สร้างและจัดการกฎกิจกรรม

ตั้งค่าการแจ้งเตือนและดำเนินการ

ในฐานะผู้ดูแลระบบ คุณสามารถตั้งค่ากฎกิจกรรมในคอนโซลผู้ดูแลระบบของ Google เพื่อส่งการแจ้งเตือนหรือดำเนินการตอบสนองต่อกิจกรรมภายในโดเมนได้ โดยสามารถใช้กฎกิจกรรมเพื่อช่วยป้องกัน ตรวจจับ และแก้ไขปัญหาด้านความปลอดภัยได้อย่างรวดเร็วและมีประสิทธิภาพมากขึ้น

หากต้องการกำหนดค่ากฎ คุณจะต้องตั้งเงื่อนไขของกฎและระบุการแจ้งเตือนหรือการดำเนินการที่จะเกิดขึ้นเมื่อตรงตามเงื่อนไข ซึ่งอธิบายง่ายๆ ได้ว่า หากเกิดเหตุการณ์ ให้ทำ โดยอัตโนมัติ

Google จะทำการค้นหาอย่างต่อเนื่องตามที่ระบุไว้ในกฎกิจกรรม หากจำนวนผลลัพธ์ที่ได้จากการค้นหานั้นเกินเกณฑ์ที่คุณตั้งไว้ Google จะแจ้งเตือนและดำเนินการตามที่คุณระบุ ตัวอย่างเช่น ตั้งค่ากฎให้ส่งการแจ้งเตือนทางอีเมลไปยังผู้ดูแลระบบบางรายเมื่อมีการแชร์เอกสารใน Google ไดรฟ์นอกบริษัท

ก่อนเริ่มต้น

ความสามารถในการสร้างและดูกฎกิจกรรมจะขึ้นอยู่กับรุ่น Google Workspace, สิทธิ์ในการดูแลระบบ และแหล่งข้อมูล โปรดดูรายละเอียดที่หัวข้อสิทธิ์เข้าถึงระดับผู้ดูแลระบบในการเข้าถึงกฎการรายงานและกฎกิจกรรม

ฟีเจอร์สำหรับทุกรุ่น

  • เข้าถึงกฎกิจกรรมจากหน้ากฎหรือเครื่องมือตรวจสอบ
  • ตัวกรอง AND ที่มีเงื่อนไขสูงสุด 5 รายการ (ไม่รวมเงื่อนไขที่ซ้อนกัน)

ฟีเจอร์ขั้นสูง

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Plus; Enterprise Standard และ Enterprise Plus; Education Plus; Enterprise Essentials Plus; Cloud Identity Premium; Chrome Enterprise Premium เปรียบเทียบรุ่นของคุณ
  • เข้าถึงกฎกิจกรรมได้จากเครื่องมือตรวจสอบความปลอดภัย
  • ตัวกรอง OR
  • ตั้งค่าการดำเนินการในทริกเกอร์
  • ตั้งค่าเกณฑ์สำหรับทริกเกอร์
  • ตั้งค่าเงื่อนไขมากกว่า 5 รายการในกฎ
  • เงื่อนไขที่ซ้อนกัน
  • รับการแจ้งเตือนทุกครั้งที่เกิดเหตุการณ์

หลักเกณฑ์สําคัญสําหรับการสร้างกฎกิจกรรม

  • คุณสามารถสร้างกฎกิจกรรมโดยอิงตามแหล่งข้อมูลเหตุการณ์ในบันทึกเท่านั้น เช่น เหตุการณ์ในบันทึกของ Gmail หรือเหตุการณ์ในบันทึกของอุปกรณ์ คุณไม่สามารถสร้างกฎกิจกรรมโดยอิงตามแหล่งข้อมูลสถานะปัจจุบัน เช่น เบราว์เซอร์ Chrome, อุปกรณ์, ข้อความ Gmail และผู้ใช้
  • แหล่งข้อมูลที่ใช้ได้จะแตกต่างกันไปตามรุ่น Google Workspace โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อเรียกใช้การค้นหาในเครื่องมือตรวจสอบความปลอดภัย
  • คุณต้องเพิ่มแอตทริบิวต์เหตุการณ์อย่างน้อย 1 รายการในการค้นหา
  • คุณจะกำหนดโอเปอเรเตอร์ "OR" ในระดับบนสุดได้เฉพาะเมื่อคุณกำหนดเงื่อนไข "Event" ในเส้นทางเงื่อนไขทั้งหมด
  • คุณจะเพิ่มค่าให้กับแอตทริบิวต์ได้เพียงค่าเดียวเท่านั้น เช่น ผู้ดำเนินการจะมีผู้ใช้ได้เพียงคนเดียว หากต้องการระบุหลายค่า ให้ใช้เครื่องมือสร้างเงื่อนไขเพื่อเพิ่มโอเปอเรเตอร์ OR แล้วเพิ่มแอตทริบิวต์เดียวกันพร้อมกับค่าเพิ่มเติม
  • คุณจะใช้ตัวกรองวันที่กับกฎกิจกรรมไม่ได้ (เนื่องจากระบบจะประเมินกฎอย่างต่อเนื่อง)
  • คุณต้องเพิ่มการดำเนินการหรือการแจ้งเตือนอย่างน้อย 1 รายการลงในกฎ
  • เนื่องจากกฎกิจกรรมอิงตามเหตุการณ์ในบันทึก กฎจึงทำงานหลังเกิดเหตุการณ์ ด้วยเหตุนี้ กฎกิจกรรมจึงไม่เหมาะกับงานจำพวกการบล็อก การแชร์เอกสาร หรือการส่งอีเมล

