Créer et gérer des règles d'activité

Configurer des alertes et appliquer des actions

En tant qu'administrateur, vous pouvez configurer des règles d'activité dans la console d'administration Google pour envoyer des notifications ou prendre des mesures en réponse à l'activité au sein de votre domaine. Les règles d'activité vous permettent de prévenir, de détecter et de résoudre les problèmes de sécurité de façon plus rapide et efficace.

Pour configurer une règle, vous devez définir ses conditions et spécifier les notifications ou actions à effectuer lorsque les conditions sont remplies. Une règle est simplement un moyen d'indiquer que si l'action X se produit, l'action Y doit automatiquement être effectuée.

Google effectuera régulièrement la recherche spécifiée dans la règle d'activité. Si le nombre de résultats renvoyés par cette recherche dépasse le seuil que vous avez défini, Google déclenchera les notifications et actions que vous avez spécifiées. Vous pouvez par exemple configurer une règle pour déclencher l'envoi de notifications par e-mail à certains administrateurs si les documents Google Drive sont partagés en dehors de votre entreprise.

Avant de commencer

Votre capacité à créer et à afficher des règles d'activité dépend de votre édition Google Workspace, de vos droits d'administrateur et de la source de données. Pour en savoir plus, consultez Accès administrateur aux règles de reporting et d'activité.

Fonctionnalités disponibles dans toutes les éditions

  • Accéder aux règles d'activité depuis la page "Règles" ou l'outil d'audit et d'investigation
  • Filtres ET avec cinq conditions au maximum (à l'exclusion des conditions imbriquées)

Fonctionnalités avancées

Éditions compatibles avec cette fonctionnalité : Frontline Plus, Enterprise Standard et Enterprise Plus, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium, Chrome Enterprise Premium. Comparer votre édition
  • Accès aux règles d'activité depuis l'outil d'investigation sur la sécurité
  • Filtres OU
  • Définir des actions dans les déclencheurs
  • Définir des seuils pour les déclencheurs
  • Configurer plus de cinq conditions dans une règle
  • Conditions imbriquées
  • Recevoir une notification chaque fois qu'un événement se produit

Consignes importantes pour la création de règles d'activité

  • Vous ne pouvez créer des règles d'activité qu'en fonction des sources de données des événements de journaux (des journaux Gmail ou de l'appareil, par exemple). Vous ne pouvez pas créer de règles d'activité basées sur des sources de données indiquant l'état actuel des données, comme les navigateurs Chrome, les appareils, les messages Gmail et les utilisateurs.
  • Les sources de données disponibles varient en fonction de votre édition Google Workspace. Pour en savoir plus, consultez Exécuter une recherche dans l'outil d'investigation sur la sécurité.
  • Vous devez ajouter au moins un attribut d'événement à la recherche.
  • Vous pouvez inclure un opérateur "OR" à l'organisation racine uniquement si vous incluez une condition "Événement" à chaque chemin de condition.
  • Vous ne pouvez ajouter qu'une seule valeur pour l'attribut. Par exemple, "Acteur" ne peut inclure qu'un seul utilisateur. Pour inclure plusieurs valeurs, utilisez le générateur de conditions pour ajouter un opérateur OU, puis ajoutez le même attribut avec une valeur supplémentaire.
  • Vous ne pouvez pas utiliser de filtres de date pour les règles d'activité, car elles sont évaluées en continu.
  • Vous devez ajouter au moins une action ou une alerte à la règle.
  • Les règles d'activité étant basées sur les événements de journaux, elles se déclenchent après la survenue de l'événement. Par conséquent, elles ne sont pas adaptées au blocage ou au partage d'un document, ni à l'envoi d'e-mails.

Notifications par e-mail

Si vous configurez des notifications par e-mail pour votre règle, la règle d'activité envoie un e-mail de notification par période de seuil lorsque la règle est déclenchée pour la première fois. Elle n'envoie pas de notification les autres fois où elle est déclenchée. Les notifications par e-mail contiennent un résumé de la règle ayant déclenché l'alerte, comprenant entre autres le nom de la règle, les informations relatives au seuil et la source de données. Les administrateurs recevant la notification par e-mail peuvent cliquer sur Afficher l'alerte pour accéder à la page Détails de l'alerte dans le centre d'alerte.

