创建和管理活动规则

设置提醒并采取行动

作为管理员,您可以在 Google 管理控制台中设置活动规则,以便针对您网域内的活动发送通知或执行操作。使用活动规则有助于更快速、更高效地预防、检测和解决安全问题。

配置规则时,您需要为规则设置条件,并指定满足这些条件时要执行哪些通知或操作。规则就是一种条件语句,即如果 x 发生,则自动执行 y。

Google 将持续执行活动规则中指定的搜索。如果该搜索返回的结果数量超过您设置的阈值,则 Google 将执行您指定的通知和操作。例如,您可以设置一项规则,让系统在有用户与公司外部人员共享 Google 云端硬盘文档时,向特定管理员发送电子邮件通知。

准备工作

您能否创建和查看活动规则取决于您的 Google Workspace 版本、管理员权限以及数据源。有关详情,请参阅针对报告规则和活动规则的管理员访问权限

适用于所有版本的功能

  • 通过“规则”页面或审核和调查工具访问活动规则
  • 最多包含 5 个条件(不包括嵌套条件)的 AND 过滤条件

高级功能

支持此功能的版本:一线员工 Plus 版;企业标准版和企业 Plus 版;教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版;Chrome 企业进阶版。 比较您的版本
  • 通过安全调查工具访问活动规则
  • OR 过滤条件
  • 在触发器中设置操作
  • 为触发器设置阈值
  • 在规则中设置超过 5 个条件
  • 嵌套条件
  • 每次发生事件时都会收到通知

有关创建活动规则的重要准则

  • 您只能基于日志事件数据源(例如“Gmail 日志事件”或“设备日志事件”)创建活动规则。您不能根据实时状态数据源(例如“Chrome 浏览器”“设备”“Gmail 邮件”和“用户”)创建活动规则
  • 可用的数据源会因 Google Workspace 版本而异。如需了解详情,请参阅在安全调查工具中执行搜索
  • 您必须为搜索添加至少一个事件属性。
  • 只有在所有条件路径中都添加事件后,您才能在顶级添加“或”运算符。
  • 您只能为该属性添加一个值。例如,“执行者”只能包含一个用户。若要包含多个值,请使用条件构建器添加 OR 运算符,然后为同一个属性添加额外的值。
  • 系统会持续评估规则,因此您不能将日期过滤条件用于活动规则。
  • 您必须向规则添加至少一项操作或提醒。
  • 由于活动规则基于日志事件,所以这些规则将在事件发生后触发。因此,活动规则不适合用于屏蔽文档、共享文档或发送电子邮件等操作。

电子邮件通知

如果您为规则设置了电子邮件通知,则活动规则会在每个阈值时间段内首次触发时发送 1 封通知电子邮件。规则不会针对后续的触发次数发送通知。电子邮件通知中包含触发提醒的规则的摘要,例如规则名称、阈值详细信息、源数据等。收到电子邮件通知的管理员可以点击查看提醒,前往提醒中心的提醒详情页面。

规则阈值和通知

为了尽量减少通知,您可以创建具有阈值的规则,仅当事件在给定时间范围内发生次数超过特定次数时才触发通知。例如,当某个事件首次触发规则时,系统会在提醒中心中添加一条新提醒,并发送电子邮件(如果已为规则配置)。如果规则的阈值为 1 小时,则系统会将该时间内的其他事件添加到同一提醒。在阈值时间过后,系统才会发送其他电子邮件通知。

为规则设置阈值后,该阈值会应用于所有用户操作,而不是应用于单个用户。例如,如果您创建了一条规则,让系统暂停在 1 小时内尝试登录失败 5 次的用户,那么当一位或多位用户在 1 小时内尝试登录失败 5 次时,就会达到该阈值。在这种情况下,至少有一次登录尝试失败的所有用户都将被暂停。

注意

  • 具有阈值的规则触发的电子邮件和提醒不包含事件说明。
  • 活动规则只能配置为向内部网域用户发送电子邮件。不过,管理员仍可以使用 Google 群组配置外部电子邮件提醒。
  • 您可以将提醒间隔时间设置为 1 小时,以防止提醒过于频繁。

