Là quản trị viên, bạn có thể thiết lập quy tắc hoạt động trong Bảng điều khiển dành cho quản trị viên của Google để gửi thông báo hoặc thực hiện thao tác nhằm phản hồi hoạt động trong miền của mình. Hãy sử dụng quy tắc hoạt động để ngăn chặn, phát hiện và khắc phục các vấn đề về bảo mật một cách nhanh chóng và hiệu quả hơn.
Để định cấu hình một quy tắc, bạn cần thiết lập điều kiện cho quy tắc đó và chỉ định thông báo hoặc thao tác cần thực hiện khi đáp ứng các điều kiện. Quy tắc chỉ đơn giản là một cách nói: nếu x xảy ra, hãy tự động thực hiện y.
Google sẽ liên tục thực hiện tìm kiếm được chỉ định trong quy tắc hoạt động. Nếu số lượng kết quả mà hoạt động tìm kiếm đó trả về vượt quá ngưỡng mà bạn đã thiết lập, thì Google sẽ thực hiện các thông báo và thao tác mà bạn chỉ định. Ví dụ: bạn có thể thiết lập một quy tắc để gửi thông báo qua email cho một số quản trị viên nếu tài liệu trên Google Drive được chia sẻ bên ngoài công ty.
Trước khi bắt đầu
Khả năng tạo và xem quy tắc hoạt động phụ thuộc vào phiên bản Google Workspace, đặc quyền quản trị và nguồn dữ liệu của bạn. Để biết thông tin chi tiết, hãy chuyển đến bài viết Quyền truy cập của quản trị viên đối với quy tắc báo cáo và quy tắc hoạt động.
Các tính năng cho mọi phiên bản
- Truy cập vào quy tắc hoạt động trên trang Quy tắc hoặc công cụ điều tra và nhật ký kiểm tra
- Bộ lọc AND có tối đa 5 điều kiện (không bao gồm các điều kiện lồng nhau)
Các tính năng nâng cao
Các phiên bản được hỗ trợ tính năng này: Frontline Plus; Enterprise Standard và Enterprise Plus; Education Plus; Enterprise Essentials Plus; Cloud Identity Premium; Chrome Enterprise Premium.- So sánh phiên bản của bạn
Nguyên tắc quan trọng để tạo quy tắc hoạt động
- Bạn chỉ có thể tạo quy tắc hoạt động dựa trên nguồn dữ liệu sự kiện trong nhật ký, ví dụ: Sự kiện trong nhật ký Gmail hoặc Sự kiện trong nhật ký thiết bị. Bạn không thể tạo quy tắc hoạt động dựa trên các nguồn dữ liệu trạng thái trực tiếp như Trình duyệt Chrome, Thiết bị, Thư trong Gmail và Người dùng.
- Các nguồn dữ liệu có sẵn sẽ khác nhau tuỳ thuộc vào phiên bản Google Workspace của bạn. Để biết thêm thông tin chi tiết, hãy chuyển đến bài viết Chạy tìm kiếm trong công cụ điều tra bảo mật.
- Bạn phải thêm ít nhất một thuộc tính sự kiện vào hoạt động tìm kiếm.
- Bạn chỉ có thể thêm toán tử OR ở cấp cao nhất nếu thêm điều kiện Sự kiện cùng với mọi đường dẫn có điều kiện.
- Bạn chỉ có thể thêm một giá trị cho thuộc tính. Ví dụ: Tác nhân chỉ có thể bao gồm một người dùng. Để thêm nhiều giá trị, hãy sử dụng Trình tạo điều kiện để thêm toán tử OR, sau đó thêm cùng một thuộc tính có giá trị bổ sung.
- Bạn không thể sử dụng bộ lọc ngày cho quy tắc hoạt động (vì các quy tắc được đánh giá liên tục).
- Bạn phải thêm ít nhất một thao tác hoặc cảnh báo vào quy tắc.
- Vì quy tắc hoạt động dựa trên các sự kiện trong nhật ký, nên các quy tắc này sẽ kích hoạt sau khi sự kiện xảy ra. Do đó, quy tắc hoạt động không phù hợp với những việc như chặn hoặc chia sẻ tài liệu hay gửi email.
Thông báo qua email
Nếu bạn thiết lập thông báo qua email cho quy tắc, thì quy tắc hoạt động sẽ gửi một email thông báo cho mỗi cửa sổ ngưỡng khi quy tắc được kích hoạt lần đầu tiên. Quy tắc sẽ không gửi thông báo cho những lần kích hoạt khác. Thông báo qua email chứa thông tin tóm tắt về quy tắc đã kích hoạt cảnh báo, bao gồm tên quy tắc, thông tin chi tiết về ngưỡng, dữ liệu nguồn và nhiều thông tin khác. Quản trị viên nhận được thông báo qua email có thể nhấp vào Xem cảnh báo để chuyển đến trang Thông tin chi tiết về cảnh báo trong trung tâm thông báo.