การแจ้งเตือนทางอีเมล

หากคุณตั้งค่าการแจ้งเตือนทางอีเมลสำหรับกฎ กฎกิจกรรมดังกล่าวจะส่งอีเมลแจ้งเตือนเพียงฉบับเดียวต่อกรอบเวลาของเกณฑ์เมื่อมีการทริกเกอร์กฎครั้งแรก กฎจะไม่ส่งการแจ้งเตือนสำหรับเวลาอื่นที่มีการทริกเกอร์กฎ การแจ้งเตือนทางอีเมลมีข้อมูลสรุปของกฎที่เรียกใช้การแจ้งเตือน รวมไปถึงชื่อกฎ รายละเอียดเกณฑ์ ข้อมูลแหล่งที่มา และอื่นๆ ผู้ดูแลระบบที่ได้รับการแจ้งเตือนทางอีเมลจะคลิกดูการแจ้งเตือนเพื่อไปที่หน้ารายละเอียดการแจ้งเตือนในศูนย์แจ้งเตือนได้

เกณฑ์และกฎการแจ้งเตือน

หากต้องการลดการแจ้งเตือน คุณสามารถสร้างกฎที่มีเกณฑ์ซึ่งจะทริกเกอร์การแจ้งเตือนเฉพาะในกรณีที่มีเหตุการณ์เกิดขึ้นมากกว่าจำนวนครั้งที่กำหนดไว้ในช่วงเวลาหนึ่งๆ ตัวอย่างเช่น เมื่อเหตุการณ์ทริกเกอร์กฎเป็นครั้งแรก ระบบจะเพิ่มการแจ้งเตือนใหม่ในศูนย์แจ้งเตือนและส่งอีเมล (หากกำหนดค่าไว้สำหรับกฎ) หากตั้งเกณฑ์ให้กับกฎเป็น 1 ชั่วโมง ระบบจะเพิ่มเหตุการณ์อื่นๆ ที่เกิดขึ้นในช่วงเวลานั้นลงในการแจ้งเตือนเดียวกัน และจะไม่ส่งการแจ้งเตือนทางอีเมลเพิ่มเติมจนกว่าจะถึงเวลาตามเกณฑ์

เมื่อคุณกำหนดเกณฑ์สำหรับกฎ ระบบจะใช้เกณฑ์กับการดำเนินการของผู้ใช้ร่วมกัน ไม่ใช่ตามผู้ใช้แต่ละราย เช่น หากคุณสร้างกฎเพื่อระงับผู้ใช้หลังจากที่มีการพยายามลงชื่อเข้าใช้ไม่สำเร็จ 5 ครั้งภายใน 1 ชั่วโมง เกณฑ์จะถึงกำหนดเมื่อมีการพยายามลงชื่อเข้าใช้ที่ล้มเหลว 5 ครั้งสำหรับผู้ใช้อย่างน้อย 1 รายภายใน 1 ชั่วโมง ในกรณีนี้ ระบบจึงจะระงับผู้ใช้ทุกคนที่พยายามดำเนินการแต่ไม่สำเร็จอย่างน้อย 1 ครั้ง

หมายเหตุ

  • อีเมลและการแจ้งเตือนที่กฎทริกเกอร์ซึ่งมีเกณฑ์อยู่จะไม่รวมคำอธิบายเหตุการณ์
  • กฎกิจกรรมจะสามารถกำหนดค่าให้ส่งอีเมลไปยังผู้ใช้โดเมนภายในได้เท่านั้น อย่างไรก็ตาม ผู้ดูแลระบบจะยังคงกำหนดค่าการแจ้งเตือนทางอีเมลภายนอกได้โดยใช้ Google Groups
  • คุณป้องกันการแจ้งเตือนมากเกินไปได้โดยเว้นระยะการแจ้งเตือนนานกว่า 1 ชั่วโมง