创建 activity 规则

  1. 使用以下方法之一创建规则(所有 Google Workspace 版本):
    • 在管理控制台首页,前往规则,然后点击创建活动规则
    • 或者,依次前往报告 然后 审核和调查 然后 选择“数据源” 然后 创建活动规则
    • 或者,如果您有安全调查工具,请依次前往安全性 然后 安全中心 然后 调查工具,然后点击创建 活动 规则
  2. 输入规则详细信息,然后点击继续
    • 规则名称:例如“外部数据共享”
    • 说明:例如“如果与公司外部人员共享文档,则发出通知”

  3. 条件页面上,定义规则的触发时间:

    1. 为规则选择数据源,例如管理员日志事件

      注意:有哪些数据源可用取决于您的 Google Workspace 版本和管理员权限。您无法为云端硬盘日志事件添加操作。有关详情,请参阅针对活动规则的管理员访问权限安全调查工具的数据源

    2. 点击过滤条件标签页,以使用包含不包含等简单参数过滤搜索结果。

    3. 点击条件构建器标签页,使用 AND/OR 运算符过滤搜索结果。请为每个条件分别选择属性、运算符和值

      例如,如要设置一个指定事件为转移文档所有权的条件,请选择事件作为属性,作为运算符,文档设置 > 转移文档所有权作为值。

      注意事件为必选条件。如需详细了解适用于每种数据源的条件,请参阅安全调查工具的数据源

    4. 点击添加条件以添加其他条件,或点击继续

  4. (高级功能)选择一个选项:

    • 每次事件发生时 - 每次事件发生时发送通知和/或执行操作。
    • 当事件频率达到特定阈值时 - 选择相应选项,以便在给定时间范围内事件发生次数超过特定次数时触发通知和/或操作。例如,如果事件在 1 小时内发生超过 10 次。

  5. (高级功能)点击添加操作,以便在事件发生或超出阈值时执行操作。

    • 例如,在事件发生时暂停用户或强制更改密码。
    • 点击添加操作以创建其他操作。

  6. 通知下,选择相应选项:

    • 提醒中心 -(推荐)向提醒中心发送提醒。提醒包含深入详细信息,以便您针对问题采取相关措施,您还可以与贵组织中的其他管理员协作解决问题。
    • 电子邮件 - 向以下人员发送电子邮件通知:
      • 所有超级用户 - 向所有超级用户发送电子邮件。
      • 添加电子邮件收件人 - 向选定的管理员发送电子邮件。
    • 通知频率:每小时针对同一事件发送的通知(提醒和电子邮件)数量。您可以每隔一段时间收到一次通知,也可以在每次发生事件时都收到通知。使用此设置来防止针对同一事件发送过多通知。 选择相应选项:
      • 每小时最多 5 次(默认):每小时每 12 分钟收到一次通知。
      • 每小时最多 2 条:每小时每 30 分钟收到一次通知。
      • 每小时最多 10 条 - 每小时每 6 分钟收到一次通知。
      • 每次事件发生时(如果您的版本支持此选项)。
    • 严重程度 - 系统为事件显示的严重程度级别。

  7. 选择规则状态。

    • 有效(默认)- 系统会收集日志,并强制执行规则。
    • 监控 - 系统会收集日志,但不会强制执行规则。使用此选项可在强制执行规则之前查看日志。
    • 未启用 - 系统不会收集日志,也不会强制执行规则。

  8. 点击继续。 查看规则详细信息。如果需要进行更改,请点击返回

  9. 点击创建规则

查看和修改活动规则

创建活动规则后,您可以前往规则页面,查看该规则的详细信息、范围和条件,以及在达到阈值时触发的操作。

在“规则”页面中,您还可以查看网域管理员创建的所有规则的列表。为此,请前往 Google 管理控制台首页,然后点击规则

网域中的管理员可以在“规则”页面中查看其他管理员创建的规则,具体取决于规则的数据源和每个管理员的权限。例如,某位管理员可能对“云端硬盘日志事件”具有查看权限,但对“Gmail 日志事件”则没有查看权限,因此该管理员就无法查看基于“Gmail 日志事件”的任何规则。

您可以通过“规则”页面执行以下操作:

  • 点击添加过滤条件可过滤规则列表。
  • 点击某项规则,可查看和修改该规则的详细信息。
  • 删除规则。
  • 创建新规则。
  • 点击调查可打开调查工具,查看“规则日志事件”中的数据。