Criar e gerenciar regras de atividade

Configurar alertas e realizar ações

Como administrador, você pode configurar regras de atividade no Google Admin Console para enviar notificações ou tomar medidas em resposta a atividades no seu domínio. Use regras de atividade para evitar, detectar e corrigir problemas de segurança com mais rapidez e eficiência.

É só definir condições para a regra e especificar quais notificações ou ações serão realizadas quando as condições forem atendidas. Uma regra é simplesmente uma maneira de dizer que se x acontecer, y acontecerá automaticamente.

O Google vai realizar continuamente a pesquisa especificada na regra de atividade. Se o número de resultados exibidos por essa pesquisa exceder o limite definido, o Google executará as notificações e ações especificadas. Por exemplo, você pode configurar uma regra para enviar notificações por e-mail para administradores específicos se os documentos do Google Drive forem compartilhados fora da empresa.

Antes de começar

A possibilidade de criar e ver regras de atividade depende da edição do Google Workspace, dos privilégios administrativos e da fonte de dados. Veja mais detalhes em Acesso de administrador a regras de relatórios e atividade.

Recursos para todas as edições

  • Acesse as regras de atividade na página "Regras" ou na ferramenta de auditoria e investigação
  • Filtros "AND" com até cinco condições (sem incluir condições aninhadas)

Recursos avançados

Edições compatíveis com este recurso: Frontline Plus; Enterprise Standard e Enterprise Plus; Education Plus; Enterprise Essentials Plus; Cloud Identity Premium; Chrome Enterprise Premium. Compare sua edição
  • Acesse as regras de atividade na ferramenta de investigação de segurança
  • Filtros "OR"
  • Definir ações em acionadores
  • Definir limites para acionadores
  • Configurar mais de cinco condições em uma regra
  • Condições aninhadas
  • Receber uma notificação sempre que um evento ocorrer

Diretrizes importantes para a criação de regras de atividade

  • Só é possível criar essas regras com base nas fontes de dados de registro, como eventos de registro do Gmail ou de dispositivos. Não é possível criar regras de atividade com base em fontes de dados ativas, como navegadores Chrome, dispositivos, mensagens do Gmail e usuários.
  • As fontes de dados disponíveis variam de acordo com a edição do Google Workspace. Para mais detalhes, acesse Fazer uma pesquisa na ferramenta de investigação de segurança.
  • É preciso adicionar pelo menos um atributo de evento à pesquisa.
  • Você vai poder incluir uma condição OR no nível superior apenas se incluir uma condição de evento em cada caminho condicional.
  • Só é possível adicionar um valor para o atributo. Por exemplo, o ator só pode incluir um usuário. Para incluir diversos valores, use o Criador de condições para adicionar um operador OR e, em seguida, o mesmo atributo com valor adicional.
  • Não é possível usar filtros de dados para regras de atividade, já que elas estão em constante avaliação.
  • Você precisa adicionar pelo menos uma ação ou alerta à regra.
  • Como as regras de atividade são baseadas em eventos de registro, elas são acionadas após o evento. Por isso, essas regras não são adequadas para bloquear e compartilhar um arquivo ou enviar e-mails.

Notificações por e-mail

Se você configurar notificações por e-mail para sua regra, a regra de atividade vai enviar um e-mail de notificação por janela de limite quando for acionada pela primeira vez. A regra não vai enviar notificações nas outras vezes em que for acionada. A notificação por e-mail inclui um resumo da regra que acionou o alerta, como o nome da regra, os detalhes do limite, os dados de origem e muito mais. Os administradores que receberem a notificação por e-mail podem clicar em Ver alerta para acessar a página Detalhes do alerta na Central de alertas.

Limites e notificações de regras

Para minimizar as notificações, crie regras com limites que acionam notificações apenas quando o evento ocorre mais de um número específico de vezes em um determinado período. Por exemplo, na primeira vez que um evento aciona uma regra, um novo alerta é adicionado na Central de alertas e um e-mail é enviado (se configurado para a regra). Se a regra tiver um limite de uma hora, outros eventos dentro desse período serão adicionados ao mesmo alerta. As notificações por e-mail adicionais não são enviadas até que o tempo limite seja atingido.

Quando você define um limite para uma regra, ele é aplicado de forma cumulativa para as ações do usuário, e não por usuário. Por exemplo, se você criar uma regra para suspender usuários após cinco tentativas de login malsucedidas em uma hora, o limite será atingido quando houver cinco tentativas de login malsucedidas de um ou mais usuários em uma hora. Nesse caso, todos os usuários com pelo menos uma tentativa malsucedidas são suspensos.

Observações:

  • Os e-mails e alertas acionados por uma regra com um limite não incluem uma descrição do evento.
  • As regras de atividade só podem ser configuradas para enviar e-mails a usuários do domínio interno. No entanto, os administradores ainda podem configurar alertas por e-mail externos por meio dos Grupos do Google.
  • Para evitar alertas em excesso, espaçe-os por mais de uma hora.

