Tworzenie reguł związanych z aktywnością i zarządzanie nimi

Konfigurowanie alertów i podejmowanie działań

Jako administrator możesz skonfigurować w konsoli administracyjnej Google reguły związane z aktywnością, aby wysyłać powiadomienia lub podejmować działania w odpowiedzi na aktywność w domenie. Przy pomocy reguł aktywności możesz szybciej i skuteczniej zapobiegać problemom z zabezpieczeniami oraz je wykrywać i rozwiązywać.

W tym celu musisz określić warunki reguły i wskazać czynności, które mają być wykonywane po ich spełnieniu. Reguła oznacza po prostu, że jeśli wystąpi x, należy automatycznie wykonać y.

Google będzie regularnie przeprowadzać wyszukiwanie określone w regule związanej z aktywnością. Jeśli liczba wyników zwróconych przez wyszukiwanie przekroczy ustawiony przez Ciebie próg, Google wykona wybrane działania i wyśle określone powiadomienia. Możesz na przykład skonfigurować regułę, aby wysyłać do wybranych administratorów e-maile z powiadomieniami o udostępnieniu dokumentów z Dysku Google poza firmę.

Zanim zaczniesz

Możliwość tworzenia i wyświetlania reguł związanych z aktywnością zależy od wersji Google Workspace, Twoich uprawnień administracyjnych i źródła danych. Szczegółowe informacje znajdziesz w artykule Dostęp administratora do reguł raportowania i reguł związanych z aktywnością.

Funkcje dostępne we wszystkich wersjach

  • Dostęp do reguł związanych z aktywnością na stronie Reguły lub w narzędziu do kontroli i analizy zagrożeń.
  • Filtry AND z maksymalnie 5 warunkami (bez warunków zagnieżdżonych).

Funkcje zaawansowane

Ta funkcja jest dostępna w tych wersjach: Frontline Plus, Enterprise Standard i Enterprise Plus, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium, Chrome Enterprise Premium. Porównanie wersji
  • Dostęp do reguł związanych z aktywnością w narzędziu do analizy zagrożeń
  • filtry OR,
  • Ustawianie działań w aktywatorach
  • Ustawianie progów dla aktywatorów
  • Ustawianie w regule więcej niż 5 warunków
  • Zagnieżdżone warunki
  • Otrzymywanie powiadomień za każdym razem, gdy wystąpi zdarzenie

Ważne wskazówki na temat tworzenia reguł związanych z aktywnością

  • Reguły związane z aktywnością można tworzyć tylko na podstawie źródeł danych zdarzeń z dziennika (takich jak Zdarzenia z dziennika Gmaila czy Zdarzenia z dziennika urządzenia). Nie możesz tworzyć reguł związanych z aktywnością na podstawie źródeł danych odzwierciedlających stan obecny, takich jak Przeglądarki Chrome, Urządzenia, Wiadomości z GmailaUżytkownicy.
  • Dostępne źródła danych różnią się w zależności od wersji Google Workspace. Więcej informacji znajdziesz w artykule Przeprowadzanie wyszukiwania w narzędziu do analizy zagrożeń.
  • Do wyszukiwania musisz dodać co najmniej 1 atrybut zdarzenia.
  • Operator OR możesz uwzględnić na najwyższym poziomie tylko wtedy, gdy zdarzenie jest uwzględnione w każdej ścieżce warunkowej.
  • Do atrybutu możesz dodać tylko 1 wartość. Na przykład do atrybutu Użytkownik może być przypisana tylko 1 osoba. Aby uwzględnić wiele wartości, użyj narzędzia do definiowania warunków, aby dodać operator OR, a następnie dodaj ten sam atrybut z dodatkową wartością.
  • W przypadku reguł związanych z aktywnością nie można używać filtrów daty, ponieważ reguły są oceniane w sposób ciągły.
  • Do reguły musisz dodać co najmniej 1 działanie lub alert.
  • Ponieważ reguły związane z aktywnością są oparte na zdarzeniach z dziennika, są wywoływane po wystąpieniu zdarzenia. Z tego względu reguły związane z aktywnością nie nadają się do blokowania czy udostępniania dokumentów ani wysyłania e-maili.

Powiadomienia e-mail

Jeśli skonfigurujesz dla reguły związanej z aktywnością e-maile z powiadomieniami, po jej wywołaniu będzie ona wysyłać tylko 1 e-maila z powiadomieniem w każdym oknie progu. Reguła nie będzie wysyłać powiadomień przy każdym wywołaniu. E-mail z powiadomieniem zawiera podsumowanie informacji o regule, której dotyczy alert, w tym jej nazwę, próg, dane źródłowe i inne informacje. Administratorzy, którzy otrzymali e-maila z powiadomieniem, mogą kliknąć Wyświetl alert, aby otworzyć stronę Szczegóły alertu w Centrum alertów.

