Membuat dan mengelola aturan aktivitas

Menyiapkan notifikasi dan mengambil tindakan

Sebagai administrator, Anda dapat menyiapkan aturan aktivitas di konsol Google Admin untuk mengirim notifikasi atau mengambil tindakan sebagai respons terhadap aktivitas dalam domain Anda. Gunakan aturan aktivitas untuk membantu mencegah, mendeteksi, dan menyelesaikan masalah keamanan dengan lebih cepat dan efisien.

Untuk mengonfigurasi aturan, Anda dapat menyiapkan kondisi untuk aturan, lalu menetapkan notifikasi atau tindakan yang akan dilakukan jika kondisi ini terpenuhi. Aturan merupakan cara untuk menyatakan, jika x terjadi, y akan otomatis dilakukan.

Google akan terus melakukan penelusuran yang ditentukan dalam aturan aktivitas. Jika jumlah hasil yang ditampilkan oleh penelusuran tersebut melebihi nilai minimum yang telah disiapkan, Google akan mengirimkan notifikasi dan melakukan tindakan yang ditetapkan. Misalnya, Anda dapat menyiapkan aturan agar mengirim notifikasi email ke administrator tertentu jika dokumen Google Drive dibagikan di luar perusahaan.

Sebelum memulai

Kemampuan Anda untuk membuat dan melihat aturan aktivitas bergantung pada edisi Google Workspace, hak istimewa administratif, dan sumber data Anda. Untuk mengetahui detailnya, buka Akses admin ke aturan pelaporan & aturan aktivitas.

Fitur untuk semua edisi

  • Mengakses aturan aktivitas dari halaman Aturan atau alat audit dan investigasi
  • Filter AND dengan maksimal 5 kondisi (tidak termasuk kondisi bertingkat)

Fitur lanjutan

Edisi yang didukung untuk fitur ini: Frontline Plus; Enterprise Standard dan Enterprise Plus; Education Plus; Enterprise Essentials Plus; Cloud Identity Premium; Chrome Enterprise Premium. Bandingkan edisi Anda
  • Mengakses aturan aktivitas dari alat investigasi keamanan
  • Filter OR
  • Menetapkan tindakan dalam pemicu
  • Menetapkan batas untuk pemicu
  • Menyiapkan lebih dari 5 kondisi dalam aturan
  • Kondisi bertingkat
  • Mendapatkan notifikasi setiap kali peristiwa terjadi

Panduan penting untuk membuat aturan aktivitas

  • Anda hanya dapat membuat aturan aktivitas berdasarkan sumber data peristiwa log, misalnya, peristiwa log Gmail atau peristiwa log Perangkat. Anda tidak dapat membuat aturan aktivitas berdasarkan sumber data status aktif seperti browser Chrome, Perangkat, pesan Gmail, dan Pengguna.
  • Sumber data yang tersedia akan bervariasi bergantung pada edisi Google Workspace Anda. Untuk mengetahui detail selengkapnya, buka Menjalankan penelusuran di alat investigasi keamanan.
  • Anda harus menambahkan setidaknya satu atribut peristiwa ke penelusuran.
  • Anda dapat menyertakan operator OR pada tingkat teratas hanya jika Anda menyertakan kondisi Peristiwa di setiap jalur kondisional.
  • Anda hanya dapat menambahkan satu nilai untuk atribut. Misalnya, Aktor hanya dapat menyertakan satu pengguna. Untuk menyertakan beberapa nilai, gunakan Pembuat Kondisi untuk menambahkan operator OR, lalu tambahkan atribut yang sama dengan nilai tambahan.
  • Anda tidak dapat menggunakan filter tanggal untuk aturan aktivitas (karena aturan terus dievaluasi).
  • Anda harus menambahkan setidaknya satu tindakan atau notifikasi ke aturan.
  • Karena aturan aktivitas didasarkan pada peristiwa log, aturan tersebut akan dipicu setelah peristiwa terjadi. Oleh karena itu, aturan aktivitas tidak sesuai untuk hal-hal seperti memblokir atau berbagi dokumen atau mengirim email.

