יצירה וניהול של כללי פעילות

הגדרת התראות וביצוע פעולות

אדמינים יכולים להגדיר כללי פעילות במסוף Google Admin כדי לשלוח התראות או לבצע פעולות בתגובה לפעילות בדומיין. אתם יכולים להשתמש בכללי פעילות כדי למנוע בעיות אבטחה, לזהות אותן ולתקן אותן בצורה מהירה ויעילה יותר.

כדי להגדיר כלל, צריך להגדיר תנאים לכלל ולציין אילו התראות או פעולות יתבצעו כשהתנאים יתקיימו. כלל הוא פשוט דרך להגיד שאם x קורה, צריך לבצע באופן אוטומטי את הפעולה y.

‫Google תבצע באופן רציף את החיפוש שצוין בכלל הפעילות. אם מספר התוצאות שמוחזרות מהחיפוש הזה חורג מהסף שהגדרתם, Google תבצע את ההתראות והפעולות שציינתם. לדוגמה, אתם יכולים להגדיר כלל לשליחת התראות באימייל לאדמינים מסוימים אם מסמכים ב-Google Drive משותפים עם גורמים מחוץ לחברה.

לפני שמתחילים

היכולת שלכם ליצור כללי פעילות ולצפות בהם תלויה במהדורת Google Workspace שלכם, בהרשאות האדמין ובמקור הנתונים. פרטים נוספים זמינים במאמר בנושא גישת אדמין לכללי דיווח ולכללי פעילות.

תכונות בכל המהדורות

  • גישה לכללים של פעילות גישה מדף הכללים או מהכלי לביקורת ולחקירה
  • מסנני AND עם עד 5 תנאים (לא כולל תנאים מקוננים)

תכונות מתקדמות

התכונה הזו נתמכת במהדורות הבאות: Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium,‏ Chrome Enterprise Premium. השוואה בין מהדורות
  • גישה לכללי פעילות מהכלי לחקירת אבטחה
  • מסנני OR
  • הגדרת פעולות בטריגרים
  • הגדרת ספים לטריגרים
  • הגדרת יותר מ-5 תנאים בכלל
  • תנאים מקוננים
  • קבלת התראה בכל פעם שמתרחש אירוע

הנחיות חשובות ליצירת כללי פעילות

  • אפשר ליצור כללי פעילות רק על סמך מקורות נתונים של אירועים ביומן – לדוגמה, אירועים ביומן ה-Gmail או אירועים ביומן המכשיר. אי אפשר ליצור כללי פעילות על סמך מקורות נתונים של מצב פעיל, כמו דפדפני Chrome, מכשירים, הודעות Gmail ומשתמשים.
  • מקורות הנתונים הזמינים משתנים בהתאם למהדורת Google Workspace שבה אתם משתמשים. פרטים נוספים זמינים במאמר בנושא הפעלת חיפוש בכלי לחקירת אבטחה.
  • צריך להוסיף לחיפוש לפחות מאפיין אחד של אירוע.
  • אפשר לכלול אופרטור OR ברמה העליונה רק אם כוללים תנאי Event בכל נתיב מותנה.
  • אפשר להוסיף רק ערך אחד למאפיין. לדוגמה, אפשר לכלול רק משתמש אחד בפרמטר Actor. כדי לכלול כמה ערכים, משתמשים בכלי להגדרת תנאים כדי להוסיף אופרטור OR, ואז מוסיפים את אותו מאפיין עם ערך נוסף.
  • אי אפשר להשתמש במסנני תאריכים בכללי פעילות (כי הכללים מוערכים באופן רציף).
  • חובה להוסיף לכלל לפחות פעולה אחת או התראה אחת.
  • כללי פעילות מבוססים על אירועים ביומן, ולכן הם מופעלים אחרי שהאירוע קורה. לכן, כללי פעילות לא מתאימים לפעולות כמו חסימה או שיתוף של מסמך או שליחת אימיילים.

התראות באימייל

אם הגדרתם התראות באימייל לכלל, כלל הפעילות ישלח אימייל התראה אחד לכל חלון סף כשהכלל יופעל בפעם הראשונה. הכלל לא ישלח התראות בפעמים אחרות שהוא יופעל. ההתראה באימייל מכילה סיכום של הכלל שהפעיל את ההתראה, כולל שם הכלל, פרטי הסף, נתוני המקור ועוד. אדמינים שמקבלים את ההתראה באימייל יכולים ללחוץ על הצגת ההתראה כדי לעבור לדף פרטי ההתראה במרכז ההתראות.