Seuils et notifications des règles

Pour réduire le nombre de notifications, vous pouvez créer des règles avec des seuils qui ne déclenchent des notifications que lorsque l'événement se produit plus d'un certain nombre de fois au cours d'une période donnée. Par exemple, la première fois qu'un événement déclenche une règle, une alerte est ajoutée au centre d'alerte et un e-mail est envoyé (si la règle est configurée pour cela). Si la règle comporte un seuil d'une heure, les événements supplémentaires qui se produisent pendant cette période sont ajoutés à la même alerte. Aucune notification par e-mail supplémentaire n'est envoyée tant que le délai limite n'est pas dépassé.

Lorsque vous définissez un seuil pour une règle, il est appliqué de manière cumulative à toutes les actions des utilisateurs, et non par utilisateur. Par exemple, si vous créez une règle pour suspendre les comptes utilisateur pour lesquels cinq tentatives de connexion ont échoué en l'espace d'une heure, le seuil est atteint lorsque cinq tentatives de connexion ont échoué pour un ou plusieurs utilisateurs en l'espace d'une heure. Dans ce cas, tous les utilisateurs ayant au moins une tentative de connexion infructueuse sont suspendus.

Remarques :

  • Les e-mails et les alertes déclenchés par une règle avec un seuil n'incluent pas de description de l'événement.
  • Les règles d'activité ne peuvent être configurées que pour envoyer des e-mails aux utilisateurs internes du domaine. Toutefois, les administrateurs peuvent toujours configurer des alertes par e-mail externes à l'aide de Google Groupes.
  • Pour éviter les alertes excessives, espacez-les d'une heure.

Créer une règle d'activité

  1. Créez une règle (toutes les éditions Google Workspace) en utilisant l'une des méthodes suivantes :
    • Sur la page d'accueil de la console d'administration, accédez à Règles, puis cliquez sur Créer une règle d'activité.
    • Vous pouvez également accéder à Reporting puis Audit et enquête puis sélectionner une source de données puis Créer une règle d'activité.
    • Si vous disposez de l'outil d'investigation sur la sécurité, accédez à Sécurité puis Centre de sécurité puis Outil d'investigation, puis cliquez sur Créer une règle d'activité.
  2. Saisissez les détails de la règle, puis cliquez sur Continuer :
    • Nom de la règle (par exemple, Partage de données externe)
    • Description : par exemple, Signale si les documents sont partagés en dehors de l'entreprise

  3. Sur la page Conditions, définissez le moment où la règle se déclenche :

    1. Choisissez une source de données pour la règle, par exemple Événements de journaux d'administration.

      Remarque : La disponibilité des sources de données varie en fonction de votre édition Google Workspace et de vos droits d'administrateur. Vous ne pouvez pas ajouter d'actions pour les événements de journaux Drive. Pour en savoir plus, consultez Accès administrateur aux règles d'activité et Sources de données pour l'outil d'investigation sur la sécurité.

    2. Cliquez sur l'onglet Filtre pour filtrer les résultats de recherche à l'aide de paramètres simples tels que Contient, Ne contient pas, Est ou N'est pas.

    3. Cliquez sur l'onglet Générateur de conditions pour filtrer les résultats de recherche à l'aide des opérateurs AND et OR. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.

      Par exemple, pour configurer une condition indiquant que l'événement est un transfert de propriété du document, choisissez Événement comme attribut, sélectionnez Est comme opérateur, puis Paramètres du document > Transférer la propriété du document comme valeur.

      Remarque : Événement est une condition obligatoire. Pour en savoir plus sur les conditions disponibles pour chaque source de données, consultez Sources de données pour l'outil d'investigation sur la sécurité.