Notifikasi email

Jika Anda menyiapkan notifikasi email untuk aturan Anda, aturan aktivitas akan mengirim satu email notifikasi per batas saat aturan pertama kali dipicu. Aturan tidak akan mengirimkan notifikasi saat aturan dipicu. Notifikasi email berisi ringkasan aturan yang memicu notifikasi, termasuk nama aturan, detail nilai minimum, data sumber, dan lainnya. Admin yang menerima notifikasi email dapat mengklik Lihat Notifikasi untuk membuka halaman Detail notifikasi di pusat notifikasi.

Batas & notifikasi aturan

Untuk meminimalkan notifikasi, Anda dapat membuat aturan dengan batas yang memicu notifikasi hanya jika peristiwa terjadi lebih dari jumlah tertentu selama jangka waktu tertentu. Misalnya, saat pertama kali peristiwa memicu aturan, notifikasi baru akan ditambahkan di Pusat Notifikasi dan email akan dikirim (jika dikonfigurasi demikian untuk aturan). Jika aturan memiliki batas satu jam, peristiwa tambahan selama waktu tersebut akan ditambahkan ke notifikasi yang sama. Notifikasi email tambahan tidak akan dikirim hingga waktu yang ditentukan pada batas terlewati.

Saat Anda menetapkan batas untuk suatu aturan, batas tersebut akan diterapkan secara kumulatif di seluruh tindakan pengguna, bukan per pengguna. Misalnya, jika Anda membuat aturan untuk menangguhkan pengguna setelah 5 kali percobaan login yang gagal dalam waktu satu jam, batas ini tercapai jika ada 5 upaya login yang gagal untuk satu atau beberapa pengguna dalam waktu satu jam. Dalam hal ini, semua pengguna dengan setidaknya satu upaya yang gagal akan ditangguhkan.

Catatan:

  • Email dan pemberitahuan yang terpicu oleh aturan dengan batas tidak akan menyertakan deskripsi peristiwa.
  • Aturan aktivitas hanya dapat dikonfigurasi untuk mengirim email ke pengguna domain internal. Namun, admin masih dapat mengonfigurasi email pemberitahuan eksternal menggunakan Google Grup.
  • Anda dapat mencegah notifikasi berlebihan dengan mengatur jarak waktu antar-notifikasi selama satu jam.

Membuat aturan aktivitas

  1. Buat aturan (semua edisi Google Workspace), menggunakan salah satu metode berikut:
    • Dari Halaman beranda konsol Admin, buka Aturan, lalu klik Buat aturan aktivitas.
    • Atau, buka Pelaporan lalu Audit dan investigasi lalu pilih sumber data lalu Buat aturan aktivitas.
    • Atau, jika Anda memiliki alat investigasi keamanan, buka Keamanan lalu Pusat Keamanan lalu Alat investigasi, lalu klik Buat aturan aktivitas.
  2. Masukkan detail aturan, lalu klik Lanjutkan:
    • Nama aturan—misalnya, Berbagi data eksternal.
    • Deskripsi—misalnya, Beri tahu saya jika dokumen dibagikan ke luar perusahaan

  3. Di halaman Kondisi, tentukan waktu aturan akan terpicu:

    1. Pilih Sumber data untuk aturan—misalnya, Peristiwa log admin.

      Catatan: Ketersediaan sumber data bervariasi, bergantung pada edisi Google Workspace dan hak istimewa admin Anda. Anda tidak dapat menambahkan tindakan untuk peristiwa log Drive. Untuk mengetahui detailnya, buka Akses admin ke aturan aktivitas dan Sumber data untuk alat investigasi keamanan.

    2. Klik tab Filter untuk memfilter hasil penelusuran menggunakan parameter sederhana seperti Contains, Does not contain, Is, atau Is not.

    3. Klik tab Pembuat kondisi untuk memfilter hasil penelusuran menggunakan operator AND/OR. Pilih atribut, operator, dan nilai untuk setiap kondisi.

      Misalnya, untuk menyiapkan kondisi yang menentukan bahwa peristiwa tersebut adalah transfer kepemilikan dokumen, pilih Peristiwa sebagai atribut, Is sebagai operator, dan Setelan Dokumen > Transfer kepemilikan dokumen sebagai nilai.

      Catatan: Peristiwa adalah kondisi wajib. Untuk mengetahui detail tentang kondisi yang tersedia untuk setiap sumber data, lihat Sumber data untuk alat investigasi keamanan.