สร้างกฎกิจกรรม

  1. สร้างกฎ (Google Workspace ทุกรุ่น) โดยใช้วิธีใดวิธีหนึ่งต่อไปนี้
    • จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่กฎ แล้วคลิกสร้างกฎกิจกรรม
    • หรือไปที่การรายงาน จากนั้น การตรวจสอบ จากนั้น เลือกแหล่งข้อมูล จากนั้น สร้างกฎกิจกรรม
    • หรือหากมีเครื่องมือตรวจสอบความปลอดภัย ให้ไปที่ความปลอดภัย จากนั้น ศูนย์ความปลอดภัย จากนั้น เครื่องมือตรวจสอบ แล้วคลิกสร้าง กฎ กิจกรรม
  2. ป้อนรายละเอียดกฎแล้วคลิกต่อไป
    • ชื่อกฎ เช่น การแชร์ข้อมูลภายนอก
    • คำอธิบาย เช่น แจ้งเตือนหากมีการแชร์เอกสารภายนอกบริษัท

  3. ในหน้าเงื่อนไข ให้กำหนดเวลาที่กฎจะทริกเกอร์

    1. เลือกแหล่งข้อมูลสําหรับกฎ เช่น เหตุการณ์ในบันทึกของผู้ดูแลระบบ

      หมายเหตุ: ความพร้อมใช้งานของแหล่งข้อมูลจะแตกต่างกันไปตามรุ่น Google Workspace และสิทธิ์ของผู้ดูแลระบบ คุณไม่สามารถเพิ่มการดำเนินการสำหรับเหตุการณ์ในบันทึกของไดรฟ์ได้ โปรดดูรายละเอียดที่หัวข้อสิทธิ์เข้าถึงระดับผู้ดูแลระบบในการเข้าถึงกฎกิจกรรมและแหล่งข้อมูลสำหรับเครื่องมือตรวจสอบความปลอดภัย

    2. คลิกแท็บตัวกรองเพื่อกรองผลการค้นหาโดยใช้พารามิเตอร์อย่างง่าย เช่น Contains, Does not contain, Is หรือ Is not

    3. คลิกแท็บเครื่องมือสร้างเงื่อนไขเพื่อกรองผลการค้นหาโดยใช้โอเปอเรเตอร์ AND/OR สำหรับเงื่อนไขแต่ละรายการ ให้เลือกแอตทริบิวต์ โอเปอเรเตอร์ และค่า

      เช่น หากต้องการตั้งค่าเงื่อนไขที่ระบุว่าเหตุการณ์นั้นๆ เป็นการโอนความเป็นเจ้าของเอกสาร ให้เลือกเหตุการณ์เป็นแอตทริบิวต์ จากนั้นเลือก Is เป็นโอเปอเรเตอร์ และเลือกการตั้งค่าเอกสาร > โอนการเป็นเจ้าของเอกสารเป็นค่า

      หมายเหตุ: เหตุการณ์เป็นเงื่อนไขที่ต้องระบุ โปรดดูรายละเอียดเกี่ยวกับเงื่อนไขที่มีให้สำหรับแหล่งข้อมูลแต่ละรายการที่หัวข้อแหล่งข้อมูลสำหรับเครื่องมือตรวจสอบความปลอดภัย

    4. คลิกเพิ่มเงื่อนไขเพื่อเพิ่มเงื่อนไขอื่นๆ หรือคลิกต่อไป

  4. (ฟีเจอร์ขั้นสูง) เลือกตัวเลือกต่อไปนี้

    • ทุกครั้งที่เกิดเหตุการณ์ - ส่งการแจ้งเตือนและ/หรือดำเนินการทุกครั้งที่เกิดเหตุการณ์
    • หากความถี่ของเหตุการณ์ตรงตามเกณฑ์ที่กำหนด - เลือกตัวเลือกเพื่อทริกเกอร์การแจ้งเตือนและ/หรือการดำเนินการเมื่อเหตุการณ์เกิดขึ้นมากกว่าจำนวนครั้งที่กำหนดไว้ในช่วงเวลาหนึ่งๆ เช่น หากเหตุการณ์เกิดขึ้นมากกว่า 10 ครั้งใน 1 ชั่วโมง

  5. (ฟีเจอร์ขั้นสูง) คลิกเพิ่มการดำเนินการเพื่อให้ระบบดำเนินการเมื่อเกิดเหตุการณ์ หรือเมื่อจำนวนเหตุการณ์ตรงตามเกณฑ์แล้ว

    • เช่น ระงับผู้ใช้หรือบังคับให้เปลี่ยนรหัสผ่านเมื่อเกิดเหตุการณ์
    • คลิกเพิ่มการดำเนินการเพื่อสร้างการดำเนินการเพิ่มเติม