Progi reguł i powiadomienia

Aby zminimalizować liczbę powiadomień, możesz tworzyć reguły z progami, które będą uruchamiać powiadomienia tylko wtedy, gdy zdarzenie wystąpi więcej niż określoną liczbę razy w danym przedziale czasu. Gdy na przykład zdarzenie po raz pierwszy wywoła regułę, w Centrum alertów zostanie dodany nowy alert i zostanie wysłany e-mail (jeśli został skonfigurowany dla tej reguły). Jeśli reguła ma próg jednogodzinny, dodatkowe zdarzenia w tym czasie są dodawane do tego samego alertu. Dodatkowe e-maile z powiadomieniami nie są wysyłane, dopóki nie upłynie czas progu.

Gdy ustawisz próg reguły, jest on stosowany do wszystkich działań użytkowników, a nie do poszczególnych użytkowników. Jeśli na przykład utworzysz regułę zawieszającą konta użytkowników po 5 nieudanych próbach logowania w ciągu 1 godziny, próg zostanie osiągnięty po 5 nieudanych próbach zalogowania się na konto co najmniej 1 użytkownika w ciągu 1 godziny. W takim przypadku konta wszystkich użytkowników, którzy podjęli przynajmniej 1 nieudaną próbę, zostaną zawieszone.

Uwagi:

  • E-maile i alerty uruchomione przez regułę z progiem nie zawierają opisu zdarzenia.
  • Reguły związane z aktywnością można skonfigurować tylko tak, aby wysyłały e-maile do użytkowników wewnętrznych domen. Administratorzy nadal mogą konfigurować zewnętrzne alerty e-mail za pomocą Grup dyskusyjnych Google.
  • Możesz zapobiec nadmiernej liczbie alertów, rozkładając je w ciągu godziny.

Tworzenie reguły związanej z aktywnością

  1. Utwórz regułę (wszystkie wersje Google Workspace), korzystając z jednej z tych metod:
    • Na stronie głównej konsoli administracyjnej kliknij Reguły, a następnie kliknij Utwórz regułę związaną z aktywnością.
    • Możesz też otworzyć Raportowanie a potem Kontrola i analiza zagrożeń a potem wybrać źródło danych a potem Utwórz regułę związaną z aktywnością.
    • Jeśli masz narzędzie do analizy zagrożeń, otwórz Zabezpieczenia a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń, a następnie kliknij Utwórz regułę związaną z aktywnością.
  2. Wpisz informacje dotyczące reguły i kliknij Dalej:
    • Nazwa reguły, np. Udostępnianie danych na zewnątrz.
    • Opis, np. Powiadomienie o udostępnieniu dokumentów poza firmę.

  3. Na stronie Warunki określ, kiedy reguła ma się uruchamiać:

    1. Wybierz Źródło danych na potrzeby reguły, np. Zdarzenia z dziennika administratora.

      Uwaga: dostępność źródeł danych zależy od wersji Google Workspace i Twoich uprawnień administratora. Nie możesz dodawać działań dotyczących zdarzeń z dziennika Dysku. Szczegółowe informacje znajdziesz w artykułach Dostęp administratora do reguł związanych z aktywnościąŹródła danych narzędzia do analizy zagrożeń.

    2. Kliknij kartę Filtr, aby filtrować wyniki wyszukiwania za pomocą prostych parametrów, takich jak Zawiera, Nie zawiera, Równe lub Różne od.

    3. Aby filtrować wyniki wyszukiwania za pomocą operatorów AND/OR, kliknij kartę Narzędzie do definiowania warunków. Dla każdego warunku wybierz atrybut, operator i wartość.

      Aby na przykład skonfigurować warunek, który określa, że zdarzenie to przeniesienie własności dokumentu, jako atrybut wybierz Zdarzenie, jako operator – Równe, a jako wartość – Ustawienia Dokumentów > Przeniesienie własności dokumentu.

      Uwaga: Zdarzenie jest warunkiem wymaganym. Szczegółowe informacje na temat warunków, których można używać z poszczególnymi źródłami danych, znajdziesz w artykule Źródła danych narzędzia do analizy zagrożeń.