Criar uma regra de atividade

  1. Crie uma regra (todas as edições do Google Workspace) usando um dos seguintes métodos:
    • Na página inicial do Admin Console, acesse Regras e clique em Criar regra de atividade.
    • Ou acesse Relatórios e depois Auditoria e investigação e depois selecione uma fonte de dados e depois Criar regra de atividade.
    • Ou, se você tiver a ferramenta de investigação de segurança, acesse Segurança e depois Central de segurança e depois Ferramenta de investigação e clique em Criar regra de atividade.
  2. Insira os detalhes da regra e clique em Continuar:
    • Nome da regra , por exemplo, Compartilhamento de dados externos.
    • Descrição, por exemplo, Notificar se os documentos forem compartilhados fora da empresa

  3. Na página Condições, defina quando a regra será acionada:

    1. Escolha uma Fonte de dados para a regra, por exemplo, Eventos de registro do administrador.

      Observação: a disponibilidade das fontes de dados varia de acordo com a edição do Google Workspace e os privilégios de administrador. Não é possível adicionar ações para eventos de registro do Drive. Confira mais detalhes em Acesso de administrador a regras de atividade e Fontes de dados para a ferramenta de investigação de segurança.

    2. Clique na guia Filtrar para filtrar os resultados da pesquisa usando parâmetros simples, como Contém, Não contém, É ou Não é.

    3. Clique na guia Criador de condições para filtrar os resultados da pesquisa usando operadores E/OU. Para cada condição, selecione um atributo, um operador e um valor.

      Por exemplo, para especificar que o evento é uma transferência de propriedade de um arquivo, escolha Evento como o atributo e selecione É como o operador e Configurações do documento > Transferir propriedade do documento como o valor.

      Observação: Evento é uma condição obrigatória. Confira os detalhes das condições disponíveis para cada fonte de dados em Fontes de dados da ferramenta de investigação de segurança.

    4. Clique em Adicionar condição para incluir outras opções ou em Continuar.

  4. (Recurso avançado) Selecione uma opção:

    • Sempre que o evento ocorrer: envie notificações e/ou realize ações sempre que o evento ocorrer.
    • Se a frequência de eventos atender a um limite específico: selecione as opções para acionar notificações e/ou ações quando o evento ocorrer mais de um número específico de vezes em um determinado período. Por exemplo, se o evento ocorrer mais de 10 vezes em 1 hora.

  5. (Recurso avançado) Clique em Adicionar ação para realizar uma ação quando o evento ocorrer ou o limite for ultrapassado.

    • Por exemplo, suspender usuários ou forçar uma mudança de senha quando o evento ocorrer.
    • Clique em Adicionar ação para criar outras ações.

  6. Em Notificação, selecione as opções:

    • Central de alertas : envie um alerta para a Central de alertas (recomendado). Os alertas incluem detalhes para que você possa resolver problemas e colaborar com outros administradores da sua organização.
    • E-mail : envie notificações por e-mail para:
      • Todos os superadministradores : envie e-mails para todos os superadministradores.
      • Adicionar destinatários ao e-mail : envie e-mails para administradores selecionados.
    • Frequência de notificação: o número de notificações (alertas e e-mails) enviadas por hora para o mesmo evento. Você pode espaçar as notificações ao longo da hora ou receber uma notificação sempre que o evento ocorrer. Use essa configuração para evitar notificações excessivas para o mesmo evento. Escolha uma opção:
      • Até 5 por hora (padrão): receba uma notificação a cada 12 minutos por hora.
      • Até 2 por hora : receba uma notificação a cada 30 minutos.
      • Até 10 por hora : receba uma notificação a cada 6 minutos por hora.
      • Sempre que o evento ocorrer (se disponível na sua edição).
    • Gravidade : o nível de gravidade que aparece para o evento.

  7. Selecione o status da regra.

    • Ativo (padrão): o sistema coleta registros e as regras são aplicadas.
    • Monitor : o sistema coleta registros, mas as regras não são aplicadas. Use essa opção para analisar os registros antes de aplicar a regra.
    • Inativa : os registros não são coletados, e a regra não é aplicada.

  8. Clique em Continuar. Revise os detalhes da regra. Clique em Voltar para fazer mudanças, se necessário.

  9. Clique em Criar regra.

Acessar e editar suas regras de atividade

Depois de criar uma regra de atividade, você vai poder acessar a página Regras para ver os detalhes, o escopo e as condições da regra, além das ações realizadas quando os limites são atingidos.

Na página "Regras", também é possível ver uma lista de todas as regras criadas pelos administradores no seu domínio. Acesse a página inicial do Google Admin Console e clique em Regras.

Na página "Regras", os administradores do seu domínio podem ver as regras criadas por outros administradores, dependendo da fonte de dados e dos privilégios. Por exemplo, um administrador pode ter privilégios de visualização para eventos de registro do Drive, mas não para eventos de registro do Gmail e, portanto, não poderá ver regras baseadas em eventos de registro do Gmail.

Você pode usar a página "Regras" para fazer o seguinte:

  • Filtrar a lista de regras clicando em Adicionar um filtro.
  • Ver e editar os detalhes da regra clicando em uma das regras.
  • Excluir regras
  • Criar regras
  • Clica em Investigar para abrir a ferramenta de investigação e ver os dados dos eventos de registo de regras