  6. เลือกตัวเลือกในส่วนการแจ้งเตือน

    • ศูนย์แจ้งเตือน - (แนะนำ) ส่งการแจ้งเตือนไปยังศูนย์แจ้งเตือน การแจ้งเตือนจะมีรายละเอียดเชิงลึกเพื่อให้คุณดำเนินการจัดการปัญหาและสนับสนุนวิธีการแก้ปัญหาผ่านการทำงานร่วมกันกับผู้ดูแลระบบคนอื่นๆ ในองค์กรได้
    • อีเมล - ส่งการแจ้งเตือนทางอีเมลไปยังผู้รับต่อไปนี้
      • ผู้ดูแลระบบขั้นสูงทั้งหมด - ส่งอีเมลถึงผู้ดูแลระบบขั้นสูงทั้งหมด
      • เพิ่มผู้รับอีเมล - ส่งอีเมลถึงผู้ดูแลระบบที่เลือก
    • ความถี่ของการแจ้งเตือน - จำนวนการแจ้งเตือน (การแจ้งเตือนและอีเมล) ที่ส่งในแต่ละชั่วโมงสำหรับเหตุการณ์เดียวกัน คุณสามารถเว้นระยะการแจ้งเตือนตลอดทั้งชั่วโมงหรือรับการแจ้งเตือนทุกครั้งที่กิจกรรมเกิดขึ้น ใช้การตั้งค่านี้เพื่อป้องกันการแจ้งเตือนที่มากเกินไปสำหรับกิจกรรมเดียวกัน เลือกตัวเลือกต่อไปนี้
      • สูงสุด 5 ครั้งต่อชั่วโมง (ค่าเริ่มต้น) - รับการแจ้งเตือนทุกๆ 12 นาทีในแต่ละชั่วโมง
      • สูงสุด 2 ครั้งต่อชั่วโมง - รับการแจ้งเตือนทุกๆ 30 นาทีในแต่ละชั่วโมง
      • สูงสุด 10 ครั้งต่อชั่วโมง - รับการแจ้งเตือนทุกๆ 6 นาทีในแต่ละชั่วโมง
      • ทุกครั้งที่เกิดเหตุการณ์ (หากมีในรุ่นของคุณ)
    • ความรุนแรง - ระดับความรุนแรงที่แสดงสำหรับเหตุการณ์

  7. เลือกสถานะของกฎ

    • ใช้งาน (ค่าเริ่มต้น) - ระบบจะรวบรวมบันทึกและมีการบังคับใช้กฎ
    • ตรวจสอบ - ระบบจะรวบรวมบันทึก แต่ไม่ได้มีการบังคับใช้กฎ ใช้ตัวเลือกนี้เพื่อตรวจสอบบันทึกก่อนที่จะบังคับใช้กฎ
    • ไม่ได้ใช้งาน - ระบบจะไม่รวบรวมบันทึกและไม่ได้มีการบังคับใช้กฎ

  8. คลิกต่อไป ตรวจสอบรายละเอียดของกฎ คลิกย้อนกลับเพื่อทำการเปลี่ยนแปลง หากจำเป็น

  9. คลิกสร้างกฎ

ดูและแก้ไขกฎกิจกรรม

หลังจากสร้างกฎกิจกรรมแล้ว คุณสามารถไปที่หน้ากฎเพื่อดูรายละเอียดและขอบเขตของกฎ เงื่อนไขสำหรับกฎ และการดำเนินการที่เกิดขึ้นเมื่อถึงเกณฑ์

นอกจากนี้ คุณยังสามารถดูรายการกฎทั้งหมดที่ผู้ดูแลระบบในโดเมนของคุณสร้างขึ้นได้จากหน้ากฎ ไปที่หน้าแรกของคอนโซลผู้ดูแลระบบของ Google แล้วคลิกกฎ

ผู้ดูแลระบบภายในโดเมนจะดูกฎที่สร้างโดยผู้ดูแลระบบรายอื่นได้จากหน้ากฎ โดยขึ้นอยู่กับแหล่งข้อมูลสำหรับกฎและสิทธิ์ของผู้ดูแลระบบแต่ละคน ตัวอย่างเช่น ผู้ดูแลระบบอาจมีสิทธิ์ดูเหตุการณ์ในบันทึกของไดรฟ์ แต่ดูเหตุการณ์ในบันทึกของ Gmail ไม่ได้ ดังนั้นจึงจะดูกฎใดๆ ที่ยึดตามเหตุการณ์ในบันทึกของ Gmail ไม่ได้ด้วย

คุณใช้หน้ากฎเพื่อดำเนินการต่อไปนี้ได้

  • กรองรายการกฎโดยคลิกเพิ่มตัวกรอง
  • ดูและแก้ไขรายละเอียดของกฎโดยคลิกกฎที่ต้องการ
  • ลบกฎ
  • สร้างกฎใหม่
  • คลิกตรวจสอบเพื่อเปิดเครื่องมือตรวจสอบเพื่อดูข้อมูลจากเหตุการณ์ในบันทึกของกฎ