Activiteitenregels maken en beheren

Stel waarschuwingen in en onderneem actie.

Als beheerder kunt u in de Google Admin-console activiteitsregels instellen om meldingen te verzenden of acties uit te voeren naar aanleiding van activiteiten binnen uw domein. Gebruik activiteitsregels om beveiligingsproblemen sneller en efficiënter te voorkomen, te detecteren en op te lossen.

Om een ​​regel te configureren, stel je voorwaarden voor de regel in en geef je aan welke meldingen of acties moeten worden uitgevoerd wanneer aan de voorwaarden wordt voldaan. Een regel is simpelweg een manier om te zeggen: als x gebeurt, doe dan automatisch y .

Google voert continu de zoekopdracht uit die is gespecificeerd in de activiteitsregel. Als het aantal resultaten van die zoekopdracht de door u ingestelde drempel overschrijdt, voert Google de door u opgegeven meldingen en acties uit. U kunt bijvoorbeeld een regel instellen om e-mailmeldingen te sturen naar bepaalde beheerders wanneer Google Drive-documenten buiten het bedrijf worden gedeeld.

Voordat je begint

Of u activiteitsregels kunt maken en bekijken, hangt af van uw Google Workspace-editie, beheerdersrechten en de gegevensbron. Ga naar Beheerderstoegang tot rapportageregels en activiteitsregels voor meer informatie.

Functies voor alle edities

  • U kunt de activiteitsregels raadplegen via de pagina Regels of de audit- en onderzoekstool.
  • EN-filters met maximaal 5 voorwaarden (exclusief geneste voorwaarden)

Geavanceerde functies

Ondersteunde edities voor deze functie: Frontline Plus; Enterprise Standard en Enterprise Plus; Education Plus; Enterprise Essentials Plus; Cloud Identity Premium; Chrome Enterprise Premium. Vergelijk uw editie
  • Toegangsregels voor activiteiten vanuit de beveiligingsonderzoekstool
  • OF-filters
  • Stel acties in triggers in.
  • Stel drempelwaarden in voor triggers.
  • Stel meer dan 5 voorwaarden in een regel in.
  • Geneste voorwaarden
  • Ontvang een melding telkens wanneer er een gebeurtenis plaatsvindt.

Belangrijke richtlijnen voor het opstellen van activiteitsregels

  • Je kunt alleen activiteitsregels maken op basis van gegevensbronnen met logboekgebeurtenissen, zoals Gmail-logboekgebeurtenissen of apparaatlogboekgebeurtenissen . Je kunt geen activiteitsregels maken op basis van gegevensbronnen met live-statusinformatie, zoals Chrome-browsers , apparaten , Gmail-berichten en gebruikers .
  • De beschikbare gegevensbronnen variëren afhankelijk van uw Google Workspace-editie. Ga voor meer informatie naar Een zoekopdracht uitvoeren in de beveiligingsonderzoekstool .
  • Je moet ten minste één gebeurteniskenmerk aan de zoekopdracht toevoegen.
  • Je kunt een OR-operator op het hoogste niveau alleen gebruiken als je in elk voorwaardelijk pad een gebeurtenisvoorwaarde opneemt.
  • Je kunt slechts één waarde voor een attribuut toevoegen. Zo kan 'Actor' bijvoorbeeld maar één gebruiker bevatten. Om meerdere waarden toe te voegen, gebruik je de Condition Builder om een ​​OR-operator toe te voegen en vervolgens hetzelfde attribuut met de extra waarde toe te voegen.
  • Je kunt geen datumfilters gebruiken voor activiteitsregels (omdat de regels continu worden geëvalueerd).
  • Je moet minimaal één actie of melding aan de regel toevoegen.
  • Omdat activiteitsregels gebaseerd zijn op logboekgebeurtenissen, worden ze geactiveerd nadat de gebeurtenis heeft plaatsgevonden. Daarom zijn activiteitsregels niet geschikt voor zaken als het blokkeren of delen van een document of het verzenden van e-mails.

E-mailmeldingen

Als u e-mailmeldingen voor uw regel instelt, stuurt de activiteitsregel één meldingse-mail per drempelperiode wanneer de regel voor het eerst wordt geactiveerd. De regel stuurt geen meldingen voor de volgende keren dat deze wordt geactiveerd. De e-mailmelding bevat een samenvatting van de regel die de melding heeft geactiveerd, inclusief de regelnaam, de drempelgegevens, brongegevens en meer. Beheerders die de e-mailmelding ontvangen, kunnen op 'Melding bekijken' klikken om naar de pagina met meldingsdetails in het meldingscentrum te gaan.