Ngưỡng và thông báo của quy tắc
Để giảm thiểu thông báo, bạn có thể tạo các quy tắc có ngưỡng chỉ kích hoạt thông báo khi sự kiện xảy ra nhiều lần hơn một số lần cụ thể trong một khung thời gian nhất định. Ví dụ: lần đầu tiên một sự kiện kích hoạt quy tắc, một cảnh báo mới sẽ được thêm vào Trung tâm thông báo và một email sẽ được gửi (nếu được định cấu hình cho quy tắc). Nếu quy tắc có ngưỡng một giờ, thì các sự kiện bổ sung trong khoảng thời gian đó sẽ được thêm vào cùng một cảnh báo. Thông báo qua email bổ sung sẽ không được gửi cho đến khi thời gian ngưỡng trôi qua.
Khi bạn đặt ngưỡng cho một quy tắc, ngưỡng đó sẽ được áp dụng theo cách tích luỹ trên các thao tác của người dùng, chứ không phải trên cơ sở mỗi người dùng. Ví dụ: nếu bạn tạo một quy tắc để tạm ngưng người dùng sau 5 lần đăng nhập không thành công trong vòng một giờ, thì ngưỡng sẽ đạt được khi có 5 lần đăng nhập không thành công đối với một hoặc nhiều người dùng trong vòng một giờ. Trong trường hợp này, tất cả người dùng có ít nhất một lần đăng nhập không thành công sẽ bị tạm ngưng.
Lưu ý:
- Email và cảnh báo được kích hoạt bởi một quy tắc có ngưỡng không bao gồm nội dung mô tả sự kiện.
- Bạn chỉ có thể định cấu hình quy tắc hoạt động để gửi email cho người dùng miền nội bộ. Tuy nhiên, quản trị viên vẫn có thể định cấu hình cảnh báo qua email bên ngoài bằng Google Groups.
- Bạn có thể ngăn chặn cảnh báo quá mức bằng cách giãn cách các cảnh báo trong vòng một giờ.
Tạo quy tắc hoạt động
- Tạo quy tắc (tất cả phiên bản Google Workspace) bằng một trong các phương thức sau:
- Trên Trang chủ của Bảng điều khiển dành cho quản trị viên, hãy chuyển đến Quy tắc, sau đó nhấp vào Tạo quy tắc hoạt động.
- Hoặc chuyển đến Báo cáo
Nhật ký kiểm tra và điều tra chọn một nguồn dữ liệu Tạo quy tắc hoạt động. - Hoặc nếu bạn có công cụ điều tra bảo mật, hãy chuyển đến Bảo mật Trung tâm bảo mật Công cụ điều tra, sau đó nhấp vào Tạo quy tắc hoạt động.
- Nhập thông tin chi tiết về quy tắc rồi nhấp vào Tiếp tục:
- Tên quy tắc—ví dụ: Chia sẻ dữ liệu bên ngoài.
- Nội dung mô tả—ví dụ: Thông báo nếu tài liệu được chia sẻ bên ngoài công ty
Trên trang Điều kiện, hãy xác định thời điểm quy tắc sẽ kích hoạt:
Chọn Nguồn dữ liệu cho quy tắc, ví dụ: Sự kiện trong nhật ký của quản trị viên.
Lưu ý: Phạm vi cung cấp nguồn dữ liệu sẽ khác nhau tuỳ thuộc vào phiên bản Google Workspace và đặc quyền quản trị của bạn. Bạn không thể thêm thao tác cho sự kiện trong nhật ký Drive. Để biết thông tin chi tiết, hãy chuyển đến bài viết Quyền truy cập của quản trị viên đối với quy tắc hoạt động và Nguồn dữ liệu cho công cụ điều tra bảo mật.
Nhấp vào thẻ Bộ lọc để lọc kết quả tìm kiếm bằng các tham số đơn giản như Chứa, Không chứa, Là hoặc Không phải là.
Nhấp vào thẻ Trình tạo điều kiện để lọc kết quả tìm kiếm bằng toán tử AND/OR. Đối với mỗi điều kiện, hãy chọn một thuộc tính, một toán tử và một giá trị.
Ví dụ: để thiết lập một điều kiện chỉ định rằng sự kiện là chuyển quyền sở hữu tài liệu, hãy chọn Sự kiện làm thuộc tính, chọn Là làm toán tử và Cài đặt tài liệu > Chuyển quyền sở hữu tài liệu làm giá trị.
Lưu ý: Sự kiện là một điều kiện bắt buộc. Để biết thông tin chi tiết về các điều kiện có sẵn cho từng nguồn dữ liệu, hãy xem bài viết Nguồn dữ liệu cho công cụ điều tra bảo mật.
Nhấp vào Thêm điều kiện để thêm các điều kiện bổ sung hoặc nhấp vào Tiếp tục.