ספי התראה וכללים

כדי לצמצם את מספר ההתראות, אפשר ליצור כללים עם ערכי סף שמפעילים התראות רק כשהאירוע מתרחש יותר ממספר מסוים של פעמים במהלך מסגרת זמן נתונה. לדוגמה, בפעם הראשונה שאירוע מפעיל כלל, התראה חדשה מתווספת למרכז ההתראות ונשלח אימייל (אם הוגדר לכלל). אם הכלל כולל סף של שעה, אירועים נוספים שמתרחשים בפרק הזמן הזה יתווספו לאותה התראה. התראות נוספות באימייל לא נשלחות עד שחולף זמן הסף.

כשמגדירים סף לכלל, הוא חל באופן מצטבר על פעולות המשתמשים, ולא על בסיס משתמש. לדוגמה, אם יוצרים כלל להשעיית משתמשים אחרי 5 ניסיונות כושלים להיכנס לחשבון תוך שעה, הסף מושג כשמתבצעים 5 ניסיונות כושלים להיכנס לחשבון של משתמש אחד או יותר תוך שעה. במקרה כזה, כל המשתמשים עם ניסיון כניסה אחד לפחות שנכשל יושעו.

הערות:

  • אימיילים והתראות שמופעלים על ידי כלל עם סף לא כוללים תיאור של האירוע.
  • אפשר להגדיר כללי פעילות רק לשליחת אימייל למשתמשים בדומיין הפנימי. עם זאת, אדמינים עדיין יכולים להגדיר התראות באימייל למשתמשים מחוץ לארגון באמצעות קבוצות Google.
  • כדי למנוע הצפה של התראות, אפשר לתזמן אותן כך שיהיה ביניהן מרווח של שעה.

יצירת כלל פעילות

  1. יוצרים כלל (בכל מהדורות Google Workspace) באחת מהשיטות הבאות:
    • מדף הבית של מסוף Admin, נכנסים אל כללים ואז לוחצים על יצירת כלל פעילות.
    • אפשרות נוספת היא לעבור אל דיווח ואז ביקורת וחקירה and then לבחור מקור נתונים ואז יצירת כלל פעילות.
    • לחלופין, אם יש לכם את הכלי לחקירת אבטחה, עוברים אל אבטחה ואז מרכז האבטחה ואז כלי חקירה, ואז לוחצים על יצירה כלל פעילות.
  2. מזינים את פרטי הכלל ולוחצים על המשך:
    • שם הכלל – לדוגמה, שיתוף נתונים חיצוני.
    • תיאור – לדוגמה, שליחת התראה אם מסמכים משותפים מחוץ לחברה

  3. בדף תנאים, מגדירים מתי הכלל יופעל:

    1. בוחרים מקור נתונים לכלל – לדוגמה, אירועים ביומן האדמין.

      הערה: הזמינות של מקורות הנתונים משתנה בהתאם למהדורת Google Workspace ולהרשאות האדמין שלכם. אי אפשר להוסיף פעולות לאירועים ביומן של Drive. פרטים נוספים זמינים במאמרים בנושא גישת אדמין לכללי פעילות ומקורות נתונים בכלי לחקירת אבטחה.

    2. לוחצים על הכרטיסייה מסנן כדי לסנן את תוצאות החיפוש באמצעות פרמטרים פשוטים כמו מכיל, לא מכיל, שווה ל או לא שווה ל.

    3. לוחצים על הכרטיסייה Condition builder (כלי להגדרת תנאים) כדי לסנן את תוצאות החיפוש באמצעות האופרטורים AND ו-OR. לכל תנאי, בוחרים מאפיין, אופרטור וערך.

      לדוגמה, כדי להגדיר תנאי שמציין שהאירוע הוא העברה של בעלות על מסמך, בוחרים באפשרות אירוע בתור המאפיין, באפשרות הוא בתור האופרטור, ובאפשרות הגדרות מסמך > העברת בעלות על מסמך בתור הערך.

      הערה: חובה לציין את התנאי אירוע. פרטים על התנאים שזמינים לכל מקור נתונים מפורטים במאמר מקורות נתונים בכלי לחקירת אבטחה.

    4. כדי להוסיף עוד תנאים, לוחצים על הוספת תנאי. כדי להמשיך, לוחצים על המשך.

