Creare e gestire le regole di attività

Configurare avvisi e intraprendere azioni

In qualità di amministratore, puoi configurare regole di attività nella Console di amministrazione Google per inviare notifiche o intraprendere azioni in risposta all'attività all'interno del tuo dominio. Utilizza le regole di attività per contribuire a prevenire, rilevare e risolvere i problemi di sicurezza in modo più rapido ed efficiente.

Per configurare una regola, devi impostarne le condizioni e specificare quali notifiche o azioni eseguire quando queste condizioni sono soddisfatte. Una regola è semplicemente un modo per specificare che, se si verifica l'evento x, deve essere automaticamente eseguita l'azione y.

Google eseguirà continuamente la ricerca specificata nella regola di attività. Se il numero di risultati restituiti dalla ricerca supera la soglia impostata, Google eseguirà le notifiche e le azioni specificate. Ad esempio, puoi impostare una regola per inviare notifiche via email a determinati amministratori se i documenti di Google Drive vengono condivisi all'esterno dell'azienda.

Prima di iniziare

La possibilità di creare e visualizzare le regole di attività dipende dalla versione di Google Workspace, dai privilegi amministrativi e dall'origine dati. Per informazioni dettagliate, vai ad Accesso amministrativo alle regole di reporting e di attività.

Funzionalità per tutte le versioni

  • Accedi alle regole di attività dalla pagina Regole o dallo strumento di controllo e indagine
  • Filtri AND con un massimo di 5 condizioni (escluse le condizioni nidificate)

Funzionalità avanzate

Versioni supportate per questa funzionalità: Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Plus; Enterprise Essentials Plus; Cloud Identity Premium; Chrome Enterprise Premium. Confronta la tua versione
  • Accedi alle regole di attività dallo strumento di indagine sulla sicurezza
  • Filtri OR
  • Imposta le azioni nei trigger
  • Impostare le soglie per i trigger
  • Configura più di 5 condizioni in una regola
  • Condizioni nidificate
  • Ricevi una notifica ogni volta che si verifica un evento

Indicazioni importanti per la creazione di regole di attività

  • Puoi creare regole di attività solo in base alle origini dati degli eventi dei log, ad esempio eventi del log di Gmail o eventi del log dispositivo. Non puoi creare regole di attività basate su origini dati che riflettono lo stato attuale, come browser Chrome, dispositivi, messaggi Gmail e utenti.
  • Le origini dati disponibili variano a seconda della versione di Google Workspace. Per maggiori dettagli, vedi Esegui una ricerca nello strumento di indagine sulla sicurezza.
  • Devi aggiungere almeno un attributo evento alla ricerca.
  • Puoi includere un operatore OR al livello più alto solo se includi una condizione Evento su ciascun percorso condizionale.
  • Puoi aggiungere un solo valore per l'attributo. Ad esempio, l'attore può includere un solo utente. Per includere più valori, utilizza il Generatore di condizioni per aggiungere un operatore O, quindi aggiungi lo stesso attributo con un valore aggiuntivo.
  • Non puoi utilizzare filtri di date per le regole di attività (perché le regole vengono valutate continuativamente).
  • Devi aggiungere almeno un'azione o un avviso alla regola.
  • Poiché le regole di attività si basano su eventi dei log, si attivano dopo il verificarsi dell'evento. Pertanto, le regole di attività non sono adatte per eseguire azioni come il blocco o la condivisione di un documento oppure l'invio di email.

Notifiche email

Se imposti notifiche via email per la tua regola, la regola di attività invia una sola email di notifica per finestra di soglia, quando la regola viene attivata per la prima volta. La regola non invia notifiche per gli altri momenti della sua attivazione. La notifica via email contiene un riepilogo della regola che ha attivato l'avviso, in cui sono indicati il nome della regola, i dettagli della soglia, i dati di origine e altre informazioni. Gli amministratori che ricevono la notifica via email possono fare clic su Visualizza avviso per aprire la pagina Dettagli avviso nel Centro avvisi.

Soglie e notifiche delle regole

Per ridurre al minimo le notifiche, puoi creare regole con soglie che attivano le notifiche solo quando l'evento si verifica più di un determinato numero di volte in un determinato periodo di tempo. Ad esempio, la prima volta che un evento attiva una regola, viene aggiunto un nuovo avviso nel Centro avvisi e viene inviata un'email (se configurata per la regola). Se la regola ha una soglia di un'ora, gli eventi aggiuntivi entro questo periodo di tempo vengono aggiunti allo stesso avviso. Le notifiche via email aggiuntive non vengono inviate finché non viene superato il tempo di soglia.

Quando imposti una soglia per una regola, questa viene applicata in modo cumulativo a tutte le azioni utente, non in base al singolo utente. Ad esempio, se crei una regola per sospendere gli utenti dopo 5 tentativi di accesso non riusciti entro un'ora, la soglia viene raggiunta quando si verificano 5 tentativi di accesso non riusciti per uno o più utenti nell'arco di un'ora. In questo caso, tutti gli utenti che hanno almeno un tentativo non riuscito vengono sospesi.

Note:

  • Le email e gli avvisi attivati da una regola con una soglia non includono una descrizione dell'evento.
  • Le regole di attività possono essere configurate per inviare email solo agli utenti di domini interni. Tuttavia, gli amministratori possono comunque configurare avvisi via email esterni tramite Google Gruppi.
  • Puoi evitare un numero eccessivo di avvisi distanziandoli di un'ora.