Regeldrempels en meldingen

Om het aantal meldingen te minimaliseren, kunt u regels maken met drempelwaarden die meldingen alleen activeren wanneer de gebeurtenis zich meer dan een specifiek aantal keren binnen een bepaalde periode voordoet. Bijvoorbeeld: de eerste keer dat een gebeurtenis een regel activeert, wordt er een nieuwe melding toegevoegd aan het Meldingencentrum en wordt er een e-mail verzonden (indien geconfigureerd voor de regel). Als de regel een drempelwaarde van één uur heeft, worden extra gebeurtenissen binnen die tijd aan dezelfde melding toegevoegd. Er worden pas extra e-mailmeldingen verzonden nadat de drempelwaarde is overschreden.

Wanneer je een drempelwaarde instelt voor een regel, wordt deze cumulatief toegepast op alle gebruikersacties, niet per gebruiker. Als je bijvoorbeeld een regel maakt om gebruikers te blokkeren na 5 mislukte aanmeldpogingen binnen een uur, wordt de drempelwaarde bereikt wanneer er 5 mislukte aanmeldpogingen zijn voor één of meer gebruikers binnen een uur. In dat geval worden alle gebruikers met ten minste één mislukte poging geblokkeerd.

Opmerkingen:

  • E-mails en waarschuwingen die worden geactiveerd door een regel met een drempelwaarde, bevatten geen gebeurtenisbeschrijving.
  • Activiteitsregels kunnen alleen worden geconfigureerd om e-mails te verzenden naar interne domeingebruikers. Beheerders kunnen echter nog steeds externe e-mailwaarschuwingen instellen via Google Groepen.
  • Je kunt overmatige meldingen voorkomen door ze met een tussenpoos van een uur te versturen.

Maak een activiteitsregel aan.

  1. Maak een regel aan (voor alle Google Workspace-edities) met behulp van een van de volgende methoden:
    • Ga vanuit de startpagina van de beheerdersconsole naar Regels en klik vervolgens op Activiteitsregel maken .
    • Of ga naar Rapporteren en dan Audit en onderzoek en dan een gegevensbron selecteren en dan Maak een activiteitsregel aan.
    • Of, als u de tool voor beveiligingsonderzoek hebt, ga dan naar Beveiliging. en dan Beveiligingscentrum en dan Selecteer het onderzoekstool en klik vervolgens op 'Activiteitsregel maken ' .
  2. Voer de regelgegevens in en klik op Doorgaan :
    • Regelnaam — bijvoorbeeld: Externe gegevensdeling.
    • Omschrijving — bijvoorbeeld: Melden als documenten buiten het bedrijf worden gedeeld

  3. Definieer op de pagina Voorwaarden wanneer de regel moet worden geactiveerd:

    1. Kies een gegevensbron voor de regel, bijvoorbeeld gebeurtenissen uit het beheerderslogboek .

      Opmerking : De beschikbaarheid van gegevensbronnen varieert afhankelijk van uw Google Workspace-editie en uw beheerdersrechten. U kunt geen acties toevoegen voor gebeurtenissen in Drive-logboeken. Ga voor meer informatie naar Beheerderstoegang tot activiteitsregels en Gegevensbronnen voor de tool voor beveiligingsonderzoek .

    2. Klik op het tabblad Filter om de zoekresultaten te filteren met behulp van eenvoudige parameters zoals Bevat , Bevat niet , Is of Is niet .

    3. Klik op het tabblad 'Voorwaardenbouwer' om de zoekresultaten te filteren met behulp van AND/OR-operatoren. Kies voor elke voorwaarde een kenmerk , een operator en een waarde .

      Om bijvoorbeeld een voorwaarde in te stellen die aangeeft dat de gebeurtenis een overdracht van documenteigendom is, kiest u Gebeurtenis als attribuut, Is als operator en Documentinstellingen > Documenteigendom overdragen als waarde.

      Opmerking: Een gebeurtenis is een vereiste voorwaarde. Zie Gegevensbronnen voor de beveiligingsonderzoekstool voor meer informatie over de voorwaarden die beschikbaar zijn voor elke gegevensbron.

