Создание и управление правилами действий

Настройте оповещения и принимайте меры.

В качестве администратора вы можете настроить правила обработки событий в консоли администратора Google, чтобы отправлять уведомления или предпринимать действия в ответ на активность в вашем домене. Используйте правила обработки событий, чтобы быстрее и эффективнее предотвращать, обнаруживать и устранять проблемы безопасности.

Для настройки правила необходимо задать условия и указать, какие уведомления или действия должны выполняться при выполнении этих условий. Правило — это просто способ сказать: если происходит x , автоматически выполнить y .

Google будет постоянно выполнять поиск, указанный в правиле действий. Если количество результатов поиска превысит установленный вами порог, Google выполнит указанные вами уведомления и действия. Например, вы можете настроить правило для отправки уведомлений по электронной почте определенным администраторам, если документы Google Drive будут доступны за пределами компании.

Прежде чем начать

Возможность создавать и просматривать правила действий зависит от вашей версии Google Workspace, административных прав и источника данных. Для получения более подробной информации перейдите в раздел «Административный доступ к правилам отчетности и правилам действий» .

Функции для всех изданий

  • Доступ к правилам действий осуществляется со страницы «Правила» или через инструмент аудита и расследования.
  • Фильтр AND содержит до 5 условий (не считая вложенных условий).

Расширенные функции

Поддерживаемые версии для этой функции: Frontline Plus; Enterprise Standard и Enterprise Plus; Education Plus; Enterprise Essentials Plus; Cloud Identity Premium; Chrome Enterprise Premium. Сравните свою версию.
  • Доступ к правилам активности из инструмента расследования инцидентов безопасности.
  • ИЛИ фильтры
  • Задавайте действия в триггерах
  • Установите пороговые значения для триггеров.
  • Задайте более 5 условий в правиле.
  • Вложенные условия
  • Получайте уведомления каждый раз, когда происходит событие.

Важные рекомендации по созданию правил действий

  • Вы можете создавать правила действий только на основе данных из журналов событий — например, событий журнала Gmail или событий журнала устройства . Вы не можете создавать правила действий на основе данных о текущем состоянии, таких как браузеры Chrome , устройства , сообщения Gmail и пользователи .
  • Доступные источники данных будут различаться в зависимости от вашей версии Google Workspace. Для получения более подробной информации перейдите по ссылке «Выполнить поиск в инструменте расследования инцидентов безопасности» .
  • Необходимо добавить в поиск хотя бы один атрибут события.
  • Оператор ИЛИ можно использовать на верхнем уровне только в том случае, если условие события включено в каждый условный путь.
  • Для атрибута можно указать только одно значение. Например, атрибут «Актер» может включать только одного пользователя. Чтобы указать несколько значений, используйте конструктор условий, чтобы добавить оператор ИЛИ, а затем добавьте тот же атрибут с дополнительным значением.
  • Использовать фильтры по дате для правил действий нельзя (поскольку правила оцениваются непрерывно).
  • Необходимо добавить к правилу как минимум одно действие или оповещение.
  • Поскольку правила действий основаны на событиях в журнале, они срабатывают после того, как событие произошло. Поэтому правила действий не подходят для таких задач, как блокировка или предоставление доступа к документу, а также отправка электронных писем.

Уведомления по электронной почте

Если вы настроили уведомления по электронной почте для своего правила, правило будет отправлять одно уведомление по электронной почте за каждый пороговый период при первом срабатывании правила. В остальных случаях уведомления отправляться не будут. Уведомление по электронной почте содержит сводку по правилу, вызвавшему оповещение, включая название правила, сведения о пороговом значении, исходные данные и многое другое. Администраторы, получившие уведомление по электронной почте, могут нажать «Просмотреть оповещение» , чтобы перейти на страницу с подробными сведениями об оповещении в центре оповещений.

Пороговые значения правил и уведомления

Чтобы свести к минимуму количество уведомлений, можно создавать правила с пороговыми значениями, которые запускают уведомления только тогда, когда событие происходит более определенного количества раз за заданный период времени. Например, при первом срабатывании правила событие добавляет новое оповещение в Центр оповещений и отправляется электронное письмо (если это настроено для правила). Если правило имеет пороговое значение в один час, дополнительные события в течение этого времени добавляются к тому же оповещению. Дополнительные уведомления по электронной почте не отправляются до истечения порогового времени.

При установке порогового значения для правила оно применяется кумулятивно ко всем действиям пользователей, а не для каждого пользователя в отдельности. Например, если вы создадите правило для блокировки пользователей после 5 неудачных попыток входа в систему в течение одного часа, пороговое значение будет достигнуто, когда у одного или нескольких пользователей будет 5 неудачных попыток входа в систему в течение одного часа. В этом случае все пользователи, у которых была хотя бы одна неудачная попытка, будут заблокированы.

Примечания:

  • В электронных письмах и оповещениях, отправляемых по правилу с пороговым значением, описание события отсутствует.
  • Правила действий можно настроить таким образом, чтобы отправлять электронные письма только пользователям внутреннего домена. Однако администраторы по-прежнему могут настраивать оповещения по электронной почте для внешних пользователей с помощью групп Google.
  • Чтобы избежать чрезмерного количества оповещений, можно расположить их с интервалом в один час.