Creare una regola di attività

  1. Crea una regola (tutte le versioni di Google Workspace) utilizzando uno dei seguenti metodi:
    • Nella home page della Console di amministrazione, vai a Regole e fai clic su Crea regola attività.
    • In alternativa, vai a Report e poi Controllo e indagine e poi seleziona un'origine dati e poi Crea regola attività.
    • In alternativa, se hai lo strumento di indagine sulla sicurezza, vai a Sicurezza e poi Centro sicurezza e poi Strumento di indagine e poi fai clic su Crea regola attività.
  2. Inserisci i dettagli della regola e fai clic su Continua:
    • Nome regola, ad esempio Condivisione dati esterna.
    • Descrizione, ad esempio Invia una notifica in caso di condivisione di documenti all'esterno dell'azienda.

  3. Nella pagina Condizioni, definisci quando verrà attivata la regola:

    1. Scegli un'origine dati per la regola, ad esempio Eventi del log amministrativo.

      Nota: la disponibilità delle origini dati varia a seconda della versione di Google Workspace e dei privilegi amministrativi di cui disponi. Non puoi aggiungere azioni per gli eventi dei log di Drive. Per informazioni dettagliate, vai ad Accesso amministrativo alle regole di attività e Origini dati per lo strumento di indagine sulla sicurezza.

    2. Fai clic sulla scheda Filtra per filtrare i risultati di ricerca utilizzando parametri semplici come Contiene, Non contiene, È o Non è.

    3. Fai clic sulla scheda Generatore di condizioni per filtrare i risultati di ricerca utilizzando gli operatori AND/OR. Per ogni condizione, scegli un attributo, un operatore e un valore.

      Ad esempio, per configurare una condizione che specifica che l'evento è un trasferimento di proprietà di un documento, scegli Evento come attributo, È come operatore e Impostazioni di Documenti > Trasferimento proprietà documento come valore.

      Nota:Evento è una condizione obbligatoria. Per informazioni dettagliate sulle condizioni disponibili per ciascuna origine dati, vedi Origini dati per lo strumento di indagine sulla sicurezza.

    4. Fai clic su Aggiungi condizione per aggiungere altre condizioni oppure fai clic su Continua.

  4. (Funzionalità avanzata) Seleziona un'opzione:

    • Ogni volta che si verifica l'evento: invia notifiche e/o esegui azioni ogni volta che si verifica l'evento.
    • Se la frequenza degli eventi soddisfa una soglia specifica: seleziona le opzioni per attivare notifiche e/o azioni quando l'evento si verifica più di un numero specifico di volte in un determinato periodo di tempo. Ad esempio, se l'evento si verifica più di 10 volte in 1 ora.

  5. (Funzionalità avanzata) Fai clic su Aggiungi azione per eseguire un'azione quando si verifica l'evento o viene superata la soglia.

    • Ad esempio, sospendi gli utenti o forza una modifica della password quando si verifica l'evento.
    • Fai clic su Aggiungi azione per creare altre azioni.

  6. Nella sezione Notifica, seleziona le opzioni:

    • Centro avvisi: (consigliato) invia un avviso al Centro avvisi. Gli avvisi includono dettagli approfonditi che ti consentono di intervenire per risolvere problemi e facilitano la risoluzione di problemi in collaborazione con altri amministratori della tua organizzazione.
    • Email: invia notifiche via email agli utenti seguenti.
      • Tutti i super amministratori: invia email a tutti i super amministratori.
      • Aggiungi destinatari email: invia email ad amministratori selezionati.
    • Frequenza delle notifiche: il numero di notifiche (avvisi ed email) inviate ogni ora per lo stesso evento. Puoi distanziare le notifiche nell'arco dell'ora o ricevere una notifica ogni volta che si verifica l'evento. Utilizza questa impostazione per evitare notifiche eccessive per lo stesso evento. Scegli un'opzione:
      • Fino a 5 all'ora (valore predefinito): ricevi una notifica ogni 12 minuti ogni ora.
      • Fino a 2 all'ora: ricevi una notifica ogni 30 minuti ogni ora.
      • Fino a 10 all'ora: ricevi una notifica ogni 6 minuti ogni ora.
      • Ogni volta che si verifica l'evento (se disponibile nella tua versione).
    • Gravità: il livello di gravità visualizzato per l'evento.

  7. Seleziona lo stato della regola.

    • Attiva (valore predefinito): il sistema raccoglie i log e le regole vengono applicate.
    • Monitora: il sistema raccoglie i log, ma le regole non vengono applicate. Utilizza questa opzione per esaminare i log prima di applicare la regola.
    • Non attiva: i log non vengono raccolti e la regola non viene applicata.

  8. Fai clic su Continua. Esamina i dettagli della regola. Fai clic su Indietro per apportare modifiche, se necessario.

  9. Fai clic su Crea regola.

Visualizzare e modificare le regole di attività

Dopo aver creato una regola di attività, puoi andare alla pagina Regole per visualizzarne i dettagli, l'ambito e le condizioni, nonché le azioni che la attivano quando vengono raggiunte le soglie.

Nella pagina Regole puoi anche visualizzare un elenco di tutte le regole che sono state create dagli amministratori nel tuo dominio. Vai alla home page della Console di amministrazione Google e fai clic su Regole.

Nella pagina Regole, gli amministratori del dominio possono visualizzare le regole create da altri amministratori, a seconda dell'origine dati utilizzata per la regola e dei privilegi di ciascun amministratore. Ad esempio, se un amministratore dispone dei privilegi di visualizzazione per gli eventi del log di Drive, ma non per quelli del log di Gmail, non potrà visualizzare le regole basate sugli eventi del log di Gmail.

Puoi utilizzare la pagina Regole per eseguire le seguenti azioni:

  • Filtrare l'elenco delle regole facendo clic su Aggiungi un filtro.
  • Visualizzare e modificare i dettagli delle regole selezionandole.
  • Elimina regole.
  • Creare nuove regole.
  • Fai clic su Indaga per aprire lo strumento di indagine e visualizzare i dati degli eventi del log delle regole.