    4. Aby dodać kolejne warunki, kliknij Dodaj warunek, a następnie Dalej.

  4. (Funkcja zaawansowana) Wybierz opcję:

    • Za każdym razem, gdy występuje zdarzenie – wysyłaj powiadomienia lub podejmuj działania za każdym razem, gdy wystąpi zdarzenie.
    • Jeśli częstotliwość zdarzeń osiągnie określony próg – wybierz opcje, aby uruchamiać powiadomienia lub działania, gdy zdarzenie wystąpi więcej niż określoną liczbę razy w danym przedziale czasu, na przykład jeśli zdarzenie wystąpi więcej niż 10 razy w ciągu 1 godziny.

  5. (Funkcja zaawansowana) Kliknij Dodaj czynność, aby wykonać działanie, gdy wystąpi zdarzenie lub zostanie przekroczony próg.

    • Możesz na przykład zawiesić konta użytkowników lub wymusić zmianę hasła, gdy wystąpi zdarzenie.
    • Aby utworzyć dodatkowe działania, kliknij Dodaj czynność.

  6. W sekcji Powiadomienie wybierz odpowiednie opcje:

    • Centrum alertów – (zalecane) wysyła alert do Centrum alertów. Alerty zawierają szczegółowe informacje, które pozwalają podjąć odpowiednie działania w przypadku wystąpienia problemów i pomagają je rozwiązywać we współpracy z innymi administratorami w organizacji.
    • E-mail – wysyła e-maile do wskazanych poniżej osób:
      • Wszyscy superadministratorzy – wysyła e-maile do wszystkich superadministratorów.
      • Dodaj odbiorców e-maila – wysyła e-maile do wybranych administratorów.
    • Częstotliwość powiadomień – liczba powiadomień (alertów i e-maili) wysyłanych co godzinę dotyczących tego samego zdarzenia. Powiadomienia możesz rozłożyć w czasie w ciągu godziny lub otrzymywać je za każdym razem, gdy wystąpi zdarzenie. Użyj tego ustawienia, aby zapobiec nadmiernej liczbie powiadomień dotyczących tego samego zdarzenia. Wybierz opcję:
      • Do 5 na godzinę (domyślnie) – otrzymasz powiadomienie co 12 minut w ciągu każdej godziny.
      • Do 2 na godzinę – otrzymasz powiadomienie co 30 minut w ciągu każdej godziny.
      • Do 10 na godzinę – otrzymasz powiadomienie co 6 minut w ciągu każdej godziny.
      • Za każdym razem, gdy występuje zdarzenie (jeśli ta opcja jest dostępna w Twojej wersji).
    • Waga – poziom ważności wyświetlany w przypadku wystąpienia zdarzenia.

  7. Wybierz stan reguły.

    • Aktywna (stan domyślny) – system zbiera dzienniki, a reguły są egzekwowane.
    • Monitorowanie – system gromadzi dzienniki, ale reguły nie są egzekwowane. Użyj tej opcji, aby sprawdzić dzienniki, zanim zaczniesz egzekwować regułę.
    • Nieaktywna – dzienniki nie są zbierane, a reguła nie jest wymuszana.

  8. Kliknij Dalej. Sprawdź szczegóły reguły. W razie potrzeby kliknij Wstecz, aby wprowadzić zmiany.

  9. Kliknij Utwórz regułę.

Wyświetlanie i edytowanie reguł związanych z aktywnością

Po utworzeniu reguły związanej z aktywnością możesz otworzyć stronę Reguły, aby wyświetlić ustawienia i zakres reguły, jej warunki oraz czynności wywoływane po osiągnięciu progów.

Na tej stronie zobaczysz też listę wszystkich reguł utworzonych przez administratorów w Twojej domenie. Otwórz stronę główną konsoli administracyjnej Google i kliknij Reguły.

Na stronie Reguły administratorzy w domenie mogą wyświetlać reguły utworzone przez innych administratorów, jeśli tylko mają dostęp do źródeł danych poszczególnych reguł i odpowiednie uprawnienia. Na przykład administrator, który ma uprawnienia do wyświetlania zdarzeń z dziennika Dysku, ale nie zdarzeń z dziennika Gmaila, nie zobaczy żadnych reguł dotyczących zdarzeń z dziennika Gmaila.

Na stronie Reguły możesz:

  • filtrować listę reguł, klikając Dodaj filtr;
  • wyświetlać i edytować ustawienia reguły po kliknięciu jej na liście;
  • usuwać reguły;
  • tworzyć nowe reguły,
  • Kliknij Zbadaj, aby otworzyć narzędzie do analizy zagrożeń i wyświetlić dane zdarzeń z dziennika reguł.