    4. Klik op 'Voorwaarde toevoegen' om extra voorwaarden toe te voegen, of klik op ' Doorgaan' .

  4. (Geavanceerde functie) Selecteer een optie:

    • Elke keer dat de gebeurtenis plaatsvindt —Verstuur meldingen en/of onderneem acties elke keer dat de gebeurtenis plaatsvindt.
    • Als de frequentie van de gebeurtenis een bepaalde drempelwaarde bereikt , selecteer dan de opties om meldingen en/of acties te activeren wanneer de gebeurtenis meer dan een specifiek aantal keren binnen een bepaald tijdsbestek plaatsvindt. Bijvoorbeeld: als de gebeurtenis meer dan 10 keer in 1 uur plaatsvindt.

  5. (Geavanceerde functie) Klik op Actie toevoegen om een ​​actie uit te voeren wanneer de gebeurtenis plaatsvindt of de drempelwaarde wordt overschreden.

    • Schort bijvoorbeeld gebruikers op of dwing een wachtwoordwijziging af wanneer de gebeurtenis zich voordoet.
    • Klik op Actie toevoegen om extra acties te maken.

  6. Selecteer onder 'Melding' de volgende opties:

    • Meldingscentrum —(Aanbevolen) Stuur een melding naar het meldingscentrum. Meldingen bevatten gedetailleerde informatie, zodat u actie kunt ondernemen tegen problemen en samen met andere beheerders binnen uw organisatie tot een oplossing kunt komen.
    • E-mail — Stuur e-mailmeldingen naar:
    • Alle superbeheerders — Stuur e-mails naar alle superbeheerders.
    • E-mailontvangers toevoegen — E-mails verzenden naar geselecteerde beheerders.
    • Meldingsfrequentie — Het aantal meldingen (waarschuwingen en e-mails) dat per uur voor dezelfde gebeurtenis wordt verzonden. U kunt meldingen over het uur spreiden of elke keer dat de gebeurtenis plaatsvindt een melding ontvangen. Gebruik deze instelling om te voorkomen dat u te veel meldingen voor dezelfde gebeurtenis ontvangt. Kies een optie:
    • Tot 5 per uur (standaard) – ontvang elk uur een melding om de 12 minuten.
    • Tot 2 meldingen per uur — ontvang elk uur een melding om de 30 minuten.
    • Tot wel 10 per uur — ontvang elk uur elke 6 minuten een melding.
    • Telkens wanneer de gebeurtenis plaatsvindt (indien beschikbaar in uw editie).
    • Ernstgraad — Het ernstniveau dat voor de gebeurtenis wordt weergegeven.

  7. Selecteer de regelstatus.

    • Actief (standaard) — Het systeem verzamelt logbestanden en de regels worden afgedwongen.
    • Monitoren — Het systeem verzamelt logbestanden, maar de regels worden niet afgedwongen. Gebruik deze optie om de logbestanden te bekijken voordat de regel wordt afgedwongen.
    • Inactief — Er worden geen logbestanden verzameld en de regel wordt niet afgedwongen.

  8. Klik op Doorgaan . Bekijk de details van de regels. Klik op Terug om indien nodig wijzigingen aan te brengen.

  9. Klik op Regel maken .

Bekijk en bewerk je activiteitsregels.

Nadat je een activiteitsregel hebt aangemaakt, kun je naar de pagina Regels gaan om de details en het bereik van de regel te bekijken, de voorwaarden voor de regel en de acties die worden geactiveerd wanneer drempelwaarden worden bereikt.

Op de pagina Regels kunt u ook een lijst zien van alle regels die door beheerders in uw domein zijn aangemaakt. Ga naar de startpagina van de Google Admin-console en klik op Regels .

Vanaf de pagina Regels kunnen beheerders binnen uw domein regels bekijken die door andere beheerders zijn gemaakt, afhankelijk van de gegevensbron van de regel en de bevoegdheden van elke beheerder. Een beheerder heeft bijvoorbeeld mogelijk wel weergavebevoegdheden voor gebeurtenissen in Drive-logboeken, maar niet voor gebeurtenissen in Gmail-logboeken, en kan daarom geen regels bekijken die gebaseerd zijn op gebeurtenissen in Gmail-logboeken.

Je kunt de pagina 'Regels' gebruiken om de volgende acties uit te voeren:

  • Filter de lijst met regels door op ' Een filter toevoegen' te klikken.
  • Bekijk en bewerk de details van een regel door op een van de regels te klikken.
  • Regels verwijderen.
  • Maak nieuwe regels aan.
  • Klik op 'Onderzoeken' om de onderzoekstool te openen en gegevens uit logboekgebeurtenissen van regels te bekijken.