    4. Klik Tambahkan Kondisi untuk menambahkan kondisi lainnya, atau klik Lanjutkan.

  4. (Fitur lanjutan) Pilih salah satu opsi:

    • Setiap kali peristiwa terjadi—Mengirim notifikasi dan/atau mengambil tindakan setiap kali peristiwa terjadi.
    • Jika frekuensi peristiwa memenuhi batas tertentu—Pilih opsi untuk memicu pengiriman notifikasi dan/atau tindakan saat peristiwa terjadi lebih dari jumlah tertentu selama jangka waktu tertentu. Misalnya, jika peristiwa terjadi lebih dari 10 kali dalam waktu 1 jam.

  5. (Fitur lanjutan) Klik Tambahkan Tindakan untuk melakukan tindakan saat peristiwa terjadi atau batas tercapai.

    • Misalnya, tangguhkan pengguna atau paksa perubahan sandi saat peristiwa terjadi.
    • Klik Tambahkan Tindakan untuk membuat tindakan tambahan.

  6. Di bagian Notifikasi, pilih opsi:

    • Pusat notifikasi—(Direkomendasikan) Mengirim notifikasi ke Pusat Notifikasi. Notifikasi akan menyertakan detail lengkap sehingga Anda dapat mengambil tindakan terhadap masalah dan mendukung penyelesaian masalah secara kolaboratif dengan administrator lain di organisasi Anda.
    • Email—Mengirim notifikasi email ke:
      • Semua admin super—Mengirim email ke semua administrator super.
      • Tambahkan penerima email—Mengirim email ke administrator yang dipilih.
    • Frekuensi notifikasi—Jumlah notifikasi (pemberitahuan dan email) yang dikirim setiap jam untuk peristiwa yang sama. Anda dapat mengatur jarak waktu antar-notifikasi selama satu jam atau mendapatkan notifikasi setiap kali peristiwa terjadi. Gunakan setelan ini untuk mencegah notifikasi yang berlebihan pada peristiwa yang sama. Pilih salah satu opsi:
      • Hingga 5 notifikasi per jam (Default)—Mendapatkan notifikasi setiap 12 menit setiap jam.
      • Hingga 2 notifikasi per jam—Mendapatkan notifikasi setiap 30 menit setiap jam.
      • Hingga 10 notifikasi per jam—Mendapatkan notifikasi setiap 6 menit setiap jam.
      • Setiap kali peristiwa terjadi (jika tersedia pada edisi Anda).
    • Keparahan—Tingkat keparahan yang ditampilkan untuk peristiwa.

  7. Pilih status untuk Aturan.

    • Aktif (default)—Sistem mengumpulkan log dan aturan akan diterapkan.
    • Memantau—Sistem mengumpulkan log, tetapi aturan tidak akan diterapkan. Gunakan opsi ini untuk meninjau log sebelum menerapkan aturan.
    • Tidak aktif—Log tidak dikumpulkan dan aturan tidak akan diterapkan.

  8. Klik Lanjutkan. Tinjau detail aturan. Klik Kembali untuk melakukan perubahan, jika diperlukan.

  9. Klik Buat aturan.

Melihat dan mengedit aturan aktivitas Anda

Setelah membuat aturan aktivitas, Anda dapat membuka halaman Aturan untuk melihat detail dan cakupan aturan, kondisi aturan, dan tindakan yang akan terpicu jika nilai minimum terpenuhi.

Dari halaman Aturan, Anda juga dapat melihat daftar semua aturan yang telah dibuat oleh administrator di domain Anda. Buka halaman beranda konsol Google Admin, lalu klik Aturan.

Dari halaman Aturan, administrator di domain Anda dapat melihat aturan yang dibuat oleh administrator lain, bergantung pada sumber data untuk aturan tersebut dan hak istimewa setiap administrator. Misalnya, administrator mungkin memiliki hak istimewa melihat peristiwa log Drive, tetapi tidak untuk peristiwa log Gmail. Oleh karena itu, mereka tidak dapat melihat aturan apa pun yang dibuat berdasarkan peristiwa log Gmail.

Anda dapat menggunakan halaman Aturan untuk melakukan tindakan berikut:

  • Memfilter daftar aturan dengan mengklik Tambahkan filter.
  • Melihat dan mengedit detail aturan dengan mengklik salah satu aturan.
  • Menghapus aturan.
  • Buat aturan baru.
  • Klik Investigasi untuk membuka alat investigasi guna melihat data dari peristiwa log Aturan.