  4. (תכונה מתקדמת) בוחרים אפשרות:

    • בכל פעם שהאירוע מתרחש – שליחת התראות ו/או ביצוע פעולות בכל פעם שהאירוע מתרחש.
    • אם תדירות האירועים עומדת בסף מסוים – בוחרים את האפשרויות להפעלת התראות ו/או פעולות כשהאירוע מתרחש יותר ממספר מסוים של פעמים בפרק זמן נתון. לדוגמה, אם האירוע מתרחש יותר מ-10 פעמים בשעה.

  5. (תכונה מתקדמת) לוחצים על הוספת פעולה כדי לבצע פעולה כשהאירוע מתרחש או כשעוברים את הסף.

    • לדוגמה, להשעות משתמשים או לחייב שינוי סיסמה כשהאירוע מתרחש.
    • כדי ליצור פעולות נוספות, לוחצים על הוספת פעולה.

  6. בקטע התראות, בוחרים את האפשרויות:

    • מרכז ההתראות – (מומלץ) שליחת התראה למרכז ההתראות. ההתראות כוללות פרטי עומק, כך שתוכלו לפעול לפתרון הבעיות, גם תוך שיתוף פעולה עם אדמינים אחרים בארגון שלכם.
    • אימייל – שליחת התראות באימייל אל:
      • כל הסופר-אדמינים – שליחת אימיילים לכל הסופר-אדמינים.
      • הוספת נמעני אימייל – שליחת אימיילים לאדמינים נבחרים.
    • תדירות ההתראות – מספר ההתראות (התראות ואימיילים) שנשלחות בכל שעה לגבי אותו אירוע. אתם יכולים להגדיר שהתזכורות יתקבלו במרווחי זמן קבועים במהלך השעה, או לקבל תזכורת בכל פעם שהאירוע מתרחש. ההגדרה הזו מונעת הצפה של התראות לגבי אותו אירוע. בוחרים אפשרות:
      • עד 5 בשעה (ברירת מחדל) – תקבלו התראה כל 12 דקות בכל שעה.
      • עד 2 בשעה – תקבלו התראה כל 30 דקות בכל שעה.
      • עד 10 בשעה – תקבלו התראה כל 6 דקות בכל שעה.
      • בכל פעם שהאירוע מתרחש (אם האפשרות זמינה במהדורה שלכם).
    • חומרה – רמת החומרה שמוצגת לאירוע.

  7. בוחרים את הסטטוס של הכלל.

    • פעיל (ברירת מחדל) – המערכת אוספת יומנים והכללים נאכפים.
    • מעקב – המערכת אוספת יומנים, אבל הכללים לא נאכפים. אפשר להשתמש באפשרות הזו כדי לבדוק את היומנים לפני שמפעילים את הכלל.
    • לא פעיל: היומנים לא נאספים והכלל לא נאכף.

  8. לוחצים על המשך. בודקים את פרטי הכלל. אם צריך לבצע שינויים, לוחצים על הקודם.

  9. לוחצים על יצירת כלל.

צפייה בכללי הפעילות ועריכה שלהם

אחרי שיוצרים כלל פעילות, אפשר לעבור לדף כללים כדי לראות את הפרטים וההיקף של הכלל, את התנאים של הכלל ואת הפעולות שמופעלות כשמגיעים לסף.

בדף 'כללים' אפשר גם לראות רשימה של כל הכללים שנוצרו על ידי אדמינים בדומיין. עוברים לדף הבית של מסוף Google Admin ולוחצים על כללים.

בדף הכללים, אדמינים בדומיין יכולים לראות כללים שאדמינים אחרים יצרו, בהתאם למקור הנתונים של הכלל ולהרשאות של כל אדמין. לדוגמה, יכול להיות שלאדמין יש הרשאות צפייה באירועים ביומן של Drive, אבל לא באירועים ביומן של Gmail, ולכן הוא לא יכול לראות כללים שמבוססים על אירועים ביומן של Gmail.

בדף 'כללים' אפשר לבצע את הפעולות הבאות:

  • כדי לסנן את רשימת הכללים, לוחצים על הוספת מסנן.
  • כדי לראות ולערוך את פרטי הכלל, לוחצים על אחד הכללים.
  • מחיקת כללים.
  • ליצור כללים חדשים.
  • לוחצים על חקירה כדי לפתוח את הכלי לחקירה ולראות נתונים מאירועים ביומן של כללים.