(Tính năng nâng cao) Chọn một phương án:
- Mỗi khi sự kiện xảy ra—Gửi thông báo và/hoặc thực hiện thao tác mỗi khi sự kiện xảy ra.
- Nếu tần suất sự kiện đáp ứng một ngưỡng cụ thể— Chọn các lựa chọn để kích hoạt thông báo và/hoặc thao tác khi sự kiện xảy ra nhiều lần hơn một số lần cụ thể trong một khung thời gian nhất định. Ví dụ: Nếu sự kiện xảy ra hơn 10 lần trong 1 giờ.
(Tính năng nâng cao) Nhấp vào Thêm thao tác để thực hiện thao tác khi sự kiện xảy ra hoặc vượt qua ngưỡng.
- Ví dụ: tạm ngưng người dùng hoặc buộc thay đổi mật khẩu khi sự kiện xảy ra.
- Nhấp vào Thêm thao tác để tạo các thao tác bổ sung.
Trong phần Thông báo, hãy chọn các lựa chọn:
- Trung tâm thông báo—(Nên dùng) Gửi cảnh báo đến Trung tâm thông báo. Cảnh báo bao gồm thông tin chi tiết chuyên sâu để bạn có thể thực hiện thao tác đối với các vấn đề và hỗ trợ giải pháp cộng tác với các quản trị viên khác trong tổ chức của mình.
- Email—Gửi thông báo qua email đến:
- Tất cả quản trị viên cấp cao—Gửi email cho tất cả quản trị viên cấp cao.
- Thêm người nhận email—Gửi email cho những quản trị viên đã chọn.
- Tần suất thông báo—Số lượng thông báo (cảnh báo và email) được gửi mỗi giờ cho cùng một sự kiện. Bạn có thể giãn cách thông báo trong vòng một giờ hoặc nhận thông báo mỗi khi sự kiện xảy ra. Hãy sử dụng chế độ cài đặt này để ngăn chặn thông báo quá mức cho cùng một sự kiện.
Chọn một phương án:
- Tối đa 5 thông báo mỗi giờ (Mặc định) —Nhận thông báo 12 phút một lần mỗi giờ.
- Tối đa 2 thông báo mỗi giờ—Nhận thông báo 30 phút một lần mỗi giờ.
- Tối đa 10 thông báo mỗi giờ—Nhận thông báo 6 phút một lần mỗi giờ.
- Mỗi khi sự kiện xảy ra (nếu phiên bản của bạn có tính năng này).
- Mức độ nghiêm trọng—Mức độ nghiêm trọng được hiển thị cho sự kiện.
Chọn Trạng thái quy tắc.
- Đang hoạt động (mặc định) —Hệ thống thu thập nhật ký và thực thi các quy tắc.
- Giám sát—Hệ thống thu thập nhật ký nhưng không thực thi các quy tắc. Hãy sử dụng lựa chọn này để xem xét nhật ký trước khi thực thi quy tắc.
- Không hoạt động—Nhật ký không được thu thập và quy tắc không được thực thi.
Nhấp vào Tiếp tục. Xem xét thông tin chi tiết về quy tắc. Nhấp vào Quay lại để thực hiện thay đổi nếu cần.
Nhấp vào Tạo quy tắc.
Xem và chỉnh sửa quy tắc hoạt động
Sau khi tạo quy tắc hoạt động, bạn có thể chuyển đến trang Quy tắc để xem thông tin chi tiết và phạm vi của quy tắc, các điều kiện cho quy tắc và các thao tác được kích hoạt khi đáp ứng ngưỡng.
Trên trang Quy tắc, bạn cũng có thể xem danh sách tất cả các quy tắc do quản trị viên trong miền của bạn tạo. Chuyển đến trang chủ Bảng điều khiển dành cho quản trị viên của Google rồi nhấp vào Quy tắc.
Trên trang Quy tắc, quản trị viên trong miền của bạn có thể xem các quy tắc do quản trị viên khác tạo, tuỳ thuộc vào nguồn dữ liệu cho quy tắc và đặc quyền của mỗi quản trị viên. Ví dụ: một quản trị viên có thể có đặc quyền xem đối với sự kiện trong nhật ký Drive nhưng không có đặc quyền xem đối với sự kiện trong nhật ký Gmail. Do đó, họ không thể xem bất kỳ quy tắc nào dựa trên sự kiện trong nhật ký Gmail.
Bạn có thể sử dụng trang Quy tắc để thực hiện các thao tác sau:
- Lọc danh sách quy tắc bằng cách nhấp vào Thêm bộ lọc.
- Xem và chỉnh sửa thông tin chi tiết về quy tắc bằng cách nhấp vào một trong các quy tắc.
- Xoá các quy tắc.
- Tạo quy tắc mới.
- Nhấp vào Điều tra để mở công cụ điều tra nhằm xem dữ liệu từ các sự kiện trong nhật ký Quy tắc.