنید.
    • غیرفعال - گزارش‌ها جمع‌آوری نمی‌شوند و قانون اجرا نمی‌شود.

  8. روی ادامه کلیک کنید. جزئیات قانون را مرور کنید. در صورت نیاز، برای ایجاد تغییرات، روی «بازگشت» کلیک کنید.

  9. روی ایجاد قانون کلیک کنید.

مشاهده و ویرایش قوانین فعالیت شما

پس از ایجاد یک قانون فعالیت، می‌توانید به صفحه قوانین بروید تا جزئیات و دامنه قانون، شرایط مربوط به قانون و اقداماتی که هنگام برآورده شدن آستانه‌ها انجام می‌شوند را مشاهده کنید.

از صفحه قوانین، می‌توانید فهرستی از تمام قوانینی که توسط مدیران دامنه شما ایجاد شده‌اند را نیز مشاهده کنید. به صفحه اصلی کنسول مدیریت گوگل بروید و روی قوانین کلیک کنید.

از صفحه قوانین، مدیران دامنه شما می‌توانند قوانین ایجاد شده توسط سایر مدیران را مشاهده کنند، که این امر به منبع داده برای قانون و امتیازات هر مدیر بستگی دارد. به عنوان مثال، یک مدیر ممکن است امتیازات مشاهده رویدادهای گزارش درایو را داشته باشد، اما برای رویدادهای گزارش جیمیل این امتیاز را نداشته باشد، و بنابراین نمی‌تواند هیچ قانونی را که مبتنی بر رویدادهای گزارش جیمیل است، مشاهده کند.

شما می‌توانید از صفحه قوانین برای انجام اقدامات زیر استفاده کنید:

  • با کلیک روی افزودن فیلتر، فهرست قوانین را فیلتر کنید.
  • با کلیک روی یکی از قوانین، جزئیات قانون را مشاهده و ویرایش کنید.
  • حذف قوانین.
  • قوانین جدید ایجاد کنید.
  • برای باز کردن ابزار بررسی و مشاهده داده‌های رویدادهای ثبت قوانین، روی Investigate کلیک کنید.