Создайте правило действия

  1. Создайте правило (для всех версий Google Workspace), используя один из следующих способов:
    • На главной странице консоли администратора перейдите в раздел «Правила» , а затем нажмите «Создать правило действия» .
    • Или перейдите в раздел «Отчеты». а потом Аудит и расследование а потом выберите источник данных а потом Создайте правило действия.
    • Или, если у вас установлен инструмент для проведения расследований в области безопасности, перейдите в раздел «Безопасность». а потом Центр безопасности а потом Откройте инструмент расследования , а затем нажмите «Создать правило действия ».
  2. Введите данные правила и нажмите «Продолжить» :
    • Название правила — например, «Внешний обмен данными».
    • Описание — например, Уведомлять о передаче документов за пределы компании.

  3. На странице «Условия» укажите, когда будет срабатывать правило:

    1. Выберите источник данных для правила — например, события журнала администратора .

      Примечание : Доступность источников данных зависит от вашей версии Google Workspace и ваших прав администратора. Вы не можете добавлять действия для событий журнала Google Drive. Для получения подробной информации перейдите в раздел «Доступ администратора к правилам действий» и «Источники данных для инструмента расследования инцидентов безопасности» .

    2. Нажмите вкладку «Фильтр» , чтобы отфильтровать результаты поиска, используя простые параметры, такие как «Содержит» , «Не содержит» , «Является » или «Не является» .

    3. Нажмите вкладку «Конструктор условий» , чтобы отфильтровать результаты поиска с помощью операторов И/ИЛИ. Для каждого условия выберите атрибут , оператор и значение .

      Например, чтобы задать условие, указывающее на то, что событие является передачей права собственности на документ, выберите атрибут « Событие», оператор « Является », а значение — «Настройки документа» > «Передача права собственности на документ» .

      Примечание: Событие является обязательным условием. Подробную информацию об условиях, доступных для каждого источника данных, см. в разделе «Источники данных для инструмента анализа безопасности» .

    4. Нажмите «Добавить условие» , чтобы добавить дополнительные условия, или нажмите «Продолжить» .

  4. (Расширенные функции) Выберите один из вариантов:

    • Каждый раз, когда происходит событие — отправлять уведомления и/или выполнять действия каждый раз, когда происходит событие.
    • Если частота событий достигает определенного порогового значения — выберите параметры для запуска уведомлений и/или действий, когда событие происходит более определенного количества раз за заданный период времени. Например, если событие происходит более 10 раз за 1 час.

  5. (Расширенная функция) Нажмите «Добавить действие» , чтобы выполнить действие при наступлении события или превышении порогового значения.

    • Например, при возникновении такого события можно приостановить действие учетных записей пользователей или принудительно изменить пароль.
    • Нажмите «Добавить действие» , чтобы создать дополнительные действия.

  6. В разделе «Уведомления» выберите следующие параметры:

    • Центр оповещений — (Рекомендуется) Отправьте оповещение в Центр оповещений. Оповещения содержат подробную информацию, позволяющую принимать меры по устранению проблем и поддерживать совместное решение с другими администраторами вашей организации.
    • Электронная почта — Отправляйте уведомления по электронной почте на адрес:
      • Всем суперадминистраторам — Отправить электронные письма всем суперадминистраторам.
      • Добавить получателей электронной почты — отправлять электронные письма выбранным администраторам.
    • Частота уведомлений — количество уведомлений (оповещений и электронных писем), отправляемых каждый час для одного и того же события. Вы можете распределить уведомления по часу или получать уведомление каждый раз, когда происходит событие. Используйте этот параметр, чтобы предотвратить чрезмерное количество уведомлений для одного и того же события. Выберите вариант:
      • До 5 уведомлений в час (по умолчанию) — Получайте уведомления каждые 12 минут каждый час.
      • До 2 уведомлений в час — Получайте уведомления каждые 30 минут каждый час.
      • До 10 уведомлений в час — Получайте уведомления каждые 6 минут каждый час.
      • Каждый раз, когда происходит событие (если эта функция доступна в вашей версии).
    • Степень серьезности — Уровень серьезности, отображаемый для данного события.

  7. Выберите статус правила.

    • Активно (по умолчанию) — система собирает журналы и применяет правила.
    • Мониторинг — Система собирает журналы, но правила не применяются. Используйте эту опцию для просмотра журналов перед применением правила.
    • Неактивно — Журналы событий не собираются, и правило не применяется.

  8. Нажмите «Продолжить» . Ознакомьтесь с подробностями правила. При необходимости нажмите «Назад» , чтобы внести изменения.

  9. Нажмите «Создать правило» .

Просматривайте и редактируйте правила своей активности.

После создания правила действия вы можете перейти на страницу «Правила» , чтобы просмотреть подробные сведения о правиле и его области действия, условия его применения, а также действия, которые запускаются при достижении пороговых значений.

На странице «Правила» вы также можете увидеть список всех правил, созданных администраторами вашего домена. Перейдите на главную страницу консоли администратора Google и нажмите «Правила» .

На странице «Правила» администраторы вашего домена могут просматривать правила, созданные другими администраторами, в зависимости от источника данных для правила и привилегий каждого администратора. Например, у администратора могут быть права на просмотр событий журнала Google Диска, но не на просмотр событий журнала Gmail, и поэтому он не сможет просматривать правила, основанные на событиях журнала Gmail.

На странице «Правила» вы можете выполнить следующие действия:

  • Отфильтруйте список правил, нажав кнопку «Добавить фильтр» .
  • Чтобы просмотреть и отредактировать подробные сведения о правилах, щелкните по одному из них.
  • Удалить правила.
  • Создайте новые правила.
  • Нажмите «Расследование» , чтобы открыть инструмент расследования и просмотреть данные из событий журнала правил.