    4. Cliquez sur Ajouter une condition pour ajouter des conditions supplémentaires ou sur Continuer.

  4. (Fonctionnalité avancée) Sélectionnez une option :

    • Chaque fois que l'événement se produit : envoyez des notifications et/ou appliquez des actions chaque fois que l'événement se produit.
    • Si la fréquence des événements atteint un seuil spécifique : sélectionnez les options pour déclencher des notifications et/ou des actions lorsque l'événement se produit plus d'un certain nombre de fois au cours d'une période donnée. Par exemple, si l'événement se produit plus de 10 fois en une heure.

  5. (Fonctionnalité avancée) Cliquez sur Ajouter une action pour appliquer une action lorsque l'événement se produit ou que le seuil est atteint.

    • Par exemple, suspendre des comptes utilisateur ou forcer la modification d'un mot de passe lorsque l'événement se produit.
    • Cliquez sur Ajouter une action pour créer d'autres actions.

  6. Sous Notification, sélectionnez les options suivantes :

    • Centre d'alerte (recommandé) : envoyez une alerte au centre d'alerte. Les alertes incluent des informations détaillées qui vous permettent d'appliquer des actions pour traiter les problèmes rencontrés et de collaborer avec les autres administrateurs de votre organisation pour les résoudre.
    • E-mail : envoyez des notifications par e-mail aux personnes suivantes :
      • Tous les super-administrateurs : envoyez des e-mails à tous les super-administrateurs.
      • Ajouter des destinataires d'e-mails : envoyez des e-mails à certains administrateurs.
    • Fréquence de notification : nombre de notifications (alertes et e-mails) envoyées chaque heure pour le même événement. Vous pouvez espacer les notifications sur l'heure ou en recevoir une chaque fois que l'événement se produit. Utilisez ce paramètre pour éviter d'envoyer un nombre excessif de notifications pour le même événement. Sélectionnez une option :
      • Jusqu'à 5 par heure (par défaut) : recevez une notification toutes les 12 minutes.
      • Jusqu'à deux par heure : recevez une notification toutes les 30 minutes.
      • Jusqu'à 10 par heure : recevez une notification toutes les six minutes.
      • Chaque fois que l'événement se produit (si cette option est disponible dans votre édition)
    • Gravité : niveau de gravité affiché pour l'événement.

  7. Sélectionnez l'état de la règle.

    • Actif (par défaut) : le système collecte les journaux et les règles sont appliquées.
    • Contrôler : le système collecte les journaux, mais les règles ne sont pas appliquées. Cette option vous permet de consulter les journaux avant d'appliquer la règle.
    • Inactif : les journaux ne sont pas collectés et la règle n'est pas appliquée.

  8. Cliquez sur Continuer. Examinez les détails de la règle. Cliquez sur Retour pour apporter des modifications, si nécessaire.

  9. Cliquez sur Créer une règle.

Afficher et modifier vos règles d'activité

Une fois que vous avez créé une règle d'activité, vous pouvez accéder à la page Règles pour afficher ses détails et son champ d'application, ses conditions et les actions déclenchées lorsque les seuils sont atteints.

Vous pouvez également y consulter la liste de toutes les règles créées par les administrateurs de votre domaine. Accédez à la page d'accueil de la console d'administration Google, puis cliquez sur Règles.

À partir de la page "Règles", les administrateurs de votre domaine peuvent afficher les règles créées par d'autres administrateurs, en fonction de la source de données de la règle et des droits de chaque administrateur. Par exemple, un administrateur peut disposer de droits de consultation des événements de journaux Drive, mais pas des événements de journaux Gmail. Il ne peut alors consulter aucune règle basée sur les événements de journaux Gmail.

La page "Règles" permet d'effectuer les actions suivantes :

  • Filtrer la liste des règles en cliquant sur Ajouter un filtre
  • Afficher et modifier les détails d'une règle en cliquant sur l'une des règles
  • Supprimer des règles
  • Créer des règles
  • Cliquez sur Examiner pour ouvrir l'outil d'investigation et afficher les données issues des événements